Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

일반 IPsec 문제 고려 중

IPsec을 구성하기 전에 몇 가지 일반적인 지침을 이해하는 것이 좋습니다.

  • IPv4 및 IPv6 트래픽 및 터널—IPv4 IPsec 터널을 통해 이동하는 IPv4 트래픽, IPv4 IPsec 터널을 통해 이동하는 IPv6 트래픽, IPv6 IPsec 터널을 통해 이동하는 IPv4 트래픽, IPv6 IPsec 터널을 통해 이동하는 IPv6 트래픽 등 IPsec 터널을 구성하여 트래픽을 전송할 수 있습니다.

  • AS와 MultiServices PIC 및 ES PIC 간의 구성 구문 차이—IPsec을 지원하는 PIC와 함께 사용되는 구성 명령문과 운영 모드 명령에는 약간의 차이가 있습니다. 따라서 AS 및 MultiServices PIC의 구문을 ES PIC의 구문과 교환할 수 없습니다. 그러나 한 가지 유형의 PIC에 대한 구문을 상호 운용성을 위해 다른 PIC의 동일한 구문으로 변환할 수 있습니다. 구문 차이는 표 1에 강조 표시되어 있습니다.

  • 인증 및 암호화를 위한 키 구성—인증 또는 암호화를 위해 사전 공유 키가 필요한 경우 표 2 에 표시된 지침을 사용하여 올바른 키 크기를 구현해야 합니다.

  • 약한 키 및 반위크 키 거부 —DES 및 3DES 암호화 알고리즘은 약하고 반위크 키를 거부합니다. 따라서 표 3에 나열된 패턴을 포함하는 키를 생성하고 사용하지 마십시오.

표 1: AS 및 MultiServices PIC 및 ES PIC에 대한 IPsec 구성 명령문 및 운영 모드 명령어 비교

AS 및 MultiServices PIC 명령문 및 명령

ES PIC 명령문 및 명령

구성 모드 명령문

[edit service-set name ]

[편집 서비스 ipsec-vpn ike]

  • 정책 {...}

  • 제안서 {...}

[보안 ike 편집]

  • 정책 {...}

  • 제안서 {...}

[편집 서비스 ipsec-vpn ipsec]

  • 정책 {...}

  • 제안서 {...}

[보안 ipsec 편집]

  • 정책 {...}

  • 제안서 {...}

[edit services ipsec-vpn rule rule-name ]

  • 원격 게이트웨이 address

[edit interface es- fpc / pic /port ]

  • 터널 대상 address

[edit services ipsec-vpn rule rule-name term term-name]

  • 보낸 사람 match-conditions {...} 동적 {...}

  • 보낸 사람 match-conditions {...} 수동 {...}

[보안 ipsec 편집]

  • 보안 연결 name 동적 {...}

  • 보안 연결 name 수동 {...}

[편집 서비스 ipsec-vpn 규칙 집합]

[서비스 세트 ipsec-vpn 편집]

  • 로컬 게이트웨이 address

[edit interface es- fpc /pic /port ]

  • 터널 소스 address

운영 모드 명령

clear Security pki ca-certificate

clear Security pki 인증서 요청

clear Security pki 로컬 인증서

clear Services ipsec-vpn 인증서

보안 pki ca-certificate 등록 요청

보안 인증서 요청(서명되지 않은)

보안 pki ca-certificate load 요청

시스템 인증서 요청 추가

보안 요청 pki 생성 인증서 요청

보안 pki 요청- 키 페어 생성

보안 키 쌍 요청

보안 pki 로컬 인증서 등록 요청

보안 인증서 요청(서명)

보안 pki 로컬 인증서 로드 요청

시스템 인증서 요청 추가

show security pki ca-certificate

show system certificate

show security pki certificate-request

show security pki crl

show security pki local-certificate

show system certificate

show services ipsec-vpn certificates

show ipsec certificates

show services ipsec-vpn ike security-associations

show ike security-associations

show services ipsec-vpn ipsec security-associations

show ipsec security-associations

표 2: 인증 및 암호화 키 길이
 

16진수 문자 수

ASCII 문자 수

인증

   

HMAC-MD5-96

32

16

HMAC-SHA1-96

40

20

암호화

   

AES-128-CBC

16

32

AES-192-CBC

24

48

AES-256-CBC

32

64

DES-CBC

16

8

3DES-CBC

48

24

표 3: 약하고 반위크 키

약한 키

     

0101

0101

0101

0101

1F1F

1F1F

1F1F

1F1F

E0E0

E0E0

E0E0

E0E0

FEFE

FEFE

FEFE

FEFE

세미위크 키

01FE

01FE

01FE

01FE

1FE0

1FE0

0EF1

0EF1

01E0

01E0

01F1

01F1

1FFE

1FFE

0EFE

0EFE

011F

011F

010E

010E

E0FE

E0FE

F1FE

F1FE

FE01

FE01

FE01

FE01

E01F

E01F

F10E

F10E

E001

E001

F101

F101

FEF1

FEF1

FE0E

FE0E

1F01

1F01

0E01

0E01

요금0

요금0

FEF1

FEF1

AS PIC에서 다음과 같은 IPsec 서비스 제한 사항을 유념하십시오.

  • AS PIC는 IPsec 터널에서 IPv4 옵션이 포함된 패킷을 전송하지 않습니다. IPsec 터널에서 IP 옵션이 포함된 패킷을 보내려고 하면 패킷이 드롭됩니다. 또한 IPsec 터널에서 레코드 경로 옵션을 사용해 명령을 실행 ping 하면 명령이 ping 실패합니다.

  • AS PIC는 IPsec 터널에서 홉 바이 홉(hop-by-hop), 대상(Type 1 및 2) 및 라우팅과 같은 IPv6 옵션이 포함된 패킷을 전송하지 않습니다. IPsec 터널에서 이러한 IPv6 옵션이 포함된 패킷을 보내려고 하면 패킷이 드롭됩니다.

  • AS PIC의 IPsec 서비스에서 대상 클래스 사용이 지원되지 않습니다.