Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR
Real-Time Resolution for IPsec Tunnel Peer
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 205 KB | Inglés (28 Marzo 2011) | Comentarios

Contenidos

Real-Time Resolution for IPsec Tunnel Peer

Encontrar la información de la característica

Contenido

Restricciones de Real-Time Resolution for IPsec Tunnel Peer

Información sobre Real-Time Resolution for IPsec Tunnel Peer

Resolución en tiempo real con el DNS seguro

Cómo Configurar la Resolución en Tiempo Real

Configuración de la Resolución en Tiempo Real para Peers IPSec

Prerrequisitos

Consejos de Troubleshooting

Pasos Siguientes

Ejemplos de Configuración de Resolución en Tiempo Real

Configuración de la Resolución en Tiempo Real para un Peer IPSec: Ejemplo:

Referencias adicionales

Documentos Relacionados

MIB

Asistencia Técnica

Información de la característica para la resolución en tiempo real para el par del túnel IPsec


Real-Time Resolution for IPsec Tunnel Peer


Primera publicación: 3 de noviembre de 2003
Última actualización: De marzo el 28 de 2011

Después de que un usuario especifique un nombre del host (en vez de una dirección IP) para el par de la Seguridad del IP remoto (IPSec), la resolución en tiempo real para la característica del par del túnel IPsec permite que el nombre del host sea el Domain Name Server (DNS) resuelto antes de que el router establezca el túnel IPsec. Así, el router puede descubrir inmediatamente si la dirección IP del par ha cambiado.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para la resolución en tiempo real para la sección del par del túnel IPsec”.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en Cisco.com no se requiere.

Contenido

Restricciones de Real-Time Resolution for IPsec Tunnel Peer

Información sobre Real-Time Resolution for IPsec Tunnel Peer

Cómo Configurar la Resolución en Tiempo Real

Ejemplos de Configuración de Resolución en Tiempo Real

Referencias adicionales

Información de la característica para la resolución en tiempo real para el par del túnel IPsec

Restricciones de Real-Time Resolution for IPsec Tunnel Peer

Asegure el requisito DNS

Se recomienda que usted utiliza esta característica solamente con el DNS seguro y cuando las respuestas de DNS pueden ser autenticadas. Si no, un atacante puede spoof o las respuestas de DNS de la fragua y tener acceso a los datos de autenticación del Internet Key Exchange (IKE), tales como un certificado. Si un atacante tiene un certificado que sea confiado en por el host de iniciación, el atacante puede establecer con éxito a la asociación de seguridad de la fase 1 IKE (SA), o el atacante puede intentar conjeturar la clave del preshared que se comparte entre el iniciador y el respondedor real.

Iniciador DNS

La resolución de los nombres DNS para los peeres IPSecs remotos trabaja solamente si se utilizan como iniciador. El primer paquete que debe ser cifrado acciona una búsqueda de DNS; después de que la búsqueda de DNS sea completa, los paquetes subsiguientes accionan el IKE.

Información sobre Real-Time Resolution for IPsec Tunnel Peer

Para configurar la resolución en tiempo real para su peer IPSec, usted debe entender el concepto siguiente:

Resolución en tiempo real con el DNS seguro

Resolución en tiempo real con el DNS seguro

Al especificar el nombre del host de un peer IPSec remoto con set peer el comando, usted puede también publicar dynamic la palabra clave, se ha establecido que difiere la resolución de DNS del nombre del host hasta que justo antes del túnel IPsec. La resolución que difiere permite al Cisco IOS Software para detectar si la dirección IP del peer IPSec remoto ha cambiado. Así, el software puede entrar en contacto al par en la nueva dirección IP.

Si dynamic la palabra clave no se publica, se resuelve el nombre del host inmediatamente después que se especifica. Así pues, el Cisco IOS Software no puede detectar un cambio y, por lo tanto, las tentativas de la dirección IP de conectar con la dirección IP que resolvió previamente.

La resolución de DNS asegura a los usuarios que su túnel de IPSec establecido es seguro y autenticado.

Cómo Configurar la Resolución en Tiempo Real

Esta sección contiene la siguiente tarea:

Configuración de la Resolución en Tiempo Real para Peers IPSec

Configuración de la Resolución en Tiempo Real para Peers IPSec

Utilice esta tarea de configurar a un router para realizar la resolución de DNS en tiempo real con un peer IPSec remoto; es decir, el nombre del host del par se resuelve con una búsqueda de DNS justo antes de que el router establece una conexión (un túnel IPsec) con el par.

Prerrequisitos

Antes de crear una correspondencia de criptografía, usted debe realizar las tareas siguientes:

Defina las directivas del protocolo internet security association key management (ISAKMP).

Defina el IPSec transforman los conjuntos.

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto map map-name seq-num ipsec-isakmp

4. match address access-list-id

5.set peer{host-name[]dynamic | ip-address}

6.set transform-settransform-set-name1[]transform-set-name2...transform-set-name6

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto map map-name seq-num ipsec-isakmp

Example:

Router(config)# crypto map secure_b 10 ipsec-isakmp

Especifica la entrada de correspondencia de criptografía para crear (o modificarse) y ingresa al modo de configuración de la correspondencia de criptografía.

Paso 4 

match address access-list-id

Example:

Router(config-crypto-m)# match address 140

Nombra una lista de acceso ampliada.

Esta lista de acceso determina qué tráfico se debe proteger por el IPSec y qué tráfico no se debe proteger por el IPSec en el contexto de esta entrada de correspondencia de criptografía.

Paso 5 

set peer {host-name [dynamic] [default] | ip-address [default] }

Example:

Router(config-crypto-m)# set peer b.cisco.com dynamic

Especifica a un peer IPSec remoto.

Éste es el par a quien el tráfico protegido por IPSec puede ser remitido.

host-name El argumento especifica al peer IPSec por su nombre de host. Éste es el nombre de host del par concatenado con su Domain Name (por ejemplo, myhost.example.com).

La palabra clave optativa dynamic permite que el nombre de host del peer IPSec sea resuelto con las operaciones de búsqueda del Domain Name Server (DNS) inmediatamente antes que el router establece el túnel IPsec.

La palabra clave optativa default señala que el primer par es el par predeterminado si hay peeres IPSecs múltiples.

ip-address El argumento especifica al peer IPSec por su dirección IP.

Relance este paso si hay peeres remotos múltiples.

Paso 6 

set transform-set transform-set-name1 [transform-set-name2...transform-set-name6]

Example:

Router(config-crypto-m)# set transform-set myset

Especifica qué conjuntos de transformación se permiten para esta entrada de crypto map. Enumera varios conjuntos de transformaciones por orden de prioridad (la mayor prioridad primero).

Consejos de Troubleshooting

Para visualizar la información de la configuración de la correspondencia de criptografía, utilice show crypto map el comando.

Pasos Siguientes

Usted necesita aplicar un conjunto de la correspondencia de criptografía a cada interfaz a través de la cual el tráfico IPSec fluya. La aplicación del conjunto de la correspondencia de criptografía a una interfaz da instrucciones al router para evaluar el tráfico de toda la interfaz contra el conjunto de la correspondencia de criptografía y para utilizar la directiva especificada durante la conexión o la negociación de la asociación de seguridad (SA) en nombre del tráfico que se protegerá por crypto.

Ejemplos de Configuración de Resolución en Tiempo Real

Esta sección proporciona el siguiente ejemplo de configuración:

Configuración de la Resolución en Tiempo Real para un Peer IPSec: Ejemplo:

Configuración de la Resolución en Tiempo Real para un Peer IPSec: Ejemplo:

El cuadro 1 y el siguiente ejemplo ilustran cómo crear una correspondencia de criptografía que configure el nombre del host de un peer IPSec remoto al DNS resuelto con una búsqueda de DNS justo antes de que el Cisco IOS Software intenta establecer una conexión con ese par.

Cuadro 1 topología de ejemplo en tiempo real de la resolución


! Configure the initiating router.
hostname a.cisco.com
ip domain name cisco.com
ip name server 10.0.0.1 
! 
crypto map secure_b 10 ipsec-isakmp
  match address 140
  set peer b.cisco.com dynamic 
  set transform-set xset
interface serial1
  ip address 30.0.0.1
  crypto map secure_b
access-list 140 permit ...
!
! Configure the responding router (the remote IPSec peer).
hostname b.cisco.com
!
crypto map secure_a 10 ipsec-isakmp
  match address 150
  set peer 30.0.0.1
  set transform-set
interface serial0/1
  ip address 40.0.0.1
  crypto map secure_a
access-list 150 ...

! DNS server configuration

b.cisco.com    40.0.0.1       # the address of serial0/1 of b.cisco.com

Referencias adicionales

Documentos Relacionados

Tema relacionado
Título del documento

Crypto maps

Seguridad para los VPN con el IPSec

Políticas isakmp

Configurar el intercambio de claves de Internet para el IPSec VPN

Comandos del IPSec y de configuración IKE

Referencia de Comandos de Seguridad de Cisco IOS


MIB

MIB
Link del MIB

Ninguno

Para localizar y descargar el MIB para las plataformas elegidas, las versiones de Cisco IOS Software, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente:

http://www.cisco.com/cisco/web/LA/support/index.html


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información de la característica para la resolución en tiempo real para el par del túnel IPsec

La Tabla 1 muestra el historial de versiones de esta función.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.


Información de la característica del cuadro 1 para la resolución en tiempo real para el par del túnel IPsec

Nombre de la función
Versiones
Información sobre la Función

Real-Time Resolution for IPsec Tunnel Peer

11,2
‘12.3(4)T’
12.2(18)SXD
12.3(14)T
12.2(33)SRA

Después de que un usuario especifique un nombre del host (en vez de una dirección IP) para el par de la Seguridad del IP remoto (IPSec), la resolución en tiempo real para la característica del par del túnel IPsec permite que el nombre del host sea el Domain Name Server (DNS) resuelto antes de que el router establezca el túnel IPsec. Así, el router puede descubrir inmediatamente si la dirección IP del par ha cambiado.

Esta característica fue introducida en el Cisco IOS Release 11.2.

En el Cisco IOS Release 12.3(4)T, dynamic la palabra clave fue agregada set peer (IPsec) al comando.

En el Cisco IOS Release 12.3(14)T, dynamic la palabra clave fue agregada set peer (IPsec) al comando.

El siguiente comando fue introducido o modificado: set peer (IPsec).