一般的な IPsec の問題を考慮する

IPsec を構成する前に、いくつかの一般的なガイドラインを理解しておくと役立ちます。

IPv4およびIPv6のトラフィックとトンネル:IPv4 IPsecトンネル上を移動するIPv4トラフィック、IPv4 IPsecトンネル上を移動するIPv6トラフィック、IPv6 IPsecトンネル上を移動するIPv4トラフィック、およびIPv6 IPsecトンネル上を移動するIPv6トラフィックを設定することができます。
ASおよびマルチサービスPICとES PICの設定構文の違い:IPsecをサポートするPICで使用される設定ステートメントと動作モードコマンドにはわずかな違いがあります。そのため、ASおよびマルチサービスPICの構文をES PICの構文と同じ意味で使用することはできません。ただし、相互運用性を確保するために、あるタイプのPICの構文を他のPICの同等の構文に変換できます。構文の違いは、表 1 で強調表示されています。
認証と暗号化用のキーの設定:認証または暗号化に事前共有キーが必要な場合は、表 2 に示すガイドラインを使用して、正しいキーサイズを実装する必要があります。
脆弱な鍵および半脆弱な鍵の拒否 - DES および 3DES 暗号化アルゴリズムは、脆弱な鍵および半脆弱な鍵を拒否します。そのため、表 3 にリストされているパターンを含むキーを作成して使用しないでください。

表1: AS、マルチサービスPICおよびES PICのIPsec設定ステートメントと動作モードコマンドの比較
ASおよびマルチサービスPICのステートメントとコマンド	ES PICステートメントおよびコマンド
設定モードステートメント
`[edit service-set name` ]	–
[編集サービス ipsec-vpn IKE] ポリシー {...} 提案 {...}	[セキュリティIKEを編集] ポリシー {...} 提案 {...}
[編集サービス ipsec-vpn ipsec] ポリシー {...} 提案 {...}	[セキュリティIPsecの編集] ポリシー {...} 提案 {...}
`[edit services ipsec-vpn rule rule-name` ] リモートゲートウェイ`address`	`[edit interface es-` `fpc` / `pic` /`port` ] トンネル宛先`address`
`[edit services ipsec-vpn rule rule-name term term-name`] `match-conditions`から{...}その後動的{...} `match-conditions`から{...}その後、手動 {...}	[セキュリティIPsecの編集] セキュリティアソシエーション`name`動的{...} セキュリティー・アソシエーション・ `name` マニュアル {...}
[サービスipsec-vpnルールセットの編集]	–
[Edit Services Service-set ipsec-vpn] ローカルゲートウェイ`address`	`[edit interface es- fpc` /`pic` /`port` ] トンネルソース`address`
動作モードコマンド
セキュリティ PKI CA 証明書のクリア	–
セキュリティ PKI 証明書要求をクリアする	–
セキュリティ PKI ローカル証明書のクリア	–
サービスIPsec-VPN証明書のクリア	–
セキュリティ PKI CA 証明書の登録を要求する	セキュリティ証明書の要求 (署名なし)
セキュリティ PKI CA 証明書の読み込みを要求する	システム証明書の追加を要求する
要求セキュリティ PKI 生成-証明書要求	–
要求セキュリティ PKI 生成キーペア	セキュリティキーペアのリクエスト
セキュリティ PKI ローカル証明書の登録を要求する	セキュリティ証明書の要求 (署名済み)
セキュリティ PKI ローカル証明書の読み込みを要求する	システム証明書の追加を要求する
`show security pki ca-certificate`	`show system certificate`
`show security pki certificate-request`	–
`show security pki crl`	–
`show security pki local-certificate`	`show system certificate`
`show services ipsec-vpn certificates`	`show ipsec certificates`
`show services ipsec-vpn ike security-associations`	`show ike security-associations`
`show services ipsec-vpn ipsec security-associations`	`show ipsec security-associations`

表 2: 認証キーと暗号化キーの長さ
	16 進文字の数	ASCII 文字の数
認証
HMAC-MD5-96	32	16
HMAC-SHA1-96	40	20
暗号化
AES-128-CBC	16	32
AES-192-CBC	24	48
AES-256-CBC	32	64
DES-CBC	16	8
3DES-CBC	48	24

表 3: 弱いキーと半弱いキー
弱いキー
0101	0101	0101	0101
1F1F	1F1F	1F1F	1F1F
E0E0	E0E0	E0E0	E0E0
フェフェ	フェフェ	フェフェ	フェフェ
セミウィークキー
01FE	01FE	01FE	01FE
1FE0	1FE0	0EF1	0EF1
01E0	01E0	01F1	01F1
1FFE	1FFE	0EFE	0EFE
011F	011F	010E	010E
E0FE	E0FE	F1FE	F1FE
FE01	FE01	FE01	FE01
E01F	E01F	F10E キー	F10E キー
E001	E001	F101 会場	F101 会場
FEF1	FEF1	FE0E	FE0E
1F01	1F01	0E01	0E01
FEE0	FEE0	FEF1	FEF1

AS PICでのIPsecサービスには、以下の制限事項に留意してください。

AS PIC は、IPv4 オプションを含むパケットを IPsec トンネル間で転送しません。IPオプションを含むパケットをIPsecトンネルで送信しようとすると、パケットは破棄されます。また、IPsec トンネル上で record-route オプションを指定して ping コマンドを発行すると、ping コマンドは失敗します。
AS PIC は、IPsec トンネル間で、ホップバイホップ、宛先(タイプ 1 および 2)、ルーティングの IPv6 オプションを含むパケットを転送しません。これらのIPv6オプションを含むパケットをIPsecトンネルで送信しようとすると、パケットは破棄されます。
宛先クラスの使用は、AS PIC 上の IPsec サービスではサポートされていません。