Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR
Recuperación no Válida del Security Parameter Index
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 227 KB | Inglés (24 Marzo 2011) | Comentarios

Contenidos

Recuperación no Válida del Security Parameter Index

Encontrar la información de la característica

Contenido

Requisitos previos para la recuperación inválida del Security Parameter Index

Restricciones para la recuperación inválida del Security Parameter Index

Información sobre la recuperación inválida del Security Parameter Index

Cómo la función de recuperación inválida del Security Parameter Index trabaja

Cómo configurar la recuperación inválida del Security Parameter Index

Configurar la recuperación inválida del Security Parameter Index

Verificar la configuración inválida de la recuperación del Security Parameter Index

Ejemplos de configuración para la recuperación inválida del Security Parameter Index

Recuperación inválida del Security Parameter Index: Ejemplo:

Referencias adicionales

Documentos Relacionados

MIB

Asistencia Técnica

Información de la característica para la recuperación inválida del Security Parameter Index


Recuperación no Válida del Security Parameter Index


Primera publicación: De julio el 25 de 2003
Última actualización: 5 de mayo de 2011

Cuando un error inválido del Security Parameter Index (mostrado como “SPID inválido”) ocurre en el paquete de la seguridad IP (IPSec) que procesa, la función de recuperación inválida del Security Parameter Index permite una asociación de seguridad del Internet Key Exchange (IKE) (SA) ser establecida. El módulo “IKE” envía la notificación del error del “SPID inválido” al peer IPSec el originar de modo que asociación de seguridad que las bases de datos (SADBs) pueden ser resincronizadas y el proceso acertado del paquete puede ser reanudado.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para la sección de la recuperación inválida del Security Parameter Index”.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en Cisco.com no se requiere.

Contenido

Requisitos previos para la recuperación inválida del Security Parameter Index

Restricciones para la recuperación inválida del Security Parameter Index

Información sobre la recuperación inválida del Security Parameter Index

Cómo configurar la recuperación inválida del Security Parameter Index

Ejemplos de configuración para la recuperación inválida del Security Parameter Index

Referencias adicionales

Información de la característica para la recuperación inválida del Security Parameter Index

Requisitos previos para la recuperación inválida del Security Parameter Index

Antes de configurar la función de recuperación inválida del Security Parameter Index, usted debe haber habilitado el Internet Key Exchange (IKE) y el IPSec en su router.

Restricciones para la recuperación inválida del Security Parameter Index

Si IKE SA se está iniciando para notificar a un peer IPSec de un error del “SPID inválido”, hay el riesgo que un ataque de Negación de servicio (DoS) puede ocurrir. La función de recuperación inválida del Security Parameter Index tiene un mecanismo incorporado para minimizar tal riesgo, pero porque hay un riesgo, la función de recuperación inválida del Security Parameter Index no se habilita por abandono. Usted debe habilitar el comando usando el comando line interface(cli).

Información sobre la recuperación inválida del Security Parameter Index

Para utilizar la función de recuperación inválida del Security Parameter Index, usted debe entender el concepto siguiente.

Cómo la función de recuperación inválida del Security Parameter Index trabaja

Cómo la función de recuperación inválida del Security Parameter Index trabaja

Un IPSec “agujero negro” ocurre cuando “muere” un peer IPSec (por ejemplo, un par puede “morir” si ocurre una reinicialización o si un peer IPSec consigue de alguna manera la restauración). Porque reajustan uno de los pares (el par de recepción) totalmente, pierde su IKE SA con el otro par. Generalmente, cuando un peer IPSec recibe un paquete para el cual no pueda encontrar un SA, intenta enviar un IKE “SPID INVÁLIDO NOTIFICA” el mensaje al terminal original de datos. Esta notificación se envía usando IKE SA. Si no hay IKE SA disponible, el par de recepción cae el paquete.


ObserveA que la sola asociación de seguridad (SA) tiene solamente dos pares. Sin embargo, un SADB puede tener SA múltiples, por el que cada SA tenga una asociación con un diverso par.


Cuando se encuentra un Security Parameter Index inválido (SPI), la característica inválida del Security Parameter Index preve configurar IKE SA con el terminal original de los datos, y se envía el IKE “SPID INVÁLIDO NOTIFICA” el mensaje. El par que originó los datos “ve” el “SPID INVÁLIDO NOTIFICAR” el mensaje y borra IPSec SA que tiene el SPID inválido. Si hay tráfico adicional del par el originar, no habrá ningún SA de IPSec, y los nuevos SA serán configurados. El tráfico fluirá otra vez. El comportamiento predeterminado (es decir, sin configurar la función de recuperación inválida del Security Parameter Index) es que el paquete de datos que causó el error del SPID inválido está caído. El par el originar guarda en el envío de los datos usando IPSec SA que tienen el SPID inválido, y el par de recepción guarda el caer del tráfico (así creando al “agujero negro”).

El módulo del IPSec utiliza el módulo IKE para enviar un IKE “SPID INVÁLIDO NOTIFICA” el mensaje al otro par. Una vez que la recuperación del SPID inválido existe, no debe haber caída significativa de los paquetes aunque la configuración pueda sí mismo IPSec SA dar lugar a la caída de algunos paquetes.

Para configurar a su router para la función de recuperación inválida del Security Parameter Index, utilice crypto isakmp invalid-spi-recovery el comando. IKE SA no será iniciado a menos que usted haya configurado este comando.

Cómo configurar la recuperación inválida del Security Parameter Index

Esta sección contiene el siguiente procedimiento.

Configurar la recuperación inválida del Security Parameter Index

Configurar la recuperación inválida del Security Parameter Index

Para configurar la función de recuperación inválida del Security Parameter Index, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto isakmp invalid-spi-recovery

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto isakmp invalid-spi-recovery
Example:
Router (config)# crypto isakmp 
invalid-spi-recovery

Inicia el proceso del módulo IKE por el que el módulo IKE notifique al par de recepción que ha ocurrido un error del “SPID inválido”.

Verificar la configuración inválida de la recuperación del Security Parameter Index

Para determinar el estatus IPSec SA para el tráfico entre dos pares, usted puede utilizar show crypto ipsec sa el comando. Si IPSec SA está disponible en un par y no en el otro, hay una situación del “agujero negro”, en este caso usted ve los errores del SPID inválido que son registrados para el par de recepción. Si usted da vuelta a la consola que abre una sesión o marca el servidor de Syslog, usted verá que estos errores también se están registrando.

El cuadro 1 muestra la topología de una configuración típica de la configuración del preshared. El host 1 es el par de iniciación (iniciador), y el host 2 es el par de recepción (respondedor).

Cuadro 1 topología de la configuración del preshared

PASOS SUMARIOS

Para verificar la configuración del preshared, realice los pasos siguientes.

1.Inicie el IKE y el SA de IPSec entre el host 1 y el host 2.

2.Borre el IKE y el SA de IPSec en el router B.

3.Envíe el tráfico del host 1 para recibir 2 y para asegurarse de que el IKE y el SA de IPSec están establecidos correctamente.

4. Marque para saber si hay un mensaje del SPID inválido en el router B.

PASOS DETALLADOS


Paso 1Inicie el IKE y el SA de IPSec entre el host 1 y el host 2.

Router A

Router# show crypto isakmp sa

  f_vrf/i_vrf   dst            src             state       conn-id slot 
       / 10.2.2.2              10.1.1.1        QM_IDLE               1       0 

Router B

Router# show crypto isakmp sa

  f_vrf/i_vrf   dst            src             state       conn-id slot 
       /        10.1.1.1       10.2.2.2        QM_IDLE               1       0 

Router A

Router# show crypto ipsec sa interface fastethernet0/0

interface: FastEthernet0/0 
    Crypto map tag: testtag1, local addr. 10.1.1.1

   protected vrf: 
   local  ident (addr/mask/prot/port): (10.0.0.1/255.255.255.255/0/0) 
   remote ident (addr/mask/prot/port): (10.0.2.2/255.255.255.255/0/0) 
   current_peer: 10.2.2.2:500 
     PERMIT, flags={origin_is_acl,} 
    #pkts encaps: 10, #pkts encrypt: 10, #pkts digest: 10 
    #pkts decaps: 10, #pkts decrypt: 10, #pkts verify: 10 
    #pkts compressed: 0, #pkts decompressed: 0 
    #pkts not compressed: 0, #pkts compr. failed: 0 
    #pkts not decompressed: 0, #pkts decompress failed: 0 
    #send errors 0, #recv errors 0 

     local crypto endpt.: 10.1.1.1, remote crypto endpt.: 10.2.2.2 
     path mtu 1500, media mtu 1500 
     current outbound spi: 7AA69CB7 

     inbound esp sas: 
      spi: 0x249C5062(614223970) 
        transform: esp-des esp-sha-hmac , 
        in use settings ={Tunnel, } 
        slot: 0, conn id: 5123, flow_id: 1, crypto map: testtag1 
        crypto engine type: Hardware 
        sa timing: remaining key lifetime (k/sec): (4537831/3595) 
        IV size: 8 bytes 
        replay detection support: Y 

     inbound ah sas: 
      spi: 0xB16D1587(2976716167) 
        transform: ah-sha-hmac , 
        in use settings ={Tunnel, } 
        slot: 0, conn id: 5121, flow_id: 1, crypto map: testtag1 
        crypto engine type: Hardware 
        sa timing: remaining key lifetime (k/sec): (4537831/3595) 
        replay detection support: Y 

     inbound pcp sas: 

     outbound esp sas: 
      spi: 0x7AA69CB7(2057739447) 
        transform: esp-des esp-sha-hmac , 
        in use settings ={Tunnel, } 
        slot: 0, conn id: 5124, flow_id: 2, crypto map: testtag1 
        crypto engine type: Hardware 
        sa timing: remaining key lifetime (k/sec): (4537835/3595) 
        IV size: 8 bytes 
        replay detection support: Y 

     outbound ah sas: 
      spi: 0x1214F0D(18960141) 
        transform: ah-sha-hmac , 
        in use settings ={Tunnel, } 
        slot: 0, conn id: 5122, flow_id: 2, crypto map: testtag1 
        crypto engine type: Hardware 
        sa timing: remaining key lifetime (k/sec): (4537835/3594) 
        replay detection support: Y 

     outbound pcp sas:

Router B

Router# show crypto ipsec sa interface ethernet1/0

interface: Ethernet1/0 
    Crypto map tag: testtag1, local addr. 10.2.2.2 

   protected vrf: 
   local  ident (addr/mask/prot/port): (10.0.2.2/255.255.255.255/0/0) 
   remote ident (addr/mask/prot/port): (10.0.0.1/255.255.255.255/0/0) 
   current_peer: 10.1.1.1:500 
     PERMIT, flags={origin_is_acl,} 
    #pkts encaps: 10, #pkts encrypt: 10, #pkts digest: 10 
    #pkts decaps: 10, #pkts decrypt: 10, #pkts verify: 10 
    #pkts compressed: 0, #pkts decompressed: 0 
    #pkts not compressed: 0, #pkts compr. failed: 0 
    #pkts not decompressed: 0, #pkts decompress failed: 0 

    #send errors 0, #recv errors 0 

     local crypto endpt.: 10.2.2.2, remote crypto endpt.: 10.1.1.1 
     path mtu 1500, media mtu 1500 
     current outbound spi: 249C5062 

     inbound esp sas: 
      spi: 0x7AA69CB7(2057739447) 
        transform: esp-des esp-sha-hmac , 
        in use settings ={Tunnel, } 
        slot: 0, conn id: 5123, flow_id: 1, crypto map: testtag1 
        crypto engine type: Hardware 
        sa timing: remaining key lifetime (k/sec): (4421281/3593) 
        IV size: 8 bytes 
        replay detection support: Y 

     inbound ah sas: 
      spi: 0x1214F0D(18960141) 
        transform: ah-sha-hmac , 
        in use settings ={Tunnel, } 
        slot: 0, conn id: 5121, flow_id: 1, crypto map: testtag1 
        crypto engine type: Hardware 
        sa timing: remaining key lifetime (k/sec): (4421281/3593) 
        replay detection support: Y 

     inbound pcp sas: 

     outbound esp sas: 
      spi: 0x249C5062(614223970) 
        transform: esp-des esp-sha-hmac , 
        in use settings ={Tunnel, } 
        slot: 0, conn id: 5124, flow_id: 2, crypto map: testtag1 
        crypto engine type: Hardware 
        sa timing: remaining key lifetime (k/sec): (4421285/3593) 
        IV size: 8 bytes 
        replay detection support: Y 

     outbound ah sas: 
      spi: 0xB16D1587(2976716167) 
        transform: ah-sha-hmac , 
        in use settings ={Tunnel, } 
        slot: 0, conn id: 5122, flow_id: 2, crypto map: testtag1 
        crypto engine type: Hardware 
        sa timing: remaining key lifetime (k/sec): (4421285/3592) 
        replay detection support: Y 

     outbound pcp sas:


Paso 2Borre el IKE y el SA de IPSec en el router B.

Router# clear crypto isakmp

Router# clear crypto sa

Router# show crypto isakmp sa

  f_vrf/i_vrf   dst            src             state       conn-id slot 
       /        10.2.2.2.       10.1.1.1      MM_NO_STATE           1       0 (deleted)

Router# show crypto ipsec sa

interface: Ethernet1/0 
    Crypto map tag: testtag1, local addr. 10.2.2.2 


   protected vrf: 
   local  ident (addr/mask/prot/port): (10.0.2.2/255.255.255.255/0/0) 
   remote ident (addr/mask/prot/port): (10.0.0.1/255.255.255.255/0/0) 
   current_peer: 10.1.1.1:500 
     PERMIT, flags={origin_is_acl,} 
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 
    #pkts compressed: 0, #pkts decompressed: 0 
    #pkts not compressed: 0, #pkts compr. failed: 0 
    #pkts not decompressed: 0, #pkts decompress failed: 0 
    #send errors 0, #recv errors 0 

     local crypto endpt.: 10.2.2.2, remote crypto endpt.: 10.1.1.1 
     path mtu 1500, media mtu 1500 
     current outbound spi: 0 

     inbound esp sas: 

     inbound ah sas: 

     inbound pcp sas: 

     outbound esp sas: 

     outbound ah sas: 

     outbound pcp sas: 

Paso 3Envíe el tráfico del host 1 para recibir 2 y para asegurarse de que el nuevos IKE y SA de IPSec están establecidos correctamente.

ping 
Protocol [ip]: ip 
Target IP address: 10.0.2.2 
Repeat count [5]: 30 
Datagram size [100]: 100 
Timeout in seconds [2]: 
Extended commands [n]: no 
Sweep range of sizes [n]: n 
Type escape sequence to abort. 
Sending 30, 100-byte ICMP Echos to 10.0.2.2, timeout is 2 seconds: 
..!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
Success rate is 93 percent (28/30), round-trip min/avg/max = 1/3/8 ms 

RouterB# show crypto isakmp sa

  f_vrf/i_vrf   dst            src             state       conn-id slot 
       /        10.1.1.1       10.2.2.2     QM_IDLE               3       0 
       /        10.1.1.1       10.2.2.2      MM_NO_STATE           1       0 (deleted) 

RouterB# show crypto ipsec sa 

interface: Ethernet1/0 
    Crypto map tag: testtag1, local addr. 10.2.2.2 

   protected vrf: 
   local  ident (addr/mask/prot/port): (10.0.2.2/255.255.255.255/0/0) 
   remote ident (addr/mask/prot/port): (10.0.0.1/255.255.255.255/0/0) 
   current_peer: 10.1.1.1:500 
     PERMIT, flags={origin_is_acl,} 
    #pkts encaps: 28, #pkts encrypt: 28, #pkts digest: 28 
    #pkts decaps: 28, #pkts decrypt: 28, #pkts verify: 28 
    #pkts compressed: 0, #pkts decompressed: 0 
    #pkts not compressed: 0, #pkts compr. failed: 0 

    #pkts not decompressed: 0, #pkts decompress failed: 0 
    #send errors 0, #recv errors 0 

     local crypto endpt.: 10.2.2.2, remote crypto endpt.: 10.1.1.1 
     path mtu 1500, media mtu 1500 
     current outbound spi: D763771F 

     inbound esp sas: 
      spi: 0xE7AB4256(3886760534) 
        transform: esp-des esp-sha-hmac , 
        in use settings ={Tunnel, } 
        slot: 0, conn id: 5127, flow_id: 3, crypto map: testtag1 
        crypto engine type: Hardware 
        sa timing: remaining key lifetime (k/sec): (4502463/3596) 
        IV size: 8 bytes 
        replay detection support: Y 

     inbound ah sas: 
      spi: 0xF9205CED(4179647725) 
        transform: ah-sha-hmac , 
        in use settings ={Tunnel, } 
        slot: 0, conn id: 5125, flow_id: 3, crypto map: testtag1 
        crypto engine type: Hardware 
        sa timing: remaining key lifetime (k/sec): (4502463/3596) 
        replay detection support: Y 

     inbound pcp sas: 

     outbound esp sas: 
      spi: 0xD763771F(3613619999) 
        transform: esp-des esp-sha-hmac , 
        in use settings ={Tunnel, } 
        slot: 0, conn id: 5128, flow_id: 4, crypto map: testtag1 
        crypto engine type: Hardware 
        sa timing: remaining key lifetime (k/sec): (4502468/3596) 
        IV size: 8 bytes 
        replay detection support: Y 

     outbound ah sas: 
      spi: 0xEB95406F(3952427119) 
        transform: ah-sha-hmac , 
        in use settings ={Tunnel, } 
        slot: 0, conn id: 5126, flow_id: 4, crypto map: testtag1 
        crypto engine type: Hardware 
        sa timing: remaining key lifetime (k/sec): (4502468/3595) 
        replay detection support: Y 

     outbound pcp sas: 

RouterA# show crypto isakmp sa

  f_vrf/i_vrf   dst            src             state       conn-id slot 
       /        10.2.2.2       10.1.1.1      MM_NO_STATE           1       0 (deleted) 
       /        10.2.2.2       10.1.1.1      QM_IDLE               2       0 


Paso 4Marque para saber si hay un mensaje del SPID inválido en el router B.

Router# show logging


Syslog logging: enabled (10 messages dropped, 13 messages rate-limited, 0 flushes, 0 
overruns, xml disabled) 
    Console logging: disabled 
    Monitor logging: level debugging, 0 messages logged, xml disabled 
    Buffer logging: level debugging, 43 messages logged, xml disabled 
    Logging Exception size (8192 bytes) 
    Count and timestamp logging messages: disabled 
    Trap logging: level informational, 72 message lines logged 

Log Buffer (8000 bytes): 

*Mar 24 20:55:45.739: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid 
spi for 
        destaddr=10.2.2.2, prot=51, spi=0x1214F0D(18960141), srcaddr=10.1.1.1 
*Mar 24 20:55:47.743: IPSEC(validate_proposal_request): proposal part #1, 
  (key eng. msg.) INBOUND local= 10.2.2.2, remote= 10.1.1.1, 
    local_proxy= 10.0.2.2/255.255.255.255/0/0 (type=1), 
    remote_proxy= 10.0.0.1/255.255.255.255/0/0 (type=1), 
    protocol= AH, transform= ah-sha-hmac , 
    lifedur= 0s and 0kb, 
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x2 
*Mar 24 20:55:47.743: IPSEC(validate_proposal_request): proposal part #2, 
  (key eng. msg.) INBOUND local= 10.2.2.2, remote= 10.1.1.1, 
    local_proxy= 10.0.2.2/255.255.255.255/0/0 (type=1), 
    remote_proxy= 10.0.0.1/255.255.255.255/0/0 (type=1), 
    protocol= ESP, transform= esp-des esp-sha-hmac , 
    lifedur= 0s and 0kb, 
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x2 
*Mar 24 20:55:47.743: IPSEC(kei_proxy): head = testtag1, map->ivrf = , kei->ivrf = 
*Mar 24 20:55:47.743: IPSEC(key_engine): got a queue event with 2 kei messages 
*Mar 24 20:55:47.743: IPSEC(spi_response): getting spi 4179647725 for SA 
        from 10.2.2.2        to 10.1.1.1     for prot 2 
*Mar 24 20:55:47.747: IPSEC(spi_response): getting spi 3886760534 for SA 
        from 10.2.2.2     to 10.1.1.1        for prot 3 
*Mar 24 20:55:48.071: IPSec: Flow_switching Allocated flow for flow_id 939524099 
*Mar 24 20:55:48.071: IPSec: Flow_switching Allocated flow for flow_id 939524100 
*Mar 24 20:55:48.135: IPSEC(key_engine): got a queue event with 4 kei messages 
*Mar 24 20:55:48.135: IPSEC(initialize_sas): , 
  (key eng. msg.) INBOUND local= 10.2.2.2, remote= 10.1.1.1, 
    local_proxy= 10.0.2.2/0.0.0.0/0/0 (type=1), 
    remote_proxy= 10.0.0.1/0.0.0.0/0/0 (type=1), 
    protocol= AH, transform= ah-sha-hmac , 
    lifedur= 3600s and 4608000kb, 
    spi= 0xF9205CED(4179647725), conn_id= 939529221, keysize= 0, flags= 0x2 
*Mar 24 20:55:48.135: IPSEC(initialize_sas): , 
  (key eng. msg.) OUTBOUND local= 10.2.2.2, remote= 10.1.1.1, 
    local_proxy= 10.0.2.2/0.0.0.0/0/0 (type=1), 
    remote_proxy= 10.0.0.1/0.0.0.0/0/0 (type=1), 
    protocol= AH, transform= ah-sha-hmac , 
    lifedur= 3600s and 4608000kb, 
    spi= 0xEB95406F(3952427119), conn_id= 939529222, keysize= 0, flags= 0xA 
*Mar 24 20:55:48.135: IPSEC(initialize_sas): , 
  (key eng. msg.) INBOUND local= 10.2.2.2, remote= 10.1.1.1, 
    local_proxy= 10.0.2.2/0.0.0.0/0/0 (type=1), 
    remote_proxy= 10.0.0.1/0.0.0.0/0/0 (type=1), 
    protocol= ESP, transform= esp-des esp-sha-hmac , 
    lifedur= 3600s and 4608000kb, 
    spi= 0xE7AB4256(3886760534), conn_id= 939529223, keysize= 0, flags= 0x2 
*Mar 24 20:55:48.135: IPSEC(initialize_sas): , 
  (key eng. msg.) OUTBOUND local= 10.2.2.2, remote= 10.1.1.1, 
    local_proxy= 10.0.2.2/0.0.0.0/0/0 (type=1), 
    remote_proxy= 10.0.0.1/0.0.0.0/0/0 (type=1), 
    protocol= ESP, transform= esp-des esp-sha-hmac , 

    lifedur= 3600s and 4608000kb, 
    spi= 0xD763771F(3613619999), conn_id= 939529224, keysize= 0, flags= 0xA 
*Mar 24 20:55:48.139: IPSEC(kei_proxy): head = testtag1, map->ivrf = , kei->ivrf = 
*Mar 24 20:55:48.139: IPSEC(mtree_add_ident): src 10.2.2.2, dest 10.1.1.1, dest_port 0 

*Mar 24 20:55:48.139: IPSEC(create_sa): sa created, 
  (sa) sa_dest= 10.1.1.1, sa_prot= 51, 
    sa_spi= 0xF9205CED(4179647725), 
    sa_trans= ah-sha-hmac , sa_conn_id= 939529221 
*Mar 24 20:55:48.139: IPSEC(create_sa): sa created, 
  (sa) sa_dest= 10.2.2.2, sa_prot= 51, 
    sa_spi= 0xEB95406F(3952427119), 
    sa_trans= ah-sha-hmac , sa_conn_id= 939529222 
*Mar 24 20:55:48.139: IPSEC(create_sa): sa created, 
  (sa) sa_dest= 10.1.1.1, sa_prot= 50, 
    sa_spi= 0xE7AB4256(3886760534), 
    sa_trans= esp-des esp-sha-hmac , sa_conn_id= 939529223 
*Mar 24 20:55:48.139: IPSEC(create_sa): sa created, 
  (sa) sa_dest= 10.2.2.2, sa_prot= 50, 
    sa_spi= 0xD763771F(3613619999), 
    sa_trans= esp-des esp-sha-hmac , sa_conn_id= 939529224 
ipseca-72a#

Ejemplos de configuración para la recuperación inválida del Security Parameter Index

Esta sección proporciona el ejemplo de configuración siguiente.

Recuperación inválida del Security Parameter Index: Ejemplo:

Recuperación inválida del Security Parameter Index: Ejemplo:

El siguiente ejemplo muestra que la recuperación inválida del Security Parameter Index se ha configurado en el router A y el router que B. Figure 1 muestra la topología usada para este ejemplo.

Router A

Router# show running-config

Building configuration... 

Current configuration : 2048 bytes 
! 
version 12.3 
no service pad 
service timestamps debug datetime msec localtime 
service timestamps log datetime msec localtime 
no service password-encryption 
service tcp-small-servers 
! 
hostname ipseca-71a 
! 
logging queue-limit 100 
no logging console 
enable secret 5 $1$4GZB$L2YOmnenOCNAu0jgFxebT/ 
enable password lab 
! 
clock timezone PST -8 

clock summer-time PDT recurring 
ip subnet-zero 
! 
! 
no ip domain lookup 
! 
ip cef 
ip audit notify log 
ip audit po max-events 100 
mpls ldp logging neighbor-changes 
no ftp-server write-enable 
! 
! 
no voice hpi capture buffer 
no voice hpi capture destination 
! 
! 
crypto isakmp policy 1 
 authentication pre-share 
 lifetime 180 
crypto isakmp key 0 1234 address 10.2.2.2
crypto isakmp invalid-spi-recovery 
! 
! 
crypto ipsec transform-set auth2 ah-sha-hmac esp-des esp-sha-hmac 
! 
crypto map testtag1 10 ipsec-isakmp 
 set peer 10.2.2.2 
 set transform-set auth2 
 match address 150 
! 
! 
controller ISA 5/1 
! 
! 
interface FastEthernet0/0 
 ip address 10.1.1.1 255.0.0.0 
 no ip route-cache cef 
 duplex full 
 speed 100 
 crypto map testtag1 
! 
interface FastEthernet0/1 
 ip address 10.0.0.1 255.0.0.0 
 no ip route-cache cef 
 duplex auto 
 speed auto 
! 
interface Serial1/0 
 no ip address 
 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 serial restart_delay 0 
 clockrate 128000 
! 
interface Serial1/1 
 no ip address 
 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 serial restart_delay 0 
 clockrate 128000 
! 

interface Serial1/2 
 no ip address 
 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 serial restart_delay 0 
! 
interface Serial1/3 
 no ip address 
 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 no keepalive 
 serial restart_delay 0 
 clockrate 128000 
! 
ip classless 
ip route 10.3.3.3 255.0.0.0 10.2.0.1 
no ip http server 
no ip http secure-server 
! 
! 
access-list 150 permit ip host 10.0.0.1 host 10.0.2.2 
dialer-list 1 protocol ip permit 
dialer-list 1 protocol ipx permit 
! 
! 
call rsvp-sync 
! 
! 
mgcp profile default 
! 
! 
line con 0 
 exec-timeout 0 0 
line aux 0 
line vty 0 4 
 password lab 
 login 
! 
! 
end 

ipseca-71a#

Router B

Router# show running-config

Building configuration... 

Current configuration : 2849 bytes 
! 
version 12.3 
no service pad 
service timestamps debug datetime msec localtime 
service timestamps log datetime msec localtime 
no service password-encryption 
service udp-small-servers 
service tcp-small-servers 
! 
hostname ipseca-72a 
! 

logging queue-limit 100 
no logging console 
enable secret 5 $1$kKqL$5Th5Qhw1ubDkkK90KWFxi1 
enable password lab 
! 
clock timezone PST -8 
clock summer-time PDT recurring 
ip subnet-zero 
! 
! 
no ip domain lookup 
! 
ip cef 
ip audit notify log 
ip audit po max-events 100 
mpls ldp logging neighbor-changes 
no ftp-server write-enable 
! 
! 
no voice hpi capture buffer 
no voice hpi capture destination 
! 
! 
mta receive maximum-recipients 0 
! 
! 
crypto isakmp policy 1 
 authentication pre-share 
 lifetime 180 
crypto isakmp key 0 1234 address 10.1.1.1 
crypto isakmp invalid-spi-recovery 
! 
! 
crypto ipsec transform-set auth2 ah-sha-hmac esp-des esp-sha-hmac 
! 
crypto map testtag1 10 ipsec-isakmp 
 set peer 10.1.1.1 
 set transform-set auth2 
 match address 150 
! 
! 
controller ISA 5/1 
! 
! 
interface FastEthernet0/0 
 no ip address 
 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 duplex half 
! 
interface Ethernet1/0 
 ip address 10.2.2.2 255.0.0.0 
 no ip route-cache cef 
 duplex half 
 crypto map testtag1 
! 
interface Ethernet1/1 
 ip address 10.0.2.2 255.0.0.0 
 no ip route-cache cef 
 duplex half 
! 
interface Ethernet1/2 
 no ip address 

 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 duplex half 
! 
interface Ethernet1/3 
 no ip address 
 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 duplex half 
! 
interface Ethernet1/4 
 no ip address 
 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 duplex half 
! 
interface Ethernet1/5 
 no ip address 
 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 duplex half 
! 
interface Ethernet1/6 
 no ip address 
 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 duplex half 
! 
interface Ethernet1/7 
 no ip address 
 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 duplex half 
! 
interface Serial3/0 
 no ip address 
 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 serial restart_delay 0 
! 
interface Serial3/1 
 no ip address 
 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 serial restart_delay 0 
 clockrate 128000 
! 
interface Serial3/2 
 no ip address 
 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 serial restart_delay 0 
! 
interface Serial3/3 
 no ip address 

 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 no keepalive 
 serial restart_delay 0 
 clockrate 128000 
! 
ip classless 
ip route 10.0.0.0 255.0.0.0 10.2.0.1 
no ip http server 
no ip http secure-server 
!
!
access-list 150 permit ip host 10.0.2.2 host 10.0.0.1 
dialer-list 1 protocol ip permit 
dialer-list 1 protocol ipx permit 
!
!
call rsvp-sync 
!
!
mgcp profile default 
! 
dial-peer cor custom 
!
!
gatekeeper 
 shutdown 
!
!
line con 0 
 exec-timeout 0 0 
 stopbits 1 
line aux 0 
 stopbits 1 
line vty 0 4 
 password lab 
 login 
!
!
end

Referencias adicionales

Documentos Relacionados

Tema relacionado
Título del documento

Configurar el IKE

Configurar el intercambio de claves de Internet para el IPSec VPN

Comandos interface

El Cisco IOS domina el comando list


MIB

MIB
Link del MIB

Ninguno.

Para localizar y descargar el MIB para las plataformas elegidas, las versiones de Cisco IOS Software, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente:

http://www.cisco.com/cisco/web/LA/support/index.html


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información de la característica para la recuperación inválida del Security Parameter Index

La Tabla 1 muestra el historial de versiones de esta función.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.


Información de la característica del cuadro 1 para la recuperación inválida del Security Parameter Index 

Nombre de la función
Versiones
Información sobre la Función

Recuperación no Válida del Security Parameter Index

12,3(2)T
12.2(18)SXE

Cuando un error inválido del Security Parameter Index (mostrado como “SPID inválido”) ocurre en el paquete de la seguridad IP (IPSec) que procesa, la función de recuperación inválida del Security Parameter Index permite una asociación de seguridad del Internet Key Exchange (IKE) (SA) ser establecida. El módulo “IKE” envía la notificación del error del “SPID inválido” al peer IPSec el originar de modo que asociación de seguridad que las bases de datos (SADBs) pueden ser resincronizadas y el proceso acertado del paquete puede ser reanudado.

Esta característica fue introducida en el Cisco IOS Release 12.3(2)T.

Esta función se integró en Cisco IOS Release 12.2(18)SXE.

El siguiente comando fue introducido o modificado: crypto isakmp invalid-spi-recovery