Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR
IPsec Security Association Idle Timers
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 189 KB | Inglés (24 Marzo 2011) | Comentarios

Contenidos

IPsec Security Association Idle Timers

Encontrar la información de la característica

Contenido

Prerrequisitos de los Temporizadores de Inactividad de la Asociación de Seguridad de IPSec

Información sobre los Temporizadores de Inactividad de Asociación de Seguridad de IPSec

Vida Útil de las Asociaciones de Seguridad IPSec

IPsec Security Association Idle Timers

Cómo Configurar los Temporizadores de Inactividad de Asociación de Seguridad de IPSec

Configuración Global de IPsec SA Idle Timer

Configuración de IPsec SA Idle Timer por Crypto Map

Ejemplos de Configuración de IPsec Security Association Idle Timer

Configurando el temporizador de inactividad IPSec SA global: Ejemplo:

Configurar el temporizador de inactividad IPSec SA por la correspondencia de criptografía: Ejemplo:

Referencias adicionales

Documentos Relacionados

MIB

Asistencia Técnica

Información de la característica para los temporizadores de inactividad de la asociación de seguridad IPSec


IPsec Security Association Idle Timers


Primera publicación: De marzo el 17 de 2003
Última actualización: De marzo el 24 de 2011

Cuando un router que funciona con el Cisco IOS Software crea a una asociación de seguridad IPSec (SA) para un par, los recursos se deben afectar un aparato para mantener el SA. La SA requiere memoria y varios temporizadores administrados. Para los peers inactivos, estos recursos se pierden. Si los peers inactivos consumen muchos recursos, es posible que el router no pueda crear nuevas SA con otros peers.

Con la introducción de la característica de los temporizadores de inactividad de la asociación de seguridad IPSec, ahora hay un temporizador de inactividad que se puede configurar para monitorear los SA para la actividad, permitiendo que los SA para que los pares ociosos sean borrados y los nuevos SA que se crearán como sea necesario para aumentar la Disponibilidad de los recursos. Esta característica también mejora el scalability de las implementaciones del Cisco IOS IPsec.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para la sección de los temporizadores de inactividad de la asociación de seguridad IPSec”.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en Cisco.com no se requiere.

Contenido

Prerrequisitos de los Temporizadores de Inactividad de la Asociación de Seguridad de IPSec

Información sobre los Temporizadores de Inactividad de Asociación de Seguridad de IPSec

Información sobre los Temporizadores de Inactividad de Asociación de Seguridad de IPSec

Cómo Configurar los Temporizadores de Inactividad de Asociación de Seguridad de IPSec

Ejemplos de Configuración de IPsec Security Association Idle Timer

Referencias adicionales

Información de la característica para los temporizadores de inactividad de la asociación de seguridad IPSec

Prerrequisitos de los Temporizadores de Inactividad de la Asociación de Seguridad de IPSec

Usted debe configurar el Internet Key Exchange (IKE) según lo descrito en el intercambio de claves de Internet para el IPSec VPN.

Información sobre los Temporizadores de Inactividad de Asociación de Seguridad de IPSec

Para configurar los temporizadores de inactividad característica de la asociación de seguridad IPSec, usted debe entender los conceptos siguientes:

Vida Útil de las Asociaciones de Seguridad IPSec

IPsec Security Association Idle Timers

Vida Útil de las Asociaciones de Seguridad IPSec

El Cisco IOS Software permite actualmente la configuración de los cursos de la vida para el SA de IPSec. Los cursos de la vida se pueden configurar global o por la correspondencia de criptografía. Hay dos cursos de la vida: “midió el tiempo” del curso de la vida y de un curso de la vida del “volumen de tráfico”. Una asociación de seguridad expira después de que el primer de estos cursos de la vida se alcance.

IPsec Security Association Idle Timers

Los temporizadores de inactividad IPSec SA son diferentes de los cursos de la vida globales para el SA de IPSec. La expiración del curso de la vida global es independiente de la actividad del par. El temporizador de inactividad IPSec SA permite los SA asociados a los pares inactivos que se borrarán antes de que haya expirado el curso de la vida global.

Si los temporizadores de inactividad IPSec SA no se configuran, sólo los cursos de la vida globales para el SA de IPSec son aplicados. Las SAs se mantienen hasta que caducan los temporizadores globales, independientemente de la actividad del peer.


Observesi IPSec más reciente SA a un par dado es borrado debido a la expiración del temporizador de inactividad, Internet Key Exchange (IKE) SA a ese par también es borrado.


Cómo Configurar los Temporizadores de Inactividad de Asociación de Seguridad de IPSec

Configuración Global de IPsec SA Idle Timer

Configuración de IPsec SA Idle Timer por Crypto Map

Configuración Global de IPsec SA Idle Timer

Esta tarea configura el temporizador de inactividad IPSec SA global. La configuración del temporizador de inactividad será aplicada a todos los SA.

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto ipsec security-association idle-time seconds

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto ipsec security-association idle-time seconds

Example:

Router(config)# crypto ipsec security-association idle-time 600

Configura el temporizador de inactividad IPSec SA.

seconds El argumento especifica el tiempo, en los segundos, que el temporizador de inactividad permitirá que un par inactivo mantenga un SA. Los valores válidos para seconds el argumento se extienden a partir del 60 a 86400.

Configuración de IPsec SA Idle Timer por Crypto Map

Esta tarea configura el temporizador de inactividad IPSec SA para una correspondencia de criptografía especificada. La configuración del temporizador de inactividad será aplicada a todos los SA bajo la correspondencia de criptografía especificada.


Observeesta tarea de configuración era eficaz disponible con el Cisco IOS Release 12.3(14)T.


PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto map map-name seq-numberIPSec-ISAKMP

4. set security-association idle-time seconds

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto map map-name seq-number ipsec-isakmp

Example:

Router(config)# crypto map test 1 ipsec-isakmp

Crea o modifica una entrada de crypto map e ingresa en el modo de configuración del crypto map.

Paso 4 

set security-association idle-time seconds

Example:

Router(config-crypto-map)# set security-association idle-time 600

Especifica el tiempo máximo que el peer actual puede estar inactivo antes de utilizar el peer predeterminado.

seconds El argumento es el número de segundos para los cuales el par actual pueda estar ocioso antes de que utilicen al par predeterminado. Los valores válidos son 60 a 86400.

Ejemplos de Configuración de IPsec Security Association Idle Timer

Configurando el temporizador de inactividad IPSec SA global: Ejemplo:

Configurar el temporizador de inactividad IPSec SA por la correspondencia de criptografía: Ejemplo:

Configurando el temporizador de inactividad IPSec SA global: Ejemplo:

El siguiente ejemplo global configura el temporizador de inactividad IPSec SA para caer los SA para los pares inactivos después de 600 segundos:

crypto ipsec security-association idle-time 600

Configurar el temporizador de inactividad IPSec SA por la correspondencia de criptografía: Ejemplo:

El siguiente ejemplo configura el temporizador de inactividad IPSec SA para la correspondencia de criptografía nombrada prueba para caer los SA para los pares inactivos después de 600 segundos:

crypto map test 1 ipsec-isakmp
 set security-association idle-time 600

Observela configuración antedicha no estaba disponible hasta el Cisco IOS Release 12.3(14)T.


Referencias adicionales

Documentos Relacionados

Tema relacionado
Título del documento

Información adicional sobre configurar el IKE

Intercambio de claves de Internet para el IPSec VPN

Información adicional sobre configurar los cursos de la vida globales para el SA de IPSec

Configurar directivo de seguridad para los VPN con el IPSec

IPsec Preferred Peer

Comandos de la seguridad complementaria

Referencia de Comandos de Seguridad de Cisco IOS


MIB

MIB
Link del MIB

Ninguno

Para localizar y descargar el MIB para las plataformas elegidas, las versiones de Cisco IOS Software, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente:

http://www.cisco.com/cisco/web/LA/support/index.html


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información de la característica para los temporizadores de inactividad de la asociación de seguridad IPSec

La Tabla 1 muestra el historial de versiones de esta función.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.


Información de la característica del cuadro 1 para los temporizadores de inactividad de la asociación de seguridad IPSec 

Nombre de la función
Versiones
Información sobre la Función

IPsec Security Association Idle Timers

12.2(15)T
12.3(14)T

Con la introducción de la característica de los temporizadores de inactividad de la asociación de seguridad IPSec, ahora hay un temporizador de inactividad que se puede configurar para monitorear los SA para la actividad, permitiendo que los SA para que los pares ociosos sean borrados y los nuevos SA que se crearán como sea necesario para aumentar la Disponibilidad de los recursos. Esta característica también mejora el scalability de las implementaciones del Cisco IOS IPsec.

Esta característica fue introducida en el Cisco IOS Release 12.2(15)T.

En el Cisco IOS Release 12.3(14)T, set security-association idle-time el comando fue agregado, teniendo en cuenta la configuración de un temporizador de inactividad del IPSec para una correspondencia de criptografía especificada.

Se han insertado o modificado los siguientes comandos: crypto ipsec security-association idle-timeset security-association idle-time.