contents
IPSec
IPSecの内容をまとめる
INSで使用する場合
- crypto isakmp keepalive [value]
サーバが障害を知らずにひたすらデータをながしてSAが消えない場合 - crypto ipsec security-association idle-time [value]
1時間後のSA消去発呼を防ぐ
パケットの中身(esp-3des esp-sha-hmac)
transform-set:esp-3des esp-sha-hmac
ーーーIPSec Encapーーーーーーーーーー
Outer IP Header:20
ESP Header:8
ーーOriginal Packetーー
IP Header:20
TCP Header:20
padding:(0-7)desの場合
pad length:1
next payload:1
ーーーーーーーーーーーーーdesの場合は8の倍数
Initial Vector:8
ESP HMAC:12(HMAC-SHA-1)認証
ーーーーーーーーーーーーーーーーーーーー
フラグメント
デフォルト:
フラグメント後→暗号化→エンドノードで再構築
crypto ipsec fragmentation after-encryption 入れると:
暗号化→フラグメント→IPSec 対向で再構築→エンドノード
GRE Over IPSec の設定で不正な IP フラグメンテーション