일반적인 IPsec 문제 고려

IPsec을 구성하기 전에 몇 가지 일반적인 지침을 이해하는 것이 좋습니다.

IPv4 및 IPv6 트래픽 및 터널 - IPv4 IPsec 터널을 통해 이동하는 IPv4 트래픽, IPv4 IPsec 터널을 통해 이동하는 IPv6 트래픽, IPv6 IPsec 터널을 통해 이동하는 IPv4 트래픽, IPv6 IPsec 터널을 통해 이동하는 IPv6 트래픽 등의 방법으로 트래픽을 전송하도록 IPsec 터널을 구성할 수 있습니다.
AS 및 멀티서비스 PIC와 ES PIC 간의 구성 구문 차이 - IPsec을 지원하는 PIC와 함께 사용되는 구성 명령문 및 운영 모드 명령에는 약간의 차이가 있습니다. 그 결과, AS 및 멀티서비스 PIC의 구문은 ES PIC의 구문과 상호 교환하여 사용할 수 없습니다. 그러나 한 유형의 PIC에 대한 구문은 상호 운용성을 위해 다른 PIC에서 동일한 구문으로 변환될 수 있습니다. 구문의 차이점은 표 1에 강조 표시되어 있습니다.
인증 및 암호화를 위한 키 구성 - 인증 또는 암호화에 사전 공유 키가 필요한 경우 표 2 에 표시된 지침을 사용하여 올바른 키 크기를 구현해야 합니다.
약한 키 및 약간 약한 키 거부 - DES 및 3DES 암호화 알고리즘은 약한 키와 약간 약한 키를 거부합니다. 따라서 표 3에 나열된 패턴을 포함하는 키를 생성하여 사용하지 마십시오.

표 1: AS 및 멀티서비스 PIC와 ES PIC에 대한 IPsec 구성 명령문 및 운영 모드 명령 비교
AS 및 MultiServices PIC, 명령문 및 명령	ES PIC 명령문 및 명령
구성 모드 명령문
`[edit service-set name` ]	–
[편집 서비스 ipsec-vpn ike] 정책 {...} 제안 {...}	[보안 IKE 편집] 정책 {...} 제안 {...}
[서비스 ipsec-vpn ipsec 편집] 정책 {...} 제안 {...}	[보안 IPSec 편집] 정책 {...} 제안 {...}
`[edit services ipsec-vpn rule rule-name` ] 원격 게이트웨이 `address`	`[edit interface es-` `fpc` / `pic` / ]`port` 터널 대상 `address`
`[edit services ipsec-vpn rule rule-name term term-name`] 보낸 사람 `match-conditions` {...} 그런 다음 동적 {...} 보낸 사람 `match-conditions` {...} 그런 다음 수동 {...}	[보안 IPSec 편집] 보안 연결 `name` 동적 {...} 보안 연결 `name` 매뉴얼 {...}
[서비스 ipsec-vpn 규칙 집합 편집]	–
[서비스 서비스 세트 ipsec-vpn 편집] 로컬 게이트웨이 `address`	`[edit interface es- fpc` /`pic` / ]`port` 터널 소스 `address`
운영 모드 명령
보안 PKI CA 인증서 지우기	–
보안 PKI 인증서 요청 지우기	–
보안 PKI 로컬 인증서 지우기	–
Clear Services IPSec-VPN 인증서	–
보안 PKI CA 인증서 등록 요청	보안 인증서 요청(서명되지 않음)
보안 PKI CA 인증서 로드 요청	시스템 인증서 추가 요청
보안 PKI 생성 인증서 요청 요청	–
보안 PKI 생성 키 쌍 요청	보안 키 쌍 요청
보안 PKI 로컬 인증서 등록 요청	보안 인증서 요청(서명됨)
보안 PKI 로컬 인증서 로드 요청	시스템 인증서 추가 요청
`show security pki ca-certificate`	`show system certificate`
`show security pki certificate-request`	–
`show security pki crl`	–
`show security pki local-certificate`	`show system certificate`
`show services ipsec-vpn certificates`	`show ipsec certificates`
`show services ipsec-vpn ike security-associations`	`show ike security-associations`
`show services ipsec-vpn ipsec security-associations`	`show ipsec security-associations`

표 2: 인증 및 암호화 키 길이
	16진수 문자 수	ASCII 문자 수
인증
HMAC-MD5-96〈화이트〉	32	16
HMAC-SHA1-96	40	20
암호화
AES-128-CBC	16	32
AES-192-CBC	24	48
AES-256-CBC	32	64
DES-CBC	16	8
3DES-CBC	48	24

표 3: 약한 키와 세미약한 키
약한 키
0101	0101	0101	0101
1층	1층	1층	1층
E0E0	E0E0	E0E0	E0E0
증권 시세 표시기	증권 시세 표시기	증권 시세 표시기	증권 시세 표시기
세미 약한 키
01FE	01FE	01FE	01FE
1FE0	1FE0	0EF1	0EF1
01E0	01E0	01에프1	01에프1
1FFE	1FFE	0EFE	0EFE
011층	011층	010E	010E
E0FE	E0FE	F1FE	F1FE
FE01	FE01	FE01	FE01
E01F	E01F	F10E	F10E
001회	001회	F101 키	F101 키
FEF1	FEF1	FE0E	FE0E
1층01	1층01	0E01	0E01
FEE0	FEE0	FEF1	FEF1

AS PIC에서 IPsec 서비스에 대한 다음과 같은 제한 사항을 명심하십시오.

AS PIC는 IPsec 터널을 통해 IPv4 옵션을 포함하는 패킷을 전송하지 않습니다. IPsec 터널을 통해 IP 옵션이 포함된 패킷을 보내려고 하면 패킷이 삭제됩니다. 또한 IPsec 터널 ping 을 ping 통해 record-route 옵션과 함께 명령을 실행하면 명령이 실패합니다.
AS PIC는 IPsec 터널을 통해 홉 바이 홉, 대상(유형 1 및 2) 및 라우팅과 같은 IPv6 옵션을 포함하는 패킷을 전송하지 않습니다. IPsec 터널을 통해 이러한 IPv6 옵션이 포함된 패킷을 보내려고 하면 패킷이 삭제됩니다.
대상 클래스 사용은 AS PIC의 IPsec 서비스와 함께 지원되지 않습니다.