Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR
Interfaz del túnel virtual del IPSec
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 384 KB | Inglés (9 Enero 2011) | Comentarios

Contenidos

Interfaz del túnel virtual del IPSec

Encontrar la información de la característica

Contenido

Restricciones de IPsec Virtual Tunnel Interface

Información Sobre la Interfaz del Túnel Virtual de IPSec

Beneficios de Usar IPsec Virtual Tunnel Interface

Interfaces de Túnel Virtuales Estáticas

Interfaces de Túnel Virtuales Dinámicas

Ciclo Vital de la Interfaz de Túnel Virtual Dinámica

Ruteo con Interfaces de Túnel Virtuales de IPSec

Encripción de Tráfico con la Interfaz de Túnel Virtual IPSec

Cómo Configurar la Interfaz de Túnel Virtual IPSec

Configuración de Interfaces de Túnel Virtuales de IPSec Estáticas

Configuración de Interfaces de Túnel Virtual IPSec Dinámicas

Ejemplos de Configuración de IPsec Virtual Tunnel Interface

Interfaz del Túnel Virtual Estática con IPsec: Ejemplo:

Verificar los resultados para la interfaz del túnel virtual estática del IPSec: Ejemplo:

Interfaz Estática de Túnel Virtual que Reconoce VRF: Ejemplo:

Interfaz del Túnel Virtual Estática con Qos: Ejemplo:

Interfaz del Túnel Virtual Estático con Firewall Virtual: Ejemplo:

Easy VPN Server de Interfaz de Túnel Virtual Dinámico: Ejemplo:

Verificar los resultados para el Easy VPN Server virtual dinámico de la interfaz del túnel: Ejemplo:

Cliente Easy VPN de Interfaz Dinámica de Túnel Virtual: Ejemplo:

Verificar los resultados para el cliente VPN fácil de la interfaz del túnel virtual dinámica: Ejemplo:

VRF-Aware IPsec con VTI Dinámica: Ejemplo:

Interfaz del Túnel Virtual Dinámico con Firewall Virtual: Ejemplo:

Interfaz Túnel Virtual Dinámico con QoS: Ejemplo:

Referencias adicionales

Documentos Relacionados

Estándares

MIB

RFC

Asistencia Técnica

Información de la Función IPsec Virtual Tunnel Interface


Interfaz del túnel virtual del IPSec


Primera publicación: De octubre el 18 de 2004
Última actualización: De enero el 11 de 2011

Las interfaces del túnel virtuales de la seguridad IP (IPSec) (VTIs) proporcionan un tipo de interfaz enrutable para terminar los túneles IPsec y una forma sencilla de definir la protección entre los sitios para formar una red de recubrimiento. Las VTIs IPSec simplifican la configuración de IPSec para la protección de links remotos, soportan multicast y simplifican la administración de red y el balanceo de carga.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para la sección de la interfaz del túnel virtual del IPSec”.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en Cisco.com no se requiere.

Contenido

Restricciones de IPsec Virtual Tunnel Interface

Información Sobre la Interfaz del Túnel Virtual de IPSec

Cómo Configurar la Interfaz de Túnel Virtual IPSec

Ejemplos de Configuración de IPsec Virtual Tunnel Interface

Referencias adicionales

Información de la Función IPsec Virtual Tunnel Interface

Restricciones de IPsec Virtual Tunnel Interface

El IPSec transforma el conjunto

El IPSec transforma el conjunto se debe configurar en el modo túnel solamente.

Asociación de seguridad IKE

La asociación de seguridad del Internet Key Exchange (IKE) (SA) está limitada al VTI. Porque IKE SA está limitado al VTI, mismo IKE SA no se puede utilizar para una correspondencia de criptografía.

Selectores del tráfico IPSec SA

Soporte estático de VTIs (SVTIs) solamente solo IPSec SA que se asocia a la interfaz VTI. El selector del tráfico para IPSec SA es siempre “IP cualquier ninguno.”

Un VTI dinámico (DVTIs) también es una interfaz de la punta-punta que soporta solamente solo IPSec SA, pero el DVTI es flexible en que puede validar los selectores del IPSec que son propuestos por el iniciador.

IPv4 y paquetes del IPv6

Este los soportes de característica SVTIs que se configuran para encapsular los paquetes del IPv4 o los paquetes del IPv6, pero los paquetes del IPv4 no pueden llevar los paquetes del IPv6, y los paquetes del IPv6 no pueden llevar los paquetes del IPv4.

Proxy

Soporte de SVTIs solamente el “IP cualquier cualquier” proxy.

Soporte de DVTIs solamente un proxy, que pueden ser “IP cualquier ninguno” o cualquier subconjunto de él.

Modelado de tráfico de QoS

El tráfico formado es proceso conmutado.

Stateful Failover

No soportan a la falla de estado del IPSec con el IPSec VTIs.

Protección del túnel

shared La palabra clave no se requiere y no debe ser configurada al usar el comando del IPSec ipv4 del modo túnel para el modo del IPv4 del IPSec.

VTIs estático contra los túneles GRE

El IPSec VTI se limita a la unidifusión IP y al tráfico Multicast solamente, en comparación con los túneles GRE, que tienen una aplicación más amplia para la implementación del IPSec.

Configuración IPSec que reconoce VRF

En las configuraciones IPSec que reconoce VRF con SVTIs o DVTIs, el VRF no se debe configurar en el perfil del Internet Security Association and Key Management Protocol (ISAKMP). En lugar, el VRF se debe configurar en la interfaz del túnel para SVTIs. Para DVTIs, usted debe aplicar el VRF al vtemplate usando ip vrf forwarding el comando.

Información Sobre la Interfaz del Túnel Virtual de IPSec

El uso del IPSec VTIs ambos simplifica grandemente el proceso de configuración cuando usted necesita proporcionar la protección para el Acceso Remoto y proporciona una alternativa más simple a usar el Generic Routing Encapsulation (GRE) o los túneles del protocolo Layer 2 Tunneling Protocol (L2TP) para la encapsulación y las correspondencias de criptografía con el IPSec. Un beneficio mayor asociado al IPSec VTIs es que la configuración no requiere una correlación estática de las sesiones del IPSec a una interfaz física. El punto final de la tunelización de IPSec se asocia a una interfaz (virtual) real. Porque hay una interfaz enrutable en el punto final del túnel, muchas capacidades comunes de la interfaz se pueden aplicar al túnel IPsec.

El IPSec VTI permite la flexibilidad de enviar y de recibir la unidifusión IP y el tráfico encriptado del Multicast en cualquier interfaz física, por ejemplo en el caso de los trayectos múltiples. Se cifra o se desencripta el tráfico cuando se remite o a la interfaz del túnel y es manejado por la tabla de IP Routing. Usando el Routing IP remitir el tráfico a la interfaz del túnel simplifica la configuración del IPSec VPN comparada al más proceso complejo de usar el Listas de control de acceso (ACL) con la correspondencia de criptografía en las configuraciones IPSec nativas. La función de DVTIs tiene gusto de cualquier otra interfaz real de modo que usted pueda aplicar el Calidad de Servicio (QoS), el Firewall, y otros Servicios de seguridad tan pronto como el túnel sea activo.

Sin las interfaces virtuales de aceleración de la aceleración Module2+ (VAM2+) del Red privada virtual (VPN), el paquete que atraviesa una interfaz virtual del IPSec se dirige al (RP) del procesador del router para la encapsulación. Este método tiende a ser lento y ha limitado el scalability. En el modo crypto del hardware, todo el IPSec VTIs es acelerado por el motor de criptografía VAM2+, y todo el tráfico que pasa a través del túnel es cifrado y desencriptado por el VAM2+.

Las secciones siguientes proporcionan los detalles sobre el IPSec VTI:

Beneficios de Usar IPsec Virtual Tunnel Interface

Ruteo con Interfaces de Túnel Virtuales de IPSec

Interfaces de Túnel Virtuales Estáticas

Interfaces de Túnel Virtuales Dinámicas

Ciclo Vital de la Interfaz de Túnel Virtual Dinámica

Encripción de Tráfico con la Interfaz de Túnel Virtual IPSec

Beneficios de Usar IPsec Virtual Tunnel Interface

El IPSec VTIs permite que usted configure una interfaz virtual a la cual usted pueda aplicar las características. Las características para los paquetes del texto claro se configuran en el VTI. Las características para los paquetes encriptados se aplican en la interfaz exterior física. Cuando se utiliza el IPSec VTIs, usted puede separar la aplicación de las características tales como NAT, los ACL, y QoS y aplicar las al texto claro o texto cifrado, o ambas. Cuando se utilizan las correspondencias de criptografía, no hay método simple de aplicar las funciones de encripción al túnel IPsec.

Hay dos tipos de interfaces VTI: VTIs estático (SVTIs) y VTIs dinámico (DVTIs).

Interfaces de Túnel Virtuales Estáticas

Las configuraciones SVTI se pueden utilizar para la Conectividad del sitio a localizar en la cual un túnel proporciona siempre-en el acceso entre dos sitios. La ventaja de usar SVTIs en comparación con las configuraciones de la correspondencia de criptografía que los usuarios pueden habilitar los Dynamic Routing Protocol en la interfaz del túnel sin el suplemento 24 bytes requeridos para los encabezados GRE, así está reduciendo el ancho de banda para enviar los datos encriptados.

Además, las Características del Software Cisco IOS múltiples se pueden configurar directamente en la interfaz del túnel y en la interfaz de egreso física de la interfaz del túnel. Esta configuración directa permite que los usuarios tengan control sólido en la aplicación de las características en la trayectoria PRE o del poste-cifrado.

El cuadro 1 ilustra cómo se utiliza un SVTI.

Cuadro 1 IPSec SVTI

El IPSec VTI apoya al natural tunelización de IPSec y exhibe la mayor parte de las propiedades de una interfaz física.

Interfaces de Túnel Virtuales Dinámicas

DVTIs puede proporcionar altamente seguro y la conectividad con posibilidades de ampliación para los VPN de accesos remotos. La tecnología DVTI substituye las correspondencias cifradas dinámicas y el método dinámico del hub-and-spoke para establecer los túneles.

DVTIs se puede utilizar para el servidor y la configuración remota. Los túneles proporcionan una interfaz de acceso virtual separada a pedido para cada sesión de VPN. La configuración de las interfaces de acceso virtual se reproduce de una configuración de plantilla virtual, que incluye la configuración IPSec y cualquier característica del Cisco IOS Software configuradas en la interfaz de plantilla virtual, tal como QoS, Netflow, o ACL.

La función de DVTIs tiene gusto de cualquier otra interfaz real de modo que usted pueda aplicar QoS, Firewall, otros Servicios de seguridad tan pronto como el túnel sea activo. Las características de QoS se pueden utilizar para mejorar el funcionamiento de las diversas aplicaciones a través de la red. Cualquier combinación de características de QoS ofrecidas en Cisco IOS Software se puede utilizar para soportar la Voz, el vídeo, o las aplicaciones de datos.

DVTIs proporciona la eficacia en el uso de los IP Addresses y proporciona la conectividad segura. DVTIs permite al por-grupo dinámicamente transferible y por usuario las directivas que se configurarán en un servidor de RADIUS. El por-grupo o por usuario definición puede ser creado usando el grupo del usuario o del Unity del Autenticación ampliada (Xauth), o puede ser derivado de un certificado. DVTIs es estándares basados, así que la Interoperabilidad en un entorno del proveedor múltiple se soporta. El IPSec DVTIs permite que usted cree altamente la conectividad segura para los VPN de accesos remotos y se puede combinar con la arquitectura Cisco para la Voz, el vídeo, y los datos integrados (AVVID) para entregar la voz con convergencia, el vídeo, y los datos sobre las redes IP. El DVTI simplifica la encaminamiento de la Red privada virtual (VRF) y el despliegue enterado del IPSec de la expedición (VRF-). El VRF se configura en la interfaz.

Un DVTI requiere la configuración mínima en el router. Una sola plantilla virtual puede ser configurada y ser reproducida.

El DVTI crea una interfaz para las sesiones del IPSec y utiliza la infraestructura de la plantilla virtual para la particularización y la Administración dinámicas del IPSec dinámico VTIs. La infraestructura de la plantilla virtual se extiende para crear las interfaces del túnel dinámicas del acceso virtual. DVTIs se utiliza en configuraciones de red radiales. Un solo DVTI puede soportar vario VTIs estático.


La notaDVTI se soporta solamente en los VPN fáciles. Es decir, el extremo DVTI se debe configurar como Easy VPN Server.


El cuadro 2 ilustra la trayectoria de la autenticación DVTI.

Cuadro 2 IPSec dinámico VTI

La autenticación mostrada en el cuadro 2 sigue esta trayectoria:

1.El user1 llama al router.

2.El router1 autentica el user1.

3.Interfaz de acceso virtual de los clnes del IPSec de la interfaz de plantilla virtual.

Ciclo Vital de la Interfaz de Túnel Virtual Dinámica

Los perfiles de ipsec definen la directiva para DVTIs. La interfaz dinámica se crea en el final de la fase 1 IKE y de la fase 1,5 IKE. Se borra la interfaz cuando sesión IPSec al par es cerrado. Sesión IPSec es cerrado cuando el IKE y el SA de IPSec al par se borran.

Ruteo con Interfaces de Túnel Virtuales de IPSec

Porque VTIs es interfaces enrutables, el rutear desempeña un papel importante en el proceso del cifrado. Se cifra el tráfico solamente si se remite el de los VTI, y el tráfico que llega en el VTI se desencripta y se rutea por consiguiente. VTIs permite que usted establezca un túnel de encripción usando una interfaz real como el punto final del túnel. Usted puede rutear a la interfaz o aplicar los servicios tales como QoS, Firewall, traducción de dirección de red, y estadísticas de Netflow como usted a cualquier otra interfaz. Usted puede monitorear la interfaz, rutea a ella, y tiene una ventaja sobre las correspondencias de criptografía porque es una interfaz real y proporciona las ventajas de cualquier otra interfaz del Cisco IOS regular.

Encripción de Tráfico con la Interfaz de Túnel Virtual IPSec

Cuando se configura un IPSec VTI, el cifrado ocurre en el túnel. Se cifra el tráfico cuando se remite a la interfaz del túnel. El reenvío de tráfico es manejado por la tabla de IP Routing, y dinámico o Static Routing puede ser utilizado para rutear el tráfico al SVTI. Reverse Route Injection de las aplicaciones DVTI para simplificar más lejos las configuraciones de ruteo. Usando el Routing IP remitir el tráfico al cifrado simplifica la configuración del IPSec VPN porque el uso de los ACL con una correspondencia de criptografía en las configuraciones IPSec nativas no se requiere. El túnel virtual del IPSec también permite que usted cifre el tráfico Multicast con el IPSec.

El flujo del paquete IPsec en el túnel IPsec se ilustra en el cuadro 3.

Cuadro 3 flujo de paquetes en el túnel IPsec

Después de que los paquetes lleguen en la interfaz interior, el motor de reenvío conmuta los paquetes al VTI, donde se cifran. Los paquetes encriptados se devuelven al motor de reenvío, donde se conmutan a través de la interfaz exterior.

El cuadro 4 muestra el túnel IPsec de los del flujo de paquetes.

Cuadro 4 túnel IPsec de los del flujo de paquetes

Cómo Configurar la Interfaz de Túnel Virtual IPSec

Configuración de Interfaces de Túnel Virtuales de IPSec Estáticas

Configuración de Interfaces de Túnel Virtual IPSec Dinámicas

Configuración de Interfaces de Túnel Virtuales de IPSec Estáticas

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto IPsec profile profile-name

4. set transform-set transform-set-name

5. interface type number

6. ip address address mask

7. tunnel mode ipsec ipv4

8. tunnel source interface

9. tunnel destination ip-address

10.tunnel protection IPsec profile profile-name []shared

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto IPsec profile profile-name

Example:

Router(config)# crypto IPsec profile PROF

Define los parámetros de IPSec que se deben usar para la encripción IPSec entre dos routers IPSec.

Paso 4 

set transform-set transform-set-name [transform-set-name2...transform-set-name6]

Example:

Router(config)# set transform-set tset

Especifica qué conjuntos de transformación se pueden utilizar con la entrada de crypto map.

Paso 5 

interface type number

Example:

Router(config)# interface tunnel0

Especifica la interfaz en la cual el túnel será configurado y ingresa al modo de configuración de la interfaz.

Paso 6 

ip address address mask

Example:

Router(config-if)# ip address 10.1.1.1 255.255.255.0

Especifica la dirección IP y la máscara.

Paso 7 

tunnel mode ipsec ipv4

Example:

Router(config-if)# tunnel mode ipsec ipv4

Define el modo del túnel.

Paso 8 

tunnel source interface

Example:

Router(config-if)# tunnel source loopback0

Especifica el origen de túnel como Loopback Interface.

Paso 9 

tunnel destination ip-address

Example:

Router(config-if)# tunnel destination 172.16.1.1

Identifica la dirección IP del destino del túnel.

Paso 10 

tunnel protection IPsec profile profile-name [shared]

Example:

Router(config-if)# tunnel protection IPsec profile PROF

Asocia una interfaz de túnel con un perfil IPSec.

Configuración de Interfaces de Túnel Virtual IPSec Dinámicas

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto IPsec profile profile-name

4. set transform-set transform-set-name

5. interface virtual-template number

6. tunnel mode mode

7.tunnel protection IPsec profile profile-name []shared

8. exit

9. crypto isakamp profile profile-name

10. virtual-template template-number

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto IPsec profile profile-name

Example:

Router(config)# crypto IPsec profile PROF

Define los parámetros de IPSec que se deben usar para la encripción IPSec entre dos routers IPSec.

Paso 4 

set transform-set transform-set-name [transform-set-name2...transform-set-name6]

Example:

Router(config)# set transform-set tset

Especifica qué conjuntos de transformación se pueden utilizar con la entrada de crypto map.

Paso 5 

interface virtual-template number

Example:

Router(config)# interface virtual-template 2

Define una interfaz del túnel de la virtual-plantilla y ingresa al modo de configuración de la interfaz.

Paso 6 

tunnel mode ipsec ipv4

Example:

Router(config-if)# tunnel mode ipsec ipv4

Define el modo del túnel.

Paso 7 

tunnel protection IPsec profile profile-name [shared]

Example:

Router(config-if)# tunnel protection IPsec profile PROF

Asocia una interfaz de túnel con un perfil IPSec.

Paso 8 

exit

Example:

Router(config-if)# exit

Sale del modo de configuración de interfaz.

Paso 9 

crypto isakamp profile profile-name

Example:

Router(config)# crypto isakamp profile red

Define el perfil ISAKAMP que se utilizará para la plantilla virtual.

Paso 10 

virtual-template template-number

Example:

Router(config)# virtual-template 1

Especifica la plantilla virtual asociada al perfil ISAKAMP.

Ejemplos de Configuración de IPsec Virtual Tunnel Interface

Interfaz del Túnel Virtual Estática con IPsec: Ejemplo:

Interfaz Estática de Túnel Virtual que Reconoce VRF: Ejemplo:

Interfaz del Túnel Virtual Estática con Qos: Ejemplo:

Interfaz del Túnel Virtual Estático con Firewall Virtual: Ejemplo:

Easy VPN Server de Interfaz de Túnel Virtual Dinámico: Ejemplo:

Cliente Easy VPN de Interfaz Dinámica de Túnel Virtual: Ejemplo:

VRF-Aware IPsec con VTI Dinámica: Ejemplo:

Interfaz del Túnel Virtual Dinámico con Firewall Virtual: Ejemplo:

Interfaz Túnel Virtual Dinámico con QoS: Ejemplo:

Interfaz del Túnel Virtual Estática con IPsec: Ejemplo:

La configuración del siguiente ejemplo utiliza una clave del preshared para la autenticación entre los pares. El tráfico VPN se remite al IPSec VTI para el cifrado y después envió la interfaz física. El túnel en la subred 10 marca los paquetes para la directiva del IPSec y los pasa al motor de criptografía (CE) para la encapsulación de IPSec. El cuadro 5 ilustra la configuración del IPSec VTI.

Cuadro 5 VTI con el IPSec

Configuración del router C7206

version 12.3

service timestamps debug datetime
service timestamps log datetime
hostname 7200-3
no aaa new-model
ip subnet-zero
ip cef
controller ISA 6/1
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key Cisco12345 address 0.0.0.0 0.0.0.0
crypto IPsec transform-set T1 esp-3des esp-sha-hmac
crypto IPsec profile P1
set transform-set T1
!


interface Tunnel0
 ip address 10.0.51.203 255.255.255.0
 ip ospf mtu-ignore
 load-interval 30
 tunnel source 10.0.149.203
 tunnel destination 10.0.149.217
 tunnel mode IPsec ipv4
 tunnel protection IPsec profile P1
!
interface Ethernet3/0
 ip address 10.0.149.203 255.255.255.0
 duplex full
!
interface Ethernet3/3
 ip address 10.0.35.203 255.255.255.0
 duplex full
!
ip classless
ip route 10.0.36.0 255.255.255.0 Tunnel0
line con 0
line aux 0
line vty 0 4
end

Configuración del router C1750

version 12.3

hostname c1750-17
no aaa new-model
ip subnet-zero
ip cef
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2

crypto isakmp key Cisco12345 address 0.0.0.0 0.0.0.0
crypto IPsec transform-set T1 esp-3des esp-sha-hmac
crypto IPsec profile P1
set transform-set T1
!
interface Tunnel0
 ip address 10.0.51.217 255.255.255.0
 ip ospf mtu-ignore
 tunnel source 10.0.149.217
 tunnel destination 10.0.149.203
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile P1
!
interface FastEthernet0/0
 ip address 10.0.149.217 255.255.255.0
 speed 100
 full-duplex
!
interface Ethernet1/0
 ip address 10.0.36.217 255.255.255.0
 load-interval 30
 full-duplex
!


ip classless
ip route 10.0.35.0 255.255.255.0 Tunnel0
line con 0
line aux 0
line vty 0 4
end

Verificar los resultados para la interfaz del túnel virtual estática del IPSec: Ejemplo:

Esta sección proporciona la información que usted puede utilizar para confirmar que su configuración está trabajando correctamente. En esta visualización, el tunnel0 está “para arriba,” y el Line Protocol está “para arriba.” Si el Line Protocol está “abajo,” la sesión no es activa.

Verificar el estatus C7206

Router# show interface tunnel 0

Tunnel0 is up, line protocol is up
Hardware is Tunnel
Internet address is 10.0.51.203/24
MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,
reliability 255/255, txload 103/255, rxload 110/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 10.0.149.203, destination 10.0.149.217
Tunnel protocol/transport IPsec/IP, key disabled, sequencing disabled
Tunnel TTL 255

Checksumming of packets disabled, fast tunneling enabled
Tunnel transmit bandwidth 8000 (kbps)
Tunnel receive bandwidth 8000 (kbps)
Tunnel protection via IPsec (profile "P1")
Last input never, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 1/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/0 (size/max)
30 second input rate 13000 bits/sec, 34 packets/sec
30 second output rate 36000 bits/sec, 34 packets/sec
191320 packets input, 30129126 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
59968 packets output, 15369696 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 output buffer failures, 0 output buffers swapped out

Router# show crypto session

Crypto session current status
Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 10.0.149.217 port 500
IKE SA: local 10.0.149.203/500 remote 10.0.149.217/500 Active
IPsec FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 4, origin: crypto map

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
C 10.0.35.0/24 is directly connected, Ethernet3/3
S 10.0.36.0/24 is directly connected, Tunnel0
C 10.0.51.0/24 is directly connected, Tunnel0
C 10.0.149.0/24 is directly connected, Ethernet3/0

Interfaz Estática de Túnel Virtual que Reconoce VRF: Ejemplo:

Para agregar el VRF al ejemplo estático VTI, incluya ipvrf y ip vrf forwarding los comandos a la configuración tal y como se muestra en del siguiente ejemplo.

Configuración del router C7206

hostname c7206
.
.
ip vrf sample-vti1
 rd 1:1
 route-target export 1:1
 route-target import 1:1
!
.
.
interface Tunnel0
 ip vrf forwarding sample-vti1
 ip address 10.0.51.217 255.255.255.0
 tunnel source 10.0.149.217
 tunnel destination 10.0.149.203
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile P1
.
.
!
end

Interfaz del Túnel Virtual Estática con Qos: Ejemplo:

Usted puede aplicarse política de calidad de servicio (QoS) al punto final del túnel incluyendo service-policy la declaración bajo interfaz del túnel. El siguiente ejemplo está limpiando el tráfico hacia fuera la interfaz del túnel.

Configuración del router C7206

hostname c7206
.
.
class-map match-all VTI
 match any 
!
policy-map VTI
  class VTI
  police cir 2000000
    conform-action transmit 
    exceed-action drop 
!
.
.
interface Tunnel0
 ip address 10.0.51.217 255.255.255.0
 tunnel source 10.0.149.217
 tunnel destination 10.0.149.203
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile P1
 service-policy output VTI
!
.
.
!
end

Interfaz del Túnel Virtual Estático con Firewall Virtual: Ejemplo:

La aplicación del Firewall virtual al túnel SVTI permite el tráfico del habló para pasar a través del concentrador para alcanzar Internet. El cuadro 6 ilustra un SVTI con el spoke protegido intrínsecamente por el escurdo de protección corporativo.

Cuadro 6 VTI estático con el Firewall virtual

La configuración básica SVTI se ha modificado para incluir la definición virtual del Firewall.

Configuración del router C7206

hostname c7206
.
.
ip inspect max-incomplete high 1000000 
ip inspect max-incomplete low 800000 
ip inspect one-minute high 1000000
ip inspect one-minute low 800000 
ip inspect tcp synwait-time 60 
ip inspect tcp max-incomplete host 100000 block-time 2 
ip inspect name IOSFW1 tcp timeout 300
ip inspect name IOSFW1 udp
!
.
.
interface GigabitEthernet0/1
 description Internet Connection
 ip address 172.18.143.246 255.255.255.0
 ip access-group 100 in
 ip nat outside
!
interface Tunnel0
 ip address 10.0.51.217 255.255.255.0
 ip nat inside
 ip inspect IOSFW1 in
 tunnel source 10.0.149.217
 tunnel destination 10.0.149.203
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile P1
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.18.143.1
!
ip nat translation timeout 120
ip nat translation finrst-timeout 2
ip nat translation max-entries 300000
ip nat pool test1 10.2.100.1 10.2.100.50 netmask 255.255.255.0
ip nat inside source list 110 pool test1 vrf test-vti1 overload
!
access-list 100 permit esp any any
access-list 100 permit udp any eq isakmp any
access-list 100 permit udp any eq non500-isakmp any
access-list 100 permit icmp any any
access-list 110 deny   esp any any
access-list 110 deny   udp any eq isakmp any
access-list 110 permit ip any any
access-list 110 deny   udp any eq non500-isakmp any
!
end

Easy VPN Server de Interfaz de Túnel Virtual Dinámico: Ejemplo:

El siguiente ejemplo ilustra el uso del Easy VPN Server DVTI, que sirve como aggregator del Acceso Remoto del IPSec. El cliente puede ser usuario casero que funciona con a un Cliente Cisco VPN o puede ser un router del Cisco IOS configurado como cliente VPN fácil.

Configuración del router C7206

hostname c7206
!
aaa new-model
aaa authentication login local_list local
aaa authorization network local_list local 
aaa session-id common
!         
ip subnet-zero
ip cef
!
username cisco password 0 cisco123
!
controller ISA 1/1
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp client configuration group group1
 key cisco123
 pool group1pool
 save-password
!
crypto isakmp profile vpn1-ra
   match identity group group1
   client authentication list local_list
   isakmp authorization list local_list
   client configuration address respond
   virtual-template 1
!
crypto ipsec transform-set VTI-TS esp-3des esp-sha-hmac 
!
crypto ipsec profile test-vti1
 set transform-set VTI-TS 
!
interface GigabitEthernet0/1
 description Internet Connection
 ip address 172.18.143.246 255.255.255.0
!
interface GigabitEthernet0/2
 description Internal Network
 ip address 10.2.1.1 255.255.255.0
!
interface Virtual-Template1 type tunnel
 ip unnumbered GigabitEthernet0/1
 ip virtual-reassembly
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile test-vti1
!
ip local pool group1pool 192.168.1.1 192.168.1.4
ip classless
ip route 0.0.0.0 0.0.0.0 172.18.143.1
!
end

Verificar los resultados para el Easy VPN Server virtual dinámico de la interfaz del túnel: Ejemplo:

La demostración de los siguientes ejemplos que un DVTI se ha configurado para un Easy VPN Server.

Router# show running-config interface Virtual-Access2

Building configuration...

Current configuration : 250 bytes
!
interface Virtual-Access2
 ip unnumbered GigabitEthernet0/1
 ip virtual-reassembly
 tunnel source 172.18.143.246
 tunnel destination 172.18.143.208
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile test-vti1
 no tunnel protection ipsec initiate
end

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 10.2.1.10 to network 0.0.0.0

     172.18.0.0/24 is subnetted, 1 subnets
C       172.18.143.0 is directly connected, GigabitEthernet0/1
     192.168.1.0/32 is subnetted, 1 subnets
S       192.168.1.1 [1/0] via 0.0.0.0, Virtual-Access2
     10.0.0.0/24 is subnetted, 1 subnets
C       10.2.1.0 is directly connected, GigabitEthernet0/2
S*   0.0.0.0/0 [1/0] via 172.18.143.1

Cliente Easy VPN de Interfaz Dinámica de Túnel Virtual: Ejemplo:

Las demostraciones del siguiente ejemplo cómo usted puede configurar a un router como el cliente VPN fácil. Este ejemplo utiliza básicamente la misma idea que el cliente VPN fácil que usted puede funcionar con de un PC para conectar. De hecho, la configuración del Easy VPN Server trabajará para el software cliente o el cliente del Cisco IOS.

hostname c1841
!
no aaa new-model
!
ip cef
!
username cisco password 0 cisco123
!
crypto ipsec client ezvpn CLIENT
 connect manual
 group group1 key cisco123
 mode client
 peer 172.18.143.246
 virtual-interface 1
 username cisco password cisco123
 xauth userid mode local
!
interface Loopback0
 ip address 10.1.1.1 255.255.255.255
!
interface FastEthernet0/0
 description Internet Connection
 ip address 172.18.143.208 255.255.255.0
 crypto ipsec client ezvpn CLIENT
!
interface FastEthernet0/1
 ip address 10.1.1.252 255.255.255.0
 crypto ipsec client ezvpn CLIENT inside
!
interface Virtual-Template1 type tunnel
 ip unnumbered Loopback0
!         
ip route 0.0.0.0 0.0.0.0 172.18.143.1 254
!
end

La definición del cliente se puede configurar en muchas maneras diferentes. El modo especificado con connect el comando puede ser automático o manual. Si el modo de la conexión se fija al manual, el túnel IPsec tiene que ser iniciado manualmente por un usuario.

También observe el uso mode del comando. El modo puede ser cliente, extensión de la red, o red-extensión-más. Este ejemplo indica al modo cliente, así que significa que dan el cliente a una dirección privada del servidor. El modo de ampliación de la red es diferente del modo cliente en que el cliente especifica para el servidor su subred privada asociada. Dependiendo del modo, la tabla de ruteo en cualquier extremo será levemente diferente. La operación básica del túnel IPsec sigue siendo lo mismo, sin importar el modo especificado.

Verificar los resultados para el cliente VPN fácil de la interfaz del túnel virtual dinámica: Ejemplo:

Los siguientes ejemplos ilustran las maneras diferentes de visualizar el estatus del DVTI.

Router# show running-config interface Virtual-Access2

Building configuration...

Current configuration : 148 bytes
!
interface Virtual-Access2
 ip unnumbered Loopback1
 tunnel source FastEthernet0/0
 tunnel destination 172.18.143.246
 tunnel mode ipsec ipv4
end

Router# show running-config interface Loopback1

Building configuration...

Current configuration : 65 bytes
!
interface Loopback1
 ip address 192.168.1.1 255.255.255.255
end

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 172.18.143.1 to network 0.0.0.0

     10.0.0.0/32 is subnetted, 1 subnets
C       10.1.1.1 is directly connected, Loopback0
     172.18.0.0/24 is subnetted, 1 subnets
C       172.18.143.0 is directly connected, FastEthernet0/0
     192.168.1.0/32 is subnetted, 1 subnets
C       192.168.1.1 is directly connected, Loopback1
S*   0.0.0.0/0 [1/0] via 0.0.0.0, Virtual-Access2

Router# show crypto ipsec client ezvpn

Easy VPN Remote Phase: 6

Tunnel name : CLIENT
Inside interface list: FastEthernet0/1
Outside interface: Virtual-Access2 (bound to FastEthernet0/0)
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 192.168.1.1
Mask: 255.255.255.255
Save Password: Allowed
Current EzVPN Peer: 172.18.143.246

VRF-Aware IPsec con VTI Dinámica: Ejemplo:

Este ejemplo muestra cómo configurar el IPSec que reconoce VRF para aprovecharse del DVTI:

hostname c7206
.
.
ip vrf test-vti1
 rd 1:1
 route-target export 1:1
 route-target import 1:1
!
.
.
interface Virtual-Template1 type tunnel
 ip vrf forwarding test-vti1
 ip unnumbered Loopback0
 ip virtual-reassembly
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile test-vti1
!
.
.
end

Interfaz del Túnel Virtual Dinámico con Firewall Virtual: Ejemplo:

El Easy VPN Server DVTI se puede configurar detrás de un Firewall virtual. la configuración del Detrás--Firewall permite que los usuarios ingresen la red, mientras que el escudo de protección de la red se protege contra el acceso no autorizado. El Firewall virtual utiliza el Control de acceso basado en el contexto (CBAC) y el NAT aplicados a la interfaz de Internet así como a la plantilla virtual.


hostname c7206
.
.
ip inspect max-incomplete high 1000000 
ip inspect max-incomplete low 800000 
ip inspect one-minute high 1000000
ip inspect one-minute low 800000 
ip inspect tcp synwait-time 60 
ip inspect tcp max-incomplete host 100000 block-time 2 
ip inspect name IOSFW1 tcp timeout 300
ip inspect name IOSFW1 udp
!
.
.
interface GigabitEthernet0/1
 description Internet Connection
 ip address 172.18.143.246 255.255.255.0
 ip access-group 100 in
 ip nat outside
!
interface GigabitEthernet0/2
 description Internal Network
 ip address 10.2.1.1 255.255.255.0
!
interface Virtual-Template1 type tunnel
 ip unnumbered Loopback0
 ip nat inside
 ip inspect IOSFW1 in
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile test-vti1
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.18.143.1
!
ip nat translation timeout 120
ip nat translation finrst-timeout 2
ip nat translation max-entries 300000
ip nat pool test1 10.2.100.1 10.2.100.50 netmask 255.255.255.0
ip nat inside source list 110 pool test1 vrf test-vti1 overload
!
access-list 100 permit esp any any
access-list 100 permit udp any eq isakmp any
access-list 100 permit udp any eq non500-isakmp any
access-list 100 permit icmp any any
access-list 110 deny   esp any any
access-list 110 deny   udp any eq isakmp any
access-list 110 permit ip any any
access-list 110 deny   udp any eq non500-isakmp any
!
end

Interfaz Túnel Virtual Dinámico con QoS: Ejemplo:

Usted puede agregar QoS al túnel DVTI aplicando la política de servicio a la plantilla virtual. Cuando la plantilla se reproduce para hacer la interfaz de acceso virtual, la política de servicio será aplicada allí. El siguiente ejemplo muestra que la configuración básica DVTI con QoS agregó.

hostname c7206
.
.
class-map match-all VTI
 match any 
!
policy-map VTI
  class VTI
  police cir 2000000
    conform-action transmit 
    exceed-action drop 
!
.
.
interface Virtual-Template1 type tunnel
 ip vrf forwarding test-vti1
 ip unnumbered Loopback0
 ip virtual-reassembly
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile test-vti1
 service-policy output VTI
!
.
.
!
end

Referencias adicionales

Documentos Relacionados

Tema relacionado
Título del documento

IPSec, problemas de seguridad

Configurar directivo de seguridad para los VPN con el IPSec

QoS, configurando

Guía de configuración de las soluciones de la Calidad de servicio de Cisco IOS en el cisco.com

Comandos de Cisco IOS

El Cisco IOS domina los comandos list, todos las versiones

Comandos de seguridad

Referencia de Comandos de Seguridad de Cisco IOS

Configuración VPN

Cisco Easy VPN Remote

Easy VPN Server


Estándares

Estándar
Título

Ninguno.


MIB

MIB
Link del MIB

Ninguno.

Para localizar y descargar el MIB para las plataformas elegidas, las versiones de Cisco IOS Software, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente:

http://www.cisco.com/cisco/web/LA/support/index.html


RFC

RFC
Título

RFC 2401

Arquitectura de seguridad para el protocolo de Internet

RFC 2408

Protocolo internet security association and key management

RFC 2409

El Internet Key Exchange (IKE)


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información de la Función IPsec Virtual Tunnel Interface

La Tabla 1 muestra el historial de versiones de esta función.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.


Información de la característica del cuadro 1 para la interfaz del túnel virtual del IPSec

Nombre de la función
Versiones
Información de la Configuración de la Función

IPSec estático VTIs

12.3(7)T
12.3(14)T
12.2(33)SRA
12.2(33)SXH

El IPSec VTIs (VTIs) proporciona un tipo de interfaz enrutable para terminar los túneles IPsec y una forma sencilla de definir la protección entre los sitios para formar una red de recubrimiento. Las VTIs IPSec simplifican la configuración de IPSec para la protección de links remotos, soportan multicast y simplifican la administración de red y el balanceo de carga.

IPSec dinámico VTIs

12.3(7)T
12.3(14)T

VTIs dinámico proporciona la eficacia en el uso de los IP Addresses y proporciona la conectividad segura. VTIs dinámico permite al por-grupo dinámicamente transferible y por usuario las directivas que se configurarán en un servidor de RADIUS. El por-grupo o por usuario definición puede ser creado usando el grupo del usuario o del Unity del Xauth, o puede ser derivado de un certificado. VTIs dinámico es estándares basados, así que la Interoperabilidad en un entorno del proveedor múltiple se soporta. El IPSec VTIs dinámico permite que usted cree altamente la conectividad segura para los VPN de accesos remotos y se puede combinar con la arquitectura Cisco para la Voz, el vídeo, y los datos integrados (AVVID) para entregar la voz con convergencia, el vídeo, y los datos sobre las redes IP. El VTI dinámico simplifica el despliegue que reconoce VRF del IPSec. El VRF se configura en la interfaz.

Se han insertado o modificado los siguientes comandos: crypto isakmp profileinterface virtual-templateshow vtemplatetunnel mode, virtual-template



Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)