Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR
Crypto Conditional Debug Support
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 205 KB | Inglés (26 Marzo 2008) | Comentarios

Contenidos

Crypto Conditional Debug Support

Contenido

Prerrequisitos para el soporte condicional Crypto del debug

Restricciones de Crypto Conditional Debug Support

Información sobre el Soporte de Debug Condicional de Crypto

Tipos de Condición Soportados

Cómo Habilitar Crypto Conditional Debug Support

Habilitación de Mensajes de Debug Condicional Criptográfico

Consideraciones de rendimiento

Condiciones Crypto del debug de la neutralización

Habilitar los mensajes Crypto del debug del error

error CLI del debug crypto

Ejemplos de configuración para el debug condicional Crypto CLI

Habilitación del Debugging Condicional Crypto: Ejemplo:

Inhabilitación del Debugging Condicional Criptográfico: Ejemplo:

Referencias adicionales

Documentos Relacionados

Estándares

MIB

RFC

Asistencia Técnica

Referencia de Comandos


Crypto Conditional Debug Support


La característica condicional Crypto del soporte del debug introduce tres nuevas interfaces de la línea de comandos (CLI) que permitan que los usuarios hagan el debug de un túnel de la seguridad IP (IPSec) en base de las condiciones crypto predefinidas tales como el IP Address de Peer, ID de conexión de un motor de criptografía, y Security Parameter Index (SPI). Limitando los mensajes del debug a las operaciones específicas del IPSec y reduciendo a la cantidad de salida de los debugs, los usuarios pueden resolver problemas mejor a un router con un gran número de túneles.

Historial de la característica para el soporte condicional Crypto del debug

Historial de la característica
 
Versión
Modificación

12,3(2)T

Esta función fue introducida.


Encontrar la información de servicio técnico para las Plataformas y las imágenes del Cisco IOS Software

Utilice Cisco Feature Navigator para buscar información sobre el soporte de plataformas e imágenes de Cisco IOS Software. Acceda el Cisco Feature Navigator en http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp. Debe tener una cuenta en Cisco.com. Si no dispone de una cuenta o ha olvidado el nombre de usuario o la contraseña, haga clic en Cancel en el cuadro de diálogo de login y siga las instrucciones que aparecen.

Contenido

Prerrequisitos para el soporte condicional Crypto del debug

Restricciones de Crypto Conditional Debug Support

Información sobre el Soporte de Debug Condicional de Crypto

Cómo Habilitar Crypto Conditional Debug Support

Ejemplos de configuración para el debug condicional Crypto CLI

Referencias adicionales

Referencia de Comandos

Prerrequisitos para el soporte condicional Crypto del debug

Para utilizar los nuevos CLI crypto, usted debe utilizar una imagen de criptografía tal como el subsistema k8 o del k9.

Restricciones de Crypto Conditional Debug Support

Esta característica no soporta el mensaje del debug que filtra para los motores de criptografía del hardware.

Aunque el debugging condicional sea útil para los problemas par-específicos o las funciones relacionados del troubleshooting del Internet Key Exchange (IKE) y del IPSec, el debugging condicional puede no poder definir y marcar un gran número de condiciones del debug.

Porque el espacio adicional es necesario salvar los valores de la condición del debug, se aumentan los gastos indirectos de proceso adicionales se agregan al CPU y al uso de la memoria. Así, habilitar el debugging condicional crypto en un router con el tráfico denso se debe utilizar con cautela.

Información sobre el Soporte de Debug Condicional de Crypto

Para habilitar los comandos debug crypto condicionales, usted debe entender el concepto siguiente:

Tipos de Condición Soportados

Tipos de Condición Soportados

El nuevo debug condicional crypto CLI — condición del debug crypto, condición del debug crypto incomparable, y debug-condición crypto de la demostración — permita que usted especifique las condiciones (valores del filtro) en las cuales generar y la visualización haga el debug de los mensajes relacionados solamente con las condiciones especificadas. El cuadro 1 enumera los tipos soportados de la condición.

Tipos soportados de la condición del cuadro 1 para el debug Crypto CLI  

Tipo de la condición (palabra clave)
Descripción

connid1

Un número entero entre 1-32766. Los mensajes relevantes del debug serán mostrados si la operación del IPSec actual utiliza este valor como el ID de conexión para interconectar con el motor de criptografía.

flowid1

Un número entero entre 1-32766. Los mensajes relevantes del debug serán mostrados si la operación del IPSec actual utiliza este valor como el flujo-ID para interconectar con el motor de criptografía.

FVRF

El name string de un Red privada virtual (VPN) que rutea y que remite el caso (VRF). Los mensajes relevantes del debug serán mostrados si la operación del IPSec actual utiliza este caso VRF como su puerta frontal VRF (FVRF).

IVRF

El name string de un caso VRF. Los mensajes relevantes del debug serán mostrados si la operación del IPSec actual utiliza este caso VRF como su VRF interior (IVRF).

grupo de peer

Una cadena del nombre del grupo del Unity. Los mensajes relevantes del debug serán mostrados si el par está utilizando este nombre del grupo como su identidad.

nombre de host del par

Una cadena del nombre de dominio completo (FQDN). Los mensajes relevantes del debug serán mostrados si el par está utilizando esta cadena como su identidad; por ejemplo, si el par está habilitando el Xauth IKE con esta cadena FQDN.

peer ipaddress

Una sola dirección IP. Los mensajes relevantes del debug serán mostrados si la operación del IPSec actual se relaciona con la dirección IP de este par.

peer subnet

Una subred y una máscara de subred que especifican un rango de los IP Address de Peer. Los mensajes relevantes del debug serán mostrados si la dirección IP del par del IPSec actual cae en el rango de subred especificado.

nombre de usuario del par

Una cadena del nombre de usuario. Los mensajes relevantes del debug serán mostrados si el par está utilizando este nombre de usuario como su identidad; por ejemplo, si el par está habilitando el IKE Extended Authentication (Xauth) con este nombre de usuario.

SPI1

Un Contenido no firmado de 32 bits. Los mensajes relevantes del debug serán mostrados si la operación del IPSec actual utiliza este valor como SPI.

1 si un connid, un flowid, o SPI del IPSec se utiliza como condición del debug, los mensajes del debug para un flujo relacionado del IPSec se generan. Un flujo del IPSec tiene dos connids, flowids, y SPI — uno entrante y uno saliente. Ambos dos connids, flowids, y SPI se pueden utilizar como la condición del debug que fluyen los mensajes del debug de los activadores para el IPSec.


Cómo Habilitar Crypto Conditional Debug Support

Esta sección contiene los siguientes procedimientos:

Habilitación de Mensajes de Debug Condicional Criptográfico

Habilitar los mensajes Crypto del debug del error

Habilitación de Mensajes de Debug Condicional Criptográfico

Para habilitar el debug condicional crypto que filtra, usted debe realizar las tareas siguientes.

Consideraciones de rendimiento

Antes de habilitar el debugging condicional crypto, usted debe decidir qué tipos de la condición del debug (también conocidos como filtros del debug) y los valores serán utilizados. El volumen de mensajes del debug es dependiente en el número de condiciones que usted define.


La notaque especifica las condiciones numerosas del debug puede consumir los ciclos de la CPU y negativamente el rendimiento del router de la influencia.


Su router realizará el debugging condicional sólo después por lo menos de uno de los comandos debug crypto globalesdebug crypto isakmpdebug crypto ipsec, y debug crypto engine— se ha habilitado. Este requisito ayuda a asegurarse de que el funcionamiento del router no será afectado cuando el debugging condicional no se está utilizando.

Condiciones Crypto del debug de la neutralización

Si usted elige inhabilitar el debugging condicional crypto, usted debe primero inhabilitar cualquier debug global crypto CLI que usted ha publicado; después de eso, usted puede inhabilitar el debugging condicional.


Observe reset la palabra clave puede ser utilizado para inhabilitar todas las condiciones configuradas al mismo tiempo.


PASOS SUMARIOS

1. enable

2.debug crypto condition []connid integer integerdel []flowid integer integerdel []fvrf stringdel []ivrf stringdel []peer group stringdel []hostname stringdel [[]ipv4 ipaddressdel []subnet subnet maskdel []username stringdel [engine-id] del [engine-id]spi integer]reset

3.show crypto debug-condition {[]peerdel []conniddel []spidel []fvrfdel []ivrfdel []unmatched}

4. debug crypto isakmp

5. debug crypto ipsec

6. debug crypto engine

7.debug crypto condition unmatched [isakmp | ipsec | engine] (opcional)

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

debug crypto condition [connid integer engine-id integer] [flowid integer engine-id integer] [fvrf string] [ivrf string] [peer [group string] [hostname string] [ipv4 ipaddress] [subnet subnet mask] [username string]] [spi integer] [reset]

Example:

Router# debug crypto condition connid 2000 engine-id 1

Define los filtros condicionales del debug.

Paso 3 

show crypto debug-condition {[peer] [connid] [spi] [fvrf] [ivrf] [unmatched]}

Example:

Router# show crypto debug-condition spi

Visualiza las condiciones crypto del debug que se han habilitado ya en el router.

Paso 4 

debug crypto isakmp

Example:

Router# debug crypto isakmp

Habilita el debugging global IKE.

Paso 5 

debug crypto ipsec

Example:

Router# debug crypto ipsec

Habilita el debugging de IPSec global.

Paso 6 

debug crypto engine

Example:

Router# debug crypto engine

Habilita el debugging global del motor de criptografía.

Paso 7 

debug crypto condition unmatched [isakmp | ipsec | engine]

Example:

Router# debug crypto condition unmatched ipsec

Las visualizaciones (opcionales) hacen el debug de los mensajes crypto condicionales cuando no hay información contextual disponible marcar contra las condiciones del debug.

Si no se especifica ningunas de las palabras claves optativas, toda la información relacionado a crypto será mostrada.

Habilitar los mensajes Crypto del debug del error

Para habilitar los mensajes crypto del debug del error, usted debe realizar las tareas siguientes.

error CLI del debug crypto

Habilitar debug crypto error el comando visualiza solamente los mensajes relacionados al error del debug, de tal modo, permitiendo que usted determine fácilmente porqué una operación crypto, tal como una negociación IKE, ha fallado dentro de su sistema.


Observeal habilitar este comando, asegúrese de que no habiliten a los comandos debug crypto globales; si no, los comandos global reemplazarán cualquier mensaje relacionado al error posible del debug.


PASOS SUMARIOS

1. enable

2.debug crypto {isakmp | ipsec | engine} error

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

debug crypto {isakmp | ipsec | engine} error

Example:

Router# debug crypto ipsec error

Mensajes de debugging del error de los permisos solamente para un área crypto.

Ejemplos de configuración para el debug condicional Crypto CLI

Esta sección incluye los siguientes ejemplos:

Habilitación del Debugging Condicional Crypto: Ejemplo:

Inhabilitación del Debugging Condicional Criptográfico: Ejemplo:

Habilitación del Debugging Condicional Crypto: Ejemplo:

Las demostraciones del siguiente ejemplo cómo visualizar los mensajes del debug cuando el IP Address de Peer es 10.1.1.1, 10.1.1.2, o 10.1.1.3, y cuando el ID de conexión 2000 del motor de criptografía 0 se utiliza. Este ejemplo también muestra cómo habilitar el debug crypto global CLI y habilitar show crypto debug-condition el comando de verificar las configuraciones condicionales.

Router# debug crypto condition connid 2000 engine-id 1
Router# debug crypto condition peer ipv4 10.1.1.1
Router# debug crypto condition peer ipv4 10.1.1.2
Router# debug crypto condition peer ipv4 10.1.1.3
Router# debug crypto condition unmatched 
! Verify crypto conditional settings.
Router# show crypto debug-condition

Crypto conditional debug currently is turned ON
IKE debug context unmatched flag:ON
IPsec debug context unmatched flag:ON
Crypto Engine debug context unmatched flag:ON

IKE peer IP address filters:
10.1.1.1  10.1.1.2   10.1.1.3

Connection-id filters:[connid:engine_id]2000:1,
! Enable global crypto CLIs to start conditional debugging.
Router# debug crypto isakmp
Router# debug crypto ipsec
Router# debug crypto engine

Inhabilitación del Debugging Condicional Criptográfico: Ejemplo:

Las demostraciones del siguiente ejemplo cómo inhabilitar todas las configuraciones condicionales crypto y verificarlas que se han inhabilitado esas configuraciones:

Router# debug crypto condition reset
! Verify that all crypto conditional settings have been disabled.
Router# show crypto debug-condition

Crypto conditional debug currently is turned OFF
IKE debug context unmatched flag:OFF
IPsec debug context unmatched flag:OFF
Crypto Engine debug context unmatched flag:OFF

Referencias adicionales

Las secciones siguientes proporcionan las referencias a la característica condicional Crypto del soporte del debug.

Documentos Relacionados

Tema relacionado
Título del documento

Tareas del IPSec y de la configuración IKE

“Intercambio de claves de Internet para sección del IPSec VPN” de la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura

IPSec y comandos IKE

Referencia de Comandos de Seguridad de Cisco IOS


Estándares

Estándares
Título

Ninguno


MIB

MIB
Link del MIB

Ninguno

Para localizar y descargar el MIB para las plataformas elegidas, las versiones de Cisco IOS Software, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente:

http://www.cisco.com/cisco/web/LA/support/index.html


RFC

RFC
Título

Ninguno


Asistencia Técnica

Descripción
Link

Página de inicio del Centro de Asistencia Técnica (TAC), que contiene 30.000 páginas de contenido técnico que permite la búsqueda, incluyendo links a productos, tecnologías, soluciones, consejos técnicos y herramientas. Los usuarios registrados de cisco.com pueden iniciar sesión desde esta página para acceder a otros contenidos.

http://www.cisco.com/cisco/web/LA/support/index.html


Referencia de Comandos

Los siguientes comandos se introducen o se modifican en la función o en las funciones

debug crypto condition

debug crypto condition unmatched

debug crypto error

show crypto debug-condition

Para obtener información sobre estos comandos, vea la Referencia de Comandos de Seguridad de Cisco IOS en

http://www.cisco.com/en/US/docs/ios/security/command/reference/sec_book.html.

Para ver información sobre todos los comandos de Cisco IOS, vea la herramienta de búsqueda de comandos en

http://tools.cisco.com/Support/CLILookup o la lista de comandos principal.