일반적인 IPsec 문제 고려
IPsec을 구성하기 전에 몇 가지 일반적인 지침을 이해하는 것이 좋습니다.
IPv4 및 IPv6 트래픽 및 터널 - IPv4 IPsec 터널을 통해 이동하는 IPv4 트래픽, IPv4 IPsec 터널을 통해 이동하는 IPv6 트래픽, IPv6 IPsec 터널을 통해 이동하는 IPv4 트래픽, IPv6 IPsec 터널을 통해 이동하는 IPv6 트래픽 등의 방법으로 트래픽을 전송하도록 IPsec 터널을 구성할 수 있습니다.
AS 및 멀티서비스 PIC와 ES PIC 간의 구성 구문 차이 - IPsec을 지원하는 PIC와 함께 사용되는 구성 명령문 및 운영 모드 명령에는 약간의 차이가 있습니다. 그 결과, AS 및 멀티서비스 PIC의 구문은 ES PIC의 구문과 상호 교환하여 사용할 수 없습니다. 그러나 한 유형의 PIC에 대한 구문은 상호 운용성을 위해 다른 PIC에서 동일한 구문으로 변환될 수 있습니다. 구문의 차이점은 표 1에 강조 표시되어 있습니다.
인증 및 암호화를 위한 키 구성 - 인증 또는 암호화에 사전 공유 키가 필요한 경우 표 2 에 표시된 지침을 사용하여 올바른 키 크기를 구현해야 합니다.
약한 키 및 약간 약한 키 거부 - DES 및 3DES 암호화 알고리즘은 약한 키와 약간 약한 키를 거부합니다. 따라서 표 3에 나열된 패턴을 포함하는 키를 생성하여 사용하지 마십시오.
AS 및 MultiServices PIC, 명령문 및 명령 |
ES PIC 명령문 및 명령 |
---|---|
구성 모드 명령문 | |
|
– |
[편집 서비스 ipsec-vpn ike]
|
[보안 IKE 편집]
|
[서비스 ipsec-vpn ipsec 편집]
|
[보안 IPSec 편집]
|
|
|
|
[보안 IPSec 편집]
|
[서비스 ipsec-vpn 규칙 집합 편집] |
– |
[서비스 서비스 세트 ipsec-vpn 편집]
|
|
운영 모드 명령 | |
보안 PKI CA 인증서 지우기 |
– |
보안 PKI 인증서 요청 지우기 |
– |
보안 PKI 로컬 인증서 지우기 |
– |
Clear Services IPSec-VPN 인증서 |
– |
보안 PKI CA 인증서 등록 요청 |
보안 인증서 요청(서명되지 않음) |
보안 PKI CA 인증서 로드 요청 |
시스템 인증서 추가 요청 |
보안 PKI 생성 인증서 요청 요청 |
– |
보안 PKI 생성 키 쌍 요청 |
보안 키 쌍 요청 |
보안 PKI 로컬 인증서 등록 요청 |
보안 인증서 요청(서명됨) |
보안 PKI 로컬 인증서 로드 요청 |
시스템 인증서 추가 요청 |
|
|
|
– |
|
– |
|
|
|
|
|
|
|
|
16진수 문자 수 |
ASCII 문자 수 |
|
---|---|---|
인증 |
||
HMAC-MD5-96〈화이트〉 |
32 |
16 |
HMAC-SHA1-96 |
40 |
20 |
암호화 |
||
AES-128-CBC |
16 |
32 |
AES-192-CBC |
24 |
48 |
AES-256-CBC |
32 |
64 |
DES-CBC |
16 |
8 |
3DES-CBC |
48 |
24 |
약한 키 |
|||
---|---|---|---|
0101 |
0101 |
0101 |
0101 |
1층 |
1층 |
1층 |
1층 |
E0E0 |
E0E0 |
E0E0 |
E0E0 |
증권 시세 표시기 |
증권 시세 표시기 |
증권 시세 표시기 |
증권 시세 표시기 |
세미 약한 키 | |||
01FE |
01FE |
01FE |
01FE |
1FE0 |
1FE0 |
0EF1 |
0EF1 |
01E0 |
01E0 |
01에프1 |
01에프1 |
1FFE |
1FFE |
0EFE |
0EFE |
011층 |
011층 |
010E |
010E |
E0FE |
E0FE |
F1FE |
F1FE |
FE01 |
FE01 |
FE01 |
FE01 |
E01F |
E01F |
F10E |
F10E |
001회 |
001회 |
F101 키 |
F101 키 |
FEF1 |
FEF1 |
FE0E |
FE0E |
1층01 |
1층01 |
0E01 |
0E01 |
FEE0 |
FEE0 |
FEF1 |
FEF1 |
AS PIC에서 IPsec 서비스에 대한 다음과 같은 제한 사항을 명심하십시오.
AS PIC는 IPsec 터널을 통해 IPv4 옵션을 포함하는 패킷을 전송하지 않습니다. IPsec 터널을 통해 IP 옵션이 포함된 패킷을 보내려고 하면 패킷이 삭제됩니다. 또한 IPsec 터널
ping
을ping
통해 record-route 옵션과 함께 명령을 실행하면 명령이 실패합니다.AS PIC는 IPsec 터널을 통해 홉 바이 홉, 대상(유형 1 및 2) 및 라우팅과 같은 IPv6 옵션을 포함하는 패킷을 전송하지 않습니다. IPsec 터널을 통해 이러한 IPv6 옵션이 포함된 패킷을 보내려고 하면 패킷이 삭제됩니다.
대상 클래스 사용은 AS PIC의 IPsec 서비스와 함께 지원되지 않습니다.