Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR
Call Admission Control for IKE
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 214 KB | Inglés (5 Mayo 2008) | Comentarios

Contenidos

Call Admission Control for IKE

Encontrar la información de la característica

Contenido

Prerrequisitos para el Control de Admisión de Llamadas para IKE

Información sobre Control de Admisión de Llamadas para IKE

Sesión IKE

Límite de Asociación de Seguridad

Límite en el número de conexiones de la En-negociación IKE

Uso de Recursos del Sistema

Cómo Configurar el Control de Admisión de Llamadas para IKE

Configurar el límite de la asociación de seguridad IKE

Configurar el límite de los recursos del sistema

Verificar el control de admisión de llamadas para la configuración IKE

Ejemplos de Configuración de Call Admission Control for IKE

Ejemplo: Configurar el límite de la asociación de seguridad IKE

Ejemplo: Configurar el límite de los recursos del sistema

Referencias adicionales

Documentos Relacionados

Estándares

MIB

RFC

Asistencia Técnica

Información sobre la Función Call Admission Control for IKE


Call Admission Control for IKE


Primera publicación: 17 de may de 2004
Última actualización: De noviembre el 18 de 2010

El control de admisión de llamadas para la característica IKE describe la aplicación del control de admisión de llamadas (CAC) al protocolo del Internet Key Exchange (IKE) en Cisco IOS Software. El CAC limita el número de IKE simultáneo y de asociaciones de seguridad IPSec (SA) (es decir, llama al CAC) que un router puede establecer.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para el control de admisión de llamadas para la sección IKE”.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Contenido

Prerrequisitos para el Control de Admisión de Llamadas para IKE

Información sobre Control de Admisión de Llamadas para IKE

Cómo Configurar el Control de Admisión de Llamadas para IKE

Ejemplos de Configuración de Call Admission Control for IKE

Referencias adicionales

Información sobre la Función Call Admission Control for IKE

Prerrequisitos para el Control de Admisión de Llamadas para IKE

Configuración IKE en el router.

Información sobre Control de Admisión de Llamadas para IKE

Sesión IKE

Límite de Asociación de Seguridad

Uso de Recursos del Sistema

Sesión IKE

Hay dos maneras de limitar el número de IKE SA que un router puede establecer a o desde otro router:

Configure el límite absoluto IKE SA ingresando el comando crypto del límite de la admisión de llamadas. Peticiones IKE SA de los descensos del router las nuevas cuando se ha alcanzado el valor.

Configure el límite de los recursos del sistema ingresando el comando del límite de la admisión de llamadas. El router descarta las nuevas solicitudes IKE SA cuando se está utilizando el nivel de los recursos del sistema configurado en la unidad de carga.

El CAC se aplica solamente a los nuevos SA (es decir, cuando un SA no existe ya entre los pares). El todos los esfuerzos se hace para preservar los SA existentes. Solamente las nuevas peticiones SA serán negadas nunca debido a una falta de recursos del sistema o porque se ha alcanzado el límite configurado IKE SA.

Límite de Asociación de Seguridad

Un SA es una descripción de cómo dos o más entidades utilizarán los Servicios de seguridad para comunicar con seguridad en nombre de un flujo de datos determinado. El IKE requiere y utiliza los SA identificar los parámetros de sus conexiones. IKE puede negociar y establecer su propia SA. IKE SA es utilizado por el IKE solamente, y es bidireccional. IKE SA no puede limitar el IPSec.

El IKE cae las peticiones SA basadas en un límite usuario configurado SA. Para configurar un límite IKE SA, ingrese crypto call admission limit el comando. Cuando hay una nueva petición SA de un router del par, el IKE determina si el número del IKE activo SA más el número de SA que es negociado resuelve o excede el límite configurado SA. Si es el número mayor o igual el límite, se rechaza la nueva petición SA y se genera un Syslog. Este registro contiene la dirección IP del origen destino de la petición SA.

ipsec sa number Y ike sa number pares de la palabra clave y del argumento en crypto call admission limit el comando set el límite para el número del SA de IPSec y de IKE establecidos SA.

Límite en el número de conexiones de la En-negociación IKE

Eficaz con el Cisco IOS Release 12.4(6)T, un límite en el número de conexiones de la en-negociación IKE puede ser configurado. Este tipo de conexión IKE representa IKE SA del modo agresivo o IKE SA del modo principal antes de su autenticación y establecimiento real.

Usando crypto call admission limit ike in-negotiation-sa number el comando permite que el número configurado de la en-negociación IKE SA comience la negociación sin contribuir al número máximo de IKE SA permitido.

all in-negotiation-sa number Y ike in-negotiation-sa number los pares de la palabra clave y del argumento en crypto call admission limit el comando limitan todos los SA en la negociación y IKE SA en la negociación.

Uso de Recursos del Sistema

El CAC sondea un monitor de recurso global de modo que el IKE sepa cuando el router está ejecutando el cortocircuito de los ciclos de la CPU o de las memorias intermedias. Usted puede configurar un límite, en el rango 1 a 100000, que representa el nivel de uso de recursos del sistema en las unidades del uso de recursos del sistema. Cuando ese nivel de recursos se está utilizando, el IKE cae (no validará nuevo) las peticiones SA. Para configurar el límite del uso de recursos del sistema, ingrese call admission limit el comando.

Para cada nueva petición entrante SA, la carga actual en el router se convierte en un valor numérico, representando el nivel del uso de recursos del sistema, y es comparada al límite puesto del recurso por call admission limit el comando. Si la carga actual es más que el límite configurado del recurso, el IKE cae la nueva petición SA. La carga en el router incluye los SA activos, el USO de la CPU, y las peticiones SA que son consideradas.

call admission load El comando configura un valor del multiplicador a partir de la 0 a 1000 que representa un factor de escala para el USO de recursos del sistema actual y un índice métrico de la encuesta de la carga de 1 a 32 segundos. Valor numérico para recurso del sistema uso nivel es calculado por fórmula (factor de escala *)/100 del USO de recursos de sistema actual. Se recomienda que call admission load el comando para no ser utilizado a menos que sea aconsejado por un ingeniero del Centro de Asistencia Técnica de Cisco (TAC).

Cómo Configurar el Control de Admisión de Llamadas para IKE


Notausted debe realizar uno de los Procedimientos de configuración.


Configurando el límite de la asociación de seguridad IKE (opcional)

Configurando el límite de los recursos del sistema (opcional)

Verificando el control de admisión de llamadas para la configuración IKE (opcional)

Configurar el límite de la asociación de seguridad IKE

Realice esta tarea de configurar el límite absoluto IKE SA. Peticiones IKE SA de los descensos del router las nuevas cuando se ha alcanzado el límite.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto call admission limit {all in-negotiation-sa number | ipsec sa number | ike {in-negotiation-sa number | sa number}}

4. exit

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto call admission limit {all in-negotiation-sa number | ipsec sa number | ike {in-negotiation-sa number | sa number}}

Example:

Router(config)# crypto call admission limit ike sa 25

Especifica el número máximo de IKE SA o los SA totales en la negociación o el máximo IKE SA o el SA de IPSec que pueden ser establecidos antes de que el IKE comience a rechazar el nuevo SA piden.

Paso 4 

exit

Example:

Router(config)# exit

Salidas modo de configuración global y devoluciones al modo EXEC privilegiado.

Configurar el límite de los recursos del sistema

Realice esta tarea de configurar el límite de los recursos del sistema. El router descarta las nuevas solicitudes IKE SA cuando se está utilizando el nivel de los recursos del sistema configurado en la unidad de carga.

PASOS SUMARIOS

1. enable

2. configure terminal

3. call admission limit charge

4. exit

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

call admission limit charge

Example:

Router(config)# call admission limit 1000

Fija el nivel de los recursos del sistema que, cuando está utilizado, hace el IKE parar el validar de las nuevas peticiones SA.

charge — Los valores válidos son 1 a 100000.

La notaconsidera “la sección del uso de recursos del sistema”

Paso 4 

exit

Example:

Router(config)# exit

Salidas modo de configuración global y devoluciones al modo EXEC privilegiado.

Verificar el control de admisión de llamadas para la configuración IKE

Para verificar el CAC para la configuración IKE, realice los pasos siguientes.

PASOS SUMARIOS

1. show call admission statistics

2. show crypto call admission statistics

PASOS DETALLADOS


Paso 1 show call admission statistics

Utilice este comando de monitorear los parámetros de la configuración globales CAC y el comportamiento del CAC.

Router# show call admission statistics

Total Call admission charges: 82, limit 1000
Total calls rejected 1430, accepted 0
Load metric: charge 82, unscaled 82%

Paso 2 show crypto call admission statistics

Utilice este comando de monitorear las estadísticas crypto CAC.

Router# show crypto call admission statistics

---------------------------------------------------------------------
               Crypto Call Admission Control Statistics
---------------------------------------------------------------------
System Resource Limit:      111 Max IKE SAs:     0 Max in nego:  1000
Total IKE SA Count:           0 active:          0 negotiating:     0
Incoming IKE Requests:        0 accepted:        0 rejected:        0
Outgoing IKE Requests:        0 accepted:        0 rejected:        0
Rejected IKE Requests:        0 rsrc low:        0 Active SA limit: 0
                                                   In-neg SA limit: 0
IKE packets dropped at dispatch:        0

Max IPSEC SAs:   111
Total IPSEC SA Count:           0 active:          0 negotiating:     0
Incoming IPSEC Requests:        0 accepted:        0 rejected:        0
Outgoing IPSEC Requests:        0 accepted:        0 rejected:        0

Phase1.5 SAs under negotiation:         0 


Ejemplos de Configuración de Call Admission Control for IKE

Esta sección proporciona los siguientes ejemplos de configuración:

Ejemplo: Configurar el límite de la asociación de seguridad IKE

Ejemplo: Configurar el límite de los recursos del sistema

Ejemplo: Configurar el límite de la asociación de seguridad IKE

Las demostraciones del siguiente ejemplo cómo especificar un límite máximo de 25 SA antes de que el IKE comience a rechazar el nuevo SA piden:

Router(config)# crypto call admission limit ike sa 25 

Ejemplo: Configurar el límite de los recursos del sistema

Las demostraciones del siguiente ejemplo cómo especificar que el IKE debe caer las peticiones SA cuando el nivel de recursos del sistema que se configuran en la unidad de los alcances 9000 de la carga:

Router(config)# call admission limit 9000

Referencias adicionales

Documentos Relacionados


Estándares

Estándares
Título

Ninguno


MIB

MIB
Link del MIB

Ninguno

Para localizar y descargar el MIB para las plataformas elegidas, las versiones de software de Cisco, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente:

http://www.cisco.com/cisco/web/LA/support/index.html


RFC

RFC
Título

RFC 2409

El intercambio de claves de Internet


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información sobre la Función Call Admission Control for IKE

La Tabla 1 muestra el historial de versiones de esta función.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.


Información de la característica del cuadro 1 para el control de admisión de llamadas para el IKE 

Nombre de la función
Versiones
Información sobre la Función

Call Admission Control for IKE

12.3(8)T
12.2(18)SXD1
12.4(6)T
12.2(33)SRA
12.2(33)SXH

El control de admisión de llamadas para la característica IKE describe la aplicación del control de admisión de llamadas (CAC) al protocolo del Internet Key Exchange (IKE) en Cisco IOS Software.

En el Cisco IOS Release 12.3(8)T, esta característica fue introducida.

Esta característica era integrada en el Cisco IOS Release 12.2(18)SXD1 y fue implementada en el Cisco 6500 y los Cisco 7600 Router.

En el Cisco IOS Release 12.4(6)T, la capacidad de configurar un límite en el número de conexiones de la en-negociación IKE fue agregada.

Las secciones siguientes proporcionan información acerca de esta función:

Información sobre Control de Admisión de Llamadas para IKE

Cómo Configurar el Control de Admisión de Llamadas para IKE

Se han insertado o modificado los siguientes comandos: call admission limit clear crypto call admission statistics crypto call admission limit show call admission statistics show crypto call admission statistics.

IKEv1 que endurece

15.1(3)T

El IKEv1 que endurece la característica describe las mejoras hechas al control de admisión de llamadas (CAC) para la característica IKE.

En el Cisco IOS Release 15.1(3)T, esta característica fue introducida.

Las secciones siguientes proporcionan información acerca de esta función:

Límite de Asociación de Seguridad

Uso de Recursos del Sistema

Configurar el límite de la asociación de seguridad IKE

Verificar el control de admisión de llamadas para la configuración IKE

Se han insertado o modificado los siguientes comandos: crypto call admission limit show crypto call admission statistics.