Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

一般的な IPsec の問題を考慮する

IPsec を構成する前に、いくつかの一般的なガイドラインを理解しておくと役立ちます。

  • IPv4およびIPv6のトラフィックとトンネル:IPv4 IPsecトンネル上を移動するIPv4トラフィック、IPv4 IPsecトンネル上を移動するIPv6トラフィック、IPv6 IPsecトンネル上を移動するIPv4トラフィック、およびIPv6 IPsecトンネル上を移動するIPv6トラフィックを設定することができます。

  • ASおよびマルチサービスPICとES PICの設定構文の違い:IPsecをサポートするPICで使用される設定ステートメントと動作モードコマンドにはわずかな違いがあります。そのため、ASおよびマルチサービスPICの構文をES PICの構文と同じ意味で使用することはできません。ただし、相互運用性を確保するために、あるタイプのPICの構文を他のPICの同等の構文に変換できます。構文の違いは、 表 1 で強調表示されています。

  • 認証と暗号化用のキーの設定:認証または暗号化に事前共有キーが必要な場合は、 表 2 に示すガイドラインを使用して、正しいキー サイズを実装する必要があります。

  • 脆弱な鍵および半脆弱な鍵の拒否 - DES および 3DES 暗号化アルゴリズムは、脆弱な鍵および半脆弱な鍵を拒否します。そのため、 表 3 にリストされているパターンを含むキーを作成して使用しないでください。

表1: AS、マルチサービスPICおよびES PICのIPsec設定ステートメントと動作モードコマンドの比較

ASおよびマルチサービスPICのステートメントとコマンド

ES PICステートメントおよびコマンド

設定モードステートメント

[edit service-set name ]

[編集サービス ipsec-vpn IKE]

  • ポリシー {...}

  • 提案 {...}

[セキュリティIKEを編集]

  • ポリシー {...}

  • 提案 {...}

[編集サービス ipsec-vpn ipsec]

  • ポリシー {...}

  • 提案 {...}

[セキュリティIPsecの編集]

  • ポリシー {...}

  • 提案 {...}

[edit services ipsec-vpn rule rule-name ]

  • リモートゲートウェイaddress

[edit interface es- fpc / pic /port ]

  • トンネル宛先address

[edit services ipsec-vpn rule rule-name term term-name]

  • match-conditionsから{...}その後動的{...}

  • match-conditionsから{...}その後、手動 {...}

[セキュリティIPsecの編集]

  • セキュリティアソシエーションname動的{...}

  • セキュリティー・アソシエーション・ name マニュアル {...}

[サービスipsec-vpnルールセットの編集]

[Edit Services Service-set ipsec-vpn]

  • ローカルゲートウェイaddress

[edit interface es- fpc /pic /port ]

  • トンネルソースaddress

動作モードコマンド

セキュリティ PKI CA 証明書のクリア

セキュリティ PKI 証明書要求をクリアする

セキュリティ PKI ローカル証明書のクリア

サービスIPsec-VPN証明書のクリア

セキュリティ PKI CA 証明書の登録を要求する

セキュリティ証明書の要求 (署名なし)

セキュリティ PKI CA 証明書の読み込みを要求する

システム証明書の追加を要求する

要求セキュリティ PKI 生成-証明書要求

要求セキュリティ PKI 生成キー ペア

セキュリティキーペアのリクエスト

セキュリティ PKI ローカル証明書の登録を要求する

セキュリティ証明書の要求 (署名済み)

セキュリティ PKI ローカル証明書の読み込みを要求する

システム証明書の追加を要求する

show security pki ca-certificate

show system certificate

show security pki certificate-request

show security pki crl

show security pki local-certificate

show system certificate

show services ipsec-vpn certificates

show ipsec certificates

show services ipsec-vpn ike security-associations

show ike security-associations

show services ipsec-vpn ipsec security-associations

show ipsec security-associations

表 2: 認証キーと暗号化キーの長さ
 

16 進文字の数

ASCII 文字の数

認証

   

HMAC-MD5-96

32

16

HMAC-SHA1-96

40

20

暗号化

   

AES-128-CBC

16

32

AES-192-CBC

24

48

AES-256-CBC

32

64

DES-CBC

16

8

3DES-CBC

48

24

表 3: 弱いキーと半弱いキー

弱いキー

     

0101

0101

0101

0101

1F1F

1F1F

1F1F

1F1F

E0E0

E0E0

E0E0

E0E0

フェフェ

フェフェ

フェフェ

フェフェ

セミウィークキー

01FE

01FE

01FE

01FE

1FE0

1FE0

0EF1

0EF1

01E0

01E0

01F1

01F1

1FFE

1FFE

0EFE

0EFE

011F

011F

010E

010E

E0FE

E0FE

F1FE

F1FE

FE01

FE01

FE01

FE01

E01F

E01F

F10E キー

F10E キー

E001

E001

F101 会場

F101 会場

FEF1

FEF1

FE0E

FE0E

1F01

1F01

0E01

0E01

FEE0

FEE0

FEF1

FEF1

AS PICでのIPsecサービスには、以下の制限事項に留意してください。

  • AS PIC は、IPv4 オプションを含むパケットを IPsec トンネル間で転送しません。IPオプションを含むパケットをIPsecトンネルで送信しようとすると、パケットは破棄されます。また、IPsec トンネル上で record-route オプションを指定して ping コマンドを発行すると、ping コマンドは失敗します。

  • AS PIC は、IPsec トンネル間で、ホップバイホップ、宛先(タイプ 1 および 2)、ルーティングの IPv6 オプションを含むパケットを転送しません。これらのIPv6オプションを含むパケットをIPsecトンネルで送信しようとすると、パケットは破棄されます。

  • 宛先クラスの使用は、AS PIC 上の IPsec サービスではサポートされていません。