Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR
Soporte de cliente del IPSec VPN de SafeNet
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 210 KB | Inglés (19 Febrero 2008) | Comentarios

Contenidos

Soporte de cliente del IPSec VPN de SafeNet

Contenido

Requisitos previos para el soporte de cliente del IPSec VPN de SafeNet

Restricciones para el soporte de cliente del IPSec VPN de SafeNet

Información sobre el soporte de cliente del IPSec VPN de SafeNet

Configuraciones de Perfil ISAKMP y Anillo de Llaves ISAKMP: Antecedente

Dirección o Interfaz con Terminación Local

Ventaja del soporte de cliente del IPSec VPN de SafeNet

Cómo configurar el soporte de cliente del IPSec VPN de SafeNet

Limitación de un perfil ISAKMP a un direccionamiento o a una interfaz de la finalización local

Limitación de un llavero a un direccionamiento o a una interfaz de la finalización local

Monitoreando y mantener el soporte de cliente del IPSec VPN de SafeNet

Ejemplos

Localización de averías del soporte de cliente del IPSec VPN de SafeNet

Ejemplos de configuración para el soporte de cliente del IPSec VPN de SafeNet

Perfil ISAKMP Limitado a una Interfaz Local: Ejemplo:

Anillo de Llaves ISAKMP Vinculado a una Interfaz Local: Ejemplo:

Anillo de llaves ISAKMP Limitado a una Dirección IP Local: Ejemplo:

Anillo de llaves ISAKMP Vinculado a una Dirección IP y Limitado a un VRF: Ejemplo:

Referencias adicionales

DocumentsStandards relacionado

MIB

RFC

Asistencia Técnica

Referencia de Comandos


Soporte de cliente del IPSec VPN de SafeNet


La característica del soporte de cliente del IPSec VPN de SafeNet permite que usted limite el alcance de una configuración del perfil del Internet Security Association and Key Management Protocol (ISAKMP) o del llavero ISAKMP a un direccionamiento de la finalización local o que interconecte. El beneficio de esta función es que diversos clientes pueden utilizar las mismas identidades de peer y llaves ISAKMP mediante el uso de diferentes direcciones de terminación local.

Historial para la característica del soporte de cliente del IPSec VPN de SafeNet

Versión
Modificación

12.3(14)T

Esta función fue introducida.

12.2(18)SXE

Esta función se integró en Cisco IOS Release 12.2(18)SXE.


Encontrar la información de servicio técnico para las Plataformas y las imágenes del Cisco IOS Software

Utilice Cisco Feature Navigator para buscar información sobre el soporte de plataformas e imágenes de Cisco IOS Software. Acceda el Cisco Feature Navigator en http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp. Debe tener una cuenta en Cisco.com. Si no dispone de una cuenta o ha olvidado el nombre de usuario o la contraseña, haga clic en Cancel en el cuadro de diálogo de login y siga las instrucciones que aparecen.

Contenido

Requisitos previos para el soporte de cliente del IPSec VPN de SafeNet

Restricciones para el soporte de cliente del IPSec VPN de SafeNet

Información sobre el soporte de cliente del IPSec VPN de SafeNet

Cómo configurar el soporte de cliente del IPSec VPN de SafeNet

Ejemplos de configuración para el soporte de cliente del IPSec VPN de SafeNet

Referencias adicionales

Referencia de Comandos

Requisitos previos para el soporte de cliente del IPSec VPN de SafeNet

Usted debe entender cómo configurar los perfiles ISAKMP y los llaveros ISAKMP.

Restricciones para el soporte de cliente del IPSec VPN de SafeNet

La opción de la dirección local trabaja solamente para la dirección primaria de una interfaz.

Si se proporciona una dirección IP, el administrador tiene que asegurarse de que la conexión del par termine al direccionamiento se proporciona que.

Si la dirección IP no existe en el dispositivo, o si la interfaz no tiene una dirección IP, el perfil ISAKMP o el llavero ISAKMP será inhabilitado con eficacia.

Información sobre el soporte de cliente del IPSec VPN de SafeNet

Antes de configurar el soporte de cliente del IPSec VPN de SafeNet, usted debe entender los conceptos siguientes:

Configuraciones de Perfil ISAKMP y Anillo de Llaves ISAKMP: Antecedente

Dirección o Interfaz con Terminación Local

Configuraciones de Perfil ISAKMP y Anillo de Llaves ISAKMP: Antecedente

Antes del Cisco IOS Release 12.3(14)T, las configuraciones del ISAKMP-perfil y del ISAKMP-llavero podrían ser solamente globales, significando que el alcance de estas configuraciones no se podría limitar por ninguna parámetros localmente definida (los casos VRF eran una excepción). Por ejemplo, si un llavero ISAKMP contuviera una clave del preshared para el direccionamiento 10.11.12.13, la misma clave sería utilizada si el par tenía el direccionamiento 10.11.12.13, con independencia de la interfaz o de la dirección local con las cuales el par fue conectado. Hay las situaciones, sin embargo, en las cuales los usuarios prefieren que los llaveros del socio estén limitados no sólo con los casos de la expedición de la ruta virtual (VRF) pero también a una interfaz particular. Por ejemplo, si en vez del VRF cita como ejemplo, hay LAN virtuales, y el Internet Key Exchange (IKE) se negocia con un grupo de pares que usan una interfaz reparada del Virtual LAN (VLAN). Tal grupo de pares utiliza una sola clave del preshared, así que si los llaveros se podrían limitar a una interfaz, sería fácil definir una clave del comodín sin arriesgar que las claves también serían utilizadas para otros clientes.

Las identidades del par no están a veces en el control del administrador, e incluso si el mismo par negocia para diversos clientes, el direccionamiento de la finalización local son la única forma de distinguir al par. Después de que se haga tal distinción, si el tráfico se envía a diversos casos VRF, configurar un perfil ISAKMP es la única forma de distinguir al par. Desafortunadamente, cuando el par utiliza una identidad idéntica para todas tales situaciones, el perfil ISAKMP no puede distinguir entre las negociaciones. Para tales escenarios, sería beneficioso atar los perfiles ISAKMP a un direccionamiento de la finalización local. Si un direccionamiento de la finalización local podría ser asignado, las identidades idénticas del par no serían un problema.

Dirección o Interfaz con Terminación Local

Eficaz con el Cisco IOS Release 12.3(14)T, la característica del soporte de cliente del IPSec VPN de SafeNet permite que usted limite el alcance de los perfiles ISAKMP y los llaveros ISAKMP a una finalización local dirigen o interconectan.

Ventaja del soporte de cliente del IPSec VPN de SafeNet

El beneficio de esta función es que diversos clientes pueden utilizar las mismas identidades de peer y llaves ISAKMP mediante el uso de diferentes direcciones de terminación local.

Cómo configurar el soporte de cliente del IPSec VPN de SafeNet

En esta sección se presentan los siguientes procedimientos. Las primeras dos configuraciones son independiente de uno a.

Limitando un perfil ISAKMP a una finalización local dirija o interconecte (requerido)

Limitando un llavero a una finalización local dirija o interconecte (requerido)

Monitoreando y mantener el soporte de cliente del IPSec VPN de SafeNet (opcional)

Ejemplos (opcionales)

Limitación de un perfil ISAKMP a un direccionamiento o a una interfaz de la finalización local

Para configurar un perfil ISAKMP y limitarlo a un direccionamiento o a una interfaz de la finalización local, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto isakmp profile nombre del perfil

4.keyring llavero-nombre

5.match identity address direccionamiento

6.dirección local {interface name | ip-address [vrf-tag]}

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto isakmp profile profile-name

Example:

Router (config)# crypto isakmp profile profile1

Define un perfil ISAKMP y ingresa el modo de la configuración del perfil ISAKMP.

Paso 4 

keyring keyring-name

Example:

Router (conf-isa-profile)# keyring keyring1

(Opcional) configura un llavero con un perfil ISAKMP.

Un llavero no se necesita dentro de un perfil ISAKMP para que la finalización local trabaje. La finalización local trabaja incluso si se utilizan los Certificados del Rivest, del Shamir, y del Adelman (RSA).

Paso 5 

match identity address address

Example:

Router (conf-isa-profile)# match identity address 10.0.0.0 255.0.0.0

Hace coincidir una identidad de un peer en un perfil ISAKMP.

Paso 6 

local-address {interface-name | ip-address [vrf-tag]}

Example:

Router (conf-isa-profile)# local-address serial2/0

Limita el alcance de un perfil ISAKMP o una configuración de anillo de llaves ISAKMP a una dirección o una interfaz de finalización local.

Limitación de un llavero a un direccionamiento o a una interfaz de la finalización local

Para configurar un llavero ISAKMP y limitar su alcance a una finalización local dirija o interconecte, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto keyring llavero-nombre

4.dirección local {interface name | ip-address [vrf-tag]}

5.address address de la clave previamente compartida

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto keyring keyring-name

Example:

Router (config)# crypto keyring keyring1

Define un keyring crypto que se utilizará durante la autenticación IKE y ingresa al modo de configuración del keyring.

Paso 4 

local-address {interface-name | ip-address [vrf-tag]}

Example:

Router (conf-keyring)# local-address serial2/0

Limita el alcance de un perfil ISAKMP o una configuración de anillo de llaves ISAKMP a una dirección o una interfaz de finalización local.

Paso 5 

pre-shared-key address address

Example:

Router (conf-keyring)# pre-shared-key address 10.0.0.1

Define una llave del precompartida que se utilizará para la autenticación IKE.

Monitoreando y mantener el soporte de cliente del IPSec VPN de SafeNet

Lo que sigue debug y show los comandos se pueden utilizar para monitorear y para mantener la configuración en la cual usted limitó el alcance de un perfil ISAKMP o del llavero ISAKMP a un direccionamiento o a una interfaz de la finalización local.

PASOS SUMARIOS

1. enable

2. debug crypto isakmp

3. show crypto isakmp profile

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

debug crypto isakmp

Example:

Router# debug crypto isakmp

Muestra mensajes sobre los eventos IKE.

Paso 3 

show crypto isakmp profile

Example:

Router# show crypto isakmp profile

Enumera todos los perfiles ISAKMP que se definen en un router.

Ejemplos

comando debug crypto isakmp hecho salir para un llavero ISAKMP que es
Límite a los direccionamientos de la finalización local: Ejemplo:

Usted tiene una configuración ISAKMP como sigue (el direccionamiento de serial2/0 es 10.0.0.1, y el direccionamiento de serial2/1 es 10.0.0.2),

crypto keyring keyring1
! Scope of the keyring is limited to interface serial2/0.
  local-address serial2/0
  ! The following is the key string used by the peer.
  pre-shared-key address 10.0.0.3 key somerandomkeystring
crypto keyring keyring2
  local-address serial2/1
  ! The following is the keystring used by the peer coming into serial2/1.
   pre-shared-key address 10.0.0.3 key someotherkeystring

y si la conexión está entrando en serial2/0, keyring1 se elige como la fuente de la clave del preshared (y de keyring2 se ignora porque está limitada a serial2/1), usted vería el producto siguiente:

Router# debug crypto isakmp

*Feb 11 15:01:29.595: ISAKMP:(0:0:N/A:0):Keyring keyring2 is bound to
  10.0.0.0, skipping
*Feb 11 15:01:29.595: ISAKMP:(0:0:N/A:0):Looking for a matching key for
  10.0.0.3 in keyring1
*Feb 11 15:01:29.595: ISAKMP:(0:0:N/A:0): : success
*Feb 11 15:01:29.595: ISAKMP:(0:0:N/A:0):found peer pre-shared key
  matching 10.0.0.3
*Feb 11 15:01:29.595: ISAKMP:(0:0:N/A:0): local preshared key found

la salida del comando debug crypto isakmp para un ISAKMP ProfileThat está limitada
a un direccionamiento de la finalización local: Ejemplo:

Si usted tiene la configuración siguiente,

crypto isakmp profile profile1
  keyring keyring1
  match identity address 10.0.0.0 255.0.0.0
  local-address serial2/0
crypto isakmp profile profile2
  keyring keyring1
  keyring keyring2
  self-identity fqdn
  match identity address 10.0.0.1 255.255.255.255
  local-address serial2/1

y la conexión está viniendo con el direccionamiento serial2/0 del terminal local, usted considerará el producto siguiente:

Router# debug crypto isakmp

*Feb 11 15:01:29.935: ISAKMP:(0:0:N/A:0):

Profile profile2 bound to 10.0.0.0 skipped

*Feb 11 15:01:29.935: ISAKMP:(0:1:SW:1):: peer matches profile1 profile

muestre el comando profile crypto del isakmp hecho salir: Ejemplo:

Lo que sigue es un ejemplo de la salida de comando show típica para un perfil ISAKMP que esté limitado a serial2/0:

Router# show crypto isakmp profile

ISAKMP PROFILE profile1
  Identities matched are:
    ip-address 10.0.0.0 255.0.0.0
  Certificate maps matched are:
  keyring(s): keyring1
  trustpoint(s): <all>
  Interface binding: serial2/0 (10.20.0.1:global)

Localización de averías del soporte de cliente del IPSec VPN de SafeNet

Si un perfil ISAKMP o el keyring ISAKMP no puede ser seleccionado, usted debe comprobar a la dirección local con minuciosidad que ata en la configuración del perfil ISAKMP o del keyring ISAKMP y seguir la salida de los debugs IKE para determinar si el par está terminando correctamente en el direccionamiento. Usted puede quitar el atascamiento de la dirección local (hacer el alcance del perfil o del keyring global) y el control para determinar si el perfil o el keyring está seleccionado para confirmar la situación.

Ejemplos de configuración para el soporte de cliente del IPSec VPN de SafeNet

Esta sección contiene la configuración, el comando debug , y los ejemplos show siguientes del comando.

Perfil ISAKMP Limitado a una Interfaz Local: Ejemplo:

Anillo de Llaves ISAKMP Vinculado a una Interfaz Local: Ejemplo:

Anillo de llaves ISAKMP Limitado a una Dirección IP Local: Ejemplo:

Anillo de llaves ISAKMP Vinculado a una Dirección IP y Limitado a un VRF: Ejemplo:

Perfil ISAKMP Limitado a una Interfaz Local: Ejemplo:

El siguiente ejemplo muestra que el perfil ISAKMP está limitado a una interfaz local:

crypto isakmp profile profile1
  keyring keyring1
  match identity address 10.0.0.0 255.0.0.0

  dirección local serial2/0

Anillo de Llaves ISAKMP Vinculado a una Interfaz Local: Ejemplo:

El siguiente ejemplo muestra que el llavero ISAKMP está limitado para interconectar solamente serial2/0:

crypto keyring
  local-address serial2/0 

  direccionamiento 10.0.0.1 de la clave previamente compartida

Anillo de llaves ISAKMP Limitado a una Dirección IP Local: Ejemplo:

El siguiente ejemplo muestra que el llavero ISAKMP está limitado solamente a la dirección IP 10.0.0.2:

crypto keyring keyring1
  local-address 10.0.0.2

  clave de 10.0.0.2 del direccionamiento de la clave previamente compartida

Anillo de llaves ISAKMP Vinculado a una Dirección IP y Limitado a un VRF: Ejemplo:

El siguiente ejemplo muestra que un llavero ISAKMP está limitado a la dirección IP 10.34.35.36 y que el alcance está limitado a VRF examplevrf1:

ip vrf examplevrf1
  rd 12:3456
crypto keyring ring1
  local-address 10.34.35.36 examplevrf1
interface ethernet2/0
  ip vrf forwarding examplevrf1
  ip address 10.34.35.36 255.255.0.0

Referencias adicionales

Las secciones siguientes proporcionan las referencias relacionadas con el soporte de cliente del IPSec VPN de SafeNet.

Documentos Relacionados

Tema relacionado
Título del documento

Configurar los perfiles ISAKMP y los llaveros ISAKMP

VRF-Aware Ipsec

Comandos de seguridad

Referencia de Comandos de Seguridad de Cisco IOS


Estándares

Estándar
Título

Esta función no soporta estándares nuevos o modificados.


MIB

MIB
Link del MIB

Esta función no soporta MIBs nuevas o modificadas.

Para localizar y descargar el MIB para las plataformas elegidas, las versiones de Cisco IOS Software, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente:

http://www.cisco.com/cisco/web/LA/support/index.html


RFC

RFC
Título

Esta función no soporta RFCs nuevos o modificados.


Asistencia Técnica

Descripción
Link

El sitio Web de soporte técnico de Cisco proporciona los recursos en línea extensos, incluyendo la documentación y las herramientas para localizar averías y resolver los problemas técnicos con los Productos Cisco y las Tecnologías.

Para recibir la Seguridad y la información técnica sobre sus Productos, usted puede inscribir a los diversos servicios, tales como la herramienta de alerta del producto (accedida de los Field Notice), el hoja informativa de los servicios técnicos de Cisco, y alimentaciones realmente simples de la sindicación (RSS).

El acceso a la mayoría de las herramientas en el sitio Web de soporte técnico de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Referencia de Comandos

Los siguientes comandos se introducen o se modifican en la función o en las funciones

local-address

Para obtener información sobre estos comandos, vea la Referencia de Comandos de Seguridad de Cisco IOS en

http://www.cisco.com/en/US/docs/ios/security/command/reference/sec_book.html.

Para ver información sobre todos los comandos de Cisco IOS, vea la herramienta de búsqueda de comandos en

http://tools.cisco.com/Support/CLILookup o la lista de comandos principal.