Consideración de problemas generales de IPsec
Antes de configurar IPsec, es útil comprender algunas directrices generales.
Tráfico y túneles IPv4 e IPv6: puede configurar túneles IPsec para transportar tráfico de las siguientes maneras: tráfico IPv4 que viaja a través de túneles IPsec IPv4, tráfico IPv6 que viaja sobre túneles IPsec IPv4, tráfico IPv4 que viaja sobre túneles IPsec IPv6 y tráfico IPv6 que viaja sobre túneles IPsec IPv6.
Diferencias de sintaxis de configuración entre el AS y las PIC multiservicios y la PIC ES: existen pequeñas diferencias en las instrucciones de configuración y los comandos de modo operativo que se usan con las PIC compatibles con IPsec. Como resultado, la sintaxis de las PIC AS y multiservicios no se puede usar indistintamente con la sintaxis de la PIC ES. Sin embargo, la sintaxis de un tipo de PIC se puede convertir a su sintaxis equivalente en la otra PIC para mayor interoperabilidad. Las diferencias de sintaxis se resaltan en la Tabla 1.
Configuración de claves para autenticación y cifrado: cuando se requieren claves previamente compartidas para la autenticación o el cifrado, debe seguir las directrices que se muestran en la tabla 2 para implementar el tamaño de clave correcto.
Rechazo de claves débiles y semidébiles: los algoritmos de cifrado DES y 3DES rechazarán las claves débiles y semidébiles. Como resultado, no cree ni utilice claves que contengan los patrones enumerados en la tabla 3.
Instrucciones y comandos de AS y PIC multiservicio |
Instrucciones y comandos de ES PIC |
---|---|
Instrucciones del modo de configuración | |
|
– |
[Editar servicios IPSec-VPN IKE]
|
[editar IKE de seguridad]
|
[editar servicios ipsec-vpn ipsec]
|
[editar IPsec de seguridad]
|
|
|
|
[editar IPsec de seguridad]
|
[Editar conjunto de reglas IPSec-VPN de servicios] |
– |
[editar conjunto de servicios ipsec-vpn]
|
|
Comandos del modo operativo | |
Certificado de CA PKI de seguridad clara |
– |
Borrar solicitud de certificado PKI de seguridad |
– |
Certificado local PKI de seguridad clara |
– |
Borrar certificados IPSec-VPN de servicios |
– |
Solicitar seguridad PKI-Certificate Inscribirse |
Solicitar certificado de seguridad (sin firmar) |
Solicitar seguridad PKI-Certificate Load |
Solicitar certificado del sistema Agregar |
solicitar seguridad pki generate-certificate-request |
– |
solicitar seguridad PKI generate-key-pair |
solicitar par de claves de seguridad |
Solicitar seguridad PKI local-certificado inscribirse |
Solicitar certificado de seguridad (firmado) |
solicitar seguridad PKI carga de certificado local |
Solicitar certificado del sistema Agregar |
|
|
|
– |
|
– |
|
|
|
|
|
|
|
|
Número de caracteres hexadecimales |
Número de caracteres ASCII |
|
---|---|---|
Autenticación |
||
HMAC-MD5-96 |
32 |
16 |
HMAC-SHA1-96 |
40 |
20 |
Encriptación |
||
AES-128-CBC |
16 |
32 |
AES-192-CBC |
24 |
48 |
AES-256-CBC |
32 |
64 |
DES-CBC |
16 |
8 |
3DES-CBC |
48 |
24 |
Teclas débiles |
|||
---|---|---|---|
0101 |
0101 |
0101 |
0101 |
1F1F |
1F1F |
1F1F |
1F1F |
E0E0 |
E0E0 |
E0E0 |
E0E0 |
FEFE |
FEFE |
FEFE |
FEFE |
Teclas semidébiles | |||
01FE |
01FE |
01FE |
01FE |
1FE0 |
1FE0 |
0EF1 |
0EF1 |
01E0 |
01E0 |
01F1 |
01F1 |
1FFE |
1FFE |
0EFE |
0EFE |
011F |
011F |
010E |
010E |
E0FE |
E0FE |
F1FE |
F1FE |
FE01 |
FE01 |
FE01 |
FE01 |
E01F |
E01F |
F10E |
F10E |
E001 |
E001 |
F101 |
F101 |
FEF1 |
FEF1 |
FE0E |
FE0E |
1F01 |
1F01 |
0E01 |
0E01 |
TARIFA0 |
TARIFA0 |
FEF1 |
FEF1 |
Tenga en cuenta las siguientes limitaciones de los servicios IPsec en la PIC AS:
La PIC del AS no transporta paquetes que contengan opciones IPv4 a través de túneles IPsec. Si intenta enviar paquetes que contienen opciones IP a través de un túnel IPsec, los paquetes se descartan. Además, si emite un
ping
comando con la opción de ruta de registro a través de un túnel IPsec, se producirá un error en elping
comando.La PIC del AS no transporta paquetes que contengan las siguientes opciones de IPv6 a través de túneles IPsec: salto a salto, destino (tipo 1 y 2) y enrutamiento. Si intenta enviar paquetes que contienen estas opciones de IPv6 a través de un túnel IPsec, los paquetes se descartarán.
El uso de clases de destino no se admite con los servicios IPsec en la PIC AS.