Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Consideración de problemas generales de IPsec

Antes de configurar IPsec, es útil comprender algunas directrices generales.

  • Tráfico y túneles IPv4 e IPv6: puede configurar túneles IPsec para transportar tráfico de las siguientes maneras: tráfico IPv4 que viaja a través de túneles IPsec IPv4, tráfico IPv6 que viaja sobre túneles IPsec IPv4, tráfico IPv4 que viaja sobre túneles IPsec IPv6 y tráfico IPv6 que viaja sobre túneles IPsec IPv6.

  • Diferencias de sintaxis de configuración entre el AS y las PIC multiservicios y la PIC ES: existen pequeñas diferencias en las instrucciones de configuración y los comandos de modo operativo que se usan con las PIC compatibles con IPsec. Como resultado, la sintaxis de las PIC AS y multiservicios no se puede usar indistintamente con la sintaxis de la PIC ES. Sin embargo, la sintaxis de un tipo de PIC se puede convertir a su sintaxis equivalente en la otra PIC para mayor interoperabilidad. Las diferencias de sintaxis se resaltan en la Tabla 1.

  • Configuración de claves para autenticación y cifrado: cuando se requieren claves previamente compartidas para la autenticación o el cifrado, debe seguir las directrices que se muestran en la tabla 2 para implementar el tamaño de clave correcto.

  • Rechazo de claves débiles y semidébiles: los algoritmos de cifrado DES y 3DES rechazarán las claves débiles y semidébiles. Como resultado, no cree ni utilice claves que contengan los patrones enumerados en la tabla 3.

Tabla 1: Comparación de instrucciones de configuración IPsec y comandos de modo operativo para el AS y las PIC de multiservicios y PIC de ES

Instrucciones y comandos de AS y PIC multiservicio

Instrucciones y comandos de ES PIC

Instrucciones del modo de configuración

[edit service-set name ]

[Editar servicios IPSec-VPN IKE]

  • política {...}

  • propuesta {...}

[editar IKE de seguridad]

  • política {...}

  • propuesta {...}

[editar servicios ipsec-vpn ipsec]

  • política {...}

  • propuesta {...}

[editar IPsec de seguridad]

  • política {...}

  • propuesta {...}

[edit services ipsec-vpn rule rule-name ]

  • puerta de enlace addressremota

[edit interface es- fpc / pic /port ]

  • destino addressdel túnel

[edit services ipsec-vpn rule rule-name term term-name]

  • De match-conditions {...} then dynamic {...}

  • De match-conditions {...} then manual {...}

[editar IPsec de seguridad]

  • security-association name dynamic {...}

  • asociación namede seguridad manual {...}

[Editar conjunto de reglas IPSec-VPN de servicios]

[editar conjunto de servicios ipsec-vpn]

  • puerta de enlace addresslocal

[edit interface es- fpc /pic /port ]

  • origen address del túnel

Comandos del modo operativo

Certificado de CA PKI de seguridad clara

Borrar solicitud de certificado PKI de seguridad

Certificado local PKI de seguridad clara

Borrar certificados IPSec-VPN de servicios

Solicitar seguridad PKI-Certificate Inscribirse

Solicitar certificado de seguridad (sin firmar)

Solicitar seguridad PKI-Certificate Load

Solicitar certificado del sistema Agregar

solicitar seguridad pki generate-certificate-request

solicitar seguridad PKI generate-key-pair

solicitar par de claves de seguridad

Solicitar seguridad PKI local-certificado inscribirse

Solicitar certificado de seguridad (firmado)

solicitar seguridad PKI carga de certificado local

Solicitar certificado del sistema Agregar

show security pki ca-certificate

show system certificate

show security pki certificate-request

show security pki crl

show security pki local-certificate

show system certificate

show services ipsec-vpn certificates

show ipsec certificates

show services ipsec-vpn ike security-associations

show ike security-associations

show services ipsec-vpn ipsec security-associations

show ipsec security-associations

Tabla 2: Longitudes de clave de autenticación y cifrado
 

Número de caracteres hexadecimales

Número de caracteres ASCII

Autenticación

   

HMAC-MD5-96

32

16

HMAC-SHA1-96

40

20

Cifrado

   

AES-128-CBC

16

32

AES-192-CBC

24

48

AES-256-CBC

32

64

DES-CBC

16

8

3DES-CBC

48

24

Tabla 3: Claves débiles y semidébiles

Teclas débiles

     

0101

0101

0101

0101

1F1F

1F1F

1F1F

1F1F

E0E0

E0E0

E0E0

E0E0

FEFE

FEFE

FEFE

FEFE

Teclas semidébiles

01FE

01FE

01FE

01FE

1FE0

1FE0

0EF1

0EF1

01E0

01E0

01F1

01F1

1FFE

1FFE

0EFE

0EFE

011F

011F

010E

010E

E0FE

E0FE

F1FE

F1FE

FE01

FE01

FE01

FE01

E01F

E01F

F10E

F10E

E001

E001

F101

F101

FEF1

FEF1

FE0E

FE0E

1F01

1F01

0E01

0E01

TARIFA0

TARIFA0

FEF1

FEF1

Tenga en cuenta las siguientes limitaciones de los servicios IPsec en la PIC AS:

  • La PIC del AS no transporta paquetes que contengan opciones IPv4 a través de túneles IPsec. Si intenta enviar paquetes que contienen opciones IP a través de un túnel IPsec, los paquetes se descartan. Además, si emite un comando con la opción de ruta de registro a través de un túnel IPsec, se producirá un ping error en el ping comando.

  • La PIC del AS no transporta paquetes que contengan las siguientes opciones de IPv6 a través de túneles IPsec: salto a salto, destino (tipo 1 y 2) y enrutamiento. Si intenta enviar paquetes que contienen estas opciones de IPv6 a través de un túnel IPsec, los paquetes se descartarán.

  • El uso de clases de destino no se admite con los servicios IPsec en la PIC AS.