Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Prise en compte des problèmes généraux liés à IPsec

Avant de configurer IPsec, il est utile de comprendre quelques instructions générales.

  • Trafic et tunnels IPv4 et IPv6 : vous pouvez configurer les tunnels IPsec pour qu’ils acheminent le trafic de la manière suivante : trafic IPv4 transitant par des tunnels IPv4, trafic IPv6 transitant par des tunnels IPv4 IPsec, trafic IPv4 transitant par des tunnels IPv6 IPsec et trafic IPv6 transitant par des tunnels IPsec IPv6.

  • Différences de syntaxe de configuration entre les PIC AS et multiservices et le PIC ES : il existe de légères différences dans les instructions de configuration et les commandes de mode opérationnel utilisées avec les PIC qui prennent en charge IPsec. Par conséquent, la syntaxe des PIC AS et MultiServices ne peut pas être utilisée de manière interchangeable avec la syntaxe du PIC ES. Toutefois, la syntaxe d’un type de PIC peut être convertie en syntaxe équivalente sur l’autre PIC pour des raisons d’interopérabilité. Les différences de syntaxe sont mises en évidence dans le tableau 1.

  • Configuration des clés pour l’authentification et le chiffrement : lorsque des clés prépartagées sont requises pour l’authentification ou le chiffrement, vous devez utiliser les instructions indiquées dans le tableau 2 pour implémenter la taille de clé correcte.

  • Rejet des clés faibles et semi-faibles : les algorithmes de chiffrement DES et 3DES rejettent les clés faibles et semi-faibles. Par conséquent, ne créez pas et n’utilisez pas de clés qui contiennent les modèles répertoriés dans le tableau 3.

Tableau 1 : Comparaison des instructions de configuration IPsec et des commandes en mode opérationnel pour les PIC AS et multiservices et ES PIC

Instructions et commandes des PICs AS et multiservices

Instructions et commandes ES PIC
Instructions du mode de configuration

[edit service-set name ]

[modifier les services ipsec-vpn ike]

  • politique {...}

  • Proposition {...}

[modifier le guichet de sécurité]

  • politique {...}

  • Proposition {...}

[modifier les services ipsec-vpn ipsec]

  • politique {...}

  • Proposition {...}

[modifier la sécurité ipsec]

  • politique {...}

  • Proposition {...}

[edit services ipsec-vpn rule rule-name ]

  • passerelle addressdistante

[edit interface es- fpc / pic /port ]

  • Destination du addresstunnel

[edit services ipsec-vpn rule rule-name term term-name]

  • De match-conditions {...} puis dynamique {...}

  • De match-conditions {...} puis manuel {...}

[modifier la sécurité ipsec]

  • association-de-sécurité name dynamique {...}

  • association-sécurité name mode d’emploi {...}

[modifier l’ensemble de règles ipsec-vpn des services]

[modifier le service-set de services ipsec-vpn]

  • passerelle addresslocale

[edit interface es- fpc /pic /port ]

  • source de address tunnel

Commandes en mode opérationnel

Certificat d’autorité de certification PKI Clear Security

Effacer la sécurité PKI Certificate-Demande

Certificat local PKI de sécurité clair

Effacer les certificats IPSec-VPN des services

Demander un certificat d’autorité de certification PKI de sécurité S’inscrire

Demander un certificat de sécurité (non signé)

Charger le certificat CA PKI de la demande de sécurité

Demander l’ajout d’un certificat système

Request Security PKI Generate-Certificate-Request

Demande de sécurité PKI generate-key-pair

Demander une paire de clés de sécurité

Inscription au certificat local PKI de demande de sécurité

Demander un certificat de sécurité (signé)

Charger le certificat local PKI de la demande de sécurité

Demander l’ajout d’un certificat système

show security pki ca-certificate

show system certificate

show security pki certificate-request

show security pki crl

show security pki local-certificate

show system certificate

show services ipsec-vpn certificates

show ipsec certificates

show services ipsec-vpn ike security-associations

show ike security-associations

show services ipsec-vpn ipsec security-associations

show ipsec security-associations
Tableau 2 : longueurs des clés d’authentification et de chiffrement
 

Nombre de caractères hexadécimaux

Nombre de caractères ASCII

Authentification

    

HMAC-MD5-96

32

16

HMAC-SHA1-96

40

20

Chiffrement

    

AES-128-CBC

16

32

AES-192-CBC

24

48

AES-256-CBC

32

64

DES-Radio-Canada

16

8

3DES-CBC (en anglais seulement)

48

24
Tableau 3 : clés faibles et semi-faibles

Touches faibles

      

0101

0101

0101

0101

1F1F

1F1F

1F1F

1F1F

E0E0

E0E0

E0E0

E0E0

FEFE

FEFE

FEFE

FEFE
Clés semi-faibles

01FE

01FE

01FE

01FE

1FE0

1FE0

0EF1

0EF1

01E0

01E0

01F1

01F1

1FFE

1FFE

0EFE

0EFE

011F

011F

010E

010E

E0FE

E0FE

F1FE

F1FE

FE01

FE01

FE01

FE01

Réf. E01F

Réf. E01F

F10E

F10E

Réf. E001

Réf. E001

Réf. F101

Réf. F101

FEF1

FEF1

FE0E

FE0E

1F01

1F01

0E01

0E01

FRAIS0

FRAIS0

FEF1

FEF1

Gardez à l’esprit les limitations suivantes des services IPsec sur l’AS PIC :

  • L’AS PIC ne transporte pas les paquets contenant des options IPv4 à travers les tunnels IPsec. Si vous essayez d’envoyer des paquets contenant des options IP sur un tunnel IPsec, les paquets sont abandonnés. En outre, si vous émettez une ping commande avec l’option record-route sur un tunnel IPsec, la ping commande échoue.

  • L’AS PIC ne transporte pas les paquets contenant les options IPv6 suivantes dans les tunnels IPsec : saut par saut, destination (type 1 et 2) et routage. Si vous tentez d’envoyer des paquets contenant ces options IPv6 sur un tunnel IPsec, les paquets sont abandonnés.

  • L’utilisation de la classe de destination n’est pas prise en charge par les services IPsec sur l’AS PIC.