Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR
VRF-Aware Ipsec
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 365 KB | Inglés (24 Noviembre 2010) | Comentarios

Contenidos

VRF-Aware Ipsec

Encontrar la información de la característica

Contenido

Restricciones para el IPSec que reconoce VRF

Información sobre el IPSec que reconoce VRF

Instancia de VRF

MPLS Distribution Protocol

Descripción general funcional que reconoce VRF del IPSec

Flujo de paquetes en el túnel IPsec

Flujo de paquetes del túnel IPsec

Cómo configurar el IPSec que reconoce VRF

Configurar los llaveros Crypto

Configuración de Perfiles ISAKMP

Restricciones

Pasos Siguientes

Configurar un perfil ISAKMP en una correspondencia de criptografía

Prerrequisitos

El configurar para ignorar la autenticación ampliada durante la negociación de la fase 1 IKE

Verificar el IPSec que reconoce VRF

Verificación de las asociaciones de seguridad

Localización de averías del IPSec que reconoce VRF

Ejemplos del debug para el IPSec que reconoce VRF

Ejemplos de configuración para el IPSec que reconoce VRF

Ejemplo: IPSec-a-MPLS estático VPN

Ejemplo: IPSec-a-MPLS VPN usando la encripción RSA

Ejemplo: IPSec-a-MPLS VPN con las firmas RSA.

Ejemplo: Telecontrol Acceso-a-MPLS VPN del IPSec

Actualización de las versiones anteriores de la solución Basada en red del IPSec VPN de Cisco

Upgrade de Configuración de Sitio a Sitio

Upgrade de la Configuración de Acceso Remoto

Combinación de Upgrade de Configuración de Sitio a Sitio y de Acceso Remoto

Referencias adicionales

Documentos Relacionados

Estándares

MIB

RFC

Asistencia Técnica

Información de la característica para el IPSec que reconoce VRF

Glosario


VRF-Aware Ipsec


Primera publicación: De marzo el 17 de 2003
Última actualización: De noviembre el 24 de 2010

La característica que reconoce VRF del IPSec introduce el túnel de la seguridad IP (IPSec) que asocia al Multiprotocol Label Switching (MPLS) el Redes privadas virtuales (VPN). Usando la característica que reconoce VRF del IPSec, usted puede asociar los túneles IPsec a los casos del ruteo virtual y de la expedición (VRF) usando un solo direccionamiento del público-revestimiento.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para la sección del IPSec que reconoce VRF”.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Contenido

Restricciones para el IPSec que reconoce VRF

Información sobre el IPSec que reconoce VRF

Cómo configurar el IPSec que reconoce VRF

Ejemplos de configuración para el IPSec que reconoce VRF

Referencias adicionales

Información de la característica para el IPSec que reconoce VRF

Glosario

Restricciones para el IPSec que reconoce VRF

Si usted está configurando la característica que reconoce VRF del IPSec usando una configuración de la correspondencia de criptografía y el VRF interior (IVRF) no es lo mismo que la puerta frontal VRF (FVRF), esta característica no es interoperable con el Unicast Reverse Path Forwarding (uRPF) si el uRPF se habilita en la interfaz de la correspondencia de criptografía. Si su red requiere el uRPF, se recomienda que usted utiliza la interfaz del túnel virtual (VTI) para el IPSec en vez de las correspondencias de criptografía.

La característica que reconoce VRF del IPSec no permite la asignación del túnel IPsec entre los VRF. Por ejemplo, no permite la asignación del túnel IPsec del vpn1 VRF a VRF vpn2.

Cuando la característica que reconoce VRF del IPSec se utiliza con una correspondencia de criptografía, esta correspondencia de criptografía no puede utilizar el VRF global como el IVRF y un VRF NON-global como el FVRF. Sin embargo, las configuraciones basadas en las interfaces del túnel virtuales no tienen esa limitación. Cuando se utiliza VTIs o VTIs dinámico (DVTIs), el VRF global se puede utilizar como el IVRF así como un VRF NON-global usado como el FVRF.

Información sobre el IPSec que reconoce VRF

Instancia de VRF

MPLS Distribution Protocol

Descripción general funcional que reconoce VRF del IPSec

Instancia de VRF

Una instancia VRF es un repositorio de información por ruteo VPN que define la pertenencia a VPN de un sitio del cliente conectado al router PE (borde del proveedor) . Un VRF comprende una tabla de ruteo IP Routing, un tabla de Cisco Express Forwarding (CEF) derivada, un conjunto de interfaces que utilizan la tabla de reenvío, y un conjunto de reglas y parámetros del protocolo de ruteo que controlan la información que se incluye en la tabla de ruteo. Un conjunto aparte de la encaminamiento y de las tablas del Cisco Express Forwarding (CEF) se mantiene para cada cliente VPN.

MPLS Distribution Protocol

El Protocolo de distribución MPLS es una tecnología de alto rendimiento del reenvío de paquete que integra el funcionamiento y las capacidades de administración de tráfico de transferencia de la capa del link de datos con el scalability, la flexibilidad, y el funcionamiento de la encaminamiento de la capa de red.

Descripción general funcional que reconoce VRF del IPSec

La puerta frontal VRF (FVRF) y el interior VRF (IVRF) son centrales a entender la característica.

Cada túnel IPsec se asocia a dos dominios VRF. El paquete encapsulado externo pertenece a un dominio VRF, que llamaremos el FVRF, mientras que el paquete del IP interno, protegido pertenece a otro dominio llamado el IVRF. Otra manera de exponer la misma cosa es que el punto final local del túnel IPsec pertenece al FVRF mientras que las direcciones de origen y de destino del paquete interior pertenecen al IVRF.

Uno o más túneles IPsec pueden terminar en una sola interfaz. El FVRF de todos estos túneles es igual y se establece en el VRF configurado en esa interfaz. El IVRF de estos túneles puede ser diferente y depende del VRF que se define en el perfil de ISAKMP (Internet Security Association and Key Management Protocol) que se asocia a una entrada de mapa de criptografía.

El cuadro 1 es un ejemplo de un escenario que muestra el IPSec al MPLS y al VPN de Capa 2.

Cuadro 1 IPSec al MPLS y al VPN de Capa 2

Flujo de paquetes en el túnel IPsec

Un paquete VPN llega de la red de estructura básica MPLS del proveedor de servicio al PE y se rutea a través de una interfaz que hace frente a Internet.

El paquete se corresponde con contra la base de datos de la política de seguridad (SPD), y el paquete es IPSec encapsulado. El SPD incluye el IVRF y el Access Control List (ACL).

El paquete encapsulado del IPSec entonces se remite usando la tabla de ruteo FVRF.

Flujo de paquetes del túnel IPsec

Un paquete encapsulado por IPsec llega el router PE del punto final de IPSec remoto.

El IPSec realiza las operaciones de búsqueda de la asociación de seguridad (SA) para el Security Parameter Index (SPI), el destino, y el protocolo.

El paquete es decapsulated usando el SA y se asocia a IVRF.

El paquete se remite más a fondo usando la tabla de ruteo IVRF.

Cómo configurar el IPSec que reconoce VRF

Configurando los llaveros Crypto (opcionales)

Configurando los perfiles ISAKMP (requeridos)

Configurando un perfil ISAKMP en una correspondencia de criptografía (requerida)

El configurar para ignorar la autenticación ampliada durante la negociación de la fase 1 IKE (opcional)

Verificar el IPSec que reconoce VRF

Verificación de las asociaciones de seguridad

Localización de averías del IPSec que reconoce VRF

Configurar los llaveros Crypto

Un llavero crypto es un repositorio del preshared y de los claves públicas del Rivest, del Shamir, y del Adelman (RSA). Puede haber cero o más llavero en el router del Cisco IOS.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto keyring keyring-name []vrf fvrf-name

4. description string

5.pre-shared-key {address address []mask | hostname hostname} key key

6.rsa-pubkey {address address | name fqdn} [encryption | signature]

7. address ip-address

8. serial-number serial-number

9. key-string

10. text

11. quit

12. exit

13. exit

PASOS DETALLADOS
 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto keyring keyring-name [vrf fvrf-name]

Example:

Router (config)# crypto keyring VPN1

Define un keyring con keyring-name como el nombre del keyring y ingresa al modo de configuración del keyring.

(Opcional) vrf la palabra clave y fvrf-name el argumento implican que el llavero está limitado al ruteo virtual y a la expedición (FVRF) de la puerta frontal. La clave en el llavero se busca si el punto final local está en el FVRF. Si vrf no se especifica, el llavero está limitado al global.

Paso 4 

description string


Router (config-keyring)# description The keys for VPN1

(Opcional) especifica una descripción uno line del llavero.

Paso 5 

pre-shared-key {address address [mask] | hostname hostname} key key

Example:

Router (config-keyring)# pre-shared-key address 10.72.23.11 key VPN1

(Opcional) define una clave del preshared por el direccionamiento o el nombre del host.

Paso 6 

rsa-pubkey {address address | name fqdn} [encryption | signature]

Example:

Router(config-keyring)# rsa-pubkey name host.vpn.com

(Opcional) define un clave pública RSA por el direccionamiento o el nombre del host y ingresa al modo de configuración RSA-pubkey.

La palabra clave optativa encryption especifica que la clave se debe utilizar para el cifrado.

La palabra clave optativa signature especifica que la clave se debe utilizar para la firma. De forma predeterminada, se utiliza la llave para la firma.

Paso 7 

address ip-address

Example:

Router(config-pubkey-key)# address 10.5.5.1

(Opcional) define la dirección IP del clave pública RSA.

Paso 8 

serial-number serial-number

Example:

Router(config-pubkey-key)# serial-number 1000000

(Opcional) especifica el número de serie del clave pública. El valor es a partir de la 0 con el infinito.

Paso 9 

key-string

Example:

Router (config-pubkey-key)# key-string

Ingresa en el Modo de texto en quien usted define el clave pública.

Paso 10 

text

Example:

Router (config-pubkey)# 00302017 4A7D385B 1234EF29 335FC973

Especifica el clave pública.

La notasolamente un clave pública se puede agregar en este paso.

Paso 11 

quit

Example:

Router (config-pubkey)# quit

Sale al modo de configuración del clave pública.

Paso 12 

exit

Example:

Router (config-pubkey)# exit

Salidas al modo de configuración del llavero.

Paso 13 

exit

Example:

Router(config-keyring)# exit#

Sale al modo de configuración global.


Configuración de Perfiles ISAKMP

Un perfil ISAKMP es un repositorio para la configuración de la fase de intercambio de claves de Internet (IKE) 1 y de la fase 1,5 IKE para un conjunto de los pares. Un perfil ISAKMP define los elementos tales como keepalive, trustpoints, identidades del par, y lista del XAUTH AAA durante el intercambio de la fase 1 y de la fase 1,5 IKE. Puede haber cero o más perfil ISAKMP en el router del Cisco IOS.


NotaSi el tráfico del router a un Certification Authority (CA) (para la autenticación, la inscripción, o para obtener un [CRL] del Lista de revocación de certificados (CRL)) o a un servidor del Lightweight Directory Access Protocol (LDAP) (para obtener un CRL) necesita ser ruteado vía un VRF, vrf el comando se debe agregar al trustpoint. Si no, el tráfico utiliza la tabla de ruteo predeterminado.

Si un perfil no especifica uno o más trustpoints, todo el trustpoints en el router será utilizado para intentar validar el certificado del par (modo principal IKE o autenticación de la firma). Si se especifica uno o más trustpoints, sólo eso trustpoints será utilizado.


Restricciones

Un router que inicia el IKE y un router que responde a la petición IKE deben tener configuraciones simétricas del trustpoint. Por ejemplo, un router de respuesta (en el modo principal IKE) que realizaba el cifrado y la autenticación de la firma RSA. pudo utilizar el trustpoints que fue definido en la configuración global al enviar las cargas útiles CERT REQ. Sin embargo, el router pudo utilizar una lista restricta de trustpoints que fue definido en el perfil ISAKMP para la verificación del certificado. Si configuran al par (el iniciador IKE) para utilizar un certificado cuyo trustpoint esté en la lista global del router de respuesta pero no en el perfil ISAKMP del router de respuesta, el certificado será rechazado. (Sin embargo, si el router de iniciación no sabe sobre el trustpoints en la configuración global del router de respuesta, el certificado se puede todavía autenticar.)

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto isakmp profile profile-name

4. description string

5. vrf ivrf-name

6.keepalive secondsrecomprobación retry-seconds

7.self-identity {address | fqdn | user-fqdn user-fqdn}

8. keyring keyring-name

9. ca trust-point trustpoint-name

10.match identity {group group-name | address address []maskdel []fvrf | host host-name | host domain domain-name | user user-fqdn | user domain domain-name}

11client configuration address {initiate | respond}

12. client authentication list list-name

13. isakmp authorization list list-name

14. initiate mode aggressive

15. exit

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto isakmp profile profile-name

Example:

Router (config)# crypto isakmp profile vpnprofile

Define un perfil del Internet Security Association and Key Management Protocol (ISAKMP) y ingresa en el modo de la configuración del perfil del isakmp.

Paso 4 

description string

Example:

Router (conf-isa-prof)# description configuration for VPN profile

(Opcional) especifica una descripción uno line de un perfil ISAKMP.

Paso 5 

vrf ivrf-name

Example:

Router (conf-isa-prof)# vrf VPN1

(Opcional) asocia el túnel IPsec a un caso del ruteo virtual y de la expedición (VRF).

ObserveEl VRF también sirve como selector para corresponder con la base de datos de la política de seguridad (SPD). Si el VRF no se especifica en el perfil ISAKMP, el IVRF del túnel IPsec será lo mismo que su FVRF.

Paso 6 

keepalive seconds retry retry-seconds

Example:

Router (conf-isa-prof)# keepalive 60 retry 5

(Opcional) permite que el gateway envíe los mensajes del Dead Peer Detection (DPD) al par.

Si no definido, el gateway utiliza el valor configurado global.

seconds — Número de segundos entre los mensajes DPD. El rango es 10 a 3600 segundos.

retry retry-seconds — Número de segundos entre las recomprobaciones si el mensaje DPD falla. El rango es 2 a 60 segundos.

Paso 7 

self-identity {address | fqdn | user-fqdn user-fqdn}

Example:

Router (conf-isa-prof)# self-identity address

(Opcional) especifica la identidad que el Internet Key Exchange (IKE) local debe utilizar para identificar sí mismo al peer remoto.

Si no definido, el IKE utiliza el valor configurado global.

address — Utiliza la dirección IP de la interfaz de egreso.

fqdn—Utiliza el nombre de dominio completo (FQDN) del router.

user-fqdn — Utiliza el valor especificado.

Paso 8 

keyring keyring-name

Example:

Router (conf-isa-prof)# keyring VPN1

(Opcional) especifica el llavero para utilizar para la autenticación de la fase 1.

Si el llavero no se especifica, se utilizan las definiciones claves globales.

Paso 9 

ca trust-point {trustpoint-name}

Example:

Router (conf-isa-prof)# ca trustpoint VPN1-trustpoint

(Opcional) especifica un trustpoint para validar un certificado del Rivest, del Shamir, y del Adelman (RSA).

Si no se especifica ningún trustpoint en el perfil ISAKMP, todo el trustpoints que se configura en el router del Cisco IOS se utiliza para validar el certificado.

Paso 10 

match identity {group group-name | address address [mask] [fvrf] | host host-name | host domain domain-name | user user-fqdn | user domain domain-name}

Example:

Router (conf-isa-prof)# match identity address 10.1.1.1

Especifica la identidad del cliente IKE (ID) que debe ser correspondida con.

group group-name — Hace juego group-name con el tipo ID_KEY_ID ID. También hace juego group-name con el campo de la unidad organizativa (OU) del Nombre distintivo (DN). ·

address address []mask fvrf — Hace juego address con el tipo ID_IPV4_ADDR ID. mask El argumento se puede utilizar para especificar un rango de direcciones. fvrf El argumento especifica que el direccionamiento está en el ruteo virtual y la expedición (el FVRF) de la puerta frontal

host hostname — Hace juego hostname con el tipo ID_FQDN ID.

host domain domain-name — Hace juego domain-name al tipo ID_FQDN ID cuyo Domain Name es lo mismo que domain-name. Utilice este comando de hacer juego todos los hosts en el dominio.

user username — Hace juego username con el tipo ID_USER_FQDN ID·

user domain domainname — Hace juego el tipo ID_USER_FQDN ID cuyo Domain Name hace juego domainname.

Paso 11 

client configuration address {initiate | respond}

Example:

Router (conf-isa-prof)# client configuration address initiate

(Opcional) especifica si iniciar la configuración de modo intercambian o responden a las peticiones de la configuración de modo.

Paso 12 

client authentication list list-name

Example:

Router (conf-isa-prof)# client authentication list xauthlist

AAA (opcional) (autenticación, autorización y contabilidad) a utilizar para autenticar al cliente remoto durante el intercambio del Autenticación ampliada (Xauth).

Paso 13 

isakmp authorization list list-name

Example:

Router (conf-isa-prof)# isakmp authorization list ikessaaalist

Servidor (opcional) de la Autorización de red para recibir la clave del preshared de la fase 1 y otros pares del valor de atributo (AV).

Paso 14 

initiate mode aggressive

Example:

Router (conf-isa-prof)# initiate mode aggressive

Intercambio (opcional) del modo agresivo de los iniciados.

Si no especificado, el IKE inicia siempre el intercambio del modo principal.

Paso 15 

exit

Example:

Router (conf-isa-prof)# exit

Sale al modo de configuración global.

Pasos Siguientes

Vaya a la sección “que configura un perfil ISAKMP en una correspondencia de criptografía” sección.”

Configurar un perfil ISAKMP en una correspondencia de criptografía

Un perfil ISAKMP se debe aplicar a la correspondencia de criptografía. El IVRF en el perfil ISAKMP se utiliza como selector al corresponder con el tráfico VPN. Si no hay IVRF en el perfil ISAKMP, el IVRF será igual al FVRF. Realice esta tarea de configurar un perfil ISAKMP en una correspondencia de criptografía.

Prerrequisitos

Antes de configurar un perfil ISAKMP en una correspondencia de criptografía, usted debe primero configurar su IPSec del router para básica.

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto map map-name isakmp-profile isakmp-profile-name

4. set isakmp-profile profile-name

5. exit

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto map map-name isakmp-profile isakmp-profile-name

Example:

Router (config)# crypto map vpnmap isakmp-profile vpnprofile

(Opcional) especifica el perfil del intercambio de claves de Internet y del Key Management Protocol (ISAKMP) para el conjunto de la correspondencia de criptografía y ingresa al modo de configuración de la correspondencia de criptografía.

El perfil ISAKMP será utilizado durante el intercambio IKE.

Paso 4 

set isakmp-profile profile-name

Example:

Router (config-crypto-map)# set isakmp-profile vpnprofile

(Opcional) especifica el perfil ISAKMP para utilizar cuando el tráfico hace juego la entrada de correspondencia de criptografía.

Paso 5 

exit

Example:

Router (config-crypto-map)# exit

Sale al modo de configuración global.

El configurar para ignorar la autenticación ampliada durante la negociación de la fase 1 IKE

Para ignorar el XAUTH durante una negociación de la fase 1 IKE, utilice no crypto xauth el comando. Utilice no crypto xauth el comando si usted no requiere la autenticación ampliada para los clientes del Unity.

PASOS SUMARIOS

1. enable

2. configure terminal

3. no crypto xauth interface

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

no crypto xauth interface

Example:

Router(config)# no crypto xauth ethernet0

Ignora las ofertas del XAUTH para las peticiones que se destinan a la dirección IP de la interfaz. Por abandono, ofertas del XAUTH de los procesos del Internet Key Exchange (IKE).

Verificar el IPSec que reconoce VRF

Para verificar sus configuraciones IPSec que reconoce VRF, utilice los siguientes comandos show . Estos show comandos permiten le a la información de configuración de la lista y a las asociaciones de seguridad (SA):

PASOS SUMARIOS

1. enable

2.show crypto ipsec sa [map map-name | address | identity | interface interface | []del []vrf fvrf-name address | vrf ivrf-namedel par]detail

3. show crypto isakmp key

4. show crypto isakmp profile

5. show crypto key pubkey-chain rsa

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

show crypto ipsec sa [map map-name | address | 
identity | interface interface | peer [vrf 
fvrf-name] address | vrf ivrf-name] [detail]
Example:

Router# show crypto ipsec sa vrf vpn1

Permite que usted vea las configuraciones usadas por las asociaciones de seguridad vigentes (SA).

Paso 3 

show crypto isakmp key

Example:

Router# show crypto isakmp key

Enumera todos los llaveros y sus claves del preshared.

Utilice este comando de verificar su configuración del anillo de clave cifrado.

Paso 4 

show crypto isakmp profile

Example:

Router# show crypto isakmp profile

Enumera todos los perfiles ISAKMP y sus configuraciones.

Paso 5 

show crypto key pubkey-chain rsa

Example:

Router# show crypto key pubkey-chain rsa

Ve los claves públicas RSA del par que se salvan en su router.

La salida se extiende para mostrar el llavero al cual el clave pública pertenece.

Verificación de las asociaciones de seguridad

Los siguientes comandos clear permiten que usted borre los SA.

PASOS SUMARIOS

1. enable

2.clear crypto sa [counters | map map-name | peer []vrf fvrf-name address | spi address {ah | esp} spi | vrf ivrf-name]

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

clear crypto sa [counters | map map-name | peer [vrf fvrf-name] address | spi address {ah | esp} spi | vrf ivrf-name]

Example:

Router# clear crypto sa vrf VPN1

Borra a las asociaciones de seguridad IPSec (SA).

Localización de averías del IPSec que reconoce VRF

Para resolver problemas el IPSec que reconoce VRF, utilice los siguientes comandos debug :

PASOS SUMARIOS

1. enable

2. debug crypto ipsec

3. debug crypto isakmp

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

debug crypto ipsec

Example:

Router# debug crypto ipsec

Eventos de la seguridad IP de las visualizaciones (IPSec).

Paso 3 

debug crypto isakmp

Example:

Router(config)# debug crypto isakmp

Muestra mensajes sobre eventos de Intercambio de llaves de Internet (IKE).

Ejemplos del debug para el IPSec que reconoce VRF

Los ejemplos de salida del debug siguientes están para una configuración IPSec que reconoce VRF:

IPSec PE

Router# debug crypto ipsec

Crypto IPSEC debugging is on
IPSEC-PE#debug crypto isakmp
Crypto ISAKMP debugging is on
IPSEC-PE#debug crypto isakmp d
04:31:28: ISAKMP (0:12): purging SA., sa=6482B354, delme=6482B354
04:31:28: ISAKMP: Unlocking IKE struct 0x63C142F8 for declare_sa_dead(), count 0     
IPSEC-PE#debug crypto isakmp detail
Crypto ISAKMP internals debugging is on
IPSEC-PE#
IPSEC-PE#
IPSEC-PE#
04:32:07: ISAKMP: Deleting peer node by peer_reap for 10.1.1.1: 63C142F8
04:32:55: ISAKMP cookie gen for src 172.16.1.1 dst 10.1.1.1
04:32:55: ISAKMP cookie 3123100B DC887D4E
04:32:55: ISAKMP cookie gen for src 10.1.1.1 dst 172.68.1.1
04:32:55: ISAKMP cookie AA8F7B41 49A60E88
04:32:55: ISAKMP cookie gen for src 172.16.1.1 dst 10.1.1.1
04:32:55: ISAKMP cookie 3123100B DBC8E125
04:32:55: ISAKMP cookie gen for src 10.1.1.1 dst 172.16.1.1
04:32:55: ISAKMP cookie AA8F7B41 B4BDB5B7
04:32:55: ISAKMP (0:0): received packet from 10.1.1.1 dport 500 sport 500 Global (N) NEW 
SA
04:32:55: ISAKMP: local port 500, remote port 500
04:32:55: ISAKMP: hash from 729FA94 for 619 bytes
04:32:55: ISAKMP: Packet hash:
64218CC0:                   B91E2C70 095A1346          9.,p.Z.F
64218CD0: 0EDB4CA6 8A46784F B314FD3B 00        .[L&.FxO.};.   
04:32:55: ISAKMP cookie gen for src 10.1.1.1 dst 172.18.1.1
04:32:55: ISAKMP cookie AA8F7B41 F7ACF384
04:32:55: ISAKMP cookie gen for src 10.1.1.1 dst 172.18.1.1
04:32:55: ISAKMP cookie AA8F7B41 0C07C670
04:32:55: ISAKMP: insert sa successfully sa = 6482B354
04:32:55: ISAKMP (0:13): processing SA payload. message ID = 0
04:32:55: ISAKMP (0:13): processing ID payload. message ID = 0
04:32:55: ISAKMP (0:13): peer matches vpn2-ra profile
04:32:55: ISAKMP: Looking for a matching key for 10.1.1.1 in default
04:32:55: ISAKMP: Created a peer struct for 10.1.1.1, peer port 500
04:32:55: ISAKMP: Locking peer struct 0x640BBB18, IKE refcount 1 for 
crypto_ikmp_config_initialize_sa
04:32:55: ISAKMP (0:13): Setting client config settings 648252B0
04:32:55: ISAKMP (0:13): (Re)Setting client xauth list and state
04:32:55: ISAKMP (0:13): processing vendor id payload
04:32:55: ISAKMP (0:13): vendor ID seems Unity/DPD but major 157 mismatch
04:32:55: ISAKMP (0:13): vendor ID is NAT-T v3
04:32:55: ISAKMP (0:13): processing vendor id payload
04:32:55: ISAKMP (0:13): vendor ID seems Unity/DPD but major 123 mismatch
04:32:55: ISAKMP (0:13): vendor ID is NAT-T v2
04:32:55: ISAKMP (0:13) Authentication by xauth preshared
04:32:55: ISAKMP (0:13): Checking ISAKMP transform 1 against priority 1 policy
04:32:55: ISAKMP:      encryption 3DES-CBC
04:32:55: ISAKMP:      hash SHA
04:32:55: ISAKMP:      default group 2
04:32:55: ISAKMP:      auth XAUTHInitPreShared
04:32:55: ISAKMP:      life type in seconds
04:32:55: ISAKMP:      life duration (VPI) of 0x0 0x20 0xC4 0x9B 
04:32:55: ISAKMP (0:13): atts are acceptable. Next payload is 3
04:32:55: ISAKMP (0:13): processing vendor id payload
04:32:55: ISAKMP (0:13): vendor ID seems Unity/DPD but major 157 mismatch
04:32:55: ISAKMP (0:13): vendor ID is NAT-T v3
04:32:55: ISAKMP (0:13): processing vendor id payload
04:32:55: ISAKMP (0:13): vendor ID seems Unity/DPD but major 123 mismatch
04:32:55: ISAKMP (0:13): vendor ID is NAT-T v2
04:32:55: ISAKMP (0:13): processing KE payload. message ID = 0
04:32:55: ISAKMP (0:13): processing NONCE payload. message ID = 0
04:32:55: ISAKMP (0:13): processing vendor id payload
04:32:55: ISAKMP (0:13): vendor ID is DPD
04:32:55: ISAKMP (0:13): processing vendor id payload
04:32:55: ISAKMP (0:13): vendor ID seems Unity/DPD but major 175 mismatch
04:32:55: ISAKMP (0:13): vendor ID is XAUTH
04:32:55: ISAKMP (0:13): processing vendor id payload
04:32:55: ISAKMP (0:13): claimed IOS but failed authentication
04:32:55: ISAKMP (0:13): processing vendor id payload
04:32:55: ISAKMP (0:13): vendor ID is Unity
04:32:55: ISAKMP (0:13): Input = IKE_MESG_FROM_PEER, IKE_AM_EXCH
04:32:55: ISAKMP (0:13): Old State = IKE_READY  New State = IKE_R_AM_AAA_AWAIT 

04:32:55: ISAKMP cookie gen for src 11.1.1.1 dst 172.16.1.1
04:32:55: ISAKMP cookie AA8F7B41 7AE6E1DF
04:32:55: ISAKMP:        isadb_post_process_list: crawler: 4 AA 31 (6482B354)
04:32:55:       crawler my_cookie AA8F7B41 F7ACF384
04:32:55:        crawler his_cookie E46E088D F227FE4D
04:32:55: ISAKMP: got callback 1
04:32:55: ISAKMP (0:13): SKEYID state generated
04:32:55: ISAKMP: Unity/DPD ID: vendor_id_payload:
        next: 0xD, reserved: 0x0, len 0x14
04:32:55: ISAKMP: Unity/DPD ID payload dump:
63E66D70:                            0D000014              ....
63E66D80: 12F5F28C 457168A9 702D9FE2 74CC0100  .ur.Eqh)p-.btL..
63E66D90: 00                                   .               
04:32:55: ISAKMP: Unity/DPD ID: vendor_id_payload:
        next: 0xD, reserved: 0x0, len 0x14
04:32:55: ISAKMP: Unity/DPD ID payload dump:
63E66D90: 0D000014 AFCAD713 68A1F1C9 6B8696FC  ..../JW.h!qIk..|
63E66DA0: 77570100 00                          wW...           
04:32:55: ISAKMP (0:13): constructed NAT-T vendor-03 ID
04:32:55: ISAKMP (0:13): SA is doing pre-shared key authentication plus XAUTH using id 
type ID_IPV4_ADDR
04:32:55: ISAKMP (13): ID payload
        next-payload : 10
        type         : 1
        addr         : 172.16.1.1
        protocol     : 17
        port         : 0
        length       : 8
04:32:55: ISAKMP (13): Total payload length: 12
04:32:55: ISAKMP (0:13): constructed HIS NAT-D
04:32:55: ISAKMP (0:13): constructed MINE NAT-D
04:32:55: ISAKMP (0:13): sending packet to 10.1.1.1 my_port 500 peer_port 500 (R) 
AG_INIT_EXCH
04:32:55: ISAKMP (0:13): Input = IKE_MESG_FROM_AAA, PRESHARED_KEY_REPLY
04:32:55: ISAKMP (0:13): Old State = IKE_R_AM_AAA_AWAIT  New State = IKE_R_AM2 

04:32:55: ISAKMP cookie gen for src 172.16.1.1 dst 10.1.1.1
04:32:55: ISAKMP cookie 3123100B D99DA70D
04:32:55: ISAKMP cookie gen for src 10.1.1.1 dst 172.16.1.1
04:32:55: ISAKMP cookie AA8F7B41 9C69F917
04:32:55: ISAKMP:        isadb_post_process_list: crawler: 5 21FF 1 (6482B354)
04:32:55:       crawler my_cookie AA8F7B41 F7ACF384
04:32:55:        crawler his_cookie E46E088D F227FE4D
04:32:55: ISAKMP cookie gen for src 172.16.1.1 dst 10.1.1.1
04:32:55: ISAKMP cookie 3123100B 00583224
04:32:55: ISAKMP cookie gen for src 10.1.1.1 dst 172.16.1.1
04:32:55: ISAKMP cookie AA8F7B41 C1B006EE
04:32:55: ISAKMP:        isadb_post_process_list: crawler: 5 21FF 1 (6482B354)
04:32:55:       crawler my_cookie AA8F7B41 F7ACF384
04:32:55:        crawler his_cookie E46E088D F227FE4D
04:32:55: ISAKMP (0:13): received packet from 10.1.1.1 dport 500 sport 500 Global (R) 
AG_INIT_EXCH
04:32:55: ISAKMP: hash from 7003A34 for 132 bytes
04:32:55: ISAKMP: Packet hash:
64218CC0:                   D1202D99 2BB49D38          Q -.+4.8
64218CD0: B8FBB1BE 7CDC67D7 4E26126C 63        8{1>|\gWN&.lc   
04:32:55: ISAKMP (0:13): processing HASH payload. message ID = 0
04:32:55: ISAKMP:received payload type 17
04:32:55: ISAKMP (0:13): Detected NAT-D payload
04:32:55: ISAKMP (0:13): recalc my hash for NAT-D
04:32:55: ISAKMP (0:13): NAT match MINE hash
04:32:55: ISAKMP:received payload type 17
04:32:55: ISAKMP (0:13): Detected NAT-D payload
04:32:55: ISAKMP (0:13): recalc his hash for NAT-D
04:32:55: ISAKMP (0:13): NAT match HIS hash
04:32:55: ISAKMP (0:13): processing NOTIFY INITIAL_CONTACT protocol 1
        spi 0, message ID = 0, sa = 6482B354
04:32:55: ISAKMP (0:13): Process initial contact,
bring down existing phase 1 and 2 SA's with local 172.16.1.1 remote 10.1.1.1 remote port 
500
04:32:55: ISAKMP (0:13): returning IP addr to the address pool
04:32:55: ISAKMP cookie gen for src 10.1.1.1 dst 172.16.1.1
04:32:55: ISAKMP cookie AA8F7B41 05D315C5
04:32:55: ISAKMP cookie gen for src 172.16.1.1 dst 10.1.1.1
04:32:55: ISAKMP cookie 3123100B 041A85A6
04:32:55: ISAKMP (0:13): SA has been authenticated with 10.1.1.1
04:32:55: ISAKMP: Trying to insert a peer 172.16.1.1/10.1.1.1/500/,  and inserted 
successfully.
04:32:55: ISAKMP: set new node -803402627 to CONF_XAUTH   
04:32:55: IPSEC(key_engine): got a queue event...
04:32:55: ISAKMP (0:13): sending packet to 10.1.1.1 my_port 500 peer_port 500 (R) QM_IDLE      
04:32:55: ISAKMP (0:13): purging node -803402627
04:32:55: ISAKMP: Sending phase 1 responder lifetime 86400

04:32:55: ISAKMP (0:13): Input = IKE_MESG_FROM_PEER, IKE_AM_EXCH
04:32:55: ISAKMP (0:13): Old State = IKE_R_AM2  New State = IKE_P1_COMPLETE 

04:32:55: ISAKMP cookie gen for src 10.1.1.1 dst 172.168.1.1
04:32:55: ISAKMP cookie AA8F7B41 25EEF256
04:32:55: ISAKMP:        isadb_post_process_list: crawler: 9 27FF 2 (6482B354)
04:32:55:       crawler my_cookie AA8F7B41 F7ACF384
04:32:55:        crawler his_cookie E46E088D F227FE4D
04:32:55: ISAKMP (0:13): Need XAUTH
04:32:55: ISAKMP (0:13): Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
04:32:55: ISAKMP (0:13): Old State = IKE_P1_COMPLETE  New State = 
IKE_XAUTH_AAA_START_LOGIN_AWAIT 

04:32:55: ISAKMP cookie gen for src 10.1.1.1 dst 172.16.1.1
04:32:55: ISAKMP cookie AA8F7B41 2CCFA491
04:32:55: ISAKMP:        isadb_post_process_list: crawler: B 27FF 12 (6482B354)
04:32:55:       crawler my_cookie AA8F7B41 F7ACF384
04:32:55:        crawler his_cookie E46E088D F227FE4D
04:32:55: ISAKMP: got callback 1
04:32:55: ISAKMP: set new node -1447732198 to CONF_XAUTH   
04:32:55: ISAKMP/xauth: request attribute XAUTH_USER_NAME_V2
04:32:55: ISAKMP/xauth: request attribute XAUTH_USER_PASSWORD_V2
04:32:55: ISAKMP (0:13): initiating peer config to 10.1.1.1. ID = -1447732198
04:32:55: ISAKMP (0:13): sending packet to 10.1.1.1 my_port 500 peer_port 500 (R) 
CONF_XAUTH   
04:32:55: ISAKMP (0:13): Input = IKE_MESG_FROM_AAA, IKE_AAA_START_LOGIN
04:32:55: ISAKMP (0:13): Old State = IKE_XAUTH_AAA_START_LOGIN_AWAIT  New State = 
IKE_XAUTH_REQ_SENT 

04:33:00: ISAKMP (0:13): retransmitting phase 2 CONF_XAUTH    -1447732198 ...
04:33:00: ISAKMP (0:13): incrementing error counter on sa: retransmit phase 2
04:33:00: ISAKMP (0:13): incrementing error counter on sa: retransmit phase 2
04:33:00: ISAKMP (0:13): retransmitting phase 2 -1447732198 CONF_XAUTH   
04:33:00: ISAKMP (0:13): sending packet to 10.1.1.1 my_port 500 peer_port 500 (R) 
CONF_XAUTH   
04:33:03: ISAKMP cookie gen for src 172.18.1.1 dst 10.1.1.1
04:33:03: ISAKMP cookie 3123100B 124D4618
04:33:03: ISAKMP cookie gen for src 10.1.1.1 dst 172.18.1.1
04:33:03: ISAKMP cookie AA8F7B41 B0C91917
04:33:03: ISAKMP:        isadb_post_process_list: crawler: B 27FF 2 (6482B354)
04:33:03:       crawler my_cookie AA8F7B41 F7ACF384
04:33:03:        crawler his_cookie E46E088D F227FE4D
04:33:03: ISAKMP cookie gen for src 172.18.1.1 dst 10.1.1.1
04:33:03: ISAKMP cookie 3123100B 0E294692
04:33:03: ISAKMP cookie gen for src 10.1.1.1 dst 172.18.1.1
04:33:03: ISAKMP cookie AA8F7B41 091A7695
04:33:03: ISAKMP:        isadb_post_process_list: crawler: B 27FF 2 (6482B354)
04:33:03:       crawler my_cookie AA8F7B41 F7ACF384
04:33:03:        crawler his_cookie E46E088D F227FE4D
04:33:03: ISAKMP (0:13): received packet from 10.1.1.1 dport 500 sport 500 Global (R) 
CONF_XAUTH   
04:33:03: ISAKMP: hash from 7292D74 for 92 bytes
04:33:03: ISAKMP: Packet hash:
64218CC0:                   84A1AF24 5D92B116          .!/$].1.
64218CD0: FC2C6252 A472C5F8 152AC860 63        |,bR$rEx.*H`c   
04:33:03: ISAKMP (0:13): processing transaction payload from 11.1.1.1. message ID = 
-1447732198
04:33:03: ISAKMP: Config payload REPLY
04:33:03: ISAKMP/xauth: reply attribute XAUTH_USER_NAME_V2
04:33:03: ISAKMP/xauth: reply attribute XAUTH_USER_PASSWORD_V2
04:33:03: ISAKMP (0:13): deleting node -1447732198 error FALSE reason "done with xauth 
request/reply exchange"
04:33:03: ISAKMP (0:13): Input = IKE_MESG_FROM_PEER, IKE_CFG_REPLY
04:33:03: ISAKMP (0:13): Old State = IKE_XAUTH_REQ_SENT  New State = 
IKE_XAUTH_AAA_CONT_LOGIN_AWAIT 

04:33:03: ISAKMP cookie gen for src 10.1.1.1 dst 172.18.1.1
04:33:03: ISAKMP cookie AA8F7B41 A1B3E684
04:33:03: ISAKMP:        isadb_post_process_list: crawler: B 27FF 12 (6482B354)
04:33:03:       crawler my_cookie AA8F7B41 F7ACF384
04:33:03:        crawler his_cookie E46E088D F227FE4D
04:33:03: ISAKMP: got callback 1
04:33:03: ISAKMP: set new node 524716665 to CONF_XAUTH   
04:33:03: ISAKMP (0:13): initiating peer config to 10.1.1.1. ID = 524716665
04:33:03: ISAKMP (0:13): sending packet to 10.1.1.1 my_port 500 peer_port 500 (R) 
CONF_XAUTH   
04:33:03: ISAKMP (0:13): Input = IKE_MESG_FROM_AAA, IKE_AAA_CONT_LOGIN
04:33:03: ISAKMP (0:13): Old State = IKE_XAUTH_AAA_CONT_LOGIN_AWAIT  New State = 
IKE_XAUTH_SET_SENT 
004:33:03: ISAKMP cookie gen for src 172.18.1.1 dst 10.1.1.1
04:33:03: ISAKMP cookie 3123100B 5C83A09D
04:33:03: ISAKMP cookie gen for src 10.1.1.1 dst 172.18.1.1
04:33:03: ISAKMP cookie AA8F7B41 2BEBEFD4
04:33:03: ISAKMP:        isadb_post_process_list: crawler: B 27FF 2 (6482B354)
04:33:03:       crawler my_cookie AA8F7B41 F7ACF384
04:33:03:        crawler his_cookie E46E088D F227FE4D
04:33:03: ISAKMP cookie gen for src 172.18.1.1 dst 10.1.1.1
04:33:03: ISAKMP cookie 3123100B DA00A46B
04:33:03: ISAKMP cookie gen for src 10.1.1.1 dst 172.18.1.1
04:33:03: ISAKMP cookie AA8F7B41 FDD27773
04:33:03: ISAKMP:        isadb_post_process_list: crawler: B 27FF 2 (6482B354)
04:33:03:       crawler my_cookie AA8F7B41 F7ACF384
04:33:03:        crawler his_cookie E46E088D F227FE4D
04:33:03: ISAKMP (0:13): received packet from 10.1.1.1 dport 500 sport 500 Global (R) 
CONF_XAUTH   
04:33:03: ISAKMP: hash from 7292A34 for 68 bytes
04:33:03: ISAKMP: Packet hash:
64218CC0:                   5034B99E B8BA531F          P49.8:S.
64218CD0: 6267B8BD F3006989 DC118796 63        bg8=s.i.\...c   
04:33:03: ISAKMP (0:13): processing transaction payload from 11.1.1.1. message ID = 
524716665
04:33:03: ISAKMP: Config payload ACK
04:33:03: ISAKMP (0:13):        XAUTH ACK Processed
04:33:03: ISAKMP (0:13): deleting node 524716665 error FALSE reason "done with 
transaction"
04:33:03: ISAKMP (0:13): Input = IKE_MESG_FROM_PEER, IKE_CFG_ACK
04:33:03: ISAKMP (0:13): Old State = IKE_XAUTH_SET_SENT  New State = IKE_P1_COMPLETE 

04:33:03: ISAKMP cookie gen for src 10.1.1.1 dst 172.18.1.1
04:33:03: ISAKMP cookie AA8F7B41 E0BB50E9
04:33:03: ISAKMP:        isadb_post_process_list: crawler: 9 27FF 2 (6482B354)
04:33:03:       crawler my_cookie AA8F7B41 F7ACF384
04:33:03:        crawler his_cookie E46E088D F227FE4D
04:33:03: ISAKMP (0:13): Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
04:33:03: ISAKMP (0:13): Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE 

04:33:03: ISAKMP cookie gen for src 172.18.1.1 dst 10.1.1.1
04:33:03: ISAKMP cookie 3123100B 7794EF6E
04:33:03: ISAKMP cookie gen for src 10.1.1.1 dst 172.18.1.1
04:33:03: ISAKMP cookie AA8F7B41 C035AAE5
04:33:03: ISAKMP:        isadb_post_process_list: crawler: 9 27FF 2 (6482B354)
04:33:03:       crawler my_cookie AA8F7B41 F7ACF384
04:33:03:        crawler his_cookie E46E088D F227FE4D
04:33:03: ISAKMP cookie gen for src 172.18.1.1 dst 10.1.1.1
04:33:03: ISAKMP cookie 3123100B F1FCC25A
04:33:03: ISAKMP cookie gen for src 10.1.1.1 dst 172.18.1.1
04:33:03: ISAKMP cookie AA8F7B41 31744F44
04:33:03: ISAKMP:        isadb_post_process_list: crawler: 9 27FF 2 (6482B354)
04:33:03:       crawler my_cookie AA8F7B41 F7ACF384
04:33:03:        crawler his_cookie E46E088D F207FE4D
04:33:03: ISAKMP (0:13): received packet from 10.1.1.1 dport 500 sport 500 Global (R) 
QM_IDLE      
04:33:03: ISAKMP: set new node -1639992295 to QM_IDLE      
04:33:03: ISAKMP: hash from 7293A74 for 100 bytes
04:33:03: ISAKMP: Packet hash:
64218CC0:                   9D7DF4DF FE3A6403          .}t_~:d.
64218CD0: 3F1D1C59 C5D138CE 50289B79 07        ?..YEQ8NP(.y.   
04:33:03: ISAKMP (0:13): processing transaction payload from 10.1.1.1. message ID = 
-1639992295
04:33:03: ISAKMP: Config payload REQUEST
04:33:03: ISAKMP (0:13): checking request:
04:33:03: ISAKMP:    IP4_ADDRESS
04:33:03: ISAKMP:    IP4_NETMASK
04:33:03: ISAKMP:    IP4_DNS
04:33:03: ISAKMP:    IP4_DNS
04:33:03: ISAKMP:    IP4_NBNS
04:33:03: ISAKMP:    IP4_NBNS
04:33:03: ISAKMP:    SPLIT_INCLUDE
04:33:03: ISAKMP:    DEFAULT_DOMAIN
04:33:03: ISAKMP (0:13): Input = IKE_MESG_FROM_PEER, IKE_CFG_REQUEST
04:33:03: ISAKMP (0:13): Old State = IKE_P1_COMPLETE  New State = 
IKE_CONFIG_AUTHOR_AAA_AWAIT 

04:33:03: ISAKMP cookie gen for src 10.1.1.1 dst 172.18.1.1
04:33:03: ISAKMP cookie AA8F7B41 B02E0D67
04:33:03: ISAKMP:        isadb_post_process_list: crawler: C 27FF 12 (6482B354)
04:33:03:       crawler my_cookie AA8F7B41 F7ACF384
04:33:03:        crawler his_cookie E46E088D F227FE4D
04:33:03: ISAKMP: got callback 1
04:33:03: ISAKMP (0:13): attributes sent in message:
04:33:03:         Address: 10.2.0.0
04:33:03: ISAKMP (0:13): allocating address 10.4.1.4
04:33:03: ISAKMP: Sending private address: 10.4.1.4
04:33:03: ISAKMP: Sending DEFAULT_DOMAIN default domain name: vpn2.com
04:33:03: ISAKMP (0:13): responding to peer config from 10.1.1.1. ID = -1639992295
04:33:03: ISAKMP (0:13): sending packet to 10.1.1.1 my_port 500 peer_port 500 (R) 
CONF_ADDR    
04:33:03: ISAKMP (0:13): deleting node -1639992295 error FALSE reason ""
04:33:03: ISAKMP (0:13): Input = IKE_MESG_FROM_AAA, IKE_AAA_GROUP_ATTR
04:33:03: ISAKMP (0:13): Old State = IKE_CONFIG_AUTHOR_AAA_AWAIT  New State = 
IKE_P1_COMPLETE 

04:33:03: ISAKMP cookie gen for src 172.18.1.1 dst 10.1.1.1
04:33:03: ISAKMP cookie 3123100B 881D5411
04:33:03: ISAKMP cookie gen for src 11.1.1.1 dst 172.18.1.1
04:33:03: ISAKMP cookie AA8F7B41 6FD82541
04:33:03: ISAKMP:        isadb_post_process_list: crawler: 9 27FF 2 (6482B354)
04:33:03:       crawler my_cookie AA8F7B41 F7ACF384
04:33:03:        crawler his_cookie E46E088D F227FE4D
04:33:03: ISAKMP cookie gen for src 172.18.1.1 dst 10.1.1.1
04:33:03: ISAKMP cookie 3123100B 8A94C1BE
04:33:03: ISAKMP cookie gen for src 10.1.1.1 dst 172.18.1.1
04:33:03: ISAKMP cookie AA8F7B41 F3BA766D
04:33:03: ISAKMP:        isadb_post_process_list: crawler: 9 27FF 2 (6482B354)
04:33:03:       crawler my_cookie AA8F7B41 F7ACF384
04:33:03:        crawler his_cookie E46E088D F207FE4D
04:33:03: ISAKMP (0:13): received packet from 10.1.1.1 dport 500 sport 500 Global (R) 
QM_IDLE      
04:33:03: ISAKMP: set new node 17011691 to QM_IDLE      
04:33:03: ISAKMP: hash from 70029F4 for 540 bytes
04:33:03: ISAKMP: Packet hash:
64218CC0:                   AFBA30B2 55F5BC2D          /:02Uu<-
64218CD0: 3A86B1C9 00D2F5BA 77BF5589 07        :.1I.Ru:w?U..   
04:33:03: ISAKMP (0:13): processing HASH payload. message ID = 17011691
04:33:03: ISAKMP (0:13): processing SA payload. message ID = 17011691
04:33:03: ISAKMP (0:13): Checking IPSec proposal 1
04:33:03: ISAKMP: transform 1, ESP_3DES
04:33:03: ISAKMP:   attributes in transform:
04:33:03: ISAKMP:      encaps is 1
04:33:03: ISAKMP:      SA life type in seconds
04:33:03: ISAKMP:      SA life duration (VPI) of  0x0 0x20 0xC4 0x9B 
04:33:03: ISAKMP:      SA life type in kilobytes
04:33:03: ISAKMP:      SA life duration (VPI) of  0x0 0x46 0x50 0x0 
04:33:03: ISAKMP:      authenticator is HMAC-SHA
04:33:03: ISAKMP (0:13): atts are acceptable.
04:33:03: IPSEC(validate_proposal_request): proposal part #1,
  (key eng. msg.) INBOUND local= 172.18.1.1, remote= 10.1.1.1, 
    local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4), 
    remote_proxy= 10.4.1.4/255.255.255.255/0/0 (type=1),
    protocol= ESP, transform= esp-3des esp-sha-hmac, 
    lifedur= 0s and 0kb, 
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x2
04:33:03: IPSEC(kei_proxy): head = ra, map->ivrf = vpn1, kei->ivrf = vpn2
04:33:03: IPSEC(kei_proxy): head = ra, map->ivrf = vpn2, kei->ivrf = vpn2
04:33:03: IPSEC(validate_transform_proposal): transform proposal not supported for 
identity: 
    {esp-3des esp-sha-hmac}
04:33:03: ISAKMP (0:13): IPSec policy invalidated proposal
04:33:03: ISAKMP (0:13): Checking IPSec proposal 2
04:33:03: ISAKMP: transform 1, ESP_3DES
04:33:03: ISAKMP:   attributes in transform:
04:33:03: ISAKMP:      encaps is 1
04:33:03: ISAKMP:      SA life type in seconds
04:33:03: ISAKMP:      SA life duration (VPI) of  0x0 0x20 0xC4 0x9B 
04:33:03: ISAKMP:      SA life type in kilobytes
04:33:03: ISAKMP:      SA life duration (VPI) of  0x0 0x46 0x50 0x0 
04:33:03: ISAKMP:      authenticator is HMAC-MD5
04:33:03: ISAKMP (0:13): atts are acceptable.
04:33:03: IPSEC(validate_proposal_request): proposal part #1,
  (key eng. msg.) INBOUND local= 172.18.1.1, remote= 10.1.1.1, 
    local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4), 
    remote_proxy= 10.4.1.4/255.255.255.255/0/0 (type=1),
    protocol= ESP, transform= esp-3des esp-md5-hmac, 
    lifedur= 0s and 0kb, 
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x2
04:33:03: IPSEC(kei_proxy): head = ra, map->ivrf = vpn1, kei->ivrf = vpn2
04:33:03: IPSEC(kei_proxy): head = ra, map->ivrf = vpn2, kei->ivrf = vpn2
04:33:03: ISAKMP (0:13): processing NONCE payload. message ID = 17011691
04:33:03: ISAKMP (0:13): processing ID payload. message ID = 17011691
04:33:03: ISAKMP (0:13): processing ID payload. message ID = 17011691
04:33:03: ISAKMP (0:13): asking for 1 spis from ipsec
04:33:03: ISAKMP (0:13): Node 17011691, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
04:33:03: ISAKMP (0:13): Old State = IKE_QM_READY  New State = IKE_QM_SPI_STARVE
04:33:03: IPSEC(key_engine): got a queue event...
04:33:03: IPSEC(spi_response): getting spi 2749516541 for SA 
        from 172.18.1.1     to 10.1.1.1        for prot 3
04:33:03: ISAKMP: received ke message (2/1)
04:33:04: ISAKMP (13): ID payload
        next-payload : 5
        type         : 1
        addr         : 10.4.1.4
        protocol     : 0
        port         : 0
04:33:04: ISAKMP (13): ID payload
        next-payload : 11
        type         : 4
        addr         : 0.0.0.0
        protocol     : 0
        port         : 0
04:33:04: ISAKMP (0:13): sending packet to 10.1.1.1 my_port 500 peer_port 500 (R) QM_IDLE      
04:33:04: ISAKMP (0:13): Node 17011691, Input = IKE_MESG_FROM_IPSEC, IKE_SPI_REPLY
04:33:04: ISAKMP (0:13): Old State = IKE_QM_SPI_STARVE  New State = IKE_QM_R_QM2
04:33:04: ISAKMP cookie gen for src 172.18.1.1 dst 10.1.1.1
04:33:04: ISAKMP cookie 3123100B 93DE46D2
04:33:04: ISAKMP cookie gen for src 10.1.1.1 dst 172.18.1.1
04:33:04: ISAKMP cookie AA8F7B41 088A0A16
04:33:04: ISAKMP:        isadb_post_process_list: crawler: 9 27FF 2 (6482B354)
04:33:04:       crawler my_cookie AA8F7B41 F7ACF384
04:33:04:        crawler his_cookie E46E088D F227FE4D
04:33:04: ISAKMP cookie gen for src 172.18.1.1 dst 10.1.1.1
04:33:04: ISAKMP cookie 3123100B A8F23F73
04:33:04: ISAKMP cookie gen for src 10.1.1.1 dst 172.18.1.1
04:33:04: ISAKMP cookie AA8F7B41 93D8D879
04:33:04: ISAKMP:        isadb_post_process_list: crawler: 9 27FF 2 (6482B354)
04:33:04:       crawler my_cookie AA8F7B41 F7ACF384
04:33:04:        crawler his_cookie E46E088D F227FE4D
04:33:04: ISAKMP (0:13): received packet from 10.1.1.1 dport 500 sport 500 Global (R) 
QM_IDLE      
04:33:04: ISAKMP: hash from 7290DB4 for 60 bytes
04:33:04: ISAKMP: Packet hash:
64218CC0:                   4BB45A92 7181A2F8          K4Z.q."x
64218CD0: 73CC12F8 091875C0 054F77CD 63        sL.x..u@.OwMc   
04:33:04: ISAKMP: Locking peer struct 0x640BBB18, IPSEC refcount 1 for stuff_ke
04:33:04: ISAKMP (0:13): Creating IPSec SAs
04:33:04:         inbound SA from 10.1.1.1 to 172.18.1.1 (f/i)  0/ 2
        (proxy 10.4.1.4 to 0.0.0.0)
04:33:04:         has spi 0xA3E24AFD and conn_id 5127 and flags 2
04:33:04:         lifetime of 2147483 seconds
04:33:04:         lifetime of 4608000 kilobytes
04:33:04:         has client flags 0x0
04:33:04:         outbound SA from 172.18.1.1     to 10.1.1.1        (f/i)  0/ 2 (proxy 
0.0.0.0         to 10.4.1.4       )
04:33:04:         has spi 1343294712 and conn_id 5128 and flags A
04:33:04:         lifetime of 2147483 seconds
04:33:04:         lifetime of 4608000 kilobytes
04:33:04:         has client flags 0x0
04:33:04: ISAKMP (0:13): deleting node 17011691 error FALSE reason "quick mode done 
(await)"
04:33:04: ISAKMP (0:13): Node 17011691, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
04:33:04: ISAKMP (0:13): Old State = IKE_QM_R_QM2  New State = IKE_QM_PHASE2_COMPLETE
04:33:04: IPSEC(key_engine): got a queue event...
04:33:04: IPSEC(initialize_sas): ,
  (key eng. msg.) INBOUND local= 172.18.1.1, remote= 10.1.1.1, 
    local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4), 
    remote_proxy= 10.4.1.4/0.0.0.0/0/0 (type=1),
    protocol= ESP, transform= esp-3des esp-md5-hmac , 
    lifedur= 2147483s and 4608000kb, 
    spi= 0xA3E24AFD(2749516541), conn_id= 5127, keysize= 0, flags= 0x2
04:33:04: IPSEC(initialize_sas): ,
  (key eng. msg.) OUTBOUND local= 172.18.1.1, remote= 10.1.1.1, 
    local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4), 
    remote_proxy= 10.4.1.4/0.0.0.0/0/0 (type=1),
    protocol= ESP, transform= esp-3des esp-md5-hmac, 
    lifedur= 2147483s and 4608000kb, 
    spi= 0x50110CF8(1343294712), conn_id= 5128, keysize= 0, flags= 0xA
04:33:04: IPSEC(kei_proxy): head = ra, map->ivrf = vpn1, kei->ivrf = vpn2
04:33:04: IPSEC(kei_proxy): head = ra, map->ivrf = vpn2, kei->ivrf = vpn2
04:33:04: IPSEC(rte_mgr): VPN Route Added 10.4.1.4 255.255.255.255 via 10.1.1.1 in vpn2
04:33:04: IPSEC(add mtree): src 0.0.0.0, dest 10.4.1.4, dest_port 0

04:33:04: IPSEC(create_sa): sa created,
  (sa) sa_dest= 172.18.1.1, sa_prot= 50, 
    sa_spi= 0xA3E24AFD(2749516541), 
    sa_trans= esp-3des esp-md5-hmac, sa_conn_id= 5127
04:33:04: IPSEC(create_sa): sa created,
  (sa) sa_dest= 10.1.1.1, sa_prot= 50, 
    sa_spi= 0x50110CF8(1343294712), 
    sa_trans= esp-3des esp-md5-hmac, sa_conn_id= 5128
04:33:53: ISAKMP (0:13): purging node -1639992295
04:33:54: ISAKMP (0:13): purging node 17011691

Ejemplos de configuración para el IPSec que reconoce VRF

La demostración de los siguientes ejemplos cómo configurar el IPSec que reconoce VRF:

Ejemplo: IPSec-a-MPLS estático VPN

Ejemplo: IPSec-a-MPLS VPN usando la encripción RSA

Ejemplo: IPSec-a-MPLS VPN con las firmas RSA.

Actualización de las versiones anteriores de la solución Basada en red del IPSec VPN de Cisco

Ejemplo: IPSec-a-MPLS estático VPN

La muestra siguiente muestra a configuración estática esa las correspondencias los túneles IPsec al MPLS VPNs. Las configuraciones asocian los túneles IPsec al MPLS VPNs el "VPN1" y el "VPN2." que ambos túneles IPsec terminan en una sola interfaz del público-revestimiento.

Configuración del IPSec PE

ip vrf vpn1
 rd 100:1
 route-target export 100:1
 route-target import 100:1
!
ip vrf vpn2
 rd 101:1
 route-target export 101:1
 route-target import 101:1
!
crypto keyring vpn1 
  pre-shared-key address 172.16.1.1 key vpn1
crypto keyring vpn2 
  pre-shared-key address 10.1.1.1 key vpn2
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp profile vpn1
 vrf vpn1
 keyring vpn1
 match identity address 172.16.1.1 255.255.255.255
! 
crypto isakmp profile vpn2
 vrf vpn2
 keyring vpn2
 match identity address 10.1.1.1 255.255.255.255 
!
crypto ipsec transform-set vpn1 esp-3des esp-sha-hmac 
crypto ipsec transform-set vpn2 esp-3des esp-md5-hmac 
!
crypto map crypmap 1 ipsec-isakmp 
 set peer 172.16.1.1
 set transform-set vpn1 
 set isakmp-profile vpn1
 match address 101
crypto map crypmap 3 ipsec-isakmp 
 set peer 10.1.1.1
 set transform-set vpn2 
 set isakmp-profile vpn2
 match address 102
!
interface Ethernet1/1
 ip address 172.17.1.1 255.255.0.0
 tag-switching ip
!
interface Ethernet1/2
 ip address 172.18.1.1 255.255.255.0
 crypto map crypmap
!
ip route 172.16.1.1 255.255.255.255 172.18.1.2
ip route 10.1.1.1 255.255.255.255 172.18.1.2
ip route vrf vpn1 10.2.0.0 255.255.0.0 172.18.1.2 global	
ip route vrf vpn2 10.2.0.0 255.255.0.0 172.18.1.2 global
!
access-list 101 permit ip 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255
access-list 102 permit ip 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255

Configuración proporcionada cliente del borde del IPSec (CPE) para el VPN1

crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key vpn1 address 172.18.1.1
!
!
crypto ipsec transform-set vpn1 esp-3des esp-sha-hmac 
!
crypto map vpn1 1 ipsec-isakmp 
 set peer 172.18.1.1
 set transform-set vpn1 
 match address 101
!
interface FastEthernet1/0
 ip address 172.16.1.1 255.255.255.0
 crypto map vpn1
!
interface FastEthernet1/1
 ip address 10.2.1.1 255.255.0.0
!
access-list 101 permit ip 10.2.0.0 0.0.255.255 10.1.0.0 0.0.255.255
!

Configuración de CPE del IPSec para VPN2

crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp key vpn2 address 172.18.1.1
!
!
crypto ipsec transform-set vpn2 esp-3des esp-md5-hmac 
!
crypto map vpn2 1 ipsec-isakmp 
 set peer 172.18.1.1
 set transform-set vpn2 
 match address 101
!
interface FastEthernet0
 ip address 10.1.1.1 255.255.255.0
 crypto map vpn2
!
interface FastEthernet1
 ip address 10.2.1.1 255.255.0.0
!
access-list 101 permit ip 10.2.0.0 0.0.255.255 10.1.0.0 0.0.255.255

Ejemplo: IPSec-a-MPLS VPN usando la encripción RSA

El siguiente ejemplo muestra una configuración IPSec-a-MPLS usando la encripción RSA:

Configuración del Router PE

ip vrf vpn1
 rd 100:1
 route-target export 100:1
 route-target import 100:1
!
crypto isakmp policy 10
 authentication rsa-encr
!
crypto keyring vpn1
 rsa-pubkey address 172.16.1.1 encryption
  key-string
   305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00DBF381 00DDECC8 
   DC4AA490 40320C52 9912D876 EB36717C 63DCA95C 7E5EC02A 84F276CE 292B42D7 
   D664F324 3726F4E0 39D33093 ECB81B95 482511A5 F064C4B3 D5020301 0001
   quit
! 
crypto isakmp profile vpn1
 vrf vpn1
 keyring vpn1
 match identity address 172.16.1.1 255.255.255.255
! 
crypto ipsec transform-set vpn1 esp-3des esp-sha-hmac 
!
crypto map crypmap 1 ipsec-isakmp 
 set peer 172.16.1.1
 set transform-set vpn1 
 set isakmp-profile vpn1
 match address 101
!
interface Ethernet1/1
 ip address 172.17.1.1 255.255.0.0
 tag-switching ip
!
interface Ethernet1/2
 ip address 172.18.1.1 255.255.255.0
 crypto map crypmap
!
ip route 172.16.1.1 255.255.255.255 172.18.1.2
ip route vrf vpn1 10.2.0.0 255.255.0.0 172.18.1.2 global	
!
access-list 101 permit ip 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255

Configuración de CPE del IPSec para el VPN1

crypto isakmp policy 10
 authentication rsa-encr
!
crypto key pubkey-chain rsa
 addressed-key 172.18.1.1 encryption
 key-string
  3082011B 300D0609 2A864886 F70D0101 01050003 82010800 30820103 0281FB00 
  C90CC78A 6002BDBA 24683396 B7D7877C 16D08C47 E00C3C10 63CF13BC 4E09EA23 
  92EB8A48 4113F5A4 8796C8BE AD7E2DC1 3B0742B6 7118CE7C 1B0E21D1 AA9724A4 
  4D74FCEA 562FF225 A2B11F18 E53C4415 61C3B741 3A06E75D B4F9102D 6163EE40 
  16C68FD7 6532F660 97B59118 9C8DE3E5 4E2F2925 BBB87FCB 95223D4E A5E362DB 
  215CB35C 260080805 17BBE1EF C3050E13 031F3D5B 5C22D16C FC8B1EC5 074F07A5 
  D050EC80 7890D9C5 EC20D6F0 173FE2BA 89F5B5F9 2EADC9A6 D461921E 3D5B60016 
  ABB8B6B9 E2124A21 93F0E4AE B487461B E7F1F1C4 032A0B0E 80DC3E15 CB268EC9 
  5D76B9BD 3C78CB75 CE9F68C6 484D6573 CBC3EB59 4B5F3999 8F9D0203 010001
  quit
!
crypto ipsec transform-set vpn1 esp-3des esp-sha-hmac 
!
crypto map vpn1 1 ipsec-isakmp 
 set peer 172.18.1.1
 set transform-set vpn1 
 match address 101
!
interface FastEthernet1/0
 ip address 172.16.1.1 255.255.255.0
 crypto map vpn1
!
interface FastEthernet1/1
 ip address 10.2.1.1 255.255.0.0
!
access-list 101 permit ip 10.2.0.0 0.0.255.255 10.1.0.0 0.0.255.255
!

Ejemplo: IPSec-a-MPLS VPN con las firmas RSA.

Las demostraciones siguientes una configuración VPN IPSec-a-MPLS usando las firmas RSA.:

Configuración del Router PE

ip vrf vpn1
 rd 100:1
 route-target export 100:1
 route-target import 100:1
!
crypto ca trustpoint bombo
 enrollment url http://172.31.68.59:80
 crl optional
!
crypto ca certificate chain bombo
 certificate 03C0
 308203BF 308202A7 A0030201 02020203 C0300D06 092A8648 86F70D01 01050500 
 . . .
 quit
 certificate ca 01
 30820379 30820261 A0030201 02020101 300D0609 2A864886 F70D0101 05050030 
 . . .
 quit
!
crypto isakmp profile vpn1
 vrf vpn1
 ca trust-point bombo
 match identity address 172.16.1.1 255.255.255.255
! 
crypto ipsec transform-set vpn1 esp-3des esp-sha-hmac 
!
crypto map crypmap 1 ipsec-isakmp 
 set peer 172.16.1.1
 set transform-set vpn1 
 set isakmp-profile vpn1
 match address 101
!
interface Ethernet1/1
 ip address 172.31.1.1 255.255.0.0
 tag-switching ip
!
interface Ethernet1/2
 ip address 172.18.1.1 255.255.255.0
 crypto map crypmap
!
ip route 172.16.1.1 255.255.255.255 172.18.1.2
ip route vrf vpn1 10.2.0.0 255.255.0.0 172.18.1.2 global	
!
access-list 101 permit ip 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255
!

Configuración de CPE del IPSec para el VPN1

crypto ca trustpoint bombo
 enrollment url http://172.31.68.59:80
 crl optional
 !
crypto ca certificate chain bombo
 certificate 03BF
  308203BD 308202A5 A0030201 02020203 BF300D06 092A8648 86F70D01 01050500
  . . .
  quit
 certificate ca 01
  30820379 30820261 A0030201 02020101 300D0609 2A864886 F70D0101 05050030 
  . . .
  quit
!
crypto ipsec transform-set vpn1 esp-3des esp-sha-hmac 
!
crypto map vpn1 1 ipsec-isakmp 
 set peer 172.18.1.1
 set transform-set vpn1 
 match address 101
!
interface FastEthernet1/0
 ip address 172.16.1.1 255.255.255.0
 crypto map vpn1
!
interface FastEthernet1/1
 ip address 10.2.1.1 255.255.0.0
!
access-list 101 permit ip 10.2.0.0 0.0.255.255 10.1.0.0 0.0.255.255
!

Ejemplo: Telecontrol Acceso-a-MPLS VPN del IPSec

Las demostraciones siguientes una configuración VPN remota acceso-a-MPLS del IPSec. La configuración asocia los túneles IPsec al MPLS VPNs. Los túneles IPsec terminan en una sola interfaz del público-revestimiento.

Configuración del Router PE

aaa new-model
!
aaa group server radius vpn1
 server-private 10.1.1.1 auth-port 1645 acct-port 1646 timeout 5 retransmit 3 key vpn1
!
aaa group server radius vpn2
 server-private 10.1.1.1 auth-port 1645 acct-port 1646 timeout 5 retransmit 3 key vpn2
!
aaa authorization network aaa-list group radius
!
ip vrf vpn1
 rd 100:1
 route-target export 100:1
 route-target import 100:1
!
ip vrf vpn2
 rd 101:1
 route-target export 101:1
 route-target import 101:1
!
crypto isakmp profile vpn1-ra
   vrf vpn1
   match identity group vpn1-ra
   client authentication list vpn1
   isakmp authorization list aaa-list
   client configuration address initiate
   client configuration address respond
crypto isakmp profile vpn2-ra
   vrf vpn2
   match identity group vpn2-ra
   client authentication list vpn2
   isakmp authorization list aaa-list
   client configuration address initiate
   client configuration address respond
!
!
crypto ipsec transform-set vpn1 esp-3des esp-sha-hmac 
crypto ipsec transform-set vpn2 esp-3des esp-md5-hmac 
!
crypto dynamic-map vpn1 1
 set transform-set vpn1 
 set isakmp-profile vpn1-ra
 reverse-route
!
crypto dynamic-map vpn2 1
 set transform-set vpn2 
 set isakmp-profile vpn2-ra
 reverse-route
!
!
crypto map ra 1 ipsec-isakmp dynamic vpn1 
crypto map ra 2 ipsec-isakmp dynamic vpn2
!
interface Ethernet1/1
 ip address 172.17.1.1 255.255.0.0
 tag-switching ip
!
interface Ethernet1/2
 ip address 172.18.1.1 255.255.255.0
 crypto map ra
!
ip local pool vpn1-ra 10.4.1.1 10.4.1.254 group vpn1-ra
ip local pool vpn2-ra 10.4.1.1 10.4.1.254 group vpn2-ra
!

Actualización de las versiones anteriores de la solución Basada en red del IPSec VPN de Cisco

La característica que reconoce VRF del IPSec en la versión Basada en red 1,5 de la solución del IPSec VPN de Cisco requiere que usted cambie sus configuraciones existentes. Los siguientes ejemplos indican los cambios que usted debe realizar a sus configuraciones existentes.

Upgrade de Configuración de Sitio a Sitio

Upgrade de la Configuración de Acceso Remoto

Combinación de Upgrade de Configuración de Sitio a Sitio y de Acceso Remoto

Upgrade de Configuración de Sitio a Sitio

Las configuraciones siguientes muestran los cambios que son necesarios para una actualización de la configuración del sitio a localizar de una versión anterior de la solución Basada en red del IPSec VPN a la versión Basada en red 1,5 de la solución del IPSec VPN de Cisco:

Configuración del sitio a localizar de la versión anterior

crypto isakmp key VPN1 address 172.21.25.74
 crypto isakmp key VPN2 address 172.21.21.74
!
 crypto ipsec transform-set VPN1 esp-des esp-sha-hmac
 crypto ipsec transform-set VPN2 esp-3des esp-sha-hmac
!
 crypto map VPN1 10 ipsec-isakmp
 set peer 172.21.25.74
 set transform-set VPN1
 match address 101
!
 crypto map VPN2 10 ipsec-isakmp
 set peer 172.21.21.74
 set transform-set VPN2
 match address 102
!
 interface FastEthernet0/0.1
 encapsulation dot1Q 1 native
 ip vrf forwarding VPN1
 ip address 172.21.25.73 255.255.255.0
 crypto map VPN1
!
 interface FastEthernet0/0.2
  encapsulation dot1Q 2 native
 ip vrf forwarding VPN2
 ip address 172.21.21.74 255.255.255.0
 crypto map VPN2

Configuración del sitio a localizar de la nueva versión

Lo que sigue es una versión actualizada de la misma configuración del sitio a localizar a la solución Basada en red de la versión 1,5 de la solución del IPSec VPN de Cisco:


Notausted debe cambiar dos llaveros. La característica que reconoce VRF del trastorno requiere que las claves estén asociadas a un VRF si el punto final local IKE está en el VRF.


crypto keyring VPN1-KEYS vrf VPN1
 pre-shared-key address 172.21.25.74 key VPN1
!
 crypto keyring VPN2-KEYS vrf VPN2
  pre-shared-key address 172.21.21.74 key VPN2
!
 crypto ipsec transform-set VPN1 esp-des esp-sha-hmac
 crypto ipsec transform-set VPN2 esp-3des esp-sha-hmac
!
 crypto map VPN1 10 ipsec-isakmp
 set peer 172.21.25.74
  set transform-set VPN1
 match address 101
!
 crypto map VPN2 10 ipsec-isakmp
 set peer 172.21.21.74
  set transform-set VPN2
 match address 102
!
 interface FastEthernet0/0.1
 encapsulation dot1Q 1 native
 ip vrf forwarding VPN1
 ip address 172.21.25.73 255.255.255.0
 crypto map VPN1
!
 interface FastEthernet0/0.2
 encapsulation dot1Q 2 native
 ip vrf forwarding VPN2
 ip address 172.21.21.74 255.255.255.0
 crypto map VPN2

Upgrade de la Configuración de Acceso Remoto

Las configuraciones siguientes muestran los cambios que son necesarios para una actualización de la configuración del Acceso Remoto de una versión anterior de la solución Basada en red del IPSec VPN a la versión Basada en red 1,5 de la solución del IPSec VPN de Cisco:

Configuración del Acceso Remoto de la versión anterior

crypto isakmp client configuration group VPN1-RA-GROUP
 key VPN1-RA
 pool VPN1-RA
!
 crypto isakmp client configuration group VPN2-RA-GROUP
 key VPN2-RA
 pool VPN2-RA
!
 crypto ipsec transform-set VPN1-RA esp-3des esp-sha-hmac
 crypto ipsec transform-set VPN2-RA esp-3des esp-md5-hmac
!
 crypto dynamic-map VPN1-RA 1
  set transform-set VPN1-RA
 reverse-route
!
 crypto dynamic-map VPN2-RA 1
 set transform-set VPN2-RA
  reverse-route
!
!
 crypto map VPN1 client authentication list VPN1-RA-LIST
 crypto map VPN1 isakmp authorization list VPN1-RA-LIST
 crypto map VPN1 client configuration address initiate
 crypto map VPN1 client configuration address respond
 crypto map VPN1 10 ipsec-isakmp dynamic VPN1-RA
!
 crypto map VPN2 client authentication list VPN2-RA-LIST
 crypto map VPN2 isakmp authorization list VPN2-RA-LIST
 crypto map VPN2 client configuration address initiate
 crypto map VPN2 client configuration address respond
 crypto map VPN2 10 ipsec-isakmp dynamic VPN2-RA
!
 interface FastEthernet0/0.1
 encapsulation dot1Q 1 native
 ip vrf forwarding VPN1
 ip address 172.21.25.73 255.255.255.0
 crypto map VPN1
!
 interface FastEthernet0/0.2
  encapsulation dot1Q 2 native
 ip vrf forwarding VPN2
 ip address 172.21.21.74 255.255.255.0
 crypto map VPN2

Configuración del Acceso Remoto de la nueva versión

En el caso siguiente, no hay actualización; se recomienda que usted cambia a la configuración siguiente:

crypto isakmp client configuration group VPN1-RA-GROUP
  key VPN1-RA
  pool VPN1-RA
!
 crypto isakmp client configuration group VPN2-RA-GROUP
 key VPN2-RA
 pool VPN2-RA
!
 crypto isakmp profile VPN1-RA
 match identity group VPN1-RA-GROUP
  client authentication list VPN1-RA-LIST
 isakmp authorization list VPN1-RA-LIST
 client configuration address initiate
 client configuration address respond
!
 crypto isakmp profile VPN2-RA
 match identity group VPN2-RA-GROUP
 client authentication list VPN2-RA-LIST
 isakmp authorization list VPN2-RA-LIST
 client configuration address initiate
 client configuration address respond
!
 crypto ipsec transform-set VPN1-RA esp-3des esp-sha-hmac
 crypto ipsec transform-set VPN2-RA esp-3des esp-md5-hmac
!
 crypto dynamic-map VPN1-RA 1
 set transform-set VPN1-RA
 set isakmp-profile VPN1-RA
 reverse-route
!
 crypto dynamic-map VPN2-RA 1
 set transform-set VPN2-RA
 set isakmp-profile VPN2-RA
 reverse-route
!
 crypto map VPN1 10 ipsec-isakmp dynamic VPN1-RA
!
 crypto map VPN2 10 ipsec-isakmp dynamic VPN2-RA
!
 interface FastEthernet0/0.1
 encapsulation dot1Q 1 native
 ip vrf forwarding VPN1
 ip address 172.21.25.73 255.255.255.0
 crypto map VPN1
!
 interface FastEthernet0/0.2
 encapsulation dot1Q 2 native
 ip vrf forwarding VPN2
 ip address 172.21.21.74 255.255.255.0
 crypto map VPN2

Combinación de Upgrade de Configuración de Sitio a Sitio y de Acceso Remoto

Las configuraciones siguientes muestran los cambios que son necesarios para una actualización de la configuración del sitio a localizar y del Acceso Remoto de una versión anterior de la solución Basada en red del IPSec VPN a la versión Basada en red 1,5 de la solución del IPSec VPN de Cisco:

Sitio a localizar de la versión anterior y configuración del Acceso Remoto

crypto isakmp key VPN1 address 172.21.25.74 no-xauth
crypto isakmp key VPN2 address 172.21.21.74 no-xauth
!
 crypto isakmp client configuration group VPN1-RA-GROUP
 key VPN1-RA
 pool VPN1-RA
!
 crypto isakmp client configuration group VPN2-RA-GROUP
 key VPN2-RA
 pool VPN2-RA
!
 crypto ipsec transform-set VPN1 esp-des esp-sha-hmac
 crypto ipsec transform-set VPN2 esp-3des esp-sha-hmac
!
 crypto ipsec transform-set VPN1-RA esp-3des esp-sha-hmac
 crypto ipsec transform-set VPN2-RA esp-3des esp-md5-hmac
!
 crypto dynamic-map VPN1-RA 1
 set transform-set VPN1-RA
 reverse-route
!
 crypto dynamic-map VPN2-RA 1
 set transform-set VPN2-RA
 reverse-route
!
 crypto map VPN1 client authentication list VPN1-RA-LIST
 crypto map VPN1 isakmp authorization list VPN1-RA-LIST
 crypto map VPN1 client configuration address initiate
 crypto map VPN1 client configuration address respond
 crypto map VPN1 10 ipsec-isakmp
 set peer 172.21.25.74
 set transform-set VPN1
 match address 101
 crypto map VPN1 20 ipsec-isakmp dynamic VPN1-RA
!
 crypto map VPN2 client authentication list VPN2-RA-LIST
 crypto map VPN2 isakmp authorization list VPN2-RA-LIST
 crypto map VPN2 client configuration address initiate
 crypto map VPN2 client configuration address respond
 crypto map VPN2 10 ipsec-isakmp
 set peer 172.21.21.74
 set transform-set VPN2
 match address 102
 crypto map VPN2 20 ipsec-isakmp dynamic VPN2-RA
!
 interface FastEthernet0/0.1
 encapsulation dot1Q 1 native
 ip vrf forwarding VPN1
 ip address 172.21.25.73 255.255.255.0
 crypto map VPN1
!
 interface FastEthernet0/0.2
 encapsulation dot1Q 2 native
 ip vrf forwarding VPN2
 ip address 172.21.21.74 255.255.255.0
 crypto map VPN2

Sitio a localizar de la nueva versión y configuración del Acceso Remoto

Usted debe actualizar a esta configuración:


Observepara las configuraciones del sitio a localizar que no requieren el XAUTH, configuran un perfil ISAKMP sin la configuración del XAUTH. Para las configuraciones del Acceso Remoto que requieren el XAUTH, configure un perfil ISAKMP con el XAUTH.


crypto keyring VPN1-KEYS vrf VPN1
 pre-shared-key address 172.21.25.74 key VPN1
!
 crypto keyring VPN2-KEYS vrf VPN2
 pre-shared-key address 172.21.21.74 key VPN2
!
 crypto isakmp client configuration group VPN1-RA-GROUP
 key VPN1-RA
 pool VPN1-RA
!
 crypto isakmp client configuration group VPN2-RA-GROUP
 key VPN2-RA
 pool VPN2-RA
!
 crypto isakmp profile VPN1
 keyring VPN1-KEYS
 match identity address 172.21.25.74 VPN1
!
 crypto isakmp profile VPN2
 keyring VPN2-KEYS
 match identity address 172.21.21.74 VPN2
!
 crypto isakmp profile VPN1-RA
 match identity group VPN1-RA-GROUP
 client authentication list VPN1-RA-LIST
 isakmp authorization list VPN1-RA-LIST
 client configuration address initiate
 client configuration address respond
!
 crypto isakmp profile VPN2-RA
 match identity group VPN2-RA-GROUP
 client authentication list VPN2-RA-LIST
 isakmp authorization list VPN2-RA-LIST
 client configuration address initiate
 client configuration address respond
!
 crypto ipsec transform-set VPN1 esp-des esp-sha-hmac
 crypto ipsec transform-set VPN2 esp-3des esp-sha-hmac
!
 crypto ipsec transform-set VPN1-RA esp-3des esp-sha-hmac
 crypto ipsec transform-set VPN2-RA esp-3des esp-md5-hmac
!
 crypto dynamic-map VPN1-RA 1
 set transform-set VPN1-RA
 set isakmp-profile VPN1-RA
 reverse-route
!
 crypto dynamic-map VPN2-RA 1
 set transform-set VPN2-RA
 set isakmp-profile VPN2-RA
 reverse-route
!
 crypto map VPN1 10 ipsec-isakmp
 set peer 172.21.25.74
 set transform-set VPN1
 set isakmp-profile VPN1
 match address 101
 crypto map VPN1 20 ipsec-isakmp dynamic VPN1-RA
!
 crypto map VPN2 10 ipsec-isakmp
 set peer 172.21.21.74
 set transform-set VPN2
 set isakmp-profile VPN2
 match address 102
 crypto map VPN2 20 ipsec-isakmp dynamic VPN2-RA
!
 interface FastEthernet0/0.1
 encapsulation dot1Q 1 native
 ip vrf forwarding VPN1
 ip address 172.21.25.73 255.255.255.0
 crypto map VPN1
!
 interface FastEthernet0/0.2
 encapsulation dot1Q 2 native
 ip vrf forwarding VPN2
 ip address 172.21.21.74 255.255.255.0
 crypto map VPN2

Referencias adicionales

Documentos Relacionados

Tema relacionado
Título del documento

Tareas de la configuración IPSec

Configurar directivo de seguridad para los VPN con el IPSec

Comandos del IPSec

Referencia de Comandos de Seguridad de Cisco IOS

Fase 1 IKE y fase 2, modo agresivo, y modo principal

“Configurando el intercambio de claves de Internet para el IPSec VPN

Dead Peer Detection IKE

“Easy VPN Server”


Estándares

Estándar
Título

Ninguno


MIB

MIB
Link del MIB

Ninguno

Para localizar y descargar el MIB para las plataformas elegidas, las versiones de software de Cisco, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente:

http://www.cisco.com/cisco/web/LA/support/index.html


RFC

RFC
Título

Ninguno


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información de la característica para el IPSec que reconoce VRF

La tabla 1 muestra las funciones de este módulo y proporciona links a información de configuración específica.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.


Información de la característica del cuadro 1 para el IPSec que reconoce VRF

Nombre de la función
Versiones
Información sobre la Función

VRF-Aware Ipsec

12.2(15)T

La característica que reconoce VRF del IPSec introduce el túnel de la seguridad IP (IPSec) que asocia al Multiprotocol Label Switching (MPLS) el Redes privadas virtuales (VPN). Usando la característica que reconoce VRF del IPSec, usted puede asociar los túneles IPsec a los casos del ruteo virtual y de la expedición (VRF) usando un solo direccionamiento del público-revestimiento.

Esta característica fue introducida en el Cisco IOS Release 12.2(15)T.

Las secciones siguientes proporcionan información acerca de esta función:

Información sobre el IPSec que reconoce VRF

Cómo configurar el IPSec que reconoce VRF

Se han insertado o modificado los siguientes comandos: addressca trust-pointclient authentication listclient configuration addresscrypto isakmp profilecrypto keyringcrypto map isakmp-profile initiate-modeisakmp authorization listkeepalive (isakmp profile)keyringkey-stringmatch identityno crypto xauthpre-shared-keyquit, rsa-pubkeyself-identityserial-numberset isakmp-profileshow crypto isakmp keyshow crypto isakmp profilevrfclear crypto sacrypto isakmp peercrypto map isakmp-profileshow crypto dynamic-mapshow crypto ipsec sashow crypto isakmp sashow crypto map (IPsec).

15.1(1)S

Esta característica era integrada en el Cisco IOS Release 15.1(1)S.


Glosario

CA — autoridades de certificación. CA es una entidad que publica los Certificados digitales (especialmente Certificados X.509) y atestigua para el atascamiento entre los elementos de datos en un certificado.

CLI — interfaz de la línea de comandos. El CLI es una interfaz que permite que el usuario obre recíprocamente con los comandos operating system by entering y los argumentos optativos. El sistema operativo UNIX y el DOS proporcionan los CLI.

cliente — Par correspondiente IOS del IPSec UUT adentro de la red del (MPLS) del Multi Protocol Label Switching.

peer muerto — Par IKE que es no más accesible.

DN — Nombre distintivo. Un DN es el nombre global, autoritario de una entrada en la interconexión de sistema abierto (directorio [X.500] OSI).

FQDN — Nombre de dominio totalmente calificado (FQDN). Un FQDN es el nombre completo de un sistema bastante que apenas su nombre del host. Por ejemplo, el aldebaran es un nombre del host, y aldebaran.interop.com es un FQDN.

FR — Frame Relay. El FR es un estándar de la industria, el protocolo de la Switch-DATA-link-capa que maneja los circuitos virtuales múltiples usando la encapsulación de alto nivel del link de datos (HDLC) entre los dispositivos conectados. El Frame Relay es más eficiente que el X.25, el protocolo para el cual generalmente se considera un reemplazo.

FVRF — Repositorio del ruteo virtual y de la expedición de la puerta frontal (VRF). El FVRF es el VRF usado para rutear los paquetes encriptados al par.

IDB — Interface Descriptor Block. Un subblock del IDB es una área de memoria que es privada a una aplicación. Esta área salva la información y las variables de estados privadas que una aplicación quiere asociar a un IDB o a una interfaz. La aplicación utiliza el IDB para registrar un puntero a su subblock, no al contenido del subblock sí mismo.

IKE — Intercambio de claves de Internet. El IKE establece una política de seguridad compartida y autentica las claves para los servicios (tales como IPSec) que requieren las claves. Antes de que cualquier tráfico IPSec pueda ser pasado, cada router, Firewall, y host deben verificar la identidad de su par. Esto puede ser hecha manualmente ingresando las claves del preshared en ambos hosts o por un servicio CA.

Keepalive IKE — Mecanismo bidireccional para determinar la vivacidad de un par IKE.

Seguridad IPSec protocolo para el IP.

IVRF — Ruteo virtual y expedición interiores. IVRF es el VRF de los paquetes del texto simple.

MPLS — Multiprotocol Label Switching. El MPLS es un método de Switching ese tráfico IP de los forwards usando una escritura de la etiqueta. Esta etiqueta indica a los routers y los switches de la red dónde reenviar los paquetes sobre la base de la información preestablecida de ruteo IP.

RSA — El Rivest, el Shamir, y el Adelman son los inventores de la técnica RSA. La técnica RSA es un sistema criptográfico del clave pública que se puede utilizar para el cifrado y la autenticación.

SA — Asociación de seguridad. El SA es un caso de la política de seguridad y del material de codificación aplicados a un flujo de datos.

VPN — Red privada virtual. Un VPN permite al tráfico IP para viajar con seguridad sobre un público TCP o la red del IP cifrando todo el tráfico a partir de una red a otra. Una VPN utiliza una arquitectura de "tunelización" para encriptar toda la información en el nivel de IP.

VRF — Expedición de la ruta virtual. El VRF es un caso del VPN Routing and Forwarding. Un VRF consta de una tabla de IP Routing, una tabla de reenvío derivada, un conjunto de interfaces que utiliza la tabla de reenvío y un conjunto de reglas y protocolos de ruteo que determina qué incluye la tabla de reenvío. En general, un VRF incluye la información de ruteo que define un sitio de cliente VPN conectado a un router PE.

XAUTH — Autenticación ampliada. El XAUTH es un intercambio opcional entre la fase 1 IKE y la fase 2 IKE, en las cuales el router exige la información de autenticación adicional en un intento por autenticar al usuario real (en comparación con la autenticidad del par).