Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR
Distinguished Name Based Crypto Maps
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 194 KB | Inglés (5 Mayo 2008) | Comentarios

Contenidos

Distinguished Name Based Crypto Maps

Descripción general de características

Beneficios

Restricciones

Documentos Relacionados

Plataformas Soportadas

Estándares, MIB, y RFC soportados

Prerrequisitos

Tareas de Configuración

Configurar el DN basó las correspondencias de criptografía (autenticadas por el DN)

Configurar el DN basó las correspondencias de criptografía (autenticadas por el nombre de host)

La aplicación de la identidad al DN basó las correspondencias de criptografía

Verificar el DN basó las correspondencias de criptografía

Consejos de Troubleshooting

Ejemplos de Configuración

Ejemplo de Configuración de Crypto Map Basado en DN

Referencia de Comandos


Distinguished Name Based Crypto Maps


Historial de la característica

Versión
Modificación

12.2(4)T

Esta función fue introducida.


Este módulo de función describe la característica basada nombre distintivo de la correspondencia de criptografía en el Cisco IOS Release 12.2(4)T. Incluye las secciones siguientes:

Descripción general de características

Plataformas Soportadas

Estándares, MIB, y RFC soportados

Prerrequisitos

Tareas de Configuración

Ejemplos de Configuración

Referencia de Comandos

Descripción general de características

La característica basada nombre distintivo de las correspondencias de criptografía permite que usted configure al router para restringir el acceso a las interfaces encriptadas seleccionadas para esos pares con los Certificados específicos, especialmente los Certificados con los nombres distintivos determinados (DN).

Previamente, si el router validó un certificado o un secreto compartido del par que cifraba, el Cisco IOS no tenía un método de evitar que el par comunique con ninguna interfaz encriptada con excepción de las restricciones en la dirección IP del par que cifraba. Esta característica permite que usted configure qué correspondencias de criptografía son usables a un par basado en el DN que un par usado para autenticar sí mismo, de tal modo, habilitandole para controlar que las interfaces encriptadas un par con un DN especificado pueden acceder.

Beneficios

La característica basada nombre distintivo de las correspondencias de criptografía permite usted fije las restricciones en la configuración del router que evitan que los pares con los Certificados específicos — especialmente los Certificados con los DN determinados — tengan acceso a las interfaces encriptadas seleccionadas.

Restricciones

Requisitos del sistema

Para configurar esta característica, su router debe soportar la seguridad IP.

Impacto en el rendimiento

Si usted restringe el acceso a un gran número de DN, se recomienda que usted especifica algunos número de correspondencias de criptografía que refiere a las secciones grandes de la identidad en vez de especificar un gran número de correspondencias de criptografía que refiere a las pequeñas secciones de la identidad.

Documentos Relacionados

El documento siguiente proporciona relacionado con la información a la característica basada nombre distintivo de las correspondencias de criptografía:

Referencia de Comandos de Seguridad de Cisco IOS

Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.4T

Plataformas Soportadas

Esta característica se soporta en las Plataformas siguientes:

Cisco 1700 Series

Cisco 2600 Series

Cisco 3620

Cisco 3640

Cisco 3660

Cisco 7100 Series

Cisco 7200 Series

Routió de acceso a cable Cisco uBR905

Routió de acceso a cable Cisco uBR925

Determinación del Soporte de Plataforma con Feature Navigator

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder el Cisco Feature Navigator, vaya a www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Estándares, MIB, y RFC soportados

Estándares

Ninguno

MIB

Ninguno

Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y conjuntos de funciones seleccionados, utilice Cisco MIB Locator, que se encuentra en la siguiente URL:

http://www.cisco.com/cisco/web/LA/support/index.html

RFC

Ninguno

Prerrequisitos

Antes de configurar un DN basado correspondencia de criptografía, usted debe realizar las tareas siguientes:

Cree una directiva del Internet Key Exchange (IKE) en cada par.

Para más información sobre crear las políticas IKE, refiera “configurando el intercambio de claves de Internet para al capítulo del IPSec VPN” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura.

Cree las entradas de correspondencia de criptografía para el IPSec.

Para más información sobre crear las entradas de correspondencia de criptografía, refiera “Configurar directivo de seguridad para los VPN con al capítulo del IPSec” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura.

Tareas de Configuración

Vea las secciones siguientes para las tareas de configuración para la característica basada nombre distintivo de las correspondencias de criptografía. Cada una de las tareas de la lista se identifica como obligatoria u opcional.

Configurar el DN basó las correspondencias de criptografía (autenticadas por el DN) (requerido)

Configurar el DN basó las correspondencias de criptografía (autenticadas por el nombre de host) (requerido)

La aplicación de la identidad al DN basó las correspondencias de criptografía (requeridas)

Verificar el DN basó las correspondencias de criptografía (opcionales)

Configurar el DN basó las correspondencias de criptografía (autenticadas por el DN)

Para configurar un DN basó la correspondencia de criptografía que se puede utilizar solamente por los pares que han sido autenticados por un DN, utiliza los siguientes comandos que comienzan en el modo de configuración global:

 
Comando
Propósito

Paso 1 

Router(config)# crypto identity name

Configura la identidad de un router con la lista de DNs especificada en el certificado del router e ingresa en el modo de configuración de identidad crypto.

Paso 2 

Router(crypto-identity)# dn name=string [,name=string]

Asocia la identidad del router al DN en el certificado del router.

Observela identidad del par debe hacer juego la identidad en el certificado intercambiado.

Configurar el DN basó las correspondencias de criptografía (autenticadas por el nombre de host)

Para configurar un DN basó la correspondencia de criptografía que se puede utilizar solamente por los pares que han sido autenticados por un nombre de host, utiliza los siguientes comandos que comienzan en el modo de configuración global:

 
Comando
Propósito

Paso 1 

Router(config)# crypto identity name

Configura la identidad de un router con la lista de DNs especificada en el certificado del router e ingresa en el modo de configuración de identidad crypto.

Paso 2 

Router(crypto-identity)# fqdn name

Asocia la identidad del router al nombre de host que el par usado para autenticarse.

Observela identidad del par debe hacer juego la identidad en el certificado intercambiado.

La aplicación de la identidad al DN basó las correspondencias de criptografía

Para aplicar la identidad (dentro del contexto de la correspondencia de criptografía), utilice los siguientes comandos que comienzan en el modo de configuración global:

 
Comando
Propósito

Paso 1 

Router(config)# crypto map map-name seq-num ipsec-isakmp

Crea o modifica una entrada de correspondencia de criptografía y ingresa al modo de configuración de la correspondencia de criptografía.

Paso 2 

Router(config-crypto-map)# identity name

Aplica la identidad a la correspondencia de criptografía.

Cuando este comando es aplicado, sólo los hosts que hacen juego una configuración enumerada dentro identity name del uso de la poder la correspondencia de criptografía especificada.

Observesi identity el comando no aparece dentro de la correspondencia de criptografía, la conexión encriptada no tiene ninguna restricciones con excepción de la dirección IP del par que cifra.

Verificar el DN basó las correspondencias de criptografía

Para verificar que estas funciones estén configuradas correctamente, utilice el siguiente comando en el modo EXEC:

Comando
Propósito

Router# show crypto identity

Visualiza las identidades configuradas.


Consejos de Troubleshooting

Si un par que cifra intenta establecer una conexión que sea bloqueada por la configuración basada DN de la correspondencia de criptografía, el mensaje de error siguiente será registrado:

<time>: %CRYPTO-4-IKE_QUICKMODE_BAD_CERT: encrypted connection attempted with a peer 
without the configured certificate attributes.

Ejemplos de Configuración

Esta sección proporciona el siguiente ejemplo de configuración:

Ejemplo de Configuración de Crypto Map Basado en DN

Ejemplo de Configuración de Crypto Map Basado en DN

El siguiente ejemplo muestra cómo configurar las correspondencias de criptografía basadas DN que han sido autenticadas por el DN y el nombre de host. Los comentarios se incluyen en línea para explicar los diversos comandos.

! DN based crypto maps require you to configure an IKE policy at each peer.
crypto isakmp policy 15
 encryption 3des
 hash md5
 authentication rsa-sig
 group 2
 lifetime 5000
crypto isakmp policy 20
 authentication pre-share
 lifetime 10000
crypto isakmp key 1234567890 address 171.69.224.33
!
! The following is an IPSec crypto map (part of IPSec configuration). It can be used only 
! by peers that have been authenticated by DN and if the certificate belongs to BigBiz.
crypto map map-to-bigbiz 10 ipsec-isakmp
 set peer 172.21.114.196
 set transform-set my-transformset 
 match address 124
 identity to-bigbiz
!
crypto identity to-bigbiz
 dn ou=BigBiz
!
!
! This crypto map can be used only by peers that have been authenticated by hostname
! and if the certificate belongs to little.com.
crypto map map-to-little-com 10 ipsec-isakmp
 set peer 172.21.115.119
 set transform-set my-transformset 
 match address 125
 identity to-little-com
!
crypto identity to-little-com
 fqdn little.com
!

Referencia de Comandos

Los comandos new siguientes están en relación con esta característica. Para ver las páginas del comando para estos comandos y otros comandos usados con esta característica, vaya a los comandos list principales del Cisco IOS en http://www.cisco.com/en/US/products/ps6441/products_product_indices_list.html.

crypto identity

dn

fqdn

identity

Para obtener información sobre estos comandos, vea la Referencia de Comandos de Seguridad de Cisco IOS en

http://www.cisco.com/en/US/products/ps6441/products_product_indices_list.html.

Para ver información sobre todos los comandos de Cisco IOS, vea la herramienta de búsqueda de comandos en

http://www.cisco.com/en/US/products/ps6441/products_product_indices_list.html