IPsec の制約事項
IPsec の一般的な制約事項
-
クリプトマップはサポートされていません。
-
トンネルモードのみがサポートされています。
-
ボリュームベースのキー再生成はサポートされていません。
-
IPsec トンネルは、MPLS クラウドではサポートされていません。
-
IPsec トンネルは、vrf lite ではサポートされていません。
-
トンネルの送信元 IP アドレスとして、送信元 IPv4 アドレスを最大 4 つまで使用できます(ループバックアドレス)。
-
トンネルの送信元 IP アドレスとして、送信元 IPv6 アドレスを最大 4 つまで使用できます(ループバックアドレス)。
-
サポートされるトンネルの最大数は 128 です。これは一次元のスケール数です。同じリソースを共有する他の機能を有効にすると、スケール数が減少します。
-
IPv4 トンネルモードと IPv6-overlay-IPv4 は、IPv6 アドレスを許可しません。
-
IPv6 トンネルモードと IPv4-overlay-IPv6 は、IPv4 アドレスを許可しません。
-
OSPFv3 認証は、IPsec でサポートされていません。
-
IPsec では インターネット キー エクスチェンジ バージョン 2(IKEv2)のみがサポートされています。
IPsec 仮想トンネル インターフェイスの制約事項
-
暗号化されたパケットのフラグメンテーションおよび暗号化されたフラグメントのリアセンブルはサポートされていません。SVTI の MTU は、物理インターフェイスよりも小さく設定する必要があります。フラグメンテーションは、暗号化の前または暗号解読の後に実行できます。
-
インターネット キー交換(IKE)セキュリティ アソシエーション(SA)は VTI にバインドされています。
-
デフォルトでは、スタティック VTI(SVTI)は、仮想トンネルインターフェイスに接続された 1 つの IPsec SA のみをサポートします。IPsec SA のトラフィックセレクタは、常に 「IP any any」または「IPv6 any any」です。
-
VTI は、トラフィックセレクタの絞り込みをサポートしません。
-
SVTI は、"IP any any" プロキシのみをサポートします。
-
IPsec ステートフル フェールオーバーは、IPsec VTI ではサポートされません。
-
IPsec IPv4 モードで tunnel mode ipsec ipv4 コマンドを使用する場合は、shared キーワードを設定しないでください。
-
VTI での暗号化オフロードを使用したトレースルート機能はサポートされていません。
-
tunnel mode auto で、混合モードはサポートされていません。tunnel protection ipsec [shared] で、混合モードはサポートされていません。
-
トンネルの送信元をサブインターフェイスにすることはできません。
IPSec デッド ピア検出定期メッセージ オプションの制約事項
定期的 Dead Peer Detection(DPD; デッドピア検出)を使用した場合、デバイスはオンデマンド DPD よりも短い応答時間で、応答しない IKE ピアを検出できます。ただし、定期的な DPD では、余分なオーバーヘッドが発生します。10 を超える暗号化セッションで、大量の IKE ピアと通信する場合は、代わりにオンデマンドの DPD を使用することを検討してください。