Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR
Configurar directivo de seguridad para los VPN con el IPSec
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 415 KB | Inglés (16 Julio 2010) | Comentarios

Contenidos

Configurar directivo de seguridad para los VPN con el IPSec

Encontrar la información de la característica

Contenido

Requisitos previos para Configurar directivo de seguridad para los VPN con el IPSec

Restricciones para Configurar directivo de seguridad para los VPN con el IPSec

Información sobre Configurar directivo de seguridad para los VPN con el IPSec

Estándares soportados

Hardware, Trayectorias de Switching y Encapsulación Soportadas

Hardware admitido

Trayectorias de Switching Soportadas

Encapsulación Soportada

Descripción de las funciones del IPSec

IKEv1 transforman los conjuntos

IKEv2 transforman los conjuntos

Tráfico IPSec jerarquizado a los peeres múltiples

Listas de acceso Crypto

Descripción General de las Listas de Acceso Crypto

Cuándo se Utilizan las Palabras Clave permit y deny en Listas de Acceso Crypto

Listas de acceso Crypto de la imagen espejo en cada peer IPSec

Cuándo Utilizar la Palabra Clave any en las Listas de Acceso Crypto

Transforme los conjuntos: Una Combinación de Protocolos y Algoritmos de Seguridad

Sobre transforme los conjuntos

Soporte de la habitación-B del Cisco IOS para los algoritmos criptográficos IKE y del IPSec

Requisitos de la habitación-B

Donde encontrar la información de la configuración de la habitación-B

Conjuntos de la correspondencia de criptografía

Acerca de Crypto Maps

Carga a Compartir entre Crypto Maps

Pautas de los Crypto Maps

Correspondencias de criptografía estática

Correspondencias cifradas dinámicas

Interfaces redundantes que comparten la misma correspondencia de criptografía

Establezca los SA manuales

Cómo configurar el IPSec VPN

Creación de Listas de Acceso Crypto

Pasos Siguientes

El configurar transforma los conjuntos para las ofertas IKEv1 e IKEv2

Restricciones

El configurar transforma los conjuntos para IKEv1

El configurar transforma los conjuntos para IKEv2

Creación de Conjuntos de Crypto Maps

Creación de Crypto Maps Estáticos

Creación de Crypto Maps Dinámicos

Creación de Entradas de Crypto Map para Establecer SAs Manuales

Aplicación de Conjuntos de Crypto Maps a Interfaces

Ejemplos de configuración para el IPSec VPN

Ejemplo: Configurar la correspondencia de criptografía estática basada en AES

Referencias adicionales

Documentos Relacionados

Estándares

MIB

RFC

Asistencia Técnica

Información de la característica para la Seguridad para los VPN con el IPSec


Configurar directivo de seguridad para los VPN con el IPSec


Primera publicación: 2 de mayo de 2005

Última actualización: De marzo el 25 de 2011

Este módulo describe cómo configurar el Redes privadas virtuales (VPN) básico de la seguridad IP (IPSec). El IPSec es un marco de los estándares abiertos desarrollados por la Fuerza de tareas de ingeniería en Internet (IETF) (IETF). Proporciona la seguridad para la transmisión de la información vulnerable sobre las redes no protegidas tales como Internet. El IPSec actúa en la capa de red, protegiendo y autenticando los paquetes IP entre los dispositivos participantes del IPSec (“pares”), por ejemplo los routeres Cisco.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para la Seguridad para los VPN con la sección del IPSec”.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en Cisco.com no se requiere.

Contenido

Requisitos previos para Configurar directivo de seguridad para los VPN con el IPSec

Restricciones para Configurar directivo de seguridad para los VPN con el IPSec

Información sobre Configurar directivo de seguridad para los VPN con el IPSec

Cómo configurar el IPSec VPN

Ejemplos de configuración para el IPSec VPN

Referencias adicionales

Información de la característica para la Seguridad para los VPN con el IPSec

Requisitos previos para Configurar directivo de seguridad para los VPN con el IPSec

Configuración IKE

Usted debe configurar el Internet Key Exchange (IKE) según lo descrito en el módulo el “que configura intercambio de claves de Internet para el IPSec VPN.”

Incluso si usted decide no utilizar el IKE, usted debe todavía inhabilitarlo según lo descrito en el módulo el “que configura intercambio de claves de Internet para el IPSec VPN.”

Asegúrese que las Listas de acceso sean compatibles con el IPSec

El IKE utiliza el puerto 500 UDP. Los protocolos del Encapsulating Security Payload (ESP) y del Encabezado de autenticación del IPSec utilizan los números de protocolo 50 y 51. Asegúrese de que sus Listas de acceso estén configuradas para no bloquear el protocolo 50, 51, y tráfico del puerto 500 UDP en las interfaces usadas por el IPSec. En algunos casos, usted puede ser que necesite agregar una declaración a sus Listas de acceso para permitir explícitamente este tráfico.

Restricciones para Configurar directivo de seguridad para los VPN con el IPSec

Aplicación del IP datagram del unicast solamente

Ahora, el IPSec se puede aplicar a los datagramas IP del unicast solamente. Porque el Grupo de trabajo del IPSec todavía no ha abordado la aplicación la distribución de claves del grupo, el IPSec no trabaja actualmente con los Multicast o los datagramas del IP de broadcast.

Configuración de NAT

Si usted utiliza el Network Address Translation (NAT), usted debe configurar el NAT estático de modo que el IPSec trabaje correctamente. El NAT debe ocurrir generalmente antes de que el router realice la encapsulación de IPSec; es decir el IPSec debe trabajar con las direcciones globales.

Túneles IPsec jerarquizados

El Cisco IOS IPsec soporta los túneles jerarquizados que terminan en el mismo router. El cifrado doble de los paquetes IKE y de los paquetes IPsec localmente generados se soporta solamente cuando se configura una interfaz del túnel virtual estática (sVTI). El cifrado doble se soporta en las versiones hasta e incluir el Cisco IOS Release 12.4(15)T, pero no en versiones posteriores.

Información sobre Configurar directivo de seguridad para los VPN con el IPSec

Estándares soportados

Hardware, Trayectorias de Switching y Encapsulación Soportadas

Descripción de las funciones del IPSec

Tráfico IPSec jerarquizado a los peeres múltiples

Listas de acceso Crypto

Transforme los conjuntos: Una Combinación de Protocolos y Algoritmos de Seguridad

Soporte de la habitación-B del Cisco IOS para los algoritmos criptográficos IKE y del IPSec

Conjuntos de la correspondencia de criptografía

Establezca los SA manuales

Estándares soportados

Cisco implementa los estándares siguientes con esta característica:

IPSec — IP Security Protocol. El IPSec es un marco de los estándares abiertos que proporciona la confidencialidad de los datos, la integridad de los datos, y la autenticación de datos entre los peeres participantes. El IPSec proporciona estos Servicios de seguridad en la capa IP; utiliza el IKE para manejar la negociación de los protocolos y de los algoritmos basados en la política local, y para generar el cifrado y las claves de autenticación que se utilizarán por el IPSec. IPsec puede emplearse para proteger uno o varios flujos de datos entre un par de hosts, entre un par de gateways de seguridad, o entre un gateway de seguridad y un host.


Observeel IPSec del término se utiliza a veces para describir el protocolo completo de los protocolos de los servicios de datos del IPSec y de Seguridad IKE, y se utiliza también a veces para describir solamente los servicios de datos.


IKE — Un protocolo híbrido que implementa el Oakley y los intercambios de claves SKEME dentro del marco del Internet Security Association and Key Management Protocol (ISAKMP). Mientras que el IKE se puede utilizar con otros protocolos, su instrumentación inicial está con el Protocolo IPSec. El IKE proporciona la autenticación de los peeres IPSecs, negocia a las asociaciones de seguridad IPSec, y establece las claves del IPSec.

Las Tecnologías componentes implementadas para el IPSec incluyen:

AES: Advanced Encryption Standard. Un algoritmo criptográfico que protege la información sensible sin clasificar. El AES es una aislamiento transforma para el IPSec y el IKE y se ha desarrollado para substituir el DES. El AES se diseña para ser más seguro que el DES. AES ofrece una llave más larga, y garantiza que el único enfoque conocido para descifrar un mensaje es que el intruso pruebe cada llave posible. AES tiene una longitud de llave variable: el algoritmo puede especificar una llave de 128 bits (el valor predeterminado), una llave de 192 bits o una llave de 256 bits.

DES: Data Encryption Standard. Un algoritmo que se utiliza para cifrar datos de paquetes. El Cisco IOS implementa el 56-bit obligatorio DES-CBC con el Cipher Block Chaining explícito IV. (CBC) requiere un vector de inicialización (iv) comenzar el cifrado. El IV se da explícitamente en el paquete IPsec. Para la compatibilidad hacia atrás, el Cisco IOS IPsec también implementa la versión RFC 1829 de ESP DES-CBC.

El Cisco IOS también implementa el cifrado del DES triple (168-bit), dependiendo de las versiones de software disponibles para una plataforma específica. Triple DES (3DES) es una potente forma de encripción que permite transmitir información confidencial por redes no confiables. Permite a los clientes para utilizar la encripción de capa de red.


Las imágenes del Cisco IOSde la nota con la encripción fuerte (incluyendo, pero no sólo la función de encripción de datos 56-bit fija) están conforme a los controles de la exportación del gobierno de los Estados Unidos, y tienen una distribución limitada. Las imágenes que se instalarán fuera de los Estados Unidos requieren una licencia de exportación. Los pedidos del cliente se pudieron negar o conforme al retardo debido a las regulaciones de gobierno de los Estados Unidos. Entre en contacto su Representante representante de ventas o distribuidor para más información, o envíe un email a export@cisco.com.


SEAL: Software Encryption Algorithm. Un algoritmo alternativo a DES, 3DES y AES basados en software. SELLE el cifrado utiliza una clave de encripción del 160-bit y tiene un impacto más bajo en el CPU cuando está comparado a otros algoritmos basados en software.

El MD5 variante (del Hash-Based Message Authentication Code (HMAC)) — el algoritmo condensado de mensaje 5 (MD5) es un algoritmo de troceo. HMAC es una variante del hash con llave usada para autenticar los datos.

SHA (variante HMAC) — El SHA (algoritmo de troceo seguro) es un algoritmo de troceo. HMAC es una variante del hash con llave usada para autenticar los datos.

El IPSec según lo implementado en Cisco IOS Software soporta los estándares adicionales siguientes:

AH — Encabezado de autenticación. Un Security Protocol que proporciona la autenticación de datos y los servicios antis opcionales de la respuesta. AH se integra en los datos que se protegerán (un IP datagram completo).

ESP — Encapsulating Security Payload. Un Security Protocol que proporciona los servicios de la privacidad de los datos y la autenticación de datos opcional, y servicios antis de la respuesta. El ESP encapsula los datos que se protegerán.

Hardware, Trayectorias de Switching y Encapsulación Soportadas

Hardware admitido

Trayectorias de Switching Soportadas

Encapsulación Soportada

Hardware admitido

Soporte del módulo del acelerador VPN (VAM)

Soporte para AIMS y NM

Soporte del módulo del acelerador VPN (VAM)

El VAM es un módulo de aceleración de la solo-anchura. Proporciona el Tunelización de alto rendimiento, asistido por hardware y los servicios de encripción convenientes para el Acceso Remoto VPN, el intranet del sitio a localizar, y las aplicaciones del extranet. También proporciona el scalability y Seguridad de la plataforma mientras que trabaja con todos los servicios necesarios para los despliegues de VPN acertados — Seguridad, Calidad de Servicio (QoS), Firewall y detección de intrusos, validación del servicio-nivel, y Administración. El VAM descarga el Procesamiento IPSec del procesador principal, así liberando los recursos en los procesadores Engine para otras tareas.

VAM proporciona el soporte de la aceleración de hardware para las siguientes funciones de encripción múltiple:

modo estándar 56-bit DES: CBC

DES Triple de 3 Llaves (168 bits)

SHA-1 y MD5

Algoritmo de llave pública Rivest, Shamir, Adelman (RSA)

Intercambio de llaves Diffie-Hellman RC4-40

Para más información sobre los VAM, vea el módulo vpn acceleration del documento (VAM).

Soporte para AIMS y NM

El módulo advanced integration de la encripción de datos (AIM) y el network module (NM) proporcionan la encripción por hardware.

La encripción de datos apunta y el NM es módulos de encripción de la capa 3 del hardware (IPSec) y proporciona el DES y la encripción de IPSec del DES triple para el T1s o E1s múltiple del ancho de banda. Estos Productos también tienen soporte del hardware para la generación de claves de Diffie Hellman, RSA, y DSA.

Antes de usar cualquier módulo, observe que el RSA claves generadas manualmente no está soportado.

Vea el cuadro 1 para determinar que módulo de encripción VPN a utilizar.

Software IPPCP para el uso con los objetivos y NM en los Cisco 2600 y Cisco 3600 Series Router

El protocolo de la compresión de la carga útil del protocolo de Internet del software (IPPCP) con los objetivos y los NM permite los clientes utilicen la compresión del software del Lempel-Ziv-stac (LZS) con el IPSec cuando un módulo VPN está en los Cisco 2600 y Cisco 3600 Series Router, permitiendo que los usuarios aumenten con eficacia el ancho de banda en sus interfaces.

Sin el software IPPCP, la compresión no se soporta con el hardware de encripción AIM y NM VPN; es decir, un usuario tiene que quitar el módulo VPN del router y ejecutar la encripción del software con la compresión del software. IPPCP permite a todos los módulos VPN para soportar la compresión LZS en el software cuando el módulo VPN está en el router, de tal modo permitiendo que los usuarios configuren la Compresión de datos y que aumenten su ancho de banda, que es útil para un link de datos bajo.

Sin IPPCP, la compresión ocurre en la capa 2, y el cifrado ocurre en la capa 3. Después de que se cifre una secuencia de datos, se pasa encendido para los servicios de compresión. Cuando el motor de la compresión recibe las secuencias de los datos encriptados, los datos se amplían y no comprimen. Esta característica habilita la compresión y el cifrado de los datos a ocurrir en la capa 3 seleccionando el LZS con el IPSec transforma el conjunto; es decir, la compresión LZS ocurre antes del cifrado, y con una mejor proporción de compresión.

Soporte del módulo de encripción del cuadro 1 AIM/VPN por el Cisco IOS Release 

Plataforma
Soporte del módulo de encripción por el Cisco IOS Release
12.2(13)T
‘12.3(4)T’
12.3(5)
12.3(6)
12.3(7)T

Cisco 831

AES basado en software

Cisco 1710

Cisco 1711

Cisco 1721

Cisco 1751

Cisco 1760

AES basado en software

Cisco 2600XM

Módulo de Encripción por Hardware AIM-VPN/BPII-Plus

Cisco 2611 XM

Cisco 2621 XM

Cisco 2651 XM

Módulo de encripción por hardware AIM-VPN/BPII

Módulo de Encripción por Hardware AIM-VPN/BPII-Plus

Cisco 2691 XM

Módulo de Encripción por Hardware AIM-VPN/EPII

Módulo de Encripción por Hardware AIM-VPN/EPII-Plus

Cisco 3735

Módulo de Encripción por Hardware AIM-VPN/EPII

Módulo de Encripción por Hardware AIM-VPN/EPII-Plus

Cisco 3660

Cisco 3745

Módulo de encripción por hardware AIM-VPN/HPII

Módulo de encripción por hardware AIM-VPN/HPII-Plus


Para más información sobre los objetivos y el NM, vea instalar los módulos advanced integration en las Cisco 2600 Series, las Cisco 3600 Series, y los Cisco 3700 Series Router.

Trayectorias de Switching Soportadas

El cuadro 2 enumera los trayectos de Switching soportados que funcionan con el IPSec.

Trayectos de Switching soportados del cuadro 2 para el IPSec

Trayectos de switching
Ejemplos

Process switching

interface ethernet0/0
 no ip route-cache

Fast Switching

interface ethernet0/0
 ip route-cache
! Ensure that you will not hit flow switching.
 no ip route-cache flow
! Disable CEF for the interface, which 
supercedes global CEF.
 no ip route-cache cef

Cisco Express Forwarding

ip cef
interface ethernet0/0
 ip route-cache
! Ensure that you will not hit flow switching.
 no ip route-cache flow

transferencia del Rápido-flujo

interface ethernet0/0
 ip route-cache
! Enable flow switching
p route-cache flow
! Disable CEF for the interface.
  no ip route-cache cef

Transferencia expresa del Expedición-flujo de Cisco

! Enable global CEF.
ip cef
interface ethernet0/0
 ip route-cache
 ip route-cache flow
! Enable CEF for the interface 
 ip route-cache cef

Encapsulación Soportada

El IPSec trabaja con las encapsulaciones en serie siguientes: Control de links de datos de alto nivel (HDLC), PPP, y Frame Relay.

El IPSec también trabaja con la expedición del Generic Routing Encapsulation (GRE) y de la capa 3, de la capa 2 de IPinIP (L2F), el protocolo Layer 2 Tunneling Protocol (L2TP), el link de datos Switching+ (DLSw+), y los protocolos de túneles SRB; sin embargo, los túneles multipunto no se soportan. Otro acoda 3 protocolos de túneles no se puede soportar para el uso con el IPSec.

Porque el Grupo de trabajo del IPSec todavía no ha abordado la aplicación la distribución de claves del grupo, el IPSec no se puede utilizar actualmente para proteger el tráfico del grupo (tal como broadcast o tráfico Multicast).

Descripción de las funciones del IPSec

El IPSec proporciona los servicios de seguridad de la red siguientes. (Local Security (Seguridad local) la directiva dicta generalmente el uso de uno o más de estos servicios.)

Confidencialidad de los datos — El remitente del IPSec puede cifrar los paquetes antes de transmitirlos a través de una red.

Integridad de los datos — El receptor del IPSec puede autenticar los paquetes enviados por el remitente del IPSec para asegurarse de que los datos no se han alterado durante la transmisión.

Autenticación del origen de los datos — El receptor del IPSec puede autenticar la fuente de los paquetes IPsec enviados. Este servicio depende del servicio de integridad de datos.

Anti-respuesta — El receptor del IPSec puede detectar y rechazar los paquetes jugados de nuevo.

El IPSec proporciona los túneles seguros entre dos pares, tales como dos Routers. Usted define qué paquetes se consideran sensibles y se deben enviar a través de estos túneles seguros, y usted define los parámetros que se deben utilizar para proteger estos paquetes sensibles especificando las características de estos túneles. Cuando el peer IPSec reconoce un paquete sensible, el par configura el túnel seguro apropiado y envía el paquete a través del túnel al peer remoto. (El uso del túnel del término en este capítulo no se refiere usando el IPSec en el modo túnel.)

Más exactamente, estos túneles son conjuntos de las asociaciones de seguridad (SA) que se establecen entre dos peeres IPSecs. Los SA definen los protocolos y los algoritmos que se aplicarán a los paquetes sensibles y especifican el material de codificación que se utilizará por los dos pares. Los SA son unidireccionales y se establecen por el Security Protocol (AH o ESP).

Con el IPSec, usted puede definir el tráfico que necesita ser protegido entre dos peeres IPSecs configurando las Listas de acceso y la aplicación de estas Listas de acceso a las interfaces por la correspondencia de criptografía fija. Por lo tanto, el tráfico se puede seleccionar en base de las direcciones de origen y de destino, y acoda opcionalmente el protocolo 4 y el puerto. (Las Listas de acceso usadas para el IPSec se utilizan para determinar solamente qué tráfico se debe proteger por el IPSec, no que el tráfico se debe bloquear o permitir a través de la interfaz. Las Listas de acceso separadas definen el bloqueo y el permiso en la interfaz.)

Un conjunto de crypto maps puede contener múltiples entradas, cada una con una lista de acceso distinta. Las entradas de correspondencia de criptografía se buscan en la orden — las tentativas del router de hacer juego el paquete a la lista de acceso especificada en esa entrada.

Cuando un paquete hace juego permit una entrada en una lista de acceso determinada, y se marca con etiqueta la entrada de correspondencia de criptografía de correspondencia como cisco, se establecen las conexiones, en caso necesario. Si se marca con etiqueta la entrada de correspondencia de criptografía como ipsec-isakmp, se acciona el IPSec. Si no hay SA que el IPSec puede utilizar para proteger este tráfico al par, el IPSec utiliza el IKE para negociar con el peer remoto para configurar el SA de IPSec necesario en nombre del flujo de datos. La negociación utiliza la información especificada en la entrada de correspondencia de criptografía así como la información del flujo de datos de la entrada de lista de acceso específica. (El comportamiento es diferente para las entradas de la correspondencia cifrada dinámica. Vea la sección el “crear de las correspondencias cifradas dinámicas” para seccionar más adelante en este módulo.)

Si se marca con etiqueta la entrada de correspondencia de criptografía como ipsec-manual, se acciona el IPSec. Si no hay SA que el IPSec puede utilizar para proteger este tráfico al par, se cae el tráfico. En este caso, los SA están instalados vía la configuración, sin la intervención del IKE. Si no existen los SA, el IPSec no tiene todos los pedazos necesarios configurados.

Una vez que está establecido, el conjunto de los SA (salientes al par) entonces se aplica al paquete que acciona y a los paquetes correspondientes subsiguientes mientras que esos paquetes salen al router. Los paquetes “aplicables” son los paquetes que hacen juego los mismos criterios de lista de acceso que el paquete original correspondió con. Por ejemplo, todos los paquetes correspondientes podían ser cifrados antes de ser remitido al peer remoto. Se utilizan los SA entrantes correspondientes al procesar el tráfico entrante de ese par.

Los túneles IPsec múltiples pueden existir entre dos pares para asegurar diversas secuencias de datos, con cada túnel usando un conjunto aparte de los SA. Por ejemplo, algunas secuencias de datos necesitan solamente ser autenticadas, mientras que otras secuencias de datos deben ambos ser cifradas y ser autenticadas.

Las Listas de acceso asociadas a las entradas de correspondencia de criptografía del IPSec también representan el tráfico que las necesidades del router protegieron por el IPSec. El tráfico entrante se procesa contra las entradas de correspondencia de criptografía — si un paquete desprotegido hace juego permit una entrada en una lista de acceso determinada asociada a una entrada de correspondencia de criptografía del IPSec, se cae ese paquete porque no fue enviado como paquete protegido por IPsec.

Las entradas de correspondencia de criptografía también incluyen transforman los conjuntos. Un conjunto de la transformación es una combinación aceptable de protocolos de Seguridad, de algoritmos, y de otras configuraciones a aplicarse al tráfico protegido por IPSec. Durante la negociación IPSec SA, los pares acuerdan utilizar un detalle transforman el conjunto al proteger un flujo de datos determinado.

IKEv1 transforman los conjuntos

la versión 1 (IKEv1) del intercambio de claves de Internet del moreno transforma el conjunto representa cierta combinación de protocolos y de algoritmos de Seguridad. Durante la negociación IPSec SA, los pares acuerdan utilizar un detalle transforman el conjunto para proteger un flujo de datos determinado.

Usted puede especificar el múltiplo transforma los conjuntos y después especifica uno o más de éstos transforma los conjuntos en una entrada de correspondencia de criptografía. El conjunto de la transformación definido en la entrada de correspondencia de criptografía se utiliza en la negociación IPSec SA para proteger los flujos de datos especificados por la lista de acceso de esa entrada de correspondencia de criptografía.

Durante las negociaciones de la asociación de seguridad IPSec con el IKE, los pares buscan para una transformación fijada que sea lo mismo en ambos pares. Cuando se encuentra tal conjunto de la transformación, se selecciona y se aplica al tráfico protegido como parte del SA de IPSec de ambos pares. (Con los SA manualmente establecidos, no hay negociación con el par, así que los ambos lados deben especificar lo mismo transforman el conjunto.)

Si usted cambia una definición determinada de la transformación, el cambio se aplica solamente a las entradas de correspondencia de criptografía que se refieren al conjunto de la transformación. El cambio no se aplica a las asociaciones de seguridad existentes, sino se utiliza en las negociaciones subsiguientes para establecer los nuevos SA. Si usted quisiera que las nuevas configuraciones tomaran el efecto más pronto, usted puede borrar el todo o una parte de la base de datos SA usando clear crypto sa el comando.

IKEv2 transforman los conjuntos

Una oferta del intercambio de claves de Internet versión 2 (IKEv2) es un conjunto de transforma utilizado en la negociación IKEv2 SA como parte del intercambio IKE_SA_INIT. Una oferta IKEv2 se mira como completa solamente cuando tiene por lo menos un algoritmo de encripción, un algoritmo de la integridad, y un grupo del Diffie-Hellman (DH) configurado. Si no se configura y se asocia ninguna oferta a una directiva IKEv2, después la oferta predeterminada se utiliza en la negociación. La oferta predeterminada es una colección de algoritmos de uso general que sean como sigue:

encryption aes-cbc-128 3des
integrity sha md5
group 5 2

Transforma mostrado traducen a las combinaciones siguientes en el siguiente orden de la prioridad:

aes-cbc-128, sha, 5
aes-cbc-128, sha, 2
aes-cbc-128, md5, 5
aes-cbc-128, md5, 2
3des, sha, 5
3des, sha, 2
3des, md5, 5

3des, md5, 2

Aunque este comando sea similar crypto isakmp policy priority al comando, la oferta IKEv2 diferencia como sigue:

Una oferta IKEv2 permite la configuración de uno o más transforma para cada uno transforma el tipo.

Una oferta IKEv2 no tiene ninguna prioridad asociada.


Observepara utilizar las ofertas IKEv2 en la negociación, ellas debe ser asociado a las directivas IKEv2. Si una oferta no se configura, después la oferta del valor por defecto IKEv2 se utiliza con la directiva del valor por defecto IKEv2.


Cuando el múltiplo transforma se configuran para un tipo de la transformación, la orden de prioridad está de izquierda a derecha.

Una oferta con el múltiplo transforma para cada uno transforma el tipo traduce a todas las combinaciones posible. de transforma. Si solamente un subconjunto de estas combinaciones se requiere, después deben ser configuradas como ofertas individuales.

Router(config)# crypto ikev2 proposal proposal-1
Router(config-ikev2-proposal)# encryption 3des, aes-cbc-128
Router(config-ikev2-proposal)# integrity sha, md5
Router(config-ikev2-proposal)# group 2

Por ejemplo, los comandos mostrados traducen a las combinaciones de transformación siguientes:

3des, sha, 2
aes-cbc-128, sha, 2
3des, md5, 2
aes-cbc-128, md5, 2

Para configurar el primer y durar las combinaciones de transformación, los comandos son como sigue:

Router(config)# crypto ikev2 proposal proposal-1
Router(config-ikev2-proposal)# encryption 3des
Router(config-ikev2-proposal)# integrity sha
Router(config-ikev2-proposal)# group 2

Router(config)# crypto ikev2 proposal proposal-2
Router(config-ikev2-proposal)# encryption aes-cbc-128
Router(config-ikev2-proposal)# integrity md5
Router(config-ikev2-proposal)# group 2

Tráfico IPSec jerarquizado a los peeres múltiples

Usted puede jerarquizar el tráfico IPSec a una serie de peeres IPSecs. Por ejemplo, para que el tráfico atraviese los Firewall múltiples (estos Firewall tienen una directiva de no dejar con el tráfico que no han autenticado), el router debe establecer los túneles IPsec con cada Firewall a su vez. El Firewall “más cercano” siente bien al peer IPSec “externo”.

En el ejemplo mostrado en el cuadro 1, el router A encapsula el tráfico destinado para el C del router en el IPSec (el C del router es el peer IPSec interno). Sin embargo, antes de que el router A pueda enviar este tráfico, debe primero reencapsulate este tráfico en el IPSec enviarlo al router B (el router B es el peer IPSec “externo”).

Cuadro 1 ejemplo de la anidación de los peeres IPSecs

Es posible para el tráfico entre los pares “externos” tenga una clase de protección (tal como autenticación de datos) y que el tráfico entre los pares “internos” para tener una diversa protección (tal como autenticación de datos y cifrado).

Listas de acceso Crypto

Descripción General de las Listas de Acceso Crypto

Cuándo se Utilizan las Palabras Clave permit y deny en Listas de Acceso Crypto

Listas de acceso Crypto de la imagen espejo en cada peer IPSec

Cuándo Utilizar la Palabra Clave any en las Listas de Acceso Crypto

Descripción General de las Listas de Acceso Crypto

Las Listas de acceso Crypto se utilizan para definir qué tráfico IP es protegido por crypto y qué tráfico no es protegido por crypto. (Estas Listas de acceso no son lo mismo que las Listas de acceso regulares, que determinan qué tráfico para remitir o para bloquear en una interfaz.) Por ejemplo, las Listas de acceso se pueden crear para proteger todo el tráfico IP entre el tráfico de la subred A y de la subred Y o de Telnet entre el host A y el host B.

Las Listas de acceso ellos mismos no son específicas al IPSec. Es la entrada de correspondencia de criptografía que se refiere a la lista de acceso específica que define si el Procesamiento IPSec está aplicado al tráfico que corresponde con a permit en la lista de acceso.

Las Listas de acceso Crypto asociadas a las entradas de correspondencia de criptografía del IPSec tienen cuatro funciones primarias:

Tráfico saliente selecto que se protegerá por el IPSec (el permiso = protege).

Indique el flujo de datos que se protegerá por los nuevos SA (especificados por una sola permit entrada) al iniciar las negociaciones para las asociaciones de seguridad IPSec.

Procese el tráfico entrante para filtrar hacia fuera y desechar el tráfico que se debe haber protegido por el IPSec.

Determine independientemente de si validar los pedidos las asociaciones de seguridad IPSec en nombre de los flujos de datos pedidos al procesar la negociación IKE del peer IPSec.

Realice la negociación solamente para ipsec-isakmp las entradas de correspondencia de criptografía.

Si usted quisiera que cierto tráfico recibiera la una combinación de protección IPSec (por ejemplo, autenticación solamente) y el otro tráfico para recibir una diversa combinación de protección IPSec (por ejemplo, autenticación y cifrado), usted necesita crear dos diversas Listas de acceso crypto para definir los dos diversos tipos de tráfico. Estas diversas Listas de acceso entonces se utilizan en diversas entradas de correspondencia de criptografía, que especifican diversas directivas del IPSec.

Cuándo se Utilizan las Palabras Clave permit y deny en Listas de Acceso Crypto

La protección Crypto se puede permitir o con certeza tráfico IP negado en una lista de acceso crypto como sigue:

Para proteger el tráfico IP que hace juego las condiciones especificadas de la directiva en su entrada de correspondencia de criptografía correspondiente, utilice permit la palabra clave en una lista de acceso.

Para rechazar la protección para el tráfico IP que hace juego las condiciones especificadas de la directiva en su entrada de correspondencia de criptografía correspondiente, utilice deny la palabra clave en una lista de acceso.


El tráfico IPde la nota no es protegido por crypto si es protección rechazada en todas las entradas de correspondencia de criptografía para una interfaz.


Después de que se defina la entrada de correspondencia de criptografía correspondiente y el conjunto de la correspondencia de criptografía se aplica a la interfaz, la lista de acceso crypto definida se aplica a la interfaz. Diversas Listas de acceso se deben utilizar en diversas entradas del mismo conjunto de la correspondencia de criptografía. Sin embargo, ambo el tráfico entrante y saliente se evalúa contra la misma lista de acceso “saliente” del IPSec. Por lo tanto, los criterios de la lista de acceso se aplican en la dirección delantera para traficar saliendo a su router y en la dirección inversa para traficar ingresando a su router.

En el cuadro 2, protección IPSec se aplica para traficar entre el host 10.0.0.1 y el host 192.168.0.2 como la interfaz del s0 del router la a de las salidas de los datos en el camino para recibir 192.168.0.2. Para el tráfico del host 10.0.0.1 para recibir 192.168.0.2, la entrada de lista de acceso en el router A se evalúa como sigue:

source = host 10.0.0.1
dest = host 192.168.0.2

Para el tráfico del host 192.168.0.2 para recibir 10.0.0.1, la entrada de lista de acceso en el router A se evalúa como sigue:

source = host 192.168.0.2
dest = host 10.0.0.1

Cuadro 2 cómo las Listas de acceso Crypto son aplicadas para procesar el IPSec


Si usted configura los varios enunciados para una lista de acceso crypto dada que se utilice para el IPSec, en general la primera permit declaración se corresponde con que es la declaración usada para determinar el alcance IPSec SA. Es decir, IPSec SA se configura para proteger el tráfico que cumple los criterios de la declaración correspondida con solamente. Más adelante, si el tráfico hace juego una diversa permit declaración de la lista de acceso crypto, IPSec nuevo, separado SA se negocia para proteger el tráfico que corresponde con la sentencia de lista de acceso nuevamente correspondida con.

Se cae cualquier tráfico entrante desprotegido que haga juego permit una entrada en la lista de acceso crypto para una entrada de correspondencia de criptografía señalada por medio de una bandera como IPSec, porque se esperaba que este tráfico fuera protegido por el IPSec.


Observesi usted ven las Listas de acceso de su router usando un comando por ejemplo show ip access-lists, todas las listas de acceso IP ampliado se muestran en la salida de comando. Esta muestra del resultado incluye las listas de acceso IP ampliado que se utilizan para los propósitos del filtrado de tráfico y las que se utilicen para crypto. show La salida de comando no distingue entre las diversas aplicaciones de las listas de acceso ampliadas.


El siguiente ejemplo muestra que si se utilizan las redes superpuestas, después las redes más específicas se definen en los números de secuencia crypto antes de que se definan las redes menos específicas. En este ejemplo, la red más específica es cubierta por el número de secuencia 10 de la correspondencia de criptografía, seguido por la red menos específica en la correspondencia de criptografía, que es el número de secuencia 20.

crypto map mymap 10 ipsec-isakmp 
 set peer 192.168.1.1
 set transform-set test 
 match address 101
crypto map mymap 20 ipsec-isakmp 
 set peer 192.168.1.2
 set transform-set test 
 match address 102

access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

access-list 102 permit ip 10.0.0.0 0.255.255.255 172.16.0.0 0.15.255.255

El siguiente ejemplo muestra cómo tener deny una palabra clave en un número de secuencia de la correspondencia de criptografía y tener permit una palabra clave para la misma subred y intervalo de direcciones IP en otro número de secuencia de la correspondencia de criptografía no se soportan.

crypto map mymap 10 ipsec-isakmp 
 set peer 192.168.1.1
 set transform-set test 
 match address 101
crypto map mymap 20 ipsec-isakmp 
 set peer 192.168.1.2
 set transform-set test 
 match address 102

access-list 101 deny   ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 101 permit ip 10.0.0.0 0.255.255.255 172.16.0.0 0.15.255.255

access-list 102 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

Listas de acceso Crypto de la imagen espejo en cada peer IPSec

Cisco recomienda que para cada lista de acceso crypto especificada para una entrada de la correspondencia de criptografía estática que usted define en el peer local, usted define una lista de acceso crypto de la “imagen espejo” en el peer remoto. Esto se asegura que ese tráfico que protección IPSec se ha aplicado localmente puede ser procesado correctamente en el peer remoto. (Las entradas de correspondencia de criptografía ellos mismos deben también soportar el campo común transforman y deben referir al otro sistema como par.)

El cuadro 3 muestra algunos escenarios de ejemplo cuando usted tiene Listas de acceso de la imagen espejo y cuando usted no tiene Listas de acceso de la imagen espejo.

Cuadro 3 imagen espejo contra las Listas de acceso Crypto de la imagen de Nonmirror (para el IPSec)

Mientras que el cuadro 3 indica, el SA de IPSec puede ser establecido como se esperaba siempre que Listas de acceso crypto las dos de los pares sean imágenes espejo de uno a. Sin embargo, IPSec SA se puede establecer solamente algo del tiempo en que las Listas de acceso no son imágenes espejo de uno a. Esto puede suceder en el caso donde está un subconjunto una entrada en la una lista de acceso del par de una entrada en la lista de acceso del otro par, tal como mostrado en los casos 3 y 4 del cuadro 3. establecimiento IPSec SA es crítico al IPSec — sin los SA, el IPSec no trabaja, causando los paquetes que corresponden con los criterios de lista de acceso crypto que se caerán silenciosamente en vez del envío con el IPSec.

En el cuadro 3, un SA no se puede establecer en caso de que 4. Esto es porque los SA se piden siempre según las Listas de acceso crypto en el extremo del paquete de iniciación. En caso de que 4, el router N pida que todo el tráfico entre la subred X y la subred Y esté protegido, pero éste es un superconjunto de los flujos específicos permitidos por la lista de acceso crypto en el router M, así que la petición no se permite. El caso 3 trabaja porque la petición m del router es un subconjunto de los flujos específicos permitidos por la lista de acceso crypto en el router N.

Debido a las complejidades introducidas cuando las Listas de acceso crypto no se configuran como imágenes espejo en los dispositivos de peer IPSecs, Cisco le anima fuertemente a utilizar las Listas de acceso crypto de la imagen espejo.

Cuándo Utilizar la Palabra Clave any en las Listas de Acceso Crypto

Cuando usted crea las Listas de acceso crypto, usando any la palabra clave podría causar los problemas. Cisco desalienta el uso any de la palabra clave de especificar a las direcciones de origen o de destino.

any La palabra clave en permit una declaración se desalienta cuando usted tiene tráfico Multicast que atraviesa la interfaz del IPSec; any la palabra clave puede hacer el tráfico Multicast fallar.

permit any any La declaración se desalienta fuertemente porque ésta hace todo el tráfico saliente ser protegida (y todo el tráfico protegido ser enviada al par especificado en la entrada de correspondencia de criptografía correspondiente) y requiere la protección para todo el tráfico entrante. Entonces, todos los paquetes de entrada que faltan protección IPSec se caen silenciosamente, incluyendo los paquetes para los Routing Protocol, el Network Time Protocol (NTP), generación de eco, respuesta de la generación de eco, y así sucesivamente.

Usted necesita estar seguro que usted define que los paquetes a proteger. Si usted debe utilizar any la palabra clave en permit una declaración, usted debe introducir esa declaración con una serie de enunciados deny para filtrar hacia fuera cualquier tráfico (que bajara de otra manera dentro de esa permit declaración) que usted no quiere ser protegido.

También, el usoany de la palabra clave en el Listas de control de acceso (ACL) con el Reverse Route Injection (RRI) no se soporta. (Para más información sobre el RRI, vea la sección el “crear de la correspondencia de criptografía Sets.")

Transforme los conjuntos: Una Combinación de Protocolos y Algoritmos de Seguridad

Sobre transforme los conjuntos

Sobre transforme los conjuntos

Un conjunto de la transformación representa cierta combinación de protocolos y de algoritmos de Seguridad. Durante la negociación IPSec SA, los pares acuerdan utilizar un detalle transforman el conjunto para proteger un flujo de datos determinado.

Usted puede especificar el múltiplo transforma los conjuntos, y después especifica uno o más de éstos transforma los conjuntos en una entrada de correspondencia de criptografía. El conjunto de la transformación definido en la entrada de correspondencia de criptografía se utiliza en la negociación IPSec SA para proteger los flujos de datos especificados por la lista de acceso de esa entrada de correspondencia de criptografía.

Durante las negociaciones de la asociación de seguridad IPSec con el IKE, los pares buscan para una transformación fijada que sea lo mismo en ambos pares. Cuando se encuentra tal conjunto de la transformación, se selecciona y se aplica al tráfico protegido como parte del SA de IPSec de ambos pares. (Con los SA manualmente establecidos, no hay negociación con el par, así que los ambos lados deben especificar lo mismo transforman el conjunto.)

Si usted cambia una definición determinada de la transformación, el cambio se aplica solamente a las entradas de correspondencia de criptografía que se refieren al conjunto de la transformación. El cambio no se aplica a las asociaciones de seguridad existentes, sino se utiliza en las negociaciones subsiguientes para establecer los nuevos SA. Si usted quisiera que las nuevas configuraciones tomaran el efecto más pronto, usted puede borrar el todo o una parte de la base de datos SA usando clear crypto sa el comando.

Las demostraciones del cuadro 3 permitieron las combinaciones de transformación.

Combinaciones de transformación permitidas del cuadro 3 

Transforme el tipo
Transforme
Descripción

AH transforme (la selección solamente una.)

ah-md5-hmac

AH con el MD5 algoritmo de autenticación (de la publicación de mensaje 5) (una variante HMAC).

ah-sha-hmac

AH con el algoritmo de autenticación SHA (algoritmo de troceo seguro) (una variante HMAC).

El cifrado ESP transforma (la selección solamente una.)

esp-aes

ESP con el algoritmo de encripción del Advanced Encryption Standard (AES) del 128-bit.

esp-gcm

esp-gmac

esp-gcm Y esp-gmac transforma son ESP con un 128-bit o un algoritmo de encripción del 256-bit. El valor por defecto para cualquiera de éstos transforma es los bits 128.

Ambos esp-gcm y esp-gmac transforman no se pueden configurar así como cualquier otro ESP transforman dentro del mismo IPSec crypto transforman el conjunto usando crypto ipsec transform-setel comando.

esp-aes 192

ESP con el algoritmo de encripción AES del 192-bit.

esp-aes 256

ESP con el algoritmo de encripción AES del 256-bit.

 

esp-des

ESP con el algoritmo de encripción del Data Encryption Standard (DES) 56-bit.

esp-3des

ESP con el algoritmo de encripción de DES del 168-bit (3DES o DES triple).

esp-null

Algoritmo de encripción nulo.

esp-seal

ESP con el algoritmo de encripción del SELLO del 160-bit.

La autenticación ESP transforma (la selección solamente una.)

esp-md5-hmac

ESP con (variante HMAC) el algoritmo de autenticación MD5.

esp-sha-hmac

ESP con el algoritmo de autenticación SHA (variante HMAC).

La compresión IP transforma

comp-lzs

Compresión IP con el algoritmo del Lempel-Ziv-stac (LZS)


Soporte de la habitación-B del Cisco IOS para los algoritmos criptográficos IKE y del IPSec

La habitación-B agrega el soporte para cuatro habitaciones de la interfaz de usuario de los algoritmos criptográficos para el uso con el IKE y el IPSec que se describen en el RFC 4869. Cada habitación consiste en un algoritmo de encripción, un Digital Signature Algorithm, un Algoritmo de acuerdo dominante, y un hash o un algoritmo condensado de mensaje.

La habitación-B tiene los algoritmos criptográficos siguientes:

Protección de la integridad Suite-B-GCM-128-Provides ESP, confidencialidad, y algoritmos de encripción de IPSec que utilizan el 128-bit AES usando Galois y el modo contrario (AES-GCM) descritos en el RFC 4106. Esta habitación debe ser utilizada cuando se necesitan la protección y el cifrado ambas de la integridad ESP.

Protección y confidencialidad de la integridad Suite-B-GCM-256-Provides ESP usando el 256-bit AES-GCM descrito en el RFC 4106. Esta habitación debe ser utilizada cuando se necesitan la protección y el cifrado ambas de la integridad ESP.

La protección de la integridad Suite-B-GMAC-128-Provides ESP usando el Message Authentication Code del 128-bit AES- Galois (GMAC) descrito en el RFC 4543, pero no proporciona la confidencialidad. Esta habitación debe ser utilizada solamente cuando no hay necesidad del cifrado ESP.

La protección de la integridad Suite-B-GMAC-256-Provides ESP usando el 256-bit AES-GMAC descrito en el RFC 4543, pero no proporciona la confidencialidad. Esta habitación debe ser utilizada solamente cuando no hay necesidad del cifrado ESP.

Los algoritmos de encripción de IPSec utilizan AES-GCM cuando el cifrado se requiere y AES-GMAC para la Integridad del mensaje sin el cifrado.

Modo del Cipher Block Chaining de las aplicaciones AES de la negociación IKE (CBC) para proporcionar el cifrado y el algoritmo de troceo seguro (familia SHA)-2 que contiene los algoritmos de troceo del SHA-256 y del SHA-384, según lo definido en el RFC 4634, para proporcionar las funciones del hash. Diffie Hellman usando las curvas elípticas (ECP), según lo definido en el RFC 4753, se utiliza para el intercambio de claves y el Digital Signature Algorithm elíptico de la curva (ECDSA), según lo definido en el RFC 4754, para proporcionar la autenticación.

Requisitos de la habitación-B

La habitación-B impone los requisitos siguientes del motor de la criptografía de software para el IKE y el IPSec:

HMAC-SHA256 y HMAC-SHA384 se utilizan como funciones pseudoaleatorias; la verificación de la integridad dentro del IKE Protocol se utiliza. Opcionalmente, HMAC-SHA512 puede ser utilizado.

Los grupos elípticos 19 (curva del 256-bit ECP) y 20 de la curva (curva del 384-bit ECP) se utilizan como el grupo Diffie-Hellman en el IKE. Opcionalmente, el grupo 21 (curva del 521-bit ECP) puede ser utilizado.

El algoritmo ECDSA (256-bit y las curvas del 384-bit) se utiliza para la operación de la firma dentro de los Certificados X.509.

GCM (16 byte ICV) y GMAC se utiliza para el ESP (128-bit y las claves del 256-bit). Opcionalmente, las claves del 192-bit pueden ser utilizadas.

El soporte PKI para la validación de los Certificados X.509 usando las firmas ECDSA debe ser utilizado.

El soporte PKI para generar los pedidos de certificado usando las firmas ECDSA y para importar los Certificados publicados en el IOS debe ser utilizado.

El soporte IKEV2 para permitir la firma ECDSA (ECDSA-SIG) como método de autentificación debe ser utilizado.

Donde encontrar la información de la configuración de la habitación-B

El soporte de la configuración de la habitación-B se describe en el documento siguiente:

Para más información sobre esp-gcm y esp-gmac transforma, ve “configurar para transformar los conjuntos para la sección del IKEv1".

Para más información sobre la familia SHA-2 (variante HMAC) y la configuración elíptica del par clave de la curva (EC), vea el intercambio de claves de Internet que configura para el módulo de función del IPSec VPN.

Para más información sobre configurar una transformación para un tipo del algoritmo de la integridad, vea configurar la sección de la oferta IKEv2 en el módulo de función del intercambio de claves de Internet que configura versión 2 (IKEv2).

Para más información sobre configurar el ECDSA-SIG para ser el método de autentificación para IKEv2, vea configurar la sección del perfil IKEv2 en el módulo de función del intercambio de claves de Internet que configura versión 2 (IKEv2).

Para más información sobre configurar el soporte elíptico de Diffie Hellman de la curva (ECDH) para la negociación IPSec SA, vea el intercambio de claves de Internet que configura para el IPSec VPN y configurar los módulos de función del intercambio de claves de Internet versión 2 (IKEv2).

Para más información sobre el soporte de la habitación-B para la inscripción del certificado para un PKI, vea la inscripción del certificado que configura para un módulo de función PKI.

Conjuntos de la correspondencia de criptografía

Antes de que usted cree las entradas de correspondencia de criptografía, usted debe determinar que el tipo de correspondencia de criptografía — estática, dinámica, o manual — mejor dirige las necesidades de su red.

Acerca de Crypto Maps

Carga a Compartir entre Crypto Maps

Pautas de los Crypto Maps

Correspondencias de criptografía estática

Correspondencias cifradas dinámicas

Interfaces redundantes que comparten la misma correspondencia de criptografía

Acerca de Crypto Maps

Las entradas de correspondencia de criptografía creadas para el IPSec tiran juntas de las diversas piezas usadas para configurar el SA de IPSec, incluyendo:

Qué tráfico se debe proteger por el IPSec (por una lista de acceso crypto)

El granularity del flujo que se protegerá por un conjunto de los SA

Donde el tráfico protegido por IPSec debe ser enviado (quién el peer IPSec remoto es)

La dirección local que se utilizará para el tráfico IPSec (véase la sección el aplicar de los conjuntos de la correspondencia de criptografía a las interfaces para más detalles.)

Qué IPSec SA debe ser aplicado a este tráfico (que selecciona de una lista de uno o más transforme los conjuntos)

Si los SA están establecidos o establecidos manualmente vía el IKE

Otros parámetros que pudieron ser necesarios definir IPSec SA

Cómo las correspondencias de criptografía trabajan

Las entradas de correspondencia de criptografía con el mismo nombre de correspondencia de criptografía (pero diversos números de secuencia de la correspondencia) se agrupan en un conjunto de la correspondencia de criptografía. Más adelante, usted aplica estos conjuntos de la correspondencia de criptografía a las interfaces; todo el tráfico IP que pasa a través de la interfaz se evalúa contra el conjunto aplicado de la correspondencia de criptografía. Si una entrada de correspondencia de criptografía considera que el tráfico IP saliente que debe ser protegido y la correspondencia de criptografía especifica el uso del IKE, un SA se negocia con el peer remoto según los parámetros incluidos en la entrada de correspondencia de criptografía; si no, si la entrada de correspondencia de criptografía especifica el uso de los SA manuales, un SA se debe haber establecido ya vía la configuración. (Si una entrada de la correspondencia cifrada dinámica considera que existe el tráfico saliente que debe ser protegido y ninguna asociación de seguridad, se cae el paquete.)

La directiva descrita en las entradas de correspondencia de criptografía se utiliza durante la negociación de los SA. Si el router local inicia la negociación, utiliza la directiva especificada en las entradas de la correspondencia de criptografía estática para crear la oferta que se enviará al peer IPSec especificado. Si el peer IPSec inicia la negociación, el router local marca la directiva de las entradas de la correspondencia de criptografía estática, así como cualquier entrada referida de la correspondencia cifrada dinámica, para decidir a si validar o rechazar la petición del par (oferta).

Para que el IPSec tenga éxito entre dos peeres IPSecs, las entradas de correspondencia de criptografía de ambos pares deben contener las declaraciones de configuración compatible.

Correspondencias de criptografía compatibles: Establecimiento de un SA

Cuando dos pares intentan establecer un SA, deben cada uno tener por lo menos una entrada de correspondencia de criptografía que sea compatible con una de las entradas de correspondencia de criptografía del otro par. Para que dos entradas de correspondencia de criptografía sean compatibles, deben cumplir los criterios siguientes:

Las entradas de correspondencia de criptografía deben contener las Listas de acceso crypto compatibles (por ejemplo, las Listas de acceso de la imagen espejo). En el caso donde el par de respuesta está utilizando las correspondencias cifradas dinámicas, las entradas en la lista de acceso crypto local se deben “permitir” por la lista de acceso crypto del par.

Las entradas de correspondencia de criptografía deben cada uno identificar al otro par (a menos que el par de respuesta está utilizando las correspondencias cifradas dinámicas).

Las entradas de correspondencia de criptografía deben hacer que por lo menos una transforme el conjunto en el campo común.

Carga a Compartir entre Crypto Maps

Usted puede definir a los peeres remotos múltiples que usan las correspondencias de criptografía para permitir la carga a compartir. La carga a compartir es útil porque si un par falla, todavía hay una trayectoria protegida. Al par más reciente determina al par a quien los paquetes se envían realmente de quien el router oyó (es decir, tráfico recibido o una petición de la negociación) para un flujo de datos dado. Si la tentativa falla con el primer par, el IKE intenta al par siguiente en la lista de la correspondencia de criptografía.

Si usted no está seguro cómo configurar cada parámetro de la correspondencia de criptografía para garantizar la compatibilidad con otros pares, usted puede ser que considere configurar las correspondencias cifradas dinámicas según lo descrito en la sección las “que creaba correspondencias cifradas dinámicas.” Las correspondencias cifradas dinámicas son útiles cuando el establecimiento de los túneles IPsec es iniciado por el peer remoto (por ejemplo en el caso de un router IPSec que afronta un servidor). No son útiles si el establecimiento de los túneles IPsec localmente se inicia porque las correspondencias cifradas dinámicas son plantillas de política, las declaraciones no completas de la directiva.

Pautas de los Crypto Maps

Usted puede aplicar solamente una correspondencia de criptografía fijada a una sola interfaz. El conjunto de la correspondencia de criptografía puede incluir una combinación de IPsec/IKE y de IPSec/de entradas manuales. Las interfaces múltiples pueden compartir la misma correspondencia de criptografía fijada si usted quiere aplicar la misma directiva a las interfaces múltiples.

Si usted crea más de una entrada de correspondencia de criptografía para una interfaz dada, utilice el argumento seq-numérico de cada entrada de mapeo para alinear las entradas de mapeo; más bajo es el argumento seq-numérico más alta es la prioridad. En la interfaz que tiene la correspondencia de criptografía fijada, el tráfico primero se evalúa contra las entradas de mapeo más prioritarias.

Usted debe crear las entradas de correspondencia de criptografía múltiples para una interfaz dada si existen las condiciones siguientes unas de los:

Si es diferente los flujos de datos deben ser dirigidos por los peeres IPSecs separados.

Si usted quiere aplicar diferente seguridad IPSec a diversos tipos de tráfico (para lo mismo o separar a los peeres IPSecs); por ejemplo, si usted quisiera que el tráfico entre un conjunto de las subredes fuera autenticado, y tráfico entre otro conjunto de las subredes ser autenticado y ser cifrado. En estos casos, los diversos tipos de tráfico deben haber sido definidos en dos Listas de acceso separadas, y usted debe crear una entrada de correspondencia de criptografía separada para cada lista de acceso crypto.

Si usted no está utilizando el IKE para establecer un conjunto determinado de las asociaciones de seguridad, y usted quiere especificar las entradas de lista de acceso múltiple, usted debe crear las Listas de acceso separadas (una por permit la entrada) y especificar una entrada de correspondencia de criptografía separada para cada lista de acceso.

Correspondencias de criptografía estática

Cuando el IKE se utiliza para establecer los SA, los peeres IPSecs pueden negociar las configuraciones que utilizan para las nuevas asociaciones de seguridad. Esto significa que usted puede especificar las listas (tales como listas de aceptable transforma) dentro de la entrada de correspondencia de criptografía.

Realice esta tarea de crear las entradas de correspondencia de criptografía que utilizan el IKE para establecer los SA. Para crear las entradas de correspondencia de criptografía del IPv6, usted debe utilizar ipv6 la palabra clave con crypto map el comando. Para las correspondencias de criptografía del IPv4, utilice crypto map el comando sin ipv6 la palabra clave.

Correspondencias cifradas dinámicas

Las correspondencias cifradas dinámicas pueden facilitar la configuración IPSec y se recomiendan para el uso con las redes donde no predeterminan a los pares siempre. Para crear las correspondencias cifradas dinámicas, usted debe entender los conceptos siguientes:

Descripción de las correspondencias cifradas dinámicas

Tunnel Endpoint Discovery

Descripción de las correspondencias cifradas dinámicas

Las correspondencias cifradas dinámicas están solamente disponibles para uso del IKE.

Una entrada de la correspondencia cifrada dinámica es esencialmente una entrada de la correspondencia de criptografía estática sin todos los parámetros configurados. Actúa como plantilla de política donde están más adelante los parámetros que falta configurados dinámicamente (como resultado de un IPSec Negotiation) para hacer juego los requisitos de un peer remoto. Esto permite que los peeres remotos intercambien el tráfico IPSec por el router incluso si el router no hace una entrada de correspondencia de criptografía configurar específicamente para cumplir los requisitos de todo el peer remoto.

Las correspondencias cifradas dinámicas no son utilizadas por el router para iniciar a las nuevas asociaciones de seguridad IPSec con los peeres remotos. Se utilizan las correspondencias cifradas dinámicas cuando un peer remoto intenta iniciar a una asociación de seguridad IPSec con el router. Las correspondencias cifradas dinámicas también se utilizan en el tráfico de evaluación.

Un conjunto de la correspondencia cifrada dinámica es incluido por la referencia como parte de un conjunto de la correspondencia de criptografía. Cualquier entrada de correspondencia de criptografía que se refiera a los conjuntos de la correspondencia cifrada dinámica debe ser las entradas de correspondencia de criptografía de la prioridad más baja de la correspondencia de criptografía fijada (es decir, tenga los números de secuencia más altos) para evaluar las otras entradas de correspondencia de criptografía primero; que la manera, el conjunto de la correspondencia cifrada dinámica está examinada solamente cuando las otras entradas de mapeo (de los parásitos atmosféricos) no se corresponden con con éxito.

Si el router valida la petición del par, instala a las nuevas asociaciones de seguridad IPSec, él también instala una entrada de correspondencia de criptografía temporal. Esta entrada contiene los resultados de la negociación. En este momento, el router realiza el proceso normal usando esta entrada de correspondencia de criptografía temporal como entrada normal, incluso pidiendo a las nuevas asociaciones de seguridad si están expirando las actuales (basadas sobre la directiva especificada en la entrada de correspondencia de criptografía temporal). El flujo expira una vez (es decir, todas las asociaciones de seguridad correspondientes expiran), la entrada de correspondencia de criptografía temporal entonces se quita.

Para ambos mapas de criptografía estáticos y dinámicos, si el tráfico entrante desprotegido hace juego permit una declaración en una lista de acceso, y la entrada de correspondencia de criptografía correspondiente se marca con etiqueta como “IPSec,” entonces el tráfico se cae porque no es protegido por IPsec. (Esto es porque la política de seguridad según lo especificado por los estados de la entrada de correspondencia de criptografía que este tráfico debe ser protegido por IPsec.)

Para las entradas de la correspondencia de criptografía estática, si el tráfico saliente hace juego permit una declaración en una lista de acceso y el SA correspondiente todavía no se establece, el router inicia los nuevos SA con el peer remoto. En el caso de las entradas de la correspondencia cifrada dinámica, si existe ningún SA, el tráfico sería caído simplemente (porque las correspondencias cifradas dinámicas no se utilizan para iniciar los nuevos SA).


La notacuida al usar any la palabra clave en permit las entradas en las correspondencias cifradas dinámicas. Si es posible para el tráfico cubierto por tal permit entrada para incluir el Multicast o el tráfico de broadcast, la lista de acceso debe incluir deny las entradas para el rango de dirección apropiada. Las Listas de acceso deben también incluir deny las entradas para la red y el tráfico de broadcast de subred, y para cualquier otro tráfico que no deba ser IPSec protegido.


Tunnel Endpoint Discovery

La definición de una correspondencia cifrada dinámica permite que solamente el router de recepción determine dinámicamente a un peer IPSec. El TED permite que el router de iniciación determine dinámicamente a un peer IPSec para las comunicaciones seguras del IPSec.

TED dinámico ayuda a simplificar la configuración IPSec en los routeres individuales dentro de una Red grande. Cada nodo tiene una Configuración simple que defina la red local que el router está protegiendo y el IPSec requerido transforma.

Para tener una red grande, completamente adetnra sin TED, cada par necesita tener correspondencias de criptografía estática a cada otro par en la red. Por ejemplo, si hay 100 pares en una red grande, completamente adetnra, necesidades de cada router 99 correspondencias de criptografía estática de cada uno de sus pares. Con TED, solamente una sola correspondencia cifrada dinámica con TED habilitó es necesaria porque descubren al par dinámicamente. Así, las correspondencias de criptografía estática no necesitan ser configuradas para cada par.


Observelas ayudas de TED solamente en el descubrimiento de los pares y no funciona diferentemente que el IPSec normal. TED no mejora el scalability del IPSec (en términos de funcionamiento o número de pares o de túneles).


El cuadro 4 y los pasos correspondientes explican una topología de red de TED de la muestra.

‘Figura 4’

Topología de red de muestra del Tunnel Endpoint Discovery


Paso 1El host A envía un paquete que sea destinado para el host B.

El 2 Router 1del paso intercepta y lee el paquete. Según la política IKE, el router1 contiene la siguiente información: el paquete debe ser cifrado, no hay SA para el paquete, y se habilita TED. Así, el router1 cae el paquete y envía una sonda de TED en la red. (La sonda de TED contiene la dirección IP del host A (como la dirección IP de origen) y la dirección IP del host B (como el IP Address de destino) integrada en el payload.

El 3 Router 2del paso intercepta la sonda de TED y marca la sonda contra los ACL que protege; después de que la sonda haga juego un ACL, se reconoce como sonda de TED para los proxys que el router protege. Entonces envía una contestación de TED con la dirección IP del host B (como la dirección IP de origen) y la dirección IP del host A (como el IP Address de destino) integrada en el payload.

El 4 Router 1del paso intercepta la contestación de TED y marca las cargas útiles para la dirección IP y el medio proxy del router2. Después combina el lado de la fuente de su proxy con el proxy encontrado en el segundo payload e inicia a una sesión IKE con el router2; después de eso, el router1 inicia sesión IPSec con el router2.


La notaIKE no puede ocurrir hasta que identifiquen al par.



Versiones de TED

La tabla siguiente enumera las versiones disponibles de TED:

Versión
Primera versión disponible
Descripción

TEDv1

12.0(5)T

Realiza las funciones básicas de TED en las redes del nonredundant.

TEDv2

el 12.1M

Aumentado para trabajar con las Redes redundantes con las trayectorias a través de los gatewayes de seguridad múltiples entre la fuente y el destino.

TEDv3

el 12.2M

Aumentado para permitir que las entradas NON-IP-relacionadas sean utilizadas en la lista de acceso.


Restricciones de TED

TED tiene las restricciones siguientes:

Es propietario de Cisco.

Está disponible solamente en las correspondencias cifradas dinámicas. (La plantilla de la correspondencia cifrada dinámica se basa en la correspondencia cifrada dinámica que realiza la detección del par. Aunque no haya restricciones de la lista de acceso en la plantilla de la correspondencia cifrada dinámica, la plantilla de la correspondencia cifrada dinámica debe cubrir los datos con origen del tráfico protegido y del router de recepción que usa any la palabra clave. Al usar any la palabra clave, incluya las declaraciones deny explícitas para eximir el tráfico del Routing Protocol antes de ingresar permit any el comando.

TED trabaja solamente en el modo túnel; es decir, no trabaja en el modo de transporte.

Es limitado por el funcionamiento y el scalability de la limitación del IPSec en cada plataforma individual.


Observehabilitar TED disminuye levemente el scalability general del IPSec debido a los gastos indirectos de la configuración de la detección del par, que implica un “ida-vuelta adicional” de los mensajes IKE (sonda y contestación de TED). Aunque sea mínima, la memoria adicional usada para salvar las estructuras de datos durante la etapa de detección del par afecte al contrario al scalability general del IPSec.


Los IP Addresses se deben rutear dentro de la red.

La lista de acceso usada en la correspondencia de criptografía para TED puede contener solamente las entradas del relacionado con IP — el TCP, el UDP, u otros protocolos no se pueden utilizar en la lista de acceso.


Observeesta restricción es no más aplicable en TEDv3.


Interfaces redundantes que comparten la misma correspondencia de criptografía

Para la Redundancia, usted podría aplicar el mismo conjunto de la correspondencia de criptografía a más de una interfaz. El comportamiento predeterminado es como sigue:

Cada interfaz tiene su propio pedazo de la base de datos de la asociación de seguridad.

La dirección IP de la interfaz local se utiliza como la dirección local para el tráfico IPSec que origina de o se destina a esa interfaz.

Si usted aplica la misma correspondencia de criptografía fijada a las interfaces múltiples para los propósitos de la redundancia, usted debe especificar una interfaz de identificación. Una sugerencia es utilizar un Loopback Interface como la interfaz de identificación. Esto tiene los efectos siguientes:

La porción del por interface de la base de datos de la asociación de seguridad IPSec se establece una vez y se comparte para el tráfico a través de todas las interfaces que comparten la misma correspondencia de criptografía.

La dirección IP de la interfaz de identificación se utiliza como la dirección local para el tráfico IPSec que origina de o se destina a esas interfaces que comparten el mismo conjunto de la correspondencia de criptografía.

Establezca los SA manuales

El uso de las asociaciones de seguridad manuales es un resultado de un acuerdo previo entre los usuarios del router local y el peer IPSec. Los dos partidos pueden comenzar con los SA manuales y después moverse a usar los SA establecidos vía el IKE, o el sistema de la parte remota puede no soportar el IKE. Si el IKE no se utiliza para establecer los SA, no hay negociación de los SA, así que la información de la configuración en ambos sistemas debe ser lo mismo para que el tráfico sea procesado con éxito por el IPSec.

El router local puede soportar simultáneamente los SA manuales y IKE-establecidos, incluso dentro de un solo conjunto de la correspondencia de criptografía.

Hay razón muy pequeña para inhabilitar el IKE en el router local (a menos que el router soporta solamente los SA manuales, que es inverosímil).


Las Listas de accesode la nota para las entradas de correspondencia de criptografía marcadas con etiqueta como ipsec-manual se restringen a una sola permit entrada y a las entradas subsiguientes se ignoran. Es decir los SA establecidos por esa entrada de correspondencia de criptografía determinada están solamente para un solo flujo de datos. Para soportar el múltiplo estableció manualmente los SA para los diferentes tipos de tráfico, definen las Listas de acceso crypto múltiples, y aplican cada uno a una entrada de correspondencia de criptografía ipsec-manual separada. Cada lista de acceso debe incluir una permit declaración que define qué tráfico a proteger.


Cómo configurar el IPSec VPN

Creación de Listas de Acceso Crypto

El configurar transforma los conjuntos para las ofertas IKEv1 e IKEv2

Creación de Conjuntos de Crypto Maps

Aplicación de Conjuntos de Crypto Maps a Interfaces

Creación de Listas de Acceso Crypto

Realice esta tarea de crear las Listas de acceso crypto.

PASOS SUMARIOS

1. enable

2. configure terminal

3.access-listaccess-list-number{deny | permit} protocol source source-wildcard destination destination-wildcard[]log

o

ip access-list extended name

4.Relance el paso 3 para cada lista de acceso crypto que usted quiere crear.

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

access-list access-list-number {deny | permit} protocol source source-wildcard destination destination-wildcard [log]

Example:

Router(config)# access-list 100 permit ip 10.0.68.0 0.0.0.255 10.1.1.0 0.0.0.255


o

ip access-list extended name

Example:

Router(config)# ip access-list extended vpn-tunnel

Especifica las condiciones para determinar que los paquetes IP son protected.1

Habilite o inhabilite crypto para el tráfico que hace juego estas condiciones.

La extremidadCisco recomienda que usted configura las Listas de acceso crypto de la “imagen espejo” para uso del IPSec y que usted evita usar any la palabra clave.

Paso 4 

Relance el paso 3 para cada lista de acceso crypto que usted quiere crear.

1 usted especifica las condiciones usando una lista de IP Access señalada por un número o un nombre. access-list El comando señala una lista de acceso ampliada numerada; ip access-list extended el comando señala una lista de acceso denominada.

Pasos Siguientes

Después de que por lo menos una lista de acceso crypto se cree, un conjunto de la transformación necesita ser definido como descrito en la sección “que configura transforma los conjuntos para las ofertas IKEv1 e IKEv2.”

Las Listas de acceso crypto necesitan después ser asociadas a las interfaces particulares cuando usted configura y aplica los conjuntos de la correspondencia de criptografía a las interfaces. (Siga las instrucciones en las secciones la “que crean correspondencia de criptografía fija” y la “aplicación de la correspondencia de criptografía fija a las interfaces”).

El configurar transforma los conjuntos para las ofertas IKEv1 e IKEv2

Realice esta tarea de definir una transformación fijada que deba ser utilizada por los peeres IPSecs durante las negociaciones de la asociación de seguridad IPSec con las ofertas IKEv1 e IKEv2.

Restricciones

Si usted está especificando el cifrado del SELLO, observe las restricciones siguientes:

El su router y el otro par no deben tener una encripción de IPSec del hardware.

El su router y el otro par deben soportar el IPSec.

El su router y el otro par deben soportar el subsistema del k9.

El cifrado del SELLO está disponible solamente en el equipo de Cisco. Por lo tanto, la Interoperabilidad no es posible.

A diferencia de IKEv1, el método de autentificación y el curso de la vida SA no son negociables en IKEv2, y debido a esto, estos parámetros no se pueden configurar bajo oferta IKEv2.

El configurar transforma los conjuntos para IKEv1

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto ipsec transform-set transform-set-name transform1[[]transform2transform3]

4.mode [tunnel | transport]

5. exit

6.clear crypto sa [peer {ip-address | peer-name} | sa map map-name | sa entry destination-address protocol spi]

7.show crypto ipsec transform-set[]tag transform-set-name

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]

Example:

Router(config)# crypto ipsec transform-set aesset esp-aes 256 esp-sha-hmac

Define un conjunto de transformaciones e ingresa en el modo de configuración de transformaciones criptográficas.

Hay reglas complejas que definen las entradas para las cuales usted puede utilizar transforma los argumentos. Estas reglas se explican en el comando description para crypto ipsec transform-set el comando, y el cuadro 3 proporciona una lista de combinaciones de transformación permitidas.

Paso 4 

mode [tunnel | transport]

Example:

Router(cfg-crypto-tran)# mode transport

(Opcional) cambia el modo asociado al conjunto de la transformación.

La configuración de modo es aplicable traficar solamente de quién direcciones de origen y de destino son los direccionamientos del peer IPSec; se ignora para el resto del tráfico. (El resto del tráfico está solamente en modo túnel.)

Paso 5 

end

Example:

Router(cfg-crypto-tran)# exit

Sale crypto transforman al modo de configuración y ingresan al modo EXEC privilegiado.

Paso 6 

clear crypto sa [peer {ip-address | peer-name} | sa map map-name | sa entry destination-address protocol spi]

Example:

Router# clear crypto sa

(Opcional) borra a las asociaciones de seguridad IPSec existentes de modo que cualquier cambio a un conjunto de la transformación tome el efecto sobre las asociaciones de seguridad posteriormente establecidas.

Los SA manualmente establecidos se restablecen inmediatamente.

Usando clear crypto sa el comando sin los parámetros vacia la base de datos completa SA, que vacia las sesiones de la seguridad activa.

Usted puede también especificar peer map, o entry las palabras claves para vaciar solamente un subconjunto de la base de datos SA.

Paso 7 

show crypto ipsec transform-set [tag transform-set-name]

Example:

Router# show crypto ipsec transform-set

(Opcional) visualiza configurado transforman los conjuntos.

Pasos Siguientes

Después de que usted haya definido un conjunto de la transformación, usted debe crear una correspondencia de criptografía como se especifica en la sección los “que crea conjuntos de la correspondencia de criptografía.”

El configurar transforma los conjuntos para IKEv2

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto ikev2 proposal proposal-name

4.encryption transform1 []transform2

5.integrity transform1 []transform2

6.group transform1 []transform2

7. exit

8. show crypto ikev2 proposal

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto ikev2 proposal proposal-name

Example:

Router(config)# crypto ikev2 proposal proposal-1

Especifica el nombre de la oferta y ingresa al modo de configuración crypto de la oferta ikev2. Las ofertas se refieren en las directivas IKEv2 con el nombre de la oferta.

Paso 4 

encryption transform1 [transform2] ...

Example:

Router(config-ikev2-proposal)# encryption 3des, aes-cbc-128

(Opcional) especifica uno o más transforma del tipo de encripción siguiente:

AES-CBC 128

AES-CBC 192

AES-CBC 256

3DES

DES

Paso 5 

integrity transform1 [transform2] ...

Example:

Router(config-ikev2-proposal)# integrity sha, md5

(Opcional) especifica uno o más transforma del tipo siguiente de la integridad:

SHA

MD5

Paso 6 

group transform1 [transform2] ...

Example:

Router(config-ikev2-proposal)# group 2

(Opcional) especifica uno o más transforma del Tipo de grupo posible DH:

Group1

Group2

Grupo 5

Paso 7 

show crypto ikev2 proposal

Example:

Router# show crypto ikev2 proposal

(Opcional) visualiza los parámetros para cada oferta IKEv2.

Transforme los conjuntos para IKEv2: Ejemplos

La demostración de los siguientes ejemplos cómo configurar una oferta:

La oferta IKEv2 con una transforma para cada uno transforma el tipo

Router(config)# crypto ikev2 proposal proposal-1
Router(config-ikev2-proposal)# encryption 3des
Router(config-ikev2-proposal)# integrity sha
Router(config-ikev2-proposal)# group 2

La oferta IKEv2 con el múltiplo transforma para cada uno transforma el tipo

Router(config)# crypto ikev2 proposal proposal-2
Router(config-ikev2-proposal)# encryption 3des aes-cbc-128
Router(config-ikev2-proposal)# integrity sha md5
Router(config-ikev2-proposal)# group 2 5

La oferta IKEv2 proposal-2 traduce a la lista prioritaria siguiente de combinaciones de transformación:

3des, sha, 2

3des, sha, 5

3des, md5, 2

3des, md5, 5

aes-cbc-128, sha, 2

aes-cbc-128, sha, 5

aes-cbc-128, md5, 2

aes-cbc-128, md5, 5

Ofertas IKEv2 sobre el iniciador y el respondedor

La oferta del iniciador es como sigue:

Router(config)# crypto ikev2 proposal proposal-1
Router(config-ikev2-proposal)# encryption 3des aes-cbc-128
Router(config-ikev2-proposal)# integrity sha md5
Router(config-ikev2-proposal)# group 2 5

La oferta del respondedor es como sigue:

Router(config)# crypto ikev2 proposal proposal-2
Router(config-ikev2-proposal)# encryption aes-cbc-128 3des
Router(config-ikev2-proposal)# integrity md5 sha 
Router(config-ikev2-proposal)# group 5 2 

En el escenario mostrado, la opción del iniciador de los algoritmos se prefiere y los algoritmos seleccionados son como sigue:

encryption 3des
integrity sha 
group 2

Pasos Siguientes

Después de que usted haya definido un conjunto de la transformación, usted debe crear una correspondencia de criptografía como se especifica en la sección los “que crea conjuntos de la correspondencia de criptografía.”

Creación de Conjuntos de Crypto Maps

Creación de Crypto Maps Estáticos

Creación de Crypto Maps Dinámicos

Creación de Entradas de Crypto Map para Establecer SAs Manuales

Creación de Crypto Maps Estáticos

Cuando el IKE se utiliza para establecer los SA, los peeres IPSecs pueden negociar las configuraciones que utilizan para las nuevas asociaciones de seguridad. Esto significa que usted puede especificar las listas (tales como listas de aceptable transforma) dentro de la entrada de correspondencia de criptografía.

Realice esta tarea de crear las entradas de correspondencia de criptografía que utilizan el IKE para establecer los SA. Para crear las entradas de correspondencia de criptografía del IPv6, usted debe utilizar ipv6 la palabra clave con crypto map el comando. Para las correspondencias de criptografía del IPv4, utilice crypto map el comando sin ipv6 la palabra clave.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto map []ipv6map-name seq-num del []ipsec-isakmp

4. match address access-list-id

5.set peer {hostname | ip-address}

6.set transform-set transform-set-name1 []transform-set-name2...transform-set-name6

7.set security-association lifetime{seconds seconds | kilobytes kilobytes | kilobytes disable}

8. set security-association level per-host

9.set pfs[group1 | group2 | group5]

10. exit

11. exit

12. show crypto map [interface interface | tag map-name]

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto map [ipv6] map-name seq-num [ipsec-isakmp]

Example:

Router(config)# crypto map static-map 1 ipsec-isakmp

Crea o modifica una entrada de correspondencia de criptografía, y ingresa al modo de configuración de la correspondencia de criptografía. Para las correspondencias de criptografía del IPv4, utilice el comando sin ipv6 la palabra clave.

Paso 4 

match address access-list-id

Example:

Router(config-crypto-m)# match address vpn-tunnel

Nombra una lista de acceso ampliada.

Esta lista de acceso determina qué tráfico se debe proteger por el IPSec y qué tráfico no se debe proteger por seguridad IPSec en el contexto de esta entrada de correspondencia de criptografía.

Paso 5 

set peer {hostname | ip-address}

Example:

Router(config-crypto-m)# set-peer 192.168.101.1

Especifica a un peer IPSec remoto, el par a quien el tráfico protegido por IPSec puede ser remitido.

Repetir para varios peers remotos.

Paso 6 

set transform-set transform-set-name1 [transform-set-name2...transform-set-name6]

Example:

Router(config-crypto-m)# set transform-set aesset

Especifica qué conjuntos de transformación se permiten para esta entrada de crypto map.

El múltiplo de la lista transforma los conjuntos en la orden de prioridad (prioridad más alta primero).

Paso 7 

set security-association lifetime {seconds seconds | kilobytes kilobytes | kilobytes disable}

Example:

Router (config-crypto-m)# set security-association lifetime seconds 2700

(Opcional) especifica un curso de la vida SA para la entrada de correspondencia de criptografía.

Por abandono, los SA de la correspondencia de criptografía se negocian según los cursos de la vida globales, que pueden ser inhabilitados.

Paso 8 

set security-association level per-host

Example:

Router(config-crypto-m)# set security-association level per-host

(Opcional) especifica eso que los SA separados se deben establecer para cada fuente y par de la computadora principal de destino.

Por abandono, un solo IPSec “túnel” puede llevar el tráfico para los hosts de la fuente múltiple y los hosts de los destinos múltiples.


Adviertael uso este comando con el cuidado, porque las secuencias múltiples entre las subredes dadas pueden consumir rápidamente los recursos.

Paso 9 

set pfs [group1 | group2 | group 5]

Example:

Router(config-crypto-map)# set pfs group2

(Opcional) especifica que el IPSec cualquiera debe pedir el Confidencialidad directa perfecta (PFS) al pedir los nuevos SA para esta entrada de correspondencia de criptografía o debe exigir el PFS en las peticiones recibidas del peer IPSec.

De forma predeterminada, PFS no se solicita. Si no se especifica ningún grupo con este comando, como valor predeterminado se utiliza group1.

Paso 10 

exit

Example:

Router(config-crypto-m)# exit

Sale del modo de configuración del crypto map.

Paso 11 

exit

Example:

Router(config)# exit

Sale del modo de configuración global.

Paso 12 

show crypto map [interface interface | tag map-name]

Example:

Router# show crypto map

Muestra su configuración de crypto map.

Consejos de Troubleshooting

Ciertos cambios de configuración solamente surten efecto al negociar las SAs subsiguientes. Si usted quisiera que las nuevas configuraciones tomaran el efecto inmediato, usted debe borrar los SA existentes para restablecerlos con la configuración cambiada. Si el router está procesando activamente el tráfico IPSec, es deseable borrar solamente la porción de la base de datos SA que sería afectada por los cambios de configuración (es decir, claro solamente los SA establecidos por una correspondencia de criptografía dada fijada). Borrar la base de datos completa SA debe ser reservado para los cambios en grande, o cuando el router está procesando muy poco el otro tráfico IPSec.

Para borrar el SA de IPSec, utilice clear crypto sa el comando con los parámetros apropiados. (La omisión de todos los parámetros vacia la base de datos completa SA, que borra las sesiones de la seguridad activa.)

Pasos Siguientes

Después de que usted haya creado con éxito una correspondencia de criptografía estática, usted debe aplicar el conjunto de la correspondencia de criptografía a cada interfaz a través de la cual el tráfico IPSec fluya. Para completar esta tarea, vea “aplicando los conjuntos de la correspondencia de criptografía la sección a las interfaces”.

Creación de Crypto Maps Dinámicos

Realice esta tarea de crear las entradas de la correspondencia cifrada dinámica que utilizan el IKE para establecer los SA.

Restricciones para las correspondencias cifradas dinámicas


Los direccionamientosdel IPv6 de la nota no se soportan en las correspondencias cifradas dinámicas.


Las entradas de la correspondencia cifrada dinámica especifican las Listas de acceso crypto que limitan el tráfico para el cual el SA de IPSec puede ser establecido. Una entrada de la correspondencia cifrada dinámica que no especifica una lista de acceso se ignora durante el filtrado de tráfico. Una entrada de la correspondencia cifrada dinámica con una lista de acceso vacía hace el tráfico ser caída. Si hay solamente una entrada de la correspondencia cifrada dinámica en el conjunto de la correspondencia de criptografía, debe especificar el aceptable transforma los conjuntos.

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto dynamic-map dynamic-map-name dynamic-seq-num

4.set transform-set transform-set-name1 []transform-set-name2...transform-set-name6

5. match address access-list-id

6.set peer {hostname | ip-address}

7.set security-association lifetime{seconds seconds | kilobytes kilobytes | kilobytes disable}

8.set pfs[group1 | group2 | group5]

9. exit

10. exit

11show crypto dynamic-map []tagmap-name

12. configure terminal

13. crypto map map-name seq-num []dinámicodynamic-map-name IPSec-ISAKMPdiscover

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto dynamic-map dynamic-map-name dynamic-seq-num

Example:

Router(config)# crypto dynamic-map test-map 1

Crea una entrada de crypto map e ingresa en el modo de configuración del crypto map.

Paso 4 

set transform-set transform-set-name1 [transform-set-name2...transform-set-name6]

Example:

Router(config-crypto-m)# set transform-set aesset

Especifica los conjuntos de la transformación permitidos para la entrada de correspondencia de criptografía.

El múltiplo de la lista transforma los conjuntos en la orden de prioridad (prioridad más alta primero). Ésta es la única sentencia de configuración requerida en las entradas de la correspondencia cifrada dinámica.

Paso 5 

match address access-list-id

Example:

Router(config-crypto-m)# match address 101

(Opcional) especifica el número de lista o el nombre de una lista de acceso ampliada.

Esta lista de acceso determina qué tráfico se debe proteger por el IPSec y qué tráfico no se debe proteger por seguridad IPSec en el contexto de esta entrada de correspondencia de criptografía.

Observeaunque las Listas de acceso son opcional para las correspondencias cifradas dinámicas, se recomiendan altamente.

Si se configura una lista de acceso, la identidad del flujo de datos propuesta por el peer IPSec debe bajar dentro permit de una declaración para esta lista de acceso crypto.

Si una lista de acceso no se configura, el router valida cualquier identidad del flujo de datos propuesta por el peer IPSec. Sin embargo, si se configura una lista de acceso pero la lista de acceso especificada no existe ni está vacía, el router cae todos los paquetes. Esto es similar a las correspondencias de criptografía estática, que requieren las Listas de acceso ser especificadas.

El cuidado debe ser tomado si any la palabra clave se utiliza en la lista de acceso, porque la lista de acceso se utiliza para el filtrado de paquetes así como para la negociación.

Usted debe configurar un direccionamiento de la coincidencia; si no, el comportamiento no es seguro, y usted no puede habilitar TED porque los paquetes se envían en el claro (unencrypted.)

Paso 6 

set peer {hostname | ip-address}

Example:

Router(config-crypto-m)# set peer 192.168.101.1

(Opcional) especifica a un peer IPSec remoto. Relance este paso para los peeres remotos múltiples.

Observeesto se configura raramente en las entradas de la correspondencia cifrada dinámica. Las entradas de la correspondencia cifrada dinámica son de uso frecuente para los peeres remotos desconocidos.

Paso 7 

set security-association lifetime {seconds seconds | kilobytes kilobytes | kilobytes disable}

Example:

Router(config-crypto-m)# set security-association lifetime seconds 7200

(Opcional) reemplaza (para una entrada de correspondencia de criptografía determinada) el valor global del curso de la vida, se utiliza que al negociar la seguridad IP SA.

Observepara minimizar la posibilidad de la pérdida del paquete al reintroducir en los entornos del ancho de banda alto, usted puede inhabilitar la petición de la reintroducción accionada por un vencimiento del curso de la vida del volumen.

Paso 8 

set pfs [group1 | group2 | group5]

Example:

Router(config-crypto-m)# set pfs group2

(Opcional) especifica que el IPSec debe pedir el PFS al pedir a las nuevas asociaciones de seguridad para esta entrada de correspondencia de criptografía o debe exigir el PFS en las peticiones recibidas del peer IPSec.

De forma predeterminada, PFS no se solicita. Si no se especifica a ningún grupo con este comando,group1 se utiliza como el valor por defecto.

Paso 9 

exit

Example:

Router(config-crypto-m)# exit

Sale del modo de configuración crypto map y vuelve al modo de configuración global.

Paso 10 

exit

Example:

Router(config)# exit

Sale del modo de configuración global.

Paso 11 

show crypto dynamic-map [tag map-name]

Example:

Router# show crypto dynamic-map

Información (opcional) de las visualizaciones sobre las correspondencias cifradas dinámicas.

Paso 12 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 13 

crypto map map-name seq-num ipsec-isakmp dynamic dynamic-map-name [discover]

Example:

Router(config)# crypto map static-map 1 ipsec-isakmp dynamic test-map discover

(Opcional) agrega una correspondencia cifrada dinámica a un conjunto de la correspondencia de criptografía.

Usted debe fijar las entradas de correspondencia de criptografía que se refieren a los mapas dinámicos a las entradas de la prioridad más baja a un conjunto de la correspondencia de criptografía.

Notausted debe publicar discover la palabra clave para habilitar TED.

Consejos de Troubleshooting

Ciertos cambios de configuración solamente surten efecto al negociar las SAs subsiguientes. Si usted quisiera que las nuevas configuraciones tomaran el efecto inmediato, usted debe borrar los SA existentes para restablecerlos con la configuración cambiada. Si el router está procesando activamente el tráfico IPSec, es deseable borrar solamente la porción de la base de datos SA que sería afectada por los cambios de configuración (es decir, claro solamente los SA establecidos por una correspondencia de criptografía dada fijada). Borrar la base de datos entera SA debe ser reservado para los cambios en grande, o cuando el router está procesando el tráfico IPSec mínimo.

Para borrar el SA de IPSec, utilice clear crypto sa el comando con los parámetros apropiados. (La omisión de todos los parámetros despeja la base de datos SA completa, lo que despeja las sesiones de seguridad activas.)

Pasos Siguientes

Después de que usted haya creado con éxito un conjunto de la correspondencia de criptografía, usted debe aplicar el conjunto de la correspondencia de criptografía a cada interfaz a través de la cual el tráfico IPSec fluya. Para completar esta tarea, vea “aplicando los conjuntos de la correspondencia de criptografía la sección a las interfaces”.

Creación de Entradas de Crypto Map para Establecer SAs Manuales

Realice esta tarea de crear las entradas de correspondencia de criptografía para establecer los SA manuales (es decir, cuando el IKE no se utiliza para establecer los SA). Para crear las entradas de las correspondencias de criptografía del IPv6, usted debe utilizar ipv6 la palabra clave con crypto map el comando. Para las correspondencias de criptografía del IPv4, utilice crypto map el comando sin ipv6 la palabra clave.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto map [ipv6] map-name seq-num[]ipsec-manual

4. match address access-list-id

5.set peer {hostname | ip-address}

6. set transform-set transform-set-name

7. set session-key inbound ah spi hex-key-string

o

set session-key outbound ah spi hex-key-string

8.set session-key inbound espspicipherhex-key-string[]authenticatorhex-key-string

o

set session-key outbound esp spi cipher hex-key-string []authenticatorhex-key-string

9. exit

10. exit

11show crypto map[interface interface | tag map-name]

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto map [ipv6] map-name seq-num [ipsec-manual]

Example:

Router(config)# crypto map mymap 10 ipsec-manual

Especifica la entrada de correspondencia de criptografía que se creará o modificada y ingresa al modo de configuración de la correspondencia de criptografía.

Para las correspondencias de criptografía del IPv4, utilice crypto map el comando sin ipv6 la palabra clave.

Paso 4 

match address access-list-id

Example:

Router(config-crypto-m)# match address 102

Nombra una lista de acceso del IPSec que determine qué tráfico se debe proteger por el IPSec y qué tráfico no se debe proteger por el IPSec en el contexto de esta entrada de correspondencia de criptografía.

(La lista de acceso puede especificar solamente una permit entrada cuando el IKE no se utiliza.)

Paso 5 

set peer {hostname | ip-address}

Example:

Router(config-crypto-m)# set peer 10.0.0.5

Especifica al peer IPSec remoto. Éste es el par a quien el tráfico protegido por IPSec debe ser remitido.

(Solamente un par puede ser especificado cuando el IKE no se utiliza.)

Paso 6 

set transform-set transform-set-name

Example:

Router(config-crypto-m)# set transform-set someset

Especifica cuáles transforman el conjunto deben ser utilizados.

Éste debe ser lo mismo transforma fijado que se especifica en la entrada de correspondencia de criptografía correspondiente del peer remoto.

La notasolamente una transforma el conjunto puede ser especificada cuando el IKE no se utiliza.

Paso 7 

set session-key inbound ah spi hex-key-string

Example:

Router(config-crypto-m)# set session-key inbound ah 256 98765432109876549876543210987654

o

set session-key outbound ah spi hex-key-string
Example:

Router(config-crypto-m)# set session-key outbound ah 256 fedcbafedcbafedcfedcbafedcbafedc

Fija AH los índices del parámetro de seguridad (SPI) y las claves a aplicarse al tráfico protegido entrante y saliente si especificados transforman el conjunto incluyen AH el protocolo.

(Esto especifica manualmente AH a la asociación de seguridad que se utilizará con el tráfico protegido.)

Paso 8 

set session-key inbound esp spi cipher hex-key-string [authenticator hex-key-string]

Example:

Router(config-crypto-m)# set session-key inbound esp 256 cipher 0123456789012345


o

set session-key outbound esp spi cipher hex-key-string [authenticator hex-key-string]

Example:

Router(config-crypto-m)# set session-key outbound esp 256 cipher abcdefabcdefabcd

Fija los índices de encapsulado del parámetro de seguridad de SecurityPayload (ESP) (SPI) y las claves a aplicarse al tráfico protegido entrante y saliente si especificados transforman el conjunto incluyen el protocolo ESP. Especifica las claves de cifra si el conjunto de la transformación incluye un algoritmo de la cifra ESP. Especifica las claves del authenticator si el conjunto de la transformación incluye un algoritmo del authenticator ESP.

(Esto especifica manualmente a la asociación de seguridad ESP que se utilizará con el tráfico protegido.)

Paso 9 

exit
Example:

Router(config-crypto-m)# exit

Sale del modo de configuración crypto map y vuelve al modo de configuración global.

Paso 10 

exit

Example:

Router(config)# exit

Sale del modo de configuración global.

Paso 11 

show crypto map [interface interface | tag map-name]

Example:

Router# show crypto map

Muestra su configuración de crypto map.

Consejos de Troubleshooting

Para los SA manualmente establecidos, usted debe borrar y reinicializar los SA para que los cambios tomen el efecto. Para borrar el SA de IPSec, utilice clear crypto sa el comando con los parámetros apropiados. (La omisión de todos los parámetros borra la base de datos entera SA, que borra las sesiones de la seguridad activa.)

Pasos Siguientes

Después de que usted haya creado con éxito un conjunto de la correspondencia de criptografía, usted debe aplicar el conjunto de la correspondencia de criptografía a cada interfaz a través de la cual el tráfico IPSec fluya. Para completar esta tarea, vea “aplicando los conjuntos de la correspondencia de criptografía la sección a las interfaces”.

Aplicación de Conjuntos de Crypto Maps a Interfaces

Usted debe aplicar un conjunto de la correspondencia de criptografía a cada interfaz a través de la cual el tráfico IPSec fluya. La aplicación del conjunto de la correspondencia de criptografía a una interfaz da instrucciones al router para evaluar el tráfico de la interfaz contra el conjunto de la correspondencia de criptografía y para utilizar la directiva especificada durante la conexión o la negociación de la asociación de seguridad en nombre del tráfico que se protegerá por la correspondencia de criptografía.

Realice esta tarea de aplicar una correspondencia de criptografía a una interfaz.

PASOS SUMARIOS

1. enable

2. configure terminal

3. interface type number

4. crypto map map-name

5. exit

6.crypto map map-name dirección local interface-id

7. exit

8.show crypto map[]interfaceinterface

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

interface type number

Example:

Router(config)# Interface FastEthernet 0/0

Configura una interfaz y entra en el modo de configuración de interfaz.

Paso 4 

crypto map map-name

Example:

Router(config-if)# crypto map mymap

Aplica un conjunto de la correspondencia de criptografía a una interfaz.

Paso 5 

exit

Example:

Router(config-if)# exit

Salidas modo de configuración de la interfaz y devoluciones al modo de configuración global.

Paso 6 

crypto map map-name local-address interface-id

Example:

Router(config)# crypto map mymap local-address loopback0

(Opcional) permite que las interfaces redundantes compartan la misma correspondencia de criptografía usando la misma identidad local.

Paso 7 

exit

Example:

Router(config)# exit

(Opcional) Sale del modo de configuración global.

Paso 8 

show crypto map [interface interface]

Example:

Router# show crypto map

(Opcional) visualiza su configuración de la correspondencia de criptografía

Ejemplos de configuración para el IPSec VPN

Ejemplo: Configurar la correspondencia de criptografía estática basada en AES

Este ejemplo muestra cómo se configura una correspondencia de criptografía estática y cómo un AES se define como el método de encripción:

crypto isakmp policy 10
 encryption aes 256
 authentication pre-share
 lifetime 180

crypto isakmp key cisco123 address 10.0.110.1
!
!
crypto ipsec transform-set aesset esp-aes 256 esp-sha-hmac
 mode transport
!
crypto map aesmap 10 ipsec-isakmp
 set peer 10.0.110.1
 set transform-set aesset
 match address 120
!
!
!
voice call carrier capacity active
!
!
mta receive maximum-recipients 0
!
!
interface FastEthernet0/0
 ip address 10.0.110.2 255.255.255.0
 ip nat outside
 no ip route-cache
 no ip mroute-cache
 duplex auto
 speed auto
 crypto map aesmap
!
interface Serial0/0
 no ip address
 shutdown
!
interface FastEthernet0/1
 ip address 10.0.110.1 255.255.255.0
 ip nat inside
 no ip route-cache
 no ip mroute-cache
 duplex auto
 speed auto
!
ip nat inside source list 110 interface FastEthernet0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 10.5.1.1
ip route 10.0.110.0 255.255.255.0 FastEthernet0/0
ip route 172.18.124.0 255.255.255.0 10.5.1.1
ip route 172.18.125.3 255.255.255.255 10.5.1.1
ip http server
!
!
access-list 110 deny   ip 10.0.110.0 0.0.0.255 10.0.110.0 0.0.0.255
access-list 110 permit ip 10.0.110.0 0.0.0.255 any
access-list 120 permit ip 10.0.110.0 0.0.0.255 10.0.110.0 0.0.0.255
!

Referencias adicionales

Documentos Relacionados

Tema relacionado
Título del documento

Comandos de Cisco IOS

El Cisco IOS domina los comandos list, todos las versiones

IKE, IPSec, y comandos configuration PKI: sintaxis, modo de comando, valores por defecto, Pautas para el uso, y ejemplos del comando complete.

Referencia de Comandos de Seguridad de Cisco IOS

Configuración IKE

Configurar el intercambio de claves de Internet para el módulo de función del IPSec VPN.

Familia de la habitación-B SHA-2 (variante HMAC) y configuración elíptica del par clave de la curva (EC).

Configurar el intercambio de claves de Internet para el módulo de función del IPSec VPN.

El tipo del algoritmo de la integridad de la habitación-B transforma la configuración.

Configurar el módulo de función del intercambio de claves de Internet versión 2 (IKEv2).

Configuración elíptica del método de autentificación de la firma del Digital Signature Algorithm de la curva de la habitación-B (ECDSA) (ECDSA-SIG) para IKEv2.

Configurar el módulo de función del intercambio de claves de Internet versión 2 (IKEv2).

Soporte elíptico de Diffie Hellman de la curva de la habitación-B (ECDH) para la negociación IPSec SA

Configurar el intercambio de claves de Internet para el IPSec VPN andConfiguring los módulos de función del intercambio de claves de Internet versión 2 (IKEv2).

Soporte de la habitación-B para la inscripción del certificado para un PKI.

Configurar la inscripción del certificado para un módulo de función PKI.


Estándares

Estándares
Título

Ninguno


MIB

MIB
Link del MIB

CISCO-IPSEC-FLOW-MONITOR- MIB

CISCO-IPSEC-MIB

CISCO-IPSEC-POLICY-MAP-MIB

Para localizar y descargar el MIB para las plataformas elegidas, las versiones de Cisco IOS Software, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente:

http://www.cisco.com/go/mibs


RFC

RFC
Título

RFC 2401

Arquitectura de seguridad para el protocolo de Internet

RFC 2402

Encabezado de autenticación IP

RFC 2403

El uso de HMAC-MD5-96 dentro del ESP y AH

RFC 2404

El uso de HMAC-SHA-1-96 dentro del ESP y AH

RFC 2405

El algoritmo de la cifra ESP DES-CBC con el IV explícito

RFC 2406

Encapsulating Security Payload (ESP) IP

RFC 2407

IP de Internet el dominio de seguridad de la interpretación para el ISAKMP

RFC 2408

Internet Security Association and Key Management Protocol (ISAKMP)


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información de la característica para la Seguridad para los VPN con el IPSec

El cuadro 4 enumera las características en este módulo y proporciona los links a la información de la configuración específica.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 4 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.


Información de la característica del cuadro 4 para Configurar directivo de seguridad para el IPSec VPN 

Nombre de la función
Versiones de Software
Información sobre la Función

Advanced Encryption Standard

12.2(8)T

Esta característica agrega el soporte para la nueva norma de encripción AES, que es una aislamiento transforma para el IPSec y el IKE y se ha desarrollado para substituir el DES.

Las secciones siguientes proporcionan información acerca de esta función:

Estándares soportados

El configurar transforma los conjuntos para las ofertas IKEv1 e IKEv2

Los siguientes comandos fueron modificados por esta función: crypto ipsec transform-set encryption (IKE policy) show crypto ipsec transform-set show crypto isakmp policy.

Módulo de encripción DES/3DES/AES VPN (familia AIM-VPN/EPII, AIM-VPN/HPII, AIM-VPN/BPII)

12.3(7)T

Esta característica describe en qué hardware de encripción AIM y NM VPN se soportan, en ciertas versiones de Cisco IOS Software.

La sección siguiente proporciona la información sobre esta característica:

Soporte para AIMS y NM

Soporte de la oferta IKEv2

15.1(1)T

Una oferta IKEv2 es un conjunto de transforma utilizado en la negociación IKEv2 SA como parte del intercambio IKE_SA_INIT. Una oferta IKEv2 se mira como completa solamente cuando tiene por lo menos un algoritmo de encripción, un algoritmo de la integridad, y un grupo del Diffie-Hellman (DH) configurado. Si no se configura y se asocia ninguna oferta a una directiva IKEv2, después la oferta predeterminada se utiliza en la negociación.

Las secciones siguientes proporcionan información acerca de esta función:

IKEv2 transforman los conjuntos

El configurar transforma los conjuntos para las ofertas IKEv1 e IKEv2

Los siguientes comandos fueron modificados por esta función: crypto ikev2 proposalencryption (ikev2 proposal) group (ikev2 proposal) integrity (ikev2 proposal) show crypto ikev2 proposal.

Soporte del IPv6 para el IPSec e IKEv2

el 15.1(4)M

Esta característica permite que los direccionamientos del IPv6 sean agregados al IPSec y a los protocolos IKEv2.

En el Cisco IOS Release 15.1(4)M, esta característica fue introducida.

Se han insertado o modificado los siguientes comandos:
ipv6 crypto map crypto map (global IPsec), crypto map (isakmp), crypto map (Xauth).

La opción para inhabilitar la vida útil de IPSec basada en el volumen reintroduce

el 15.0(1)M

Esta característica permite que los clientes inhabiliten a la asociación de seguridad IPSec reintroduce al procesar una gran cantidad de datos.

La sección siguiente proporciona la información sobre esta característica:

Creación de Conjuntos de Crypto Maps

Los siguientes comandos fueron modificados por esta función: crypto ipsec security association lifetime set security-association lifetime.

Cifrado del SELLO

12.3(7)T

Esta característica agrega el soporte para el cifrado del SELLO en el IPSec.

La sección siguiente proporciona la información sobre esta característica:

Estándares soportados

El configurar transforma los conjuntos para las ofertas IKEv1 e IKEv2

Esta función ha modificado los siguientes comandos: crypto ipsec transform-set.

Software IPPCP (LZS) con la encripción por hardware

12.2(13)T

Esta característica permite que los clientes utilicen la compresión del software LZS con el IPSec cuando un módulo VPN está en los Cisco 2600 y Cisco 3600 Series Router.

La sección siguiente proporciona la información sobre esta característica:

Soporte para AIMS y NM

Soporte de la habitación-B en IOS SW Crypto

15.1(2)T

La habitación-B agrega el soporte para cuatro habitaciones de la interfaz de usuario de los algoritmos criptográficos para el uso con el IKE y el IPSec que se describen en el RFC 4869. Cada habitación consiste en un algoritmo de encripción, un Digital Signature Algorithm, un Algoritmo de acuerdo dominante, y un hash o un algoritmo condensado de mensaje.

Las secciones siguientes proporcionan información acerca de esta función:

IKEv2 transforman los conjuntos

Soporte de la habitación-B del Cisco IOS para los algoritmos criptográficos IKE y del IPSec

El configurar transforma los conjuntos para las ofertas IKEv1 e IKEv2

Esta función ha modificado los siguientes comandos: crypto ipsec transform-set.