Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR
Módulo de Aceleración VPN (VAM)
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 236 KB | Inglés (19 Febrero 2008) | Comentarios

Contenidos

Módulo de Aceleración VPN (VAM)

Descripción general de características

Beneficios

Características y Tecnologías relacionadas

Documentos Relacionados

Plataformas Soportadas

Estándares, MIB, y RFC soportados

Prerrequisitos

Tareas de Configuración

Configurar una política IKE

Configuración del IPSec

Creación de Listas de Acceso Crypto

Definición de Conjuntos de Transformación

Verificar la configuración

Consejos de Troubleshooting

Monitoreo y Mantenimiento del VPN Acceleration Module

Ejemplos de Configuración

Ejemplo de Configuración de Políticas IKE

Ejemplo de Configuración de IPSec

Referencia de Comandos

Glosario


Módulo de Aceleración VPN (VAM)


Historial de la característica

Versión
Modificación

12.1(9)E

Esta característica fue introducida en los Cisco 7200 Series Router en el NPE-225, el NPE-400, y el NSE-1

12.1(14)E

Esta característica era integrada en el Cisco IOS Release 12.1(14)E y el soporte para
los VAM duales1 en las Cisco 7200 Series con el NPE-G1 fueron agregados

12.2(9)YE

El soporte para esta característica fue agregado al Cisco 7401ASR Router2

12.2(13)T

Esta función se integró en Cisco IOS Release 12.2(13)T.

12.2(15)T

Esta característica era integrada en el Cisco IOS Release 12.2(15)T

12.3(1)Mainline

Esta característica era integrada en el Mainline del Cisco IOS Release 12.3(1)

12.2(14)SU

Esta característica era integrada en el Cisco IOS Release 12.2(14)SU

1 soporte para los VAM duales está disponible en un Cisco 7200 Series Router con el NPE-G1 en el Cisco IOS Release 12.2(15)T, 12.1(14)E, y el Mainline 12,3 solamente.

2 el Cisco 7401ASR Router se vende no más.


Este módulo de función describe la característica del módulo vpn acceleration (VAM). Incluye las secciones siguientes:

Descripción general de características

Plataformas Soportadas

Estándares, MIB, y RFC soportados

Prerrequisitos

Tareas de Configuración

Monitoreo y Mantenimiento del VPN Acceleration Module

Ejemplos de Configuración

Referencia de Comandos

Glosario

Descripción general de características

El módulo vpn acceleration (VAM) es un módulo de aceleración de la solo-anchura. Proporciona el Tunelización de alto rendimiento, asistido por hardware y los servicios de encripción convenientes para el Acceso Remoto del Red privada virtual (VPN), el intranet del sitio a localizar, y las aplicaciones del extranet. También proporciona el scalability y Seguridad de la plataforma mientras que trabaja con todos los servicios necesarios para los despliegues de VPN acertados — Seguridad, Calidad de Servicio (QoS), Firewall y detección de intrusos, validación del servicio-nivel, y Administración. El VAM descarga el procesamiento IPSec del procesador principal, liberando así recursos de los motores de procesador para otras tareas.

VAM proporciona el soporte de la aceleración de hardware para las siguientes funciones de encripción múltiple:

modo estándar del Data Encryption Standard (DES) 56-bit: Cipher Block Chaining (CBC)

DES Triple de 3 Llaves (168 bits)

Algoritmo de troceo seguro (SHA)-1 y publicación de mensaje 5 (MD5)

Algoritmo de llave pública Rivest, Shamir, Adelman (RSA)

Intercambio de llaves Diffie-Hellman RC4-40

Beneficios

El VAM proporciona las siguientes ventajas:

10 túneles por segundo

El número siguiente de túneles basados en la memoria correspondiente del NPE:

– 800 túneles para el 64 MB

– 1600 túneles para el 128 MB

– 3200 túneles para el 256 MB

– 5000 túneles para el 512 MB

Encripción RSA

Funcionamiento Crypto acelerado

Internet Key Exchange (IKE) acelerado

Soporte de certificado para la autenticación automática usando los Certificados digitales

Soporte dual VAM


El soportede la nota para los VAM duales está disponible en un Cisco 7200 Series Router con un NPE-G1, en el Cisco IOS Release 12.2(15)T, 12.1(14)E, y el Mainline 12,3.


Servicios de encripción a cualquier adaptador de puerto instalado en el router. La interfaz en el adaptador de puerto se debe configurar con una correspondencia de criptografía para soportar el IPSec.

Transmisión de datos de dúplex completo del 100 Mbps excesivo con el diverso cifrado y de los esquemas de compresión para 300 paquetes del byte

Compresión LZS basado en hardware IPPCP

Compresión del tráfico de la red que reduce el uso del ancho de banda

Online Insertion and Removal (OIR, por sus siglas en inglés, Inserción y extracción en línea)

Interoperation de QoS, multiprotocol, y del Multicast de la característica

Soporte para la encaminamiento completa de la capa 3, tal como Enhanced Interior Gateway Routing Protocol (EIGRP), Open Shortest Path First (OSPF), y Border Gateway Protocol (BGP) a través del IPSec VPN

Hasta la producción del 145 Mbps usando el 3DES

Mejoras de la inicialización VPN

Resultados del funcionamiento para el solo VAM

Las dos tablas siguientes proporcionan los resultados del funcionamiento para un solo VAM en un Cisco 7206VXR con un procesador NPE-G1, los adaptadores de puerto de GE a bordo, y FE en los slots 3 y 4.

clear_packet _size
crypto_packet_size
out_packet_size

64

96

114

300

336

354

1400

1432

1450

Tamaño de paquete combinado: 344

378

396


pkt_size
(bytes)
# de los túneles
measured_pps
(pps)
meas_clear_ndr
(Mbps)
meas_crypto_ndr
(Mbps)
meas_out_ndr
(Mbps)

64

4

65.224

33,39

50,09

59,48

 

500

41.888

21,44

32,17

38,20

 

1.000

40.480

20,73

31,09

36,92

 

5.000

39.408

20,18

30,27

35,94

300

4

38.032

91,28

102,23

107,71

 

500

37.184

89,24

99,95

105,31

 

1.000

36.064

86,55

96,94

102,13

 

5.000

36.016

86,44

96,81

101,99

1400

4

9.984

111,82

114,38

115,81

 

500

9.848

110,29

112,82

114,24

 

1.000

9.648

108,06

110,53

111,92

 

5.000

9.616

107,70

110,16

111,55

Tamaño de paquete combinado

4

31.472

86,61

95,17

99,70

 

500

31.056

85,47

93,91

98,39

 

1.000

30.128

82,91

91,11

95,45

 

5.000

29.264

80,53

88,49

92,71


Resultados del funcionamiento para los VAM duales

Las dos tablas siguientes proporcionan los resultados del funcionamiento para los VAM duales en un Cisco 7206VXR con un procesador NPE-G1, los adaptadores de puerto de GE a bordo, y FE en los slots 3 y 4.

clear_packet _size
crypto_packet_size
out_packet_size

64

96

114

300

336

354

1400

1432

1450

Tamaño de paquete combinado: 344

378

396


pkt_size
(bytes)
# de los túneles
measured_pps
(pps)
meas_clear_ndr
(Mbps)
meas_crypto_ndr
(Mbps)
meas_out_ndr
(Mbps)

64

4

135.544

69,40

104,10

123,61

 

500

61.520

31,50

47,25

56,11

 

1.000

56.928

29,15

43,72

51,92

 

5.000

43.744

22,40

33,60

39,89

300

4

71.336

171,21

191,75

202,02

 

500

60.416

145,00

162,40

171,10

 

1.000

56.016

134,44

150,57

158,64

 

5.000

42.496

101,99

114,23

120,35

1400

4

18.736

209,84

214,64

217,34

 

500

18.424

206,35

211,07

213,72

 

1000

18.352

205,54

210,24

212,88

 

5.000

18.352

205,54

210,24

212,88

Tamaño de paquete combinado

4

60.416

166,26

182,70

191,40

 

500

57.888

159,31

175,05

183,40

 

1.000

55.488

152,70

167,80

175,79

 

5.000

34.272

94,32

103,64

108,57


Características y Tecnologías relacionadas

Las características y las Tecnologías siguientes se relacionan con el VAM:

Internet Key Exchange (IKE)

Seguridad IP (IPSec)

Documentos Relacionados

El documento siguiente describe el hardware VAM:

Instalación y configuración del módulo vpn acceleration

Plataformas Soportadas

La característica VAM se soporta en las Plataformas siguientes:

Cisco 7200 Series Router con el NPE-225, el NPE-400, el NSE-1, y el NPE-G1

El soporte dual VAM está disponible en un Cisco 7200 Series Router con un NPE-G1, en el Cisco IOS Release 12.2(15)T, 12.1(14)E, y el 12.3M.

Cisco 7401ASR Router

Determinar el Soporte de la plataforma con el Cisco Feature Navigator

El software de Cisco IOS se suministra en conjuntos de funciones que soportan plataformas específicas. Para conseguir información actualizada relativa al soporte de plataformas de esta función, acceda a Cisco Feature Navigator. Cisco Feature Navigator actualiza dinámicamente la lista de plataformas soportadas a medida que se añade soporte para nuevas plataformas.

Cisco Feature Navigator es una herramienta basada en red que permite determinar qué imágenes de Cisco IOS Software soportan un conjunto de funciones específico y qué funciones se soportan en una imagen específica de Cisco IOS. Puede buscar por función o por versión. En la sección de la versión, puede comparar las versiones una al lado de otra para mostrar las funciones únicas de cada versión de software y las funciones en común.

Para acceder a Cisco Feature Navigator, debe tener una cuenta en Cisco.com. Si ha olvidado o perdido la información de su cuenta, envíe un correo electrónico en blanco a cco-locksmith@cisco.com. Una comprobación automática verificará que tu dirección de correo electrónico esté registrada en Cisco.com. Si la verificación es exitosa, recibirá por email los detalles de la cuenta con una nueva contraseña aleatoria. Los usuarios cualificados pueden establecer una cuenta en Cisco.com siguiendo las indicaciones de http://www.cisco.com/cisco/web/LA/support/index.html.

Cisco Feature Navigator se actualiza regularmente cuando se publican versiones importantes de la tecnología y el software de Cisco IOS. Para acceder a la información más actualizada, vaya a la página de inicio de Cisco Feature Navigator en la URL siguiente:

http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp

Disponibilidad de las imágenes del Cisco IOS Software

El soporte de plataformas de una versión de software de Cisco IOS particular depende de la disponibilidad de las imágenes de software de dichas plataformas. Las imágenes de software para algunas plataformas se pueden diferir, demorar o cambiar sin previo aviso. Para obtener información actualizada sobre el soporte de plataformas y la disponibilidad de imágenes de software para cada versión de Cisco IOS Software, refiérase a las Release Notes en línea o, si se soporta, a Cisco Feature Navigator.

Estándares, MIB, y RFC soportados

Estándares

Esta función no soporta estándares nuevos o modificados.

MIB

El MIB siguiente fue introducido o modificado en esta característica:

CISCO-IPSEC-FLOW-MONITOR-MIB

CISCO-IPSEC-MIB

CISCO-IPSEC-POLICY-MAP-MIB

Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y conjuntos de funciones seleccionados, utilice Cisco MIB Locator, que se encuentra en la siguiente URL:

http://www.cisco.com/cisco/web/LA/support/index.html

RFC

IPPCP: RFC 2393, 2395

IPSec/IKE: RFCs 2401-2411, 2451

Prerrequisitos

Usted debe configurar el IPSec y el IKE en el router y una correspondencia de criptografía a todas las interfaces que requieran el servicio de encripción del VAM. Vea la sección de los “ejemplos de configuración” para los Procedimientos de configuración.

Tareas de Configuración

En el poder para arriba si el LED habilitado está prendido, el VAM está completamente - funcional y no requiere ningunos comandos configuration. Sin embargo, para que el VAM proporcione los servicios de encripción, usted debe completar las tareas siguientes:

Configurando una política IKE (requerida)

Configurando el IPSec (requerido)

Configurar una política IKE

Si usted no especifica un valor para un parámetro, se asigna el valor predeterminado. Para la información sobre los valores predeterminados, refiera al capítulo de la “seguridad IP y del cifrado” de la publicación de la referencia del comando security.

Para configurar una política IKE, utilice los siguientes comandos que comienzan en el modo de configuración global:

 
Comando
Propósito

Paso 1 

Router(config)# crypto isakmp policy priority

Define una política IKE y ingresa el modo de la configuración de la política del protocolo internet security association key management (ISAKMP) (config-ISAKMP).

Paso 2 

Router(config-isakmp)# encryption {des | 3des | aes | aes 192 | aes 256}

Especifica el algoritmo de encripción dentro de una política IKE.

DES — Especifica 56-bit DES como el algoritmo de encripción.

3des — Especifica el 168-bit DES como el algoritmo de encripción.

aes — Especifica el 128-bit AES como el algoritmo de encripción.

aes 192 — Especifica el 192-bit AES como el algoritmo de encripción.

aes 256 — Especifica el 256-bit AES como el algoritmo de encripción.

Paso 3 

Router(config-isakmp)# authentication {rsa-sig | rsa-encr | pre-share}

(Opcional) especifica el método de autentificación dentro de una política IKE.

rsa-sig — Especifica las firmas del Rivest, del Shamir, y del Adelman (RSA) como el método de autentificación.

rsa-encr — Especifica los nonces encriptados RSA como el método de autentificación.


Observeempezando por el Cisco IOS Release 12.3(10), RSA-encr ahora se habilita para los indicadores luminosos LED amarillo de la placa muestra gravedad menor crypto VAM.


pre-share — Especifica las claves del preshared como el método de autentificación.

Observesi este comando no se habilita, el valor predeterminado (rsa-sig) es utilizado.

Paso 4 

Router(config-isakmp)# lifetime seconds

(Opcional) especifica el curso de la vida de una asociación de seguridad IKE (SA).

segundos — Número de segundos que cada SA debe existir antes de expirar. Utilice un número entero a partir del 60 a 86.400 segundos.

Observesi este comando no se habilita, el valor predeterminado (86.400 [one day] de los segundos) es utilizado.

Paso 5 

Router(config-isakmp)# hash {sha | md5}

(Opcional) especifica el algoritmo de troceo dentro de una política IKE.

sha — Especifica SHA-1 (variante HMAC) como el algoritmo de troceo.

md5 — Especifica MD5 (variante HMAC) como el algoritmo de troceo.

Observesi este comando no se habilita, el valor predeterminado (sha) es utilizado.

Paso 6 

Router(config-isakmp)# group {1 | 2 | 5}

(Opcional) especifica el identificador del grupo del Diffie-Hellman (DH) dentro de una política IKE.

1 — Especifica al grupo del 768-bit DH.

2 — Especifica al grupo 1024-bit DH.

5 — Especifica al grupo 1536-bit DH.

Observesi este comando no se habilita, el valor predeterminado (768-bit) es utilizado.

Para información detallada sobre crear las políticas IKE, refiera “configurando el intercambio de claves de Internet para al módulo del IPSec VPN” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura.

Configuración del IPSec

Después de que usted haya completado la configuración IKE, configure el IPSec en cada peer IPSec participante. Esta sección contiene los pasos básicos para configurar el IPSec e incluye las tareas discutidas en las secciones siguientes:

Creación de Listas de Acceso Crypto

Definición de Conjuntos de Transformación

Creación de Listas de Acceso Crypto

Para crear las Listas de acceso crypto, utilice los siguientes comandos en el modo de configuración global:

 
Comando
Propósito

Paso 1 

Access-list-number de la lista de acceso de Router(config)# {niegue | destino-comodín del destino del source comodín de la fuente del protocolo del permiso} [log]

o

nombre extendido de la lista de acceso del IP

Especifica las condiciones para determinar que los paquetes IP son protected.1 (habilite o inhabilite el cifrado para el tráfico que corresponde con estas condiciones.)


Recomendamos que usted configura las Listas de acceso crypto de la “imagen espejo” para uso del IPSec y que usted evita usar la cualquier palabra clave.

Paso 2 

Router(config-if)# Add permit and deny statements as appropriate.

Agrega las declaraciones del permit or deny a las Listas de acceso.

Paso 3 

Router(config-if)# end

Da salida al modo de comando configuration.

1 usted especifica las condiciones usando una lista de IP Access señalada por un número o un nombre. El comando access-list señala una lista de acceso ampliada numerada; el comando ampliado lista de acceso del IP señala una lista de acceso denominada.

Para información detallada sobre configurar las Listas de acceso, refiera al mapa de ruta de las características de la lista de IP Access.

Definición de Conjuntos de Transformación

Para definir un conjunto de la transformación, utilice los siguientes comandos, comenzando en el modo de configuración global:

Comando
Propósito

Router# crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]

Define un conjunto de transformaciones e ingresa en el modo de configuración de transformaciones criptográficas.

Router# mode [tunnel | transport]

Cambia el modo asociado al conjunto de la transformación. La configuración del modo sólo se aplica al tráfico cuyas direcciones de origen y destino son las direcciones de peer IPSec; se ignora para el resto del tráfico. (El resto del tráfico está solamente en modo túnel.)

Router# end

Sale el crypto transforman al modo de configuración al modo habilitado.

Router- clear crypto sa

o

clear crypto sa peer {IP address | par-nombre}

o

clear crypto sa map nombre de asignación

o

clear crypto sa spi destination-address protocol spi

Borra a las asociaciones de seguridad IPSec existentes de modo que cualquier cambio a una transformación determinada tome el efecto sobre las asociaciones de seguridad posteriormente establecidas (SA). (Los SA manualmente establecidos se restablecen inmediatamente.)

Usando clear crypto sa el comando sin los parámetros vacia la base de datos completa SA, que vacia las sesiones de la seguridad activa. Usted puede ser que también especifique peer map, o entry las palabras claves para vaciar solamente un subconjunto de la base de datos SA.


Para crear las entradas de correspondencia de criptografía que utilizan el IKE para establecer a las asociaciones de seguridad, utilice los siguientes comandos, comenzando en el modo de configuración global:

Comando
Propósito

Router# crypto map map-name seq-num ipsec-isakmp

Crea la correspondencia de criptografía y ingresa al modo de configuración de la correspondencia de criptografía.

Router# match address access-list-id

Especifica una lista de acceso ampliada. Esta lista de acceso determina qué tráfico es protegido por el IPSec y cuál no es.

Router# set peer {hostname | ip-address}

Especifica a un peer IPSec remoto. Éste es el par a quien el tráfico protegido por IPSec puede ser remitido.

Repetir para varios peers remotos.

Router# set transform-set transform-set-name1 [transform-set-name2...transform-set-name6]

Especifica qué conjuntos de transformación se permiten para esta entrada de crypto map. Lista varios conjuntos de transformaciones en orden de prioridad (la prioridad más alta primero).

Router# end

Sale del modo de configuración del crypto map.


Relance estos pasos para crear las entradas de correspondencia de criptografía adicionales como sea necesario.

Para información detallada sobre configurar las correspondencias de criptografía, refiera “configurando al capítulo del IPSec Network Security” en la publicación de la guía de configuración de seguridad.

Verificar la configuración

Los pasos siguientes proporcionan la información sobre verificar sus configuraciones:


Paso 1Ingrese el comando show crypto ipsec transform-set de ver su transforman la configuración determinada:


Router# show crypto ipsec transform-set 
Transform set combined-des-md5: {esp-des esp-md5-hmac} 
   will negotiate = {Tunnel,}, 
Transform set t1: {esp-des esp-md5-hmac} 
   will negotiate = {Tunnel,}, 
Transform set t100: {ah-sha-hmac} 
   will negotiate = {Transport,}, 
Transform set t2: {ah-sha-hmac} 
   will negotiate = {Tunnel,}, 
   {esp-des} 
   will negotiate = {Tunnel,},  

Paso 2Ingrese show crypto map [interface interfaz | tag comando del nombre de asignación] de ver su configuración de la correspondencia de criptografía:

outer# show crypto map
Crypto Map: "router-alice" idb: Ethernet0 local address: 172.21.114.123
Crypto Map "router-alice" 10 ipsec-isakmp
        Peer = 172.21.114.67
        Extended IP access list 141
            access-list 141 permit ip 
                source: addr = 172.21.114.123/0.0.0.0
                dest:   addr = 172.21.114.67/0.0.0.0
        Current peer: 172.21.114.67
        Security-association lifetime: 4608000 kilobytes/120 seconds
        PFS (Y/N): N
        Transform sets={t1,} 

Paso 3Ingrese el show crypto ipsec sa [map nombre de asignación | address | identity | detail | interface] comando de ver la información sobre las asociaciones de seguridad IPSec.

Router# show crypto ipsec sa
interface: Ethernet0
    Crypto map tag: router-alice, local addr. 172.21.114.123
   local ident (addr/mask/prot/port): (172.21.114.123/255.255.255.255/0/0)
   remote ident (addr/mask/prot/port): (172.21.114.67/255.255.255.255/0/0)
    current_peer: 172.21.114.67
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 10, #pkts encrypt: 10, #pkts digest 10
    #pkts decaps: 10, #pkts decrypt: 10, #pkts verify 10
    #send errors 10, #recv errors 0
     local crypto endpt.: 172.21.114.123, remote crypto endpt.: 172.21.114.67
     path mtu 1500, media mtu 1500
     current outbound spi: 20890A6F
     inbound esp sas:
      spi: 0x257A1039(628756537)
        transform: esp-des esp-md5-hmac,
        in use settings ={Tunnel,}
        slot: 0, conn id: 26, crypto map: router-alice
        sa timing: remaining key lifetime (k/sec): (4607999/90)
        IV size: 8 bytes
        replay detection support: Y
     inbound ah sas:
     outbound esp sas:
      spi: 0x20890A6F(545852015)
        transform: esp-des esp-md5-hmac,
        in use settings ={Tunnel,}
        slot: 0, conn id: 27, crypto map: router-alice
        sa timing: remaining key lifetime (k/sec): (4607999/90)
        IV size: 8 bytes
        replay detection support: Y
     outbound ah sas:
interface: Tunnel0
   Crypto map tag: router-alice, local addr. 172.21.114.123
   local ident (addr/mask/prot/port): (172.21.114.123/255.255.255.255/0/0)
   remote ident (addr/mask/prot/port): (172.21.114.67/255.255.255.255/0/0)
   current_peer: 172.21.114.67
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 10, #pkts encrypt: 10, #pkts digest 10
    #pkts decaps: 10, #pkts decrypt: 10, #pkts verify 10
    #send errors 10, #recv errors 0
     local crypto endpt.: 172.21.114.123, remote crypto endpt.: 172.21.114.67
     path mtu 1500, media mtu 1500
     current outbound spi: 20890A6F
     inbound esp sas:
      spi: 0x257A1039(628756537)
        transform: esp-des esp-md5-hmac,
        in use settings ={Tunnel,}
        slot: 0, conn id: 26, crypto map: router-alice
        sa timing: remaining key lifetime (k/sec): (4607999/90)
        IV size: 8 bytes
        replay detection support: Y
     inbound ah sas:
     outbound esp sas:
      spi: 0x20890A6F(545852015)
        transform: esp-des esp-md5-hmac,
        in use settings ={Tunnel,}
        slot: 0, conn id: 27, crypto map: router-alice
        sa timing: remaining key lifetime (k/sec): (4607999/90)
        IV size: 8 bytes
        replay detection support: Y
     outbound ah sas: 


Consejos de Troubleshooting

Para verificar que el Cisco IOS Software haya reconocido el VAM, ingrese show diag el comando y marque la salida. Por ejemplo, cuando el router tiene el VAM en el slot1, el producto siguiente aparece:

Router# show diag 1
    Slot 1:
    	    VAM Encryption/Compression engine. Port adapter
    	    Port adapter is analyzed 
    	    Port adapter insertion time 00:04:45 ago
    	    EEPROM contents at hardware discovery:
    	    Hardware Revision        :1.0
    	    PCB Serial Number        :15485660
    	    Part Number              :73-5953-04
    	    Board Revision           :
    	    RMA Test History         :00
    	    RMA Number               :0-0-0-0
    	    RMA History              :00
    	    Deviation Number         :0-0
    	    Product Number           :CLEO                
    	    Top Assy. Part Number    :800-10496-04
    	    CLEI Code                :
    	    EEPROM format version 4
    	    EEPROM contents (hex):
    	      0x00:04 FF 40 02 8A 41 01 00 C1 8B 31 35 34 38 35 36
    	      0x10:36 30 00 00 00 82 49 17 41 04 42 FF FF 03 00 81
    	      0x20:00 00 00 00 04 00 80 00 00 00 00 CB 94 43 4C 45
    	      0x30:4F 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
    	      0x40:20 C0 46 03 20 00 29 00 04 C6 8A FF FF FF FF FF
    	      0x50:FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
    	      0x60:FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
    	      0x70:FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF

Para ver si el VAM está procesando actualmente los paquetes crypto, ingrese show pas vam interface el comando. Lo que sigue es salida de muestra:

    Router# show pas vam interface 
    Interface VAM 1/1 :
    	    ds:0x632770C8        idb:0x62813728
    	    Statistics of packets and bytes that through this interface:
    		    18 packets in                     18 packets out
    		  2268 bytes in                     2268 bytes out
    		     0 paks/sec in                     0 paks/sec out
    		     0 Kbits/sec in                    0 Kbits/sec out
    		    83 commands out                   83 commands acknowledged
    	    ppq_full_err   :0            ppq_rx_err       :0    
    	    cmdq_full_err  :0            cmdq_rx_err      :0    
    	    no_buffer      :0            fallback         :0    
    	    dst_overflow   :0            nr_overflow      :0    
    	    sess_expired   :0            pkt_fragmented   :0    
    	    out_of_mem     :0            access_denied   :0    
    	    invalid_fc     :0            invalid_param    :0    
    	    invalid_handle :0            output_overrun   :0    
    	    input_underrun :0            input_overrun    :0    
    	    key_invalid    :0            packet_invalid   :0    
    	    decrypt_failed :0            verify_failed    :0    
    	    attr_invalid   :0            attr_val_invalid :0    
    	    attr_missing   :0            obj_not_wrap     :0    
    	    bad_imp_hash   :0            cant_fragment    :0    
    	    out_of_handles :0            compr_cancelled  :0    
    	    rng_st_fail    :0            other_errors     :0    
    	    633 seconds since last clear of counters

Cuando el VAM procesa los paquetes, el “paquete en” y del “paquete los contadores hacia fuera” cambian. El contador “paquetes hacia fuera” representa el número de paquetes dirigidos al VAM. El contador “paquetes en” representa el número de paquetes recibidos del VAM.


Observeen las versiones antes del Cisco IOS Release 12.2(5)T y del Cisco IOS Release 12.1(10)E, sobre las configuraciones del desvío de la reinicialización se pierden y necesitan ser entrados de nuevo.


Monitoreo y Mantenimiento del VPN Acceleration Module

Utilice los comandos abajo de monitorear y de mantener el módulo vpn acceleration:

Comando
Propósito

Router# show pas isa interface

Visualiza la configuración de la interfaz ISA.

Router# show pas isa controller

Visualiza la configuración de controlador ISA.

Router# show pas vam interface

Verifica el VAM está procesando actualmente los paquetes crypto.

Router# show pas vam controller

Visualiza la configuración de controlador VAM.

Router# Show version

Visualiza el Integrated Service Adapter como parte de las interfaces.


Ejemplos de Configuración

Esta sección proporciona los siguientes ejemplos de configuración:

Ejemplo de Configuración de Políticas IKE

Ejemplo de Configuración de IPSec

Ejemplo de Configuración de Políticas IKE

En el siguiente ejemplo, dos políticas IKE se crean, con la directiva 15 como la prioridad más alta, la directiva 20 como la prioridad siguiente, y la prioridad predeterminada existente como la prioridad más baja. También crea una llave precompartida que se utilizará con la política 20 con el peer remoto cuya dirección IP sea 192.168.224.33.

crypto isakmp policy 15
 encryption 3des
 hash md5
 authentication rsa-sig
 group 2
 lifetime 5000
crypto isakmp policy 20
 authentication pre-share
 lifetime 10000
crypto isakmp key 1234567890 address 192.168.224.33

Ejemplo de Configuración de IPSec

El siguiente ejemplo muestra a configuración IPSec mínima donde establecerán a las asociaciones de seguridad vía el IKE:

Una lista de acceso del IPSec define qué tráfico a proteger:

access-list 101 permit ip 10.0.0.0 0.0.0.255 10.2.2.0 0.0.0.255 

Un conjunto de la transformación define cómo el tráfico será protegido. En este ejemplo, transforme la encripción de DES de las aplicaciones del conjunto el "myset1" y el SHA para la autenticación del paquete de datos:

crypto ipsec transform-set myset1 esp-des esp-sha 

Otros transforman el ejemplo determinado son los "myset2," que utiliza el cifrado y MD5 (variante del DES triple HMAC) para la autenticación del paquete de datos:

crypto ipsec transform-set myset2 esp-3des esp-md5-hmac 

Una correspondencia de criptografía se une a junta la lista de acceso del IPSec y transforma el conjunto y especifica adonde se envía el tráfico protegido (el peer IPSec remoto):

crypto map toRemoteSite 10 ipsec-isakmp
 match address 101
 set transform-set myset2
 set peer 10.2.2.5


La correspondencia de criptografía se aplica a una interfaz:

interface Serial0
 ip address 10.0.0.2
 crypto map toRemoteSite

Observeen este ejemplo, IKE debe ser habilitado.


Referencia de Comandos

Los siguientes comandos se introducen o se modifican en la función o en las funciones

show pas vam interface

show pas vam controller

crypto engine sw ipsec

Para obtener información sobre estos comandos, vea la Referencia de Comandos de Seguridad de Cisco IOS en

http://www.cisco.com/en/US/docs/ios/security/command/reference/sec_book.html.

Para ver información sobre todos los comandos de Cisco IOS, vea la herramienta de búsqueda de comandos en

http://tools.cisco.com/Support/CLILookup o la lista de comandos principal.

Glosario

VAM — Módulo vpn acceleration.

IKE — Intercambio de claves de Internet. IKE establece una política de seguridad compartida y autentica llaves para los servicios (tales como IPSec) que las requieren. Antes de que cualquier tráfico IPSec pueda ser pasado, cada router/Firewall/host deben verificar la identidad de su par. Esto puede ser hecha manualmente ingresando las claves del preshared en ambos hosts o por un servicio CA.

IPSec — Seguridad IP. Un marco de los estándares abiertos que proporciona la confidencialidad de los datos, la integridad de los datos, y la autenticación de datos entre los peeres participantes. El IPSec proporciona estos Servicios de seguridad en la capa IP. IPSec utiliza IKE para gestionar la negociación de protocolos y algoritmos basada en la política local y para generar las llaves de encripción y de autenticación que utilizará IPSec. IPsec puede proteger uno o varios flujos de datos entre un par de hosts, entre un par de gateways de seguridad, o entre un gateway de seguridad y un host.