Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR
IPsec VPN High Availability Enhancements
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 248 KB | Inglés (28 Marzo 2011) | Comentarios

Contenidos

IPsec VPN High Availability Enhancements

Encontrar la información de la característica

Contenido

Información sobre de las mejoras del IPSec VPN la Alta disponibilidad

Reverse Route Injection

Protocolo del router y IPSec de la espera en caliente

Cómo configurar de las mejoras del IPSec VPN la Alta disponibilidad

Configurar el Reverse Route Injection en una correspondencia cifrada dinámica

Configurar el Reverse Route Injection en una correspondencia de criptografía estática

Configurar el HSRP con el IPSec

Verificar la configuración de criptografía del IPSec VPN

Ejemplos de configuración para de las mejoras del IPSec VPN la Alta disponibilidad

Ejemplo: Reverse Route Injection en una correspondencia cifrada dinámica

Ejemplo: Reverse Route Injection en una correspondencia de criptografía estática

Ejemplo: HSRP y IPSec

Referencias adicionales

Documentos Relacionados

MIB

Asistencia Técnica

Información de la característica para de las mejoras del IPSec VPN la Alta disponibilidad


IPsec VPN High Availability Enhancements


Primera publicación: De agosto el 16 de 2001
Última actualización: De marzo el 28 de 2011

La característica de gran disponibilidad de las mejoras del IPSec VPN consiste en dos características — protocolo del router y IPSec (HSRP) del Reverse Route Injection (RRI) y de la espera en caliente. Cuando están utilizadas juntas, estas dos características trabajan juntas para proporcionar a los usuarios con un diseño de red simplificada para los VPN y la complejidad de la configuración reducida en los peeres remotos en cuanto a definir las listas del gateway.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para la sección de las mejoras de gran disponibilidad del IPSec VPN”.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Contenido

Información sobre de las mejoras del IPSec VPN la Alta disponibilidad

Cómo configurar de las mejoras del IPSec VPN la Alta disponibilidad

Ejemplos de configuración para de las mejoras del IPSec VPN la Alta disponibilidad

Referencias adicionales

Información de la característica para de las mejoras del IPSec VPN la Alta disponibilidad

Información sobre de las mejoras del IPSec VPN la Alta disponibilidad

Para configurar las mejoras de gran disponibilidad característica del IPSec VPN, usted debe entender los conceptos siguientes:

Reverse Route Injection

Protocolo del router y IPSec de la espera en caliente

Reverse Route Injection

El Reverse Route Injection (RRI) simplifica el diseño de red para el Redes privadas virtuales (VPN) en las cuales hay un requisito para la Redundancia o el Equilibrio de carga. RRI trabaja con crypto maps estáticos y dinámicos.

El RRI proporciona las siguientes ventajas:

Habilita la encaminamiento del tráfico IPSec a un dispositivo específico de la cabecera VPN en los entornos que tienen dispositivos (redundantes) múltiples de la cabecera VPN.

Asegura el tiempo fiable de la Conmutación por falla de las sesiones remotas entre los dispositivos de cabecera al usar los keepalives IKE, especialmente en los entornos en los cuales la inestabilidad de ruta del dispositivo remoto es común (no tomando en la consideración los efectos de la convergencia de Routes, que pueden variar dependiendo del Routing Protocol usado y de los tamaños de la red).

Elimina la necesidad de la administración de las Static rutas en los dispositivos ascendentes, como las rutas son aprendidas dinámicamente por estos dispositivos.

En el caso dinámico, como peeres remotos establezca a las asociaciones de seguridad IPSec (SA) con un router habilitado para RRI, una Static ruta se crea para cada subred o host protegido por ese peer remoto. Para las correspondencias de criptografía estática, una Static ruta se crea para cada destino de una regla de la lista de acceso ampliada. Cuando el RRI se utiliza en una correspondencia de criptografía estática con un Access Control List (ACL), las rutas existirán siempre, incluso sin la negociación del SA de IPSec.


El usode la nota de ninguna palabra clave en los ACL con el RRI no se soporta.


Cuando se crean las rutas, se inyectan en cualquier Dynamic Routing Protocol y se distribuyen a los dispositivos cercanos. Este flujos de tráfico, requiriendo el IPSec ser ordenado al router apropiado RRI para el transporte a través de los SA correctos para evitar las discordancías de la directiva del IPSec y la pérdida del paquete posible.

El cuadro 1 muestra una topología de las funciones de la configuración RRI. El telecontrol A está siendo mantenido por el router A y el telecontrol B conectado con el router B, proporcionando al Equilibrio de carga a través de los gatewayes de VPN en el sitio central. El RRI en los dispositivos del sitio central se asegura de que el otro router en el interior de la red pueda tomar automáticamente la decisión de reenvío correcta. El RRI también elimina la necesidad de administrar las Static rutas en el router interno.

Cuadro 1 topología que muestra las funciones de la configuración del Reverse Route Injection

Protocolo del router y IPSec de la espera en caliente

El Hot Standby Router Protocol (HSRP) proporciona la gran disponibilidad de red ruteando el tráfico IP de los hosts en las redes Ethernet sin la confianza en la Disponibilidad de cualquier único router. El HSRP es determinado útil para los hosts que no soportan un protocolo router discovery, tal como Protocolo de descubrimiento de router ICMP (IRDP) y no tiene las funciones a conmutar a un nuevo router cuando sus recargas de router seleccionadas ni pierde el poder. Sin estas funciones, un router que pierde su default gateway debido a una falla del router no puede comunicar con la red.

El HSRP es configurable en las interfaces LAN usando los comandos espera del comando line interface(cli). Es posible ahora utilizar el IP Address en Standby de una interfaz como la identidad local del IPSec o el punto final del túnel local.

Usando el IP Address en Standby como el punto final del túnel, la Conmutación por falla se puede aplicar al Routers VPN usando el HSRP. Los gatewayes de VPN remotos conectan con el VPN Router local vía la dirección de reserva que pertenece al dispositivo activo en el grupo del HSRP. En caso de Conmutación por falla, el dispositivo en espera asume el control la propiedad del IP Address en Standby y comienza a mantener los gatewayes de VPN remotos.

La Conmutación por falla se puede aplicar al Routers VPN con el uso del HSRP. Los gatewayes de VPN remotos conectan con el VPN Router local a través de la dirección de reserva que pertenece al dispositivo activo en el grupo del HSRP. Estas funciones reducen la complejidad de la configuración en los peeres remotos en cuanto a definir las listas del gateway, porque solamente el direccionamiento del HSRP en espera necesita ser definido.

El cuadro 2 muestra la topología aumentada de la funcionalidad HSRP. El tráfico es mantenido por el router activo P, el dispositivo activo en el grupo en espera. En caso de Conmutación por falla, el tráfico se desvía al router S, el dispositivo en espera original. El router S asume el papel del nuevo router activo y toma la propiedad del IP Address en Standby.

Cuadro 2 topología que muestra las funciones del protocolo del router de la espera en caliente


Observeen caso de una Conmutación por falla, HSRP no facilita la transferencia de la información del estado del IPSec entre el Routers VPN. Esto significa que sin esta transferencia del estado, los SA a los telecontroles serán borrados, requiriendo el Internet Key Exchange (IKE) y el SA de IPSec que se restablecerá. Para hacer la Conmutación por falla del IPSec más eficiente, se recomienda que los keepalives IKE estén habilitados en todo el Routers.


Cómo configurar de las mejoras del IPSec VPN la Alta disponibilidad

Esta sección contiene los siguientes procedimientos:

Configurando el Reverse Route Injection en una correspondencia cifrada dinámica (requerida)

Configurando el Reverse Route Injection en una correspondencia de criptografía estática (requerida)

Configurando el HSRP con el IPSec (requerido)

Verificando la configuración de criptografía del IPSec VPN (opcional)

Configurar el Reverse Route Injection en una correspondencia cifrada dinámica

Las entradas de la correspondencia cifrada dinámica, como las entradas regulares de la correspondencia de criptografía estática, se agrupan en los conjuntos. Un conjunto es un grupo de entradas todo de la correspondencia cifrada dinámica con el mismo nombre de mapa dinámico, pero cada uno con un diverso número de secuencia dinámico. Cada miembro del conjunto puede ser configurado para el RRI.

Para crear una entrada de la correspondencia cifrada dinámica y habilitar el RRI, realice los pasos en esta sección.

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto dynamic-map map-name seq-num

4. set transform-set

5. reverse-route

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto dynamic-map map-name seq-num

Example:

Router (config)# crypto dynamic-map mymap 2

Crea una entrada de crypto map e ingresa en el modo de configuración del crypto map.

Paso 4 

set transform-set

Example:

Router (config-crypto-m)# set transform-set

Especifica qué conjuntos de transformación se permiten para la entrada de crypto map. Lista varios conjuntos de transformaciones en orden de prioridad (la prioridad más alta primero).

Esta entrada es la única sentencia de configuración requerida en las entradas de la correspondencia cifrada dinámica.

Paso 5 

reverse-route

Example:

Router (config-crypto-m)# reverse-route

Crea la Información del proxy del origen.

Configurar el Reverse Route Injection en una correspondencia de criptografía estática

Antes de configurar el RRI en una correspondencia de criptografía estática, observe eso:

Las rutas no se crean sobre la base de la lista de acceso 102, pues la reverso-ruta no se habilita en el mymap 2. RRI no se habilita por abandono y no se visualiza en la configuración del router.

Permita a un Routing Protocol para distribuir las rutas VPN a los dispositivos ascendentes.

Si el Cisco Express Forwarding (CEF) se ejecuta en un VPN Router configurado para el RRI, las adyacencias necesitan ser formadas para cada red inyectada RRI a través del dispositivo de Next Hop. Pues el salto siguiente no se define explícitamente en la tabla de ruteo para estas rutas, el Proxy-arp se debe habilitar en el Next Hop Router, que permite que la adyacencia CEF sea formada usando los formatos de dos direcciones de la capa de ese dispositivo. En caso de que haya muchas rutas inyectadas RRI, las tablas de adyacencia pueden llegar a ser muy grandes, pues una entrada se crea para cada dispositivo de cada uno de las subredes representadas por la ruta RRI. Este problema debe ser resuelto en una futura versión.

Para agregar el RRI a un conjunto de la correspondencia de criptografía estática, realice los pasos en esta sección.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto map map-nameseq-numIPSec-ISAKMP

4. set peer ip-address

5. reverse-route

6. match address

7. set transform-set

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto map map-name seq-num ipsec-isakmp

Example:

Router (config)# crypto map mymap 3 ipsec-isakmp

Agrega un conjunto de la correspondencia cifrada dinámica a un conjunto de la correspondencia de criptografía estática y ingresa al modo de configuración de la interfaz.

Paso 4 

set peer ip-address

Example:

Router (config-if)# set peer 209.165.200.248

Especifica una dirección IP de peer IPSec en una entrada de crypto map.

Paso 5 

reverse-route

Example:

Router (config-if)# reverse-route

Crea dinámicamente las Static rutas basadas en el Listas de control de acceso (ACL) crypto.

Paso 6 

match address

Example:

Router (config-if)# match address

Especifica una lista de acceso ampliada para una entrada de crypto map.

Paso 7 

set transform-set

Example:

Router (config-if)# set transform-set

Especifica qué conjuntos de transformación se permiten para la entrada de crypto map. Lista varios conjuntos de transformaciones en orden de prioridad (la prioridad más alta primero).

Configurar el HSRP con el IPSec

Al configurar el HSRP con el IPSec, las condiciones siguientes pueden aplicarse:

Cuando el HSRP se aplica a una correspondencia de criptografía en una interfaz, la correspondencia de criptografía debe ser reaplicada si el IP Address en Standby o el nombre espera se cambia en esa interfaz.

Si el HSRP se aplica a una correspondencia de criptografía en una interfaz, y el usuario borra el IP Address en Standby o el nombre espera de esa interfaz, el punto final del túnel de criptografía está reinicializado a la dirección IP real de esa interfaz.

Si un usuario agrega el IP Address en Standby y el nombre espera a una interfaz con la Conmutación por falla del IPSec del requisito, la correspondencia de criptografía se debe reaplicar con la información de redundancia apropiada.

Las prioridades de reserva deben ser iguales en el active y los routeres en espera. Si no son, el router más prioritario asume el control como el router activo. Si el router activo viejo viene salvaguardia y asume inmediatamente rol activo antes tener tiempo para señalarse el recurso seguro y para sincronizar, las conexiones serán caídas.

Los IP Addresses en las interfaces rastreado por HSRP en el recurso seguro y los routeres activos si ambos son más bajos o más altos en un router que el otro. En el caso de las prioridades equivalentes (un requisito HA), el HSRP asignará la dirección IP basada en el estado activa. Si un esquema de direccionamiento existe de modo que el IP Address público del router A sea más bajo que el IP Address público del router B, pero el contrario es verdad para sus interfaces privadas, una condición partida activa/espera-espera/del active podría existir, que romperá la Conectividad.


Observepara configurar el HSRP sin el IPSec, refiera “configurando al módulo de los Servicios IPen la guía de configuración de los Servicios de aplicación IP del Cisco IOS


Para aplicar un conjunto de la correspondencia de criptografía a una interfaz, realice los pasos en esta sección.

PASOS SUMARIOS

1. enable

2. configure terminal

3.interface typeslot/port

4. standby name group-name

5. standby ip ip-address

6.crypto map map-name[]de la Redundanciastandby-name

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

interface type slot/port

Example:

Router (config)# interface GigabitEthernet 0/0

Especifica una interfaz e ingresa en el modo de configuración de la interfaz.

Paso 4 

standby name group-name

Example:

Router (config-if)# standby name mygroup

Especifica el nombre de grupo en espera (requerido).

Paso 5 

standby ip ip-address

Example:

Router (config-if)# standby ip 209.165.200.249

Especifica la dirección IP de los grupos en espera (requeridos para un dispositivo en el grupo).

Paso 6 

crypto map map-name redundancy [standby-name]

Example:

Router (config-if)# crypto map mymap redundancy

Especifica el direccionamiento de la redundancia IP como el punto final del túnel para el IPSec.

Verificar la configuración de criptografía del IPSec VPN

Para verificar su configuración de criptografía del IPSec VPN, realice los pasos en esta sección.

PASOS SUMARIOS

1. enable

2. show crypto ipsec transform-set

3.show crypto map[interface interface | tag map-name]

4.show crypto ipsec sa[map map-name | address | identity] []detail

5.show crypto dynamic-map[]tag map-name

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

show crypto ipsec transform-set

Example:

Router# show crypto ipsec transform-set

Visualiza su transforman la configuración determinada.

Paso 3 

show crypto map [interface interface | tag map-name]

Example:

Router# show crypto map tag mycryptomap

Muestra su configuración de crypto map.

Paso 4 

show crypto ipsec sa [map map-name | address | identity] [detail]

Example:

Router# show crypto ipsec sa address detail

Visualiza la información sobre el SA de IPSec.

Paso 5 

show crypto dynamic-map [tag map-name]

Example:

Router# show crypto dynamic-map tag mymap

Visualiza la información sobre las correspondencias cifradas dinámicas.

Ejemplos de configuración para de las mejoras del IPSec VPN la Alta disponibilidad

Esta sección proporciona los siguientes ejemplos de configuración:

Ejemplo: Reverse Route Injection en una correspondencia cifrada dinámica

Ejemplo: Reverse Route Injection en una correspondencia de criptografía estática

Ejemplo: HSRP y IPSec

Ejemplo: Reverse Route Injection en una correspondencia cifrada dinámica

En el siguiente ejemplo, usando reverse-route el comando en la definición de la plantilla de la correspondencia cifrada dinámica se asegura de que las rutas sean creadas para cualquier proxy remoto (las subredes o los hosts), protegido por los peeres IPSecs remotos de conexión.

crypto dynamic mydynmap 1
    set transform-set esp-3des-sha
    reverse-route

Esta plantilla entonces se asocia a una sentencia de correspondencia de criptografía del “padre” y después se aplica a una interfaz.

crypto map mymap 3 ipsec-isakmp dynamic mydynmap

interface FastEthernet 0/0
crypto map mymap

Ejemplo: Reverse Route Injection en una correspondencia de criptografía estática

El RRI es una buena solución para las topologías que requieren el tráfico encriptado ser desviadas a un VPN Router y al resto del tráfico a un diverso router. En estos escenarios, el RRI elimina la necesidad de definir manualmente las Static rutas en los dispositivos.

El RRI no se requiere si se utiliza un solo VPN Router, y todo el tráfico pasa con el VPN Router durante su red de la trayectoria adentro a y de los.

Si el usuario elige definir manualmente las Static rutas en el VPN Router para los proxys remotos, y hace estas rutas instalar permanentemente en la tabla de ruteo, el RRI no se debe habilitar en el caso de la correspondencia de criptografía que cubre los mismos proxys remotos. En este caso, no hay posibilidad de las Static rutas definidas por el usario que son quitadas por el RRI.

Rutear la convergencia puede afectar al éxito de una Conmutación por falla basada en el Routing Protocol usado para hacer publicidad de las rutas (estado del link contra la actualización periódica). Se recomienda que un Routing Protocol del estado del link tal como OSPF sea utilizado para ayudar al tiempo de convergencia de la velocidad asegurándose de que las actualizaciones de ruteo están enviadas tan pronto como un cambio en el estado de ruteo se detecte.

En el siguiente ejemplo, el RRI se habilita para el mymap 1, pero no para el mymap 2. sobre la aplicación de la correspondencia de criptografía a la interfaz, una ruta se crea sobre la base del access-list 101 análogo al siguiente:

IP route 172.17.11.0 255.255.255.0 FastEthernet 0/0

crypto map mymap 1 ipsec-isakmp
   set peer 172.17.11.1
   reverse-route
   set transform-set esp-3des-sha
   match address 101
crypto map mymap 2 ipsec-isakmp
   set peer 10.1.1.1
   set transform-set esp-3des-sha
   match address 102

access-list 101 permit ip 192.168.1.0 0.0.0.255 172.17.11.0 0.0.0.255 
access-list 102 permit ip 192.168.1.0 0.0.0.255 10.0.0.0 0.0.255.255

interface FastEthernet 0/0
    crypto map mymap

Ejemplo: HSRP y IPSec

Las demostraciones del siguiente ejemplo cómo todos los gatewayes de VPN remotos conectan con el router vía 192.168.0.3. La correspondencia de criptografía en la interfaz ata a esta dirección de reserva mientras que el punto final del túnel local para todos los casos del mymap y al mismo tiempo se asegura de que facilitan a la falla de HSRP entre un active y un dispositivo en espera que pertenecen al mismo grupo en espera, group1.

Observe que el RRI también proporciona la capacidad para solamente el dispositivo activo en el grupo del HSRP de hacer publicidad sí mismo a los dispositivos internos como el gateway de VPN del salto siguiente a los proxys remotos. Si hay una Conmutación por falla, las rutas se borran en antes el dispositivo activo y se crean en nuevamente el dispositivo activo.

crypto map mymap 1 ipsec-isakmp
    set peer 10.1.1.1
    reverse-route
    set transform-set esp-3des-sha
    match address 102

Interface FastEthernet 0/0
   ip address 192.168.0.2 255.255.255.0
   standby name group1
   standby ip 192.168.0.3
   crypto map mymap redundancy group1

access-list 102 permit ip 192.168.1.0 0.0.0.255 10.0.0.0 0.0.255.255

El nombre espera necesita ser configurado en todos los dispositivos en el grupo en espera, y la dirección de reserva necesita configurado en por lo menos un miembro del grupo. Si el nombre espera se quita del router, el SA de IPSec será borrado. Si el nombre espera se agrega otra vez, sin importar si el mismo nombre o un nombre diferente está utilizado, la correspondencia de criptografía (usando la opción de redundancia) tendrá que ser reaplicada a la interfaz.

Referencias adicionales

Documentos Relacionados

Tema relacionado
Título del documento

Comandos de Cisco IOS

El Cisco IOS domina los comandos list, todos las versiones

Configurar el HSRP sin el IPSec

Configurando módulo de los Servicios IPen la guía de configuración de los Servicios de aplicación IP del Cisco IOS

Configurando a la falla de estado para la seguridad IP (IPSec)

Falla de estado para módulo del IPSec” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura

Quitando y instalando un módulo vpn acceleration 2 (SA-VAM2) del adaptador de servicio

Guía de instalación y configuración VAM2

Procedimientos iniciales de las instalaciones del hardware y de configuración básica para el Routers Cisco VPN de la serie 7100

Guía de instalación y configuración del VPN Router de las Cisco 7100 Series

Substituyendo, instalando, configurando, o manteniendo el hardware del Cisco 7200VXR Series Router

Guía de instalación y configuración del Cisco 7200VXR

Procedimientos iniciales de las instalaciones del hardware y de configuración básica para el Cisco 7401ASR Router

Guía de instalación y configuración del Cisco 7401ASR


MIB

MIB
Link del MIB

Ninguno

Para localizar y descargar el MIB para las plataformas elegidas, las versiones de software de Cisco, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente:

http://www.cisco.com/cisco/web/LA/support/index.html


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información de la característica para de las mejoras del IPSec VPN la Alta disponibilidad

La tabla 1 muestra las funciones de este módulo y proporciona links a información de configuración específica.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.


Información de la característica del cuadro 1 para de las mejoras del IPSec VPN la Alta disponibilidad 

Nombre de la función
Versiones
Información sobre la Función

IPsec VPN High Availability Enhancements

12.1(9)E
12.2(8)T
‘12.2(11)T’
12.2(9)YE
12.2(14)S
Cisco IOS XE 3.1.0SG

La característica de gran disponibilidad de las mejoras del IPSec VPN consiste en dos características — protocolo del router y IPSec (HSRP) del Reverse Route Injection (RRI) y de la espera en caliente. Cuando están utilizadas juntas, estas dos características trabajan juntas para proporcionar a los usuarios con un diseño de red simplificada para los VPN y la complejidad de la configuración reducida en los peeres remotos en cuanto a definir las listas del gateway.

En 12.2(11)T, esta característica fue introducida en las Plataformas del Cisco AS5300 y del Cisco AS5800.

Las secciones siguientes proporcionan información acerca de esta función:

Reverse Route Injection

Protocolo del router y IPSec de la espera en caliente

Configurar el Reverse Route Injection en una correspondencia cifrada dinámica

Configurar el Reverse Route Injection en una correspondencia de criptografía estática

Configurar el HSRP con el IPSec

Verificar la configuración de criptografía del IPSec VPN

Se han insertado o modificado los siguientes comandos: crypto map (IPSec de la interfaz) reverse-route.