Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Configuration d’une proposition IPsec pour un PIC ES

Une proposition IPsec répertorie les protocoles et algorithmes (services de sécurité) à négocier avec l’homologue IPsec distant.

Pour configurer une proposition IPsec et définir ses propriétés, incluez les instructions suivantes au niveau de la [edit security ipsec] hiérarchie :

Les tâches de configuration d’une proposition IPsec pour un PIC ES sont les suivantes :

Configuration de l’algorithme d’authentification pour une proposition IPsec

Pour configurer un algorithme d’authentification IPsec, incluez l’instruction suivante authentication-algorithm au niveau de la [edit security ipsec proposal ipsec-proposal-name] hiérarchie :

L’algorithme d’authentification peut être l’un des suivants :

  • hmac-md5-96: algorithme de hachage qui authentifie les données des paquets. Il produit un condensé de 128 bits. Seuls 96 bits sont utilisés pour l’authentification.

  • hmac-sha1-96: algorithme de hachage qui authentifie les données des paquets. Il produit un condensé de 160 bits. Seuls 96 bits sont utilisés pour l’authentification.

Configuration de la description d’une proposition IPsec

Pour spécifier une description pour une proposition IPsec, incluez l’instruction description au niveau de la [edit security ipsec proposal ipsec-proposal-name] hiérarchie :

Configuration de l’algorithme de chiffrement pour une proposition IPsec

Pour configurer l’algorithme de chiffrement IPsec, incluez l’instruction suivante encryption-algorithm au niveau de la [edit security ipsec proposal ipsec-proposal-name] hiérarchie :

L’algorithme de chiffrement peut être l’un des suivants :

  • 3des-cbc—Algorithme de chiffrement dont la taille de bloc est de 24 octets ; La taille de sa clé est de 192 bits.

  • des-cbc—Algorithme de chiffrement dont la taille de bloc est de 8 octets ; Sa taille de clé est

  • Longueur de 48 bits.

    Note:

    Nous vous recommandons d’utiliser l’algorithme de chiffrement 3DES-CBC (triple chiffrement DES block chaining).

Configuration de la durée de vie d’une SA IPsec

L’option durée de vie IPsec définit la durée de vie d’une SA IPsec. Lorsque la SA IPsec expire, elle est remplacée par une nouvelle SA (et SPI) ou est résiliée. Une nouvelle SA dispose de nouvelles clés d’authentification et de chiffrement, ainsi que d’un SPI ; Cependant, les algorithmes peuvent rester les mêmes si la proposition n’est pas modifiée. Si vous ne configurez pas de durée de vie et qu’une durée de vie n’est pas envoyée par un répondeur, la durée de vie est de 28 800 secondes.

Pour configurer la durée de vie IPsec, incluez l’instruction lifetime-seconds et spécifiez le nombre de secondes (180 à 86 400) au niveau de la [edit security ipsec proposal ipsec-proposal-name] hiérarchie :

Note:

Lorsqu’une SA dynamique est créée, deux types de durées de vie sont utilisés : hard et soft. La durée de vie matérielle spécifie la durée de vie de la SA. La durée de vie logicielle, qui est dérivée de la durée de vie matérielle, informe le système de gestion des clés IPsec que la SA est sur le point d’expirer. Cela permet au système de gestion des clés de négocier une nouvelle SA avant l’expiration de la durée de vie du matériel. Lorsque vous spécifiez la durée de vie, vous spécifiez une durée de vie matérielle.

Configuration du protocole pour une SA IPsec dynamique

L’instruction protocol définit le protocole d’une SA dynamique. Le protocole ESP peut prendre en charge l’authentification, le chiffrement ou les deux. Le protocole AH est utilisé pour l’authentification forte. AH authentifie également le paquet IP. L’option bundle utilise l’authentification AH et le chiffrement ESP ; elle n’utilise pas l’authentification ESP, car AH fournit une authentification plus forte des paquets IP.

Pour configurer le protocole d’une SA dynamique, incluez l’instruction au protocol niveau de la [edit security ipsec proposal ipsec-proposal-name] hiérarchie :

Voir aussi