Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR
Configurar el intercambio de claves de Internet para el IPSec VPN
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 290 KB | Inglés (15 Enero 2010) | Comentarios

Contenidos

Configurar el intercambio de claves de Internet para el IPSec VPN

Encontrar la información de la característica

Contenido

Prerrequisitos de la Configuración de IKE

Restricciones de la Configuración de IKE

Información sobre configurar el IKE para el IPSec VPN

Estándares Soportados para su Uso con IKE

Ventajas IKE

Modo Principal y Modo Dinámico de IKE

Políticas IKE: Parámetros de Seguridad para la Negociación IKE

Sobre las políticas IKE

Pares IKE que convienen en una política IKE que corresponde con

Autenticación IKE

Firmas RSA.

Nonces encriptados RSA

Claves del preshared

Configuración de modo IKE

Cómo configurar el IKE para el IPSec VPN

Crear las políticas IKE

Restricciones

Ejemplos

Consejos de Troubleshooting

Pasos Siguientes

Configurar la autenticación IKE

Prerrequisitos

Configuración de las Llaves RSA Manualmente para los Nonces Encriptados de RSA

Configuración de Llaves Previamente Compartidas

Configuración del Modo de Configuración de IKE

Restricciones

Configurar una correspondencia de criptografía IKE para la negociación IPSec SA

Ejemplos de Configuración de una Configuración de IKE

Creación de Políticas IKE: Ejemplos

Creación de Políticas IKE 3DES: Ejemplo:

Creación de una Política IKE AES: Ejemplo:

Configuración de la Autenticación IKE: Ejemplo:

Adonde ir después

Referencias adicionales

Documentos Relacionados

Estándares

MIB

RFC

Asistencia Técnica

Información de la característica para configurar el IKE para el IPSec VPN


Configurar el intercambio de claves de Internet para el IPSec VPN


Primera publicación: 2 de mayo de 2005
Última actualización: De marzo el 22 de 2011

Este módulo describe cómo configurar el protocolo del Internet Key Exchange (IKE) para el Redes privadas virtuales (VPN) básico de la seguridad IP (IPSec). El IKE es un estándar del Key Management Protocol que se utiliza conjuntamente con el estándar del IPSec. El IPSec es una característica de la seguridad IP que proporciona la autenticación y el cifrado robustos de los paquetes IP.

El IPSec se puede configurar sin el IKE, pero el IKE aumenta el IPSec proporcionando a las características adicionales, a la flexibilidad, y a la facilidad de la configuración para el estándar del IPSec.

El IKE es un protocolo híbrido, ése implementa el intercambio de claves del Oakley y el intercambio de claves de Skeme dentro del marco del protocolo internet security association key management (ISAKMP). (el ISAKMP, el Oakley, y Skeme son protocolos de Seguridad implementados por el IKE.)

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para configurar el IKE para la sección del IPSec VPN”.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en Cisco.com no se requiere.

Contenido

Prerrequisitos de la Configuración de IKE

Restricciones de la Configuración de IKE

Información sobre configurar el IKE para el IPSec VPN

Cómo configurar el IKE para el IPSec VPN

Ejemplos de Configuración de una Configuración de IKE

Adonde ir después

Referencias adicionales

Prerrequisitos de la Configuración de IKE

Usted debe ser familiar con los conceptos y las tareas explicados en el módulo “Configurar directivo de seguridad para los VPN con el IPSec.”

Asegúrese de que su Listas de control de acceso (ACL) sea compatible con el IKE. Porque la negociación IKE utiliza el User Datagram Protocol (UDP) en el puerto 500, sus ACL deben ser configurados para no bloquear el tráfico del puerto 500 UDP en las interfaces usadas por el IKE y el IPSec. Usted puede ser que necesite en algunos casos agregar una declaración a sus ACL para permitir explícitamente el tráfico del puerto 500 UDP.

Restricciones de la Configuración de IKE

Las restricciones siguientes son aplicables al configurar la negociación IKE:

El router de iniciación no debe tener un certificado asociado al peer remoto.

La clave del preshared debe estar por un nombre de dominio completo (FQDN) en ambos pares. (Para configurar la clave del preshared, ingrese crypto isakmp key el comando.)

El Routers de comunicación debe tener una entrada de host FQDN para uno a en sus configuraciones.

El Routers de comunicación debe ser configurado para autenticar por el nombre de host, no por la dirección IP; así, usted debe utilizar crypto isakmp identity hostname el comando.

Información sobre configurar el IKE para el IPSec VPN

Estándares Soportados para su Uso con IKE

Ventajas IKE

Modo Principal y Modo Dinámico de IKE

Políticas IKE: Parámetros de Seguridad para la Negociación IKE

Autenticación IKE

Configuración de modo IKE

Estándares Soportados para su Uso con IKE

Cisco implementa los estándares siguientes:

IPSec — IP Security Protocol. El IPSec es un marco de los estándares abiertos que proporciona la confidencialidad de los datos, la integridad de los datos, y la autenticación de datos entre los peeres participantes. El IPSec proporciona estos Servicios de seguridad en la capa IP; utiliza el IKE para manejar la negociación de los protocolos y de los algoritmos basados en la política local y para generar el cifrado y las claves de autenticación que se utilizarán por el IPSec. IPsec puede emplearse para proteger uno o varios flujos de datos entre un par de hosts, entre un par de gateways de seguridad, o entre un gateway de seguridad y un host.

ISAKMP — Protocolo internet security association and key management. Una estructura del protocolo que define los formatos de carga, los mecánicos de implementar un Key Exchange Protocol, y la negociación de una asociación de seguridad.

Oakley — Un Key Exchange Protocol que define cómo derivar el material de codificación autenticado.

Skeme — Un Key Exchange Protocol que define cómo derivar el material de codificación autenticado, con el refresco dominante rápido.

Las Tecnologías componentes implementadas para uso del IKE incluyen el siguiente:

AES: Advanced Encryption Standard. Un algoritmo criptográfico que protege la información sensible sin clasificar. El AES es aislamiento transforma para el IPSec y el IKE y se ha desarrollado para substituir el Data Encryption Standard (DES). El AES está diseñado para ser más seguro que el DES: AES ofrece una llave más larga, y garantiza que el único enfoque conocido para descifrar un mensaje es que el intruso pruebe cada llave posible. AES tiene una longitud de llave variable: el algoritmo puede especificar una llave de 128 bits (el valor predeterminado), una llave de 192 bits o una llave de 256 bits.

DES: Data Encryption Standard. Un algoritmo que se utiliza para cifrar datos de paquetes. El IKE implementa el 56-bit DES-CBC con el estándar explícito IV. El Cipher Block Chaining (CBC) requiere un vector de inicialización (iv) comenzar el cifrado. El IV se da explícitamente en el paquete IPsec.

El Cisco IOS Software también implementa el cifrado del DES triple (168-bit), dependiendo de las versiones de software disponibles para una plataforma específica. Triple DES (3DES) es una potente forma de encripción que permite transmitir información confidencial por redes no confiables. Permite a los clientes, determinado en la industria de las finanzas, para utilizar la encripción de capa de red.


Observelas imágenes del Cisco IOS que tienen encripción fuerte (incluyendo, pero no sólo, la función de encripción de datos 56-bit fija) están conforme a los controles de la exportación del gobierno de los Estados Unidos, y tienen una distribución limitada. Las imágenes que deben ser instaladas fuera de los Estados Unidos requieren una licencia de exportación. Los pedidos del cliente se pudieron negar o conforme al retardo debido a las regulaciones de gobierno de los Estados Unidos. Póngase en contacto con su representante de ventas o su distribuidor para obtener más información, o envíe un mensaje de correo electrónico a export@cisco.com.


SEAL: Software Encryption Algorithm. Un algoritmo alternativo a DES, 3DES y AES basados en software. SELLE el cifrado utiliza una clave de encripción del 160-bit y tiene un impacto más bajo al CPU cuando está comparado a otros algoritmos basados en software.

Diffie Hellman — Un protocolo del Cifrado de clave pública que permite que dos partidos establezcan un secreto compartido sobre un canal de comunicaciones unsecure. Diffie Hellman se utiliza dentro del IKE para establecer las claves de la sesión. Soporta el 768-bit (el valor por defecto), 1024-bit, 1536-bit, 2048-bit, 3072-bit, y 4096 grupos DH y la curva elíptica DH (ECDH) del 256-bit, especifica el grupo del 384-bit ECDH, y al grupo 2048-bit DH/DSA.

MD5 — Publicación de mensaje 5 variante (del Hash-Based Message Authentication Code (HMAC)). Un algoritmo de troceo usado para autenticar los datos del paquete. HMAC es una variante que proporciona un nivel adicional de hashing.

Familia SHA-2 y SHA-1 (variante HMAC) — Secure Hash Algorithm (SHA) 1 y 2. El SHA-1 y SHA-2 son algoritmos de troceo usados para autenticar los datos del paquete y para verificar los mecanismos de verificación de la integridad para el IKE Protocol. HMAC es una variante que proporciona un nivel adicional de hashing. La familia SHA-2 agrega el algoritmo de troceo del algoritmo de troceo del bit del SHA-256 y del bit del SHA-384. Estas funciones son parte de los requisitos de la habitación-B que comprenden de cuatro habitaciones de la interfaz de usuario de los algoritmos criptográficos para el uso con el IKE y el IPSec que se describen en el RFC 4869. Cada habitación consiste en un algoritmo de encripción, un Digital Signature Algorithm, un Algoritmo de acuerdo dominante, y un hash o un algoritmo condensado de mensaje. Vea Configurar directivo de seguridad para los VPN con el módulo de función del IPSec para información más detallada sobre el soporte de la habitación-B del Cisco IOS.

Firmas RSA. y nonces encriptados RSA — El RSA es el sistema criptográfico del clave pública desarrollado por el Rivest de Ron, el Shamir Adi, y Leonard Adleman. Las firmas RSA. proporcionan la no repudiación, y los nonces encriptados RSA proporcionan la renegación. (Repudation y el nonrepudation tienen que hacer con el traceability.)

El IKE interopera con los Certificados X.509v3, que se utilizan con el IKE Protocol cuando la autenticación requiere los claves públicas. Este Soporte de certificado permite que la red protegida escale proporcionando al equivalente de un indicador luminoso LED amarillo de la placa muestra gravedad menor del ID digital a cada dispositivo. Cuando dos dispositivos se preponen comunicar, intercambian los Certificados digitales para probar su identidad (así quitando la necesidad de intercambiar manualmente los claves públicas por cada par o de especificar manualmente una clave compartida en cada par).

Ventajas IKE

El IKE negocia automáticamente a las asociaciones de seguridad IPSec (SA) y habilita las comunicaciones seguras del IPSec sin el preconfiguration manual costoso. Específicamente, el IKE proporciona las siguientes ventajas:

Elimina la necesidad de especificar manualmente todos los seguridad IPSec parámetros en las correspondencias de criptografía en ambos pares.

Permite que usted especifique un curso de la vida para IPSec SA.

Permite que las claves de encripción cambien durante las sesiones del IPSec.

Permite que el IPSec proporcione los servicios antireplay.

Soporte del Certification Authority (CA) de los permisos para una implementación manejable, scalable del IPSec.

Permite la autenticación dinámica de los pares.

Modo Principal y Modo Dinámico de IKE

El IKE tiene dos fases de negociación dominante: la fase 1 de la fase 1 y de la fase 2. negocia a una asociación de seguridad (una clave) entre dos pares IKE. La clave negociada en la fase 1 permite a los pares IKE para comunicar con seguridad en la fase 2. Durante la negociación de la fase 2, el IKE establece las claves (asociaciones de seguridad) para otras aplicaciones, tales como IPSec.

La negociación de la fase 1 puede ocurrir usando el modo principal o el modo agresivo. El modo principal intenta proteger toda la información durante la negociación, significando que no hay información disponible para un atacante potencial. Cuando utilizan al modo principal, las identidades de los dos pares IKE se ocultan. Aunque este modo de operación sea muy seguro, es relativamente costoso en términos de tiempo requerido para completar la negociación. El modo agresivo tarda menos tiempo para negociar las claves entre los pares; sin embargo, abandona algo de la Seguridad proporcionada por la negociación del modo principal. Por ejemplo, las identidades de los dos partidos que intentan establecer a una asociación de seguridad se exponen a un eavesdropper.

Los dos modos responden a diversos propósitos y tienen diversas fuerzas. El modo principal es más lento que el modo agresivo, pero el modo principal es más seguro y más flexible porque puede ofrecer a un par IKE más ofertas de la Seguridad que el modo agresivo. El modo agresivo es menos flexible y no como seguro, sino mucho más rápidamente.

En Cisco IOS Software, los dos modos no son configurables. La acción predeterminada para la autenticación IKE (RSA-SIG, RSA-encr, o preshared) es iniciar al modo principal; sin embargo, en caso de que no haya información correspondiente para iniciar la autenticación, y allí es una clave del preshared asociada al nombre de host del par, Cisco IOS Software puede iniciar al modo agresivo. El Cisco IOS Software responderá en el modo agresivo a un par IKE que inicie al modo agresivo.

Políticas IKE: Parámetros de Seguridad para la Negociación IKE

Una política IKE define una combinación de parámetros de seguridad que se utilizarán durante la negociación IKE. Usted debe crear una política IKE en cada par que participa en el intercambio IKE.

Si usted no configura ninguna políticas IKE, su router utilizará la política predeterminada, que se fija siempre a la prioridad más baja y que contiene el valor predeterminado de cada parámetro.

Sobre las políticas IKE

Porque las negociaciones IKE deben ser protegidas, cada negociación IKE comienza por el acuerdo de ambos pares en una política IKE (compartida) común. Esta directiva estado qué parámetros de seguridad serán utilizados para proteger las negociaciones IKE y los mandatos subsiguientes cómo autentican a los pares.

Después de que los dos pares convengan en una directiva, los parámetros de seguridad de la directiva son identificados por un SA establecido en cada par, y estos SA se aplican a todo el tráfico subsiguiente IKE durante la negociación.

Usted puede configurar las directivas múltiples, prioritarias en cada par — cada uno con una diversa combinación de Valores de parámetro. Sin embargo, por lo menos una de estas directivas debe contener exactamente el mismo cifrado, hash, autenticación, y Valores de parámetro de Diffie Hellman como una de las directivas en el peer remoto. Para cada directiva que usted cree, usted asigna una prioridad única (1 a 10.000, con 1 siendo la prioridad más alta).


Inclinesi usted está interoperando con un dispositivo que soporte solamente uno de los valores para un parámetro, su opción se limita al valor soportado por el otro dispositivo. Independientemente de esta limitación, hay a menudo un equilibrio entre la Seguridad y el funcionamiento, y muchos de estos Valores de parámetro representan tal equilibrio. Usted debe evaluar los riesgos del nivel de seguridad para su red y su tolerancia para estos riesgos.


Pares IKE que convienen en una política IKE que corresponde con

Cuando la negociación IKE comienza, el IKE busca para una política IKE que sea lo mismo en ambos pares. El par que inicia la negociación enviará todas sus directivas al peer remoto, y al peer remoto intentará encontrar una coincidencia. El peer remoto busca una coincidencia comparando su propia directiva más prioritaria contra las directivas recibidas del otro par. El peer remoto marca cada uno de sus directivas en orden de su prioridad (prioridad más alta primero) hasta que se encuentre una coincidencia.

Se hace una coincidencia cuando ambas directivas de los dos pares contienen el mismo cifrado, hash, autenticación, y Valores de parámetro de Diffie Hellman, y cuando la directiva del peer remoto especifica un curso de la vida que sea inferior o igual el curso de la vida en la directiva que es comparada. (Si los cursos de la vida no son idénticos, el curso de la vida más corto — de la directiva del peer remoto — será utilizado.)

Si se encuentra una coincidencia, el IKE completará la negociación, y crearán a las asociaciones de seguridad IPSec. Si no se encuentra ninguna coincidencia aceptable, el IKE rechaza la negociación y el IPSec no será establecido.


Observelos Valores de parámetro se aplican a las negociaciones IKE después de que se establezca IKE SA.



Observedependiendo de qué método de autentificación se especifica en una directiva, configuración adicional pudo ser requerido (según lo descrito en la sección de la “autenticación IKE” de la sección). Si la directiva de un par no tiene la configuración requerida del compañero, el par no someterá la directiva al intentar encontrar una directiva que corresponde con con el peer remoto.


Autenticación IKE

La autenticación IKE consiste en las opciones siguientes y cada método de autentificación requiere la configuración adicional.

Firmas RSA.

Nonces encriptados RSA

Claves del preshared

Firmas RSA.

Con las firmas RSA., usted puede configurar a los pares para obtener los Certificados de un CA (CA se debe configurar correctamente para publicar los Certificados.) Usando CA puede mejorar dramáticamente la manejabilidad y el scalability de su red IPsec. Además, la autenticación basado en firmas RSA utiliza solamente dos operaciones del clave pública, mientras que la encripción RSA utiliza cuatro operaciones del clave pública, haciéndola más costosa en términos de rendimiento general. Para configurar correctamente el soporte de CA, vea las claves que despliegan del módulo “RSA dentro de un PKI.”

Los Certificados son utilizados por cada par para intercambiar los claves públicas con seguridad. (Las firmas RSA. requieren que cada par tenga la clave pública de la firma del peer remoto.) Cuando ambos pares tienen certificados válidos, intercambiarán automáticamente los claves públicas por uno a como parte de cualquier negociación IKE en la cual se utilicen las firmas RSA.

Usted puede también intercambiar los claves públicas manualmente, según lo descrito en la sección “configurando las claves RSA manualmente para los nonces encriptados RSA.”

Las firmas RSA. proporcionan la no repudiación para la negociación IKE. Y, usted puede probar a otro vendedor después de que el hecho de que usted tenía de hecho una negociación IKE con el peer remoto.

Nonces encriptados RSA

Con los nonces encriptados RSA, usted debe asegurarse de que cada par tenga los claves públicas de los otros pares.

A diferencia de las firmas RSA., el método de los nonces encriptados RSA no puede utilizar los Certificados para intercambiar los claves públicas. En lugar, usted se asegura de que cada par tenga el otro los claves públicas por uno de los métodos siguientes:

Manualmente configurando las claves RSA según lo descrito en la sección las “que configura claves RSA manualmente para los nonces encriptados RSA.”

Asegurándose de que un intercambio IKE usando las firmas RSA. con los Certificados haya ocurrido ya entre los pares. (Los claves públicas de los pares se intercambian durante las negociaciones IKE basado en firmas de RSA si se utilizan los Certificados.) Para hacer que sucede el intercambio IKE, especifique dos directivas: una directiva más prioritaria con los nonces encriptados RSA y una directiva de la prioridad baja con las firmas RSA. Cuando ocurren las negociaciones IKE, las firmas RSA. serán utilizadas la primera vez porque los pares todavía no tienen claves públicas de cada uno. Entonces las negociaciones IKE futuras pueden utilizar los nonces encriptados RSA porque los claves públicas habrán sido intercambiados.


Observeesta alternativa requiere que usted hace ya el soporte de CA configurar.


Los nonces encriptados RSA proporcionan la renegación para la negociación IKE; sin embargo, a diferencia de las firmas RSA., usted no puede probar a otro vendedor que usted tenía una negociación IKE con el peer remoto.

Claves del preshared

Claves del preshared: Una descripción

Configuración de la identidad ISAKMP para las claves del preshared

Claves del preshared de la máscara

Xauth de la neutralización en un peer IPSec específico

Claves del preshared: Una descripción

Las claves del preshared son torpes utilizar si su red segura es grande, y no escalan bien con una red cada vez mayor. Sin embargo, no requieren el uso de CA, al igual que las firmas RSA., y puede ser que sean más fáciles de configurar en una pequeña red con menos que los diez nodos. Las firmas RSA. también se pueden considerar más seguras en comparación con la clave de autentificación del preshared.


Observesi encripción RSA se configura y modo se negocia de la firma (y los Certificados se utilizan para el modo de la firma), el par pedirá la firma y las claves de encripción. Básicamente, el router pedirá tantas claves pues la configuración soportará. Si la encripción RSA no se configura, apenas pedirá una clave de la firma.


Configuración de la identidad ISAKMP para las claves del preshared

Usted debe fijar la identidad ISAKMP para cada par que utilice las claves del preshared en una política IKE.

Cuando dos pares utilizan el IKE para establecer el SA de IPSec, cada par envía su identidad al peer remoto. Cada par envía su nombre de host o su dirección IP, dependiendo de cómo usted ha fijado la identidad ISAKMP del router.

Por abandono, la identidad ISAKMP de un par es la dirección IP del par. Si es apropiado, usted podría cambiar la identidad para ser el nombre de host del par en lugar de otro. Como regla general, fije las identidades de todos los pares la misma manera — o todos los pares deben utilizar sus IP Addresses o todos los pares deben utilizar sus nombres de host. Si algunos pares utilizan sus nombres de host y algunos pares utilizan sus IP Addresses para identificarse el uno al otro, las negociaciones IKE podrían fallar si la identidad de un peer remoto no se reconoce y una búsqueda del Sistema de nombres de dominio (DNS) no puede resolver la identidad.

Claves del preshared de la máscara

Una clave del preshared de la máscara permite que un grupo de usuarios remotos con el mismo nivel de autenticación comparta una clave del preshared IKE. La clave del preshared del peer remoto debe hacer juego la clave del preshared del peer local para que la autenticación IKE ocurra.

Una clave del preshared de la máscara se distribuye generalmente a través de un canal fuera de banda seguro. En un escenario par-a-local remoto del par, cualquier peer remoto con la clave del preshared IKE configurada puede establecer IKE SA con el peer local.

Si usted especifica mask la palabra clave con crypto isakmp key el comando, incumbe hasta usted para utilizar a una dirección de subred, que permitirá que más pares compartan la misma clave. Es decir, la clave del preshared se restringe no más para utilizar entre dos usuarios.


Observeusando 0.0.0.0 pues no recomiendan una dirección de subred porque anima las claves del preshared del grupo, que permiten que todos los pares tengan la misma clave del grupo, de tal modo reduciendo la Seguridad de su autenticación de usuario.


Inhabilite el Xauth en un peer IPSec específico

Inhabilitar el Autenticación ampliada (Xauth) para los peeres IPSecs estáticos evita que indiquen al Routers para la información del Xauth — nombre de usuario y contraseña.

Sin la capacidad de inhabilitar el Xauth, un usuario no puede seleccionar qué par en la misma correspondencia de criptografía debe utilizar el Xauth. Es decir, si un usuario tiene IPSEC de router a router en la misma correspondencia de criptografía que un IPSec VPN-cliente-a-Cisco-IOS, indican a ambos pares para un nombre de usuario y contraseña. Además, un peer estático remoto (router del Cisco IOS) no puede establecer IKE SA con el router IOS del Cisco local. (Se borra el Xauth no es un intercambio opcional, así que si un par no responde a una petición del Xauth, IKE SA.) Así, la misma interfaz no se puede utilizar para terminar el IPSec a los clientes VPN (ese Xauth de la necesidad) y al otro Routers del Cisco IOS (que no puede responder al Xauth) a menos que se implemente esta característica.


El Xauthde la nota puede ser inhabilitado solamente si las claves del preshared se utilizan como el mecanismo de autenticación para la correspondencia de criptografía dada.


Configuración de modo IKE

La configuración de modo IKE, según lo definido por la Fuerza de tareas de ingeniería en Internet (IETF) (IETF), permite que un gateway descargue la dirección IP (y la otra configuración del nivel de red) al cliente como parte de una negociación IKE. Usando este intercambio, el gateway da una dirección IP al cliente IKE que se utilizará como dirección IP “interna” encapsulada bajo el IPSec. Este método proporciona una dirección IP sabida para el cliente que puede ser correspondido con contra la directiva del IPSec.

Para implementar el IPSec VPN entre los clientes de acceso remoto que tienen los IP Address dinámicos y un gateway corporativo, usted tiene que administrar dinámicamente la directiva scalable del IPSec en el gateway una vez que autentican a cada cliente. Con la configuración de modo IKE, el gateway puede configurar una directiva scalable para un conjunto muy grande de los clientes sin importar los IP Addresses de esos clientes.

Hay dos tipos de configuración de modo IKE:

Lanzamiento del gateway — El gateway inicia al modo de configuración con el cliente. Una vez que responde el cliente, el IKE modifica la identidad del remitente, se procesa el mensaje, y el cliente recibe una respuesta.

Lanzamiento del cliente — El cliente inicia al modo de configuración con el gateway. El gateway responde con una dirección IP que ha afectado un aparato para el cliente.

Cómo configurar el IKE para el IPSec VPN

Si usted no quisiera que el IKE fuera utilizado con su implementación del IPSec, usted puede inhabilitarla en todos los peeres IPSecs vía no crypto isakmp el comando, salta el resto de este capítulo, y comienza su IPSec VPN.


Observesi usted inhabilitan el IKE, usted tiene que manualmente especificar todo el SA de IPSec en las correspondencias de criptografía en todos los pares, el SA de IPSec de los pares nunca mide el tiempo hacia fuera para dado sesión IPSec, las claves de encripción nunca cambia durante las sesiones del IPSec entre los pares, los servicios de la anti-respuesta no estarán disponibles entre los pares, y el soporte del Public Key Infrastructure (PKI) no puede ser utilizado.


El IKE se habilita por abandono. El IKE no tiene que ser habilitado para las interfaces individuales, sino que se habilita global para todas las interfaces en el router.

Realice las tareas siguientes de proporcionar la autenticación de los peeres IPSecs, negocie el SA de IPSec, y establezca las claves del IPSec:

Creando las políticas IKE (requeridas)

Configurando la autenticación IKE (requerida)

Configuración del Modo de Configuración de IKE

Configurar una correspondencia de criptografía IKE para la negociación IPSec SA

Crear las políticas IKE

Realice esta tarea de crear una política IKE.

Restricciones

Si usted está configurando una política IKE AES, observe las restricciones siguientes:

Su router debe soportar el IPSec y las claves largas (el subsistema del "k9").

El AES no puede cifrar el IPSec y el tráfico IKE si un indicador luminoso LED amarillo de la placa muestra gravedad menor de la aceleración está presente.

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto isakmp policy priority

4.encryption {des | 3des | aes | aes 192 | aes 256}

5.hash {sha | sha256 | sha384 | md5}

6.authentication {rsa-sig | rsa-encr | pre-share}

7.group {1 | 2 | 5 | 14 | 15 | 16 | 19 | 20}

8. lifetime seconds

9. exit

10. exit

11. show crypto isakmp policy

12. Relance estos pasos para cada directiva que usted quiera crear.

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto isakmp policy priority

Example:

Router(config)# crypto isakmp policy 10

Define una política IKE y ingresa al modo de configuración config-ISAKMP.

priority — Identifica únicamente la política IKE y asigna una prioridad a la directiva. Valores válidos: 1 a 10.000; 1 es la prioridad más alta.

Paso 4 

encryption {des | 3des | aes | aes 192 | aes 256}

Example:

Router(config-isakmp)# encryption aes 256

Especifica el algoritmo de encripción.

Por abandono, des se utiliza la palabra clave.

des– — 56-bit DES-CBC

3des– — 168-bit DES

aes– — 128-bit AES

aes 192– — 192-bit AES

aes 256– — 256-bit AES

Paso 5 

hash {sha | sha256 | sha384 | md5}

Example:

Router(config-isakmp)# hash sha

Especifica el algoritmo de troceo.

Por abandono, se utiliza el SHA-1sha ().

sha256La palabra clave especifica el 256-bit de la familia SHA-2 (variante HMAC) como el algoritmo de troceo.

sha384 La palabra clave especifica el 384-bit de la familia SHA-2 (variante HMAC) como el algoritmo de troceo.

md5 La palabra clave especifica MD5 (variante HMAC) como el algoritmo de troceo.

La notaMD5 tiene una publicación más pequeña y se considera para ser levemente más rápida que el SHA-1.

Paso 6 

authentication {rsa-sig | rsa-encr | pre-share}

Example:

Router(config-isakmp)# authentication pre-share

Especifica el método de autentificación.

Por abandono, se utilizan las firmas RSA.

rsa-sig– — Las firmas RSA. requieren que usted configure a su Routers del par para obtener los Certificados de CA.

rsa-encr– — Los nonces encriptados RSA requieren que usted se asegure que cada par tenga los claves públicas RSA del otro par.

pre-share– — Las claves del preshared requieren que usted configure por separado estas claves del preshared.

Paso 7 

group {1 | 2 | 5 | 14 | 15 | 16 | 19 | 20 | 24}

Example:

Router(config-isakmp)# group 1

Especifica el identificador del grupo del Diffie-Hellman (DH).

Por abandono, se utiliza el group1 DH.

1– — 768-bit DH

2– — 1024-bit DH

5– — 1536-bit DH

14– — Especifica al grupo 2048-bit DH.

15– — Especifica al grupo 3072-bit DH.

16– — Especifica al grupo 4096-bit DH.

19– — Especifica el grupo elíptico de la curva DH (ECDH) del 256-bit.

20– — Especifica al grupo del 384-bit ECDH.

24– — Especifica al grupo 2048-bit DH/DSA.

El grupo elegido debe ser bastante fuerte (tenga bastantes bits) proteger las claves del IPSec durante la negociación. Una guía de consulta generalmente aceptada recomienda el uso de un grupo 2048-bit después de 2013 (hasta 2030). El grupo 14 o el grupo 24 se puede seleccionar resolver esta guía de consulta. Incluso si un método de seguridad largo-vivo es necesario, el uso de la criptografía elíptica de la curva se recomienda, pero agrupa 15 y el grupo 16 puede también ser considerado.

El grupo ISAKMP y el grupo del Confidencialidad directa perfecta (PFS) del IPSec deben ser lo mismo si se utiliza el PFS. Si el PFS no se utiliza, no configuran a un grupo en la correspondencia de criptografía del IPSec.

Paso 8 

lifetime seconds

Example:

Router(config-isakmp)# lifetime 180

Especifica el curso de la vida IKE SA.

seconds — Mida el tiempo, en los segundos, antes de que expire cada SA. Valores válidos: 60 a 86.400; valor predeterminado: 86.400.

Observecuanto más corto es el curso de la vida (hasta una punta), más seguras sus negociaciones IKE serán. Sin embargo, con cursos de la vida más largos, el SA de IPSec futuro se puede configurar más rápidamente.

Paso 9 

exit

Example:

Router(config-isakmp)# exit

Da salida al modo de configuración config-ISAKMP.

Paso 10 

exit

Example:

Router(config)# exit

Sale del modo de configuración global.

Paso 11 

show crypto isakmp policy

Example:

Router# show crypto isakmp policy

(Opcional) visualiza todas las políticas IKE existentes.

Paso 12 

Relance estos pasos para cada directiva que usted quiere crear.

Ejemplos

La salida de muestra siguiente show crypto isakmp policy del comando visualiza un mensaje de advertencia después de que un usuario intente configurar un método de encripción IKE que el hardware no soporte:

Router# show crypto isakmp policy

Protection suite of priority 1
        encryption algorithm:  AES - Advanced Encryption Standard (256 bit keys).
WARNING:encryption hardware does not support the configured
encryption method for ISAKMP policy 1
        hash algorithm:        Secure Hash Standard
        authentication method: Pre-Shared Key
        Diffie-Hellman group:  #1 (768 bit)
        lifetime:              3600 seconds, no volume limit

Consejos de Troubleshooting

Borre (y reinicialice) el SA de IPSec usando clear crypto sa el comando exec.

Usando clear crypto sa el comando sin los parámetros vaciará la base de datos completa SA, que vaciará las sesiones de la seguridad activa. Usted puede también especificar peer map, o entry las palabras claves para vaciar solamente un subconjunto de la base de datos SA. Para más información, vea clear crypto sa el comando en la referencia de comandos de la Seguridad de Cisco IOS.

La política predeterminada y los valores predeterminados para las directivas configuradas no aparecen en la configuración cuando usted publica show running-config el comando. Para visualizar la política predeterminada y cualquier valor predeterminado dentro de las directivas configuradas, utilice show crypto isakmp policy el comando.

Cualquier IPSec transforma o los métodos de encripción IKE que el hardware actual no soporta deben ser inhabilitados; se ignoran siempre que se haga una tentativa de negociar con el par.

Si un usuario ingresa un IPSec transforme o un método de encripción IKE que el hardware no soporta, un mensaje de advertencia será generado. Estos mensajes de advertencia también se generan en el tiempo del inicio. Cuando se inserta un indicador luminoso LED amarillo de la placa muestra gravedad menor cifrado, se analiza la configuración actual. Si cualquier IPSec transforma o se encuentran los métodos de encripción IKE que no son soportados por el hardware, un mensaje de advertencia será generado.

Pasos Siguientes

Dependiendo de qué método de autentificación usted especificó en sus políticas IKE (firmas RSA., nonces encriptados RSA, o las claves del preshared), usted debe hacer ciertas tareas de configuración adicionales antes de que el IKE y el IPSec puedan utilizar con éxito las políticas IKE. Para la información sobre completar estas tareas adicionales, refiera a “configurar la autenticación IKE” sección.”

Para configurar un basado en AES transforme el conjunto, ven el módulo “Configurar directivo de seguridad para los VPN con el IPSec.”

Configurar la autenticación IKE

Después de que usted haya creado por lo menos una política IKE en la cual usted especificó un método de autentificación (o validado el método predeterminado), usted necesita configurar un método de autentificación. Las políticas IKE no se pueden utilizar por el IPSec hasta que el método de autentificación se configure con éxito.

Para configurar la autenticación IKE, usted debe realizar una de las tareas siguientes, como apropiado:

Configuración de las Llaves RSA Manualmente para los Nonces Encriptados de RSA

Configuración de Llaves Previamente Compartidas

Prerrequisitos

Usted debe haber configurado por lo menos una política IKE, que es donde el método de autentificación fue especificado (o las firmas RSA. fueron validadas por abandono).

Configuración de las Llaves RSA Manualmente para los Nonces Encriptados de RSA


Observeesta tarea puede ser realizado solamente si CA es parado.


Para configurar manualmente las claves RSA, realice esta tarea para cada peer IPSec que utilice los nonces encriptados RSA en una política IKE.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto key generate rsa {general-keys | usage-keys} []label key-labeldel []exportabledel []modulus modulus-size

4.crypto key generate ec keysize [256 | 384] []label label-string

5. exit

6. show crypto key mypubkey rsa

7. configure terminal

8. crypto key pubkey-chain rsa

9.named-key key-name [encryption | signature]

o

addressed-key key-address [encryption | signature]

10. address ip-address

11. key-string key-string

12. quit

13. Repita estos pasos en cada peer que utilice los nonces encriptados RSA en una política IKE.

14. exit

15. exit

16. show crypto key pubkey-chain rsa [name key-name | address key-address]

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto key generate rsa {general-keys | usage-keys} [label key-label] [exportable] [modulus modulus-size]

Example:

Router(config)# crypto key generate rsa general-keys modulus 360

Genera las claves RSA.

Si key-label un argumento no se especifica, se utiliza el valor predeterminado, que es el nombre de dominio completo (FQDN) del router.

Paso 4 

crypto key generate ec keysize [256 | 384] [label label-string]

Example:

Router(config)# crypto key generate ec keysize 256 label Router_1_Key

Genera las claves EC.

La palabra clave 256 especifica un 256-bit keysize.

Los 384 que la palabra clave especifica un 384-bit keysize.

Una escritura de la etiqueta se puede especificar para la clave EC usando label la palabra clave y label-string el argumento.

Observesi una escritura de la etiqueta no se especifica, después se utiliza el valor FQDN.

Paso 5 

exit

Example:

Router(config)# exit

(Opcional) Sale del modo de configuración global.

Paso 6 

show crypto key mypubkey rsa

Example:

Router# show crypto key mypubkey rsa

(Opcional) visualiza los claves públicas generados RSA.

Paso 7 

configure terminal

Example:

Router# configure terminal

Vuelve al modo de configuración global.

Paso 8 

crypto key pubkey-chain rsa

Example:

Router(config)# crypto key pubkey-chain rsa

Ingresa el modo de configuración del encadenamiento de clave pública (así que le puede especificar manualmente los claves públicas RSA de los otros dispositivos).

Paso 9 

named-key key-name [encryption | signature]

Example:

Router(config-pubkey-chain)# named-key otherpeer.example.com


o

addressed-key key-address [encryption | signature]

Example:

Router(config-pubkey-chain)# addressed-key 10.1.1.2 encryption

Indica especificará el clave pública RSA de qué peer remoto usted y ingresa al modo de configuración del clave pública.

Si el peer remoto utiliza su nombre de host como su identidad ISAKMP, utilice named-key el comando y especifique el FQDN del peer remoto, tal como somerouter.example.com, como key-name.

Si el peer remoto utiliza su dirección IP como su identidad ISAKMP, utilice addressed-key el comando y especifique la dirección IP del peer remoto como key-address.

Paso 10 

address ip-address

Example:

Router(config-pubkey-key)# address 10.5.5.1

Especifica la dirección IP del peer remoto.

Si usted utiliza named-key el comando, usted necesita utilizar este comando de especificar la dirección IP del par.

Paso 11 

key-string key-string

Example:
Router(config-pubkey-key)# key-string
Router(config-pubkey)# 00302017 4A7D385B 
1234EF29 335FC973
Router(config-pubkey)# 2DD50A37 C4F4B0FD 
9DADE748 429618D5
Router(config-pubkey)# 18242BA3 2EDFBDD3 
4296142A DDF7D3D8
Router(config-pubkey)# 08407685 2F2190A0 
0B43F1BD 9A8A26DB
Router(config-pubkey)# 07953829 791FCDE9 
A98420F0 6A82045B
Router(config-pubkey)# 90288A26 DBC64468 
7789F76E EE21

Especifica el clave pública RSA del peer remoto.

(Esta clave fue vista previamente por el administrador del peer remoto cuando las claves RSA del router remoto fueron generadas.)

Paso 12 

quit

Example:

Router(config-pubkey-key)# quit

Devoluciones al modo de configuración del encadenamiento de clave pública.

Paso 13 

Repita estos pasos en cada peer que utilice los nonces encriptados RSA en una política IKE.

Paso 14 

exit

Example:

Router(config-pubkey-key)# exit

Vuelve al modo de configuración global.

Paso 15 

exit

Example:

Router(config)# exit

Vuelve al modo EXEC privilegiado.

Paso 16 

show crypto key pubkey-chain rsa [name key-name | address key-address]

Example:

Router# show crypto key pubkey-chain rsa

(Opcional) visualiza cualquier una lista de todos los claves públicas RSA que se salven en su router o detalles de una clave determinada RSA que se salve en su router.

Configuración de Llaves Previamente Compartidas

Para configurar las claves del preshared, realice estos pasos para cada par que utilice las claves del preshared en una política IKE.

Restricciones

Las claves del preshared no escalan bien con una red cada vez mayor.

Las claves del preshared de la máscara tienen las restricciones siguientes:

– El SA no se puede establecer entre los peeres IPSecs hasta que configuren a todos los peeres IPSecs para la misma clave del preshared.

– La clave del preshared de la máscara debe ser distintamente diferente para los usuarios remotos que requieren los niveles variables de autorización. Usted debe configurar una nueva clave del preshared para cada nivel de confianza y asignar las claves correctas a los partidos correctos. Si no, un partido untrusted puede obtener el acceso a los datos protegidos.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto isakmp identity {address | dn | hostname}

4.ip host hostname address1 []address2...address8

5.crypto isakmp key keystring address peer-address []maskdel []no-xauth

o

crypto isakmp key keystring hostname hostname []no-xauth

6.crypto isakmp key keystring address peer-address []maskdel []no-xauth

o

crypto isakmp key keystring hostname hostname []no-xauth

7.Relance estos pasos para cada par que utilice las claves del preshared.

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto isakmp identity {address | dn | hostname}

Example:

Router(config)# crypto isakmp identity address

Especifica la identidad ISAKMP del par por la dirección IP, por el nombre de host del Nombre distintivo (DN) en el peer local.

address — Utilizado típicamente cuando solamente una interfaz (y por lo tanto solamente una dirección IP) serán utilizadas por el par para las negociaciones IKE, y se sabe la dirección IP.

dn — Utilizado típicamente si se va el DN de un certificado del router a ser especificado y a ser elegido como la identidad ISAKMP durante el proceso IKE. La palabra clave dn se utiliza solamente para la autenticación basada en el certificado.

hostname — Debe ser utilizado si más de una interfaz en el par se pudo utilizar para las negociaciones IKE, o si la dirección IP de la interfaz es desconocida (por ejemplo con dinámicamente los IP Address asignados).

Paso 4 

ip host hostname address1 [address2...address8]

Example:

Router(config)# ip host RemoteRouter.example.com 192.168.0.1

Si la identidad ISAKMP del peer local fue especificada usando un nombre de host, asocia el nombre del host del par a su dirección IP en todos los peeres remotos.

(Este paso pudo ser innecesario si el nombre de host o el direccionamiento se asocia ya en un servidor DNS.)

Paso 5 

crypto isakmp key keystring address peer-address [mask] [no-xauth]

Example:

Router(config)# crypto isakmp key sharedkeystring address 192.168.1.33 no-xauth


o


crypto isakmp key keystring hostname hostname [no-xauth]

Example:

Router(config) crypto isakmp key sharedkeystring hostname RemoteRouter.example.com

Especifica en el peer local la clave compartida que se utilizará con un peer remoto determinado.

Si el peer remoto especificó su identidad ISAKMP con un direccionamiento, utilice address la palabra clave en este paso; si no utilice hostname la palabra clave en este paso.

no-xauth—– Evita que el router indique al par para la información del Xauth. Utilice esta palabra clave si el IPSEC de router a router está en la misma correspondencia de criptografía que el IPSec IOS de VPN-cliente-a-Cisco.

Observesegún el diseño de la clave de autentificación del preshared en el modo principal IKE, las claves del preshared debe ser basado en la dirección IP de los pares. Aunque usted pueda enviar un nombre de host como la identidad de una clave de autentificación del preshared, la clave se busca en la dirección IP del par; si la clave no se encuentra que (basado en la dirección IP) la negociación fallará.

Paso 6 

crypto isakmp key keystring address peer-address [mask] [no-xauth]

Example:

Router(config) crypto isakmp key sharedkeystring address 10.0.0.1


o


crypto isakmp key keystring hostname hostname [no-xauth]

Example:

Router(config) crypto isakmp key sharedkeystring hostname LocalRouter.example.com

Especifica en el peer remoto la clave compartida que se utilizará con el peer local.

Ésta es la misma clave que usted acaba de especificar en el peer local.

Si el peer local especificó su identidad ISAKMP con un direccionamiento, utilice address la palabra clave en este paso; si no utilice hostname la palabra clave en este paso.

Paso 7 

Repeat these steps at each peer that uses preshared keys in an IKE policy.

Configuración del Modo de Configuración de IKE

Restricciones

La configuración de modo IKE tiene las restricciones siguientes:

Las interfaces con las correspondencias de criptografía que se configuran para la configuración de modo IKE pueden experimentar una época de configuración de conexión levemente más larga, que es verdad incluso para los pares IKE que rechazan ser configurados o no responden a la petición del modo de configuración. En ambos casos, el gateway inicia la configuración del cliente.

Esta característica no fue diseñada para habilitar al modo de configuración para cada conexión IKE por abandono. Configure esta característica en el nivel global de la correspondencia de criptografía.

PASOS SUMARIOS

1. enable

2. configure terminal

3. ip local pool pool-name start-addr end-addr

4. crypto isakmp client configuration address-pool local pool-name

5.crypto map tag client configuration address [initiate | respond]

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

ip local pool pool-name start-addr end-addr

Example:

Router(config)# ip local pool pool1 172.16.23.0 172.16.23.255

Define un pool existente de la dirección local que define un conjunto de los direccionamientos.

Paso 4 

crypto isakmp client configuration address-pool local pool-name

Example:

Router(config)# crypto isakmp client configuration address-pool local pool1

Se refiere al pool de la dirección local a la configuración IKE.

Paso 5 

crypto map tag client configuration address [initiate | respond]

Example:

Router(config)# crypto map dyn client configuration address initiate

Configuración de modo de las configuraciones IKE en el modo de configuración global.

Configurar una correspondencia de criptografía IKE para la negociación IPSec SA

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto map tag sequence ipsec-isakmp

4.set pfs {group1 | group2 | group5 | group14 | group15 | group16 | group19 | group20}

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto map tag sequence ipsec-isakmp

Example:

Router(config)# crypto map example 1 ipsec-ipsec-isakmp

Especifica la correspondencia de criptografía y ingresa al modo de configuración de la correspondencia de criptografía.

tag El argumento especifica la correspondencia de criptografía.

sequence El argumento especifica la secuencia para insertar en la entrada de correspondencia de criptografía.

ipsec-isakmp La palabra clave especifica el IPSec con IKEv1 (ISAKMP).

Paso 4 

set pfs {group1 | group2 | group5 | group14 | group15 | group16}

Example:

Router(config-isakmp)# set pfs 14

Especifica el identificador del grupo DH para la negociación IPSec SA.

Por abandono, se utiliza el group1 DH.

group1– — 768-bit DH

group2– — 1024-bit DH

group5– — 1536-bit DH

group14– — Especifica al grupo 2048-bit DH.

group15– — Especifica al grupo 3072-bit DH.

group16– — Especifica al grupo 4096-bit DH.

El grupo elegido debe ser bastante fuerte (tenga bastantes bits) proteger las claves del IPSec durante la negociación. Una guía de consulta generalmente aceptada recomienda el uso de un grupo 2048-bit después de 2013 (hasta 2030). Cualquier grupo 14 se puede seleccionar resolver esta guía de consulta. Incluso si un método de seguridad largo-vivo es necesario, el uso de la criptografía elíptica de la curva se recomienda, pero agrupa 15 y el grupo 16 puede también ser considerado.

Ejemplos de Configuración de una Configuración de IKE

Esta sección contiene los ejemplos de configuración siguientes:

Creación de Políticas IKE: Ejemplos

Configuración de la Autenticación IKE: Ejemplo:

Creación de Políticas IKE: Ejemplos

Esta sección contiene los siguientes ejemplos, que muestran cómo configurar una política IKE 3DES y una política IKE AES:

Creación de Políticas IKE 3DES: Ejemplo:

Creación de una Política IKE AES: Ejemplo:

Creación de Políticas IKE 3DES: Ejemplo:

Este ejemplo crea dos políticas IKE, con la directiva 15 como la prioridad más alta, la directiva 20 como la prioridad siguiente, y la prioridad predeterminada existente como la prioridad más baja. También crea una llave precompartida que se utilizará con la política 20 con el peer remoto cuya dirección IP sea 192.168.224.33.

crypto isakmp policy 15 
 encryption 3des 
 hash md5 
 authentication rsa-sig 
 group 2 
 lifetime 5000 
!
crypto isakmp policy 20 
 authentication pre-share 
 lifetime 10000 
!
crypto isakmp key 1234567890 address 192.168.224.33

En el ejemplo, el cifrado DES de la directiva 15 no aparecería en la configuración escrita porque éste es el valor predeterminado para el parámetro del algoritmo de encripción.

Si show crypto isakmp policy el comando se publica con esta configuración, la salida es como sigue:

Protection suite priority 15 
encryption algorithm:3DES - Triple Data Encryption Standard (168 bit keys) 
hash algorithm:Message Digest 5 
authentication method:Rivest-Shamir-Adleman Signature 
Diffie-Hellman group:#2 (1024 bit) 
lifetime:5000 seconds, no volume limit 
Protection suite priority 20 
encryption algorithm:DES - Data Encryption Standard (56 bit keys) 
hash algorithm:Secure Hash Standard 
authentication method:preshared Key 
Diffie-Hellman group:#1 (768 bit) 
lifetime:10000 seconds, no volume limit 
Default protection suite 
encryption algorithm:DES - Data Encryption Standard (56 bit keys) 
hash algorithm:Secure Hash Standard 
authentication method:Rivest-Shamir-Adleman Signature 
Diffie-Hellman group:#1 (768 bit) 
lifetime:86400 seconds, no volume limit 

Observe que aunque la salida no muestre “ningún límite del volumen” para los cursos de la vida, usted puede configurar solamente un Time Lifetime (tal como 86.400 segundos); los cursos de la vida del volumen-límite no son configurables.

Creación de una Política IKE AES: Ejemplo:

El siguiente ejemplo es salida de muestra show running-config del comando. En este ejemplo, se habilita la clave del 256-bit AES.

Current configuration : 1665 bytes
!
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname "Router1"
!
!
ip subnet-zero
!
!
no ip domain lookup
!
ip audit notify log
ip audit po max-events 100
!
crypto isakmp policy 10
 encryption aes 256
 authentication pre-share
 lifetime 180
crypto isakmp key cisco123 address 10.0.110.1
!
!
crypto ipsec transform-set aesset esp-aes 256 esp-sha-hmac
 mode transport
!
crypto map aesmap 10 ipsec-isakmp
 set peer 10.0.110.1
 set transform-set aesset
 match address 120
!
.
.
.

Configuración de la Autenticación IKE: Ejemplo:

Las demostraciones del siguiente ejemplo cómo especificar manualmente los claves públicas RSA del peer IPSec dos — el par en las claves de fines generales de las aplicaciones de 10.5.5.1, y el otro par utiliza las claves del especial-uso:

crypto key pubkey-chain rsa
 named-key otherpeer.example.com
 address 10.5.5.1
 key-string
 005C300D 06092A86 4886F70D 01010105
 00034B00 30480241 00C5E23B 55D6AB22
 04AEF1BA A54028A6 9ACC01C5 129D99E4
 64CAB820 847EDAD9 DF0B4E4C 73A05DD2
 BD62A8A9 FA603DD2 E2A8A6F8 98F76E28
 D58AD221 B583D7A4 71020301 0001
 quit
 exit
 addressed-key 10.1.1.2 encryption
 key-string
 00302017 4A7D385B 1234EF29 335FC973
 2DD50A37 C4F4B0FD 9DADE748 429618D5
 18242BA3 2EDFBDD3 4296142A DDF7D3D8
 08407685 2F2190A0 0B43F1BD 9A8A26DB
 07953829 791FCDE9 A98420F0 6A82045B
 90288A26 DBC64468 7789F76E EE21
 quit
 exit
 addressed-key 10.1.1.2 signature
 key-string
 0738BC7A 2BC3E9F0 679B00FE 53987BCC
 01030201 42DD06AF E228D24C 458AD228
 58BB5DDD F4836401 2A2D7163 219F882E
 64CE69D4 B583748A 241BED0F 6E7F2F16
 0DE0986E DF02031F 4B0B0912 F68200C4
 C625C389 0BFF3321 A2598935 C1B1
 quit
 exit
 exit

Adonde ir después

Después de que usted haya configurado con éxito la negociación IKE, usted puede comenzar a configurar el IPSec. Para la información sobre completar estas tareas, vea el módulo “Configurar directivo de seguridad para los VPN con el IPSec.”

Referencias adicionales

Documentos Relacionados

Tema relacionado
Título del documento

Configuración IPSec

Configurar directivo de seguridad para los VPN con el IPSec

Versión 2 IKE

Configurando el intercambio de claves de Internet versión 2 (IKEv2)

Configurar las claves RSA para obtener los Certificados de CA

Implementación de Llaves RSA Dentro de un PKI

IKE, IPSec, y comandos configuration PKI: sintaxis, modo de comando, valores por defecto, Pautas para el uso, y ejemplos del comando complete

Referencia de Comandos de Seguridad de Cisco IOS

La habitación-B ESP transforma

Configurar directivo de seguridad para los VPN con el módulo de función del IPSec.

El tipo del algoritmo de la integridad de la habitación-B transforma la configuración.

Configurar el módulo de función del intercambio de claves de Internet versión 2 (IKEv2).

Soporte elíptico de Diffie Hellman de la curva de la habitación-B (ECDH) para la negociación IPSec SA

Configurar los módulos de función del intercambio de claves de Internet versión 2 (IKEv2).

Soporte de la habitación-B para la inscripción del certificado para un PKI.

Configurar la inscripción del certificado para un módulo de función PKI.


Estándares

Estándares
Título

Ninguno


MIB

MIB
Link del MIB

Ninguno

Para localizar y descargar el MIB para las plataformas elegidas, las versiones de Cisco IOS Software, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente:

http://www.cisco.com/cisco/web/LA/support/index.html


RFC


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información de la característica para configurar el IKE para el IPSec VPN

La Tabla 1 muestra el historial de versiones de esta función.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.


Información de la característica del cuadro 1 para configurar el IKE para el IPSec VPN 

Nombre de la función
Versiones
Información sobre la Función

Capacidad de inhabilitar la autenticación ampliada para los peeres IPSecs estáticos

12.2(4)T

Esta característica permite que un usuario inhabilite el Xauth mientras que configura la clave del preshared para el IPSEC de router a router. Así, el router no indicará al par para un nombre de usuario y contraseña, se transmiten que cuando el Xauth ocurre para el IPSec VPN-cliente-a-Cisco-IOS.

La sección siguiente proporciona la información sobre esta característica:

Configuración de Llaves Previamente Compartidas

Esta función ha modificado los siguientes comandos: crypto isakmp key.

Advanced Encryption Standard (AES)

12.2(8)T

Esta característica agrega el soporte para la nueva norma de encripción AES, que es una aislamiento transforma para el IPSec y el IKE y se ha desarrollado para substituir el DES.

Las secciones siguientes proporcionan información acerca de esta función:

Estándares Soportados para su Uso con IKE

Restricciones

Los siguientes comandos fueron modificados por esta función: crypto ipsec transform-set, encryption (Política IKE) show crypto ipsec transform-setshow crypto isakmp policy.

Cifrado del SELLO

12.3(7)T

Esta característica agrega el soporte para el cifrado del SELLO en el IPSec.

La sección siguiente proporciona la información sobre esta característica:

Estándares Soportados para su Uso con IKE

Esta función ha modificado los siguientes comandos: crypto ipsec transform-set.

Soporte de la habitación-B en IOS SW crypto

15.1(2)T

La habitación-B agrega el soporte en el Cisco IOS para el algoritmo de troceo de la familia SHA-2 (variante HMAC) usado para autenticar los datos del paquete y para verificar los mecanismos de verificación de la integridad para el IKE Protocol. HMAC es una variante que proporciona un nivel adicional de hashing. Esta característica también agrega el soporte elíptico de Diffie Hellman de la curva (ECDH) para la negociación IPSec SA.

Vea Configurar directivo de seguridad para los VPN con el módulo de función del IPSec para información más detallada sobre el soporte de la habitación-B del Cisco IOS.

Las secciones siguientes proporcionan información acerca de esta función:

Estándares Soportados para su Uso con IKE

Pares IKE que convienen en una política IKE que corresponde con

Configurar una correspondencia de criptografía IKE para la negociación IPSec SA

Esta función ha modificado los siguientes comandos: authentication crypto key generate ec keysize crypto map group hash set pfs.