Guía de Configuración de Soluciones de Calidad de Servicio de Cisco IOS, versión 12.2SR
RSVP Message Authentication
21 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 347 KB | Inglés (5 Marzo 2008) | Comentarios

Contenidos

RSVP Message Authentication

Contenido

Requisitos previos para la autenticación de mensaje RSVP

Restricciones para la autenticación de mensaje RSVP

Información sobre la autenticación de mensaje RSVP

Diseño de la característica de la autenticación de mensaje RSVP

Herencia de la autenticación global y del parámetro

Claves del Por-vecino

Llaveros

Ventajas de la autenticación de mensaje RSVP

Cómo configurar la autenticación de mensaje RSVP

Habilitar RSVP en una interfaz

Configurar un tipo de autenticación de RSVP

Configurar una clave de autenticación de RSVP

Habilitar la encripción de claves de RSVP

Habilitar el desafío de autenticación de RSVP

Configurar el curso de la vida de la autenticación de RSVP

Configurar los tamaños de RSVP ventana Authentication (Autenticación)

Autenticación de RSVP que activa

Verificar la autenticación de mensaje RSVP

Configurar un llavero

Atar un llavero a un vecino de RSVP

Consejos de Troubleshooting

Ejemplos de configuración para la autenticación de mensaje RSVP

Ejemplo: Por interface de la autenticación de mensaje RSVP

Ejemplo: Por-vecino de la autenticación de mensaje RSVP

Referencias adicionales

Documentos Relacionados

Estándares

MIB

RFC

Asistencia Técnica

Referencia de Comandos

Glosario


RSVP Message Authentication


Primera publicación: De marzo el 17 de 2003
Última actualización: 6 de agosto de 2007

La característica de la autenticación del mensaje del Resource Reservation Protocol (RSVP) proporciona un método seguro para controlar el acceso del Calidad de Servicio (QoS) a una red.

Historial para la característica de autenticación del mensaje RSVP

Versión
Modificación

12.2(15)T

Esta función fue introducida.

12.0(26)S

Las restricciones fueron agregadas para las interfaces que utilizan el nodo o el Link Protection del Fast ReRoute (FRR) y para el hellos de RSVP para el FRR para las interfaces del Packet Over SONET (POS).

12.0(29)S

El soporte fue agregado para las claves del por-vecino.

12.2(33)SRA

Esta función se integró en Cisco IOS Release 12.2(33)SRA.

12.2(33)SXH

Esta función se integró en Cisco IOS Release 12.2(33)SXH.


Búsqueda de Información de Soporte de Plataformas e Imágenes de Software de Cisco IOS y Catalyst OS

Utilice Cisco Feature Navigator para buscar información sobre el soporte de plataformas y el soporte de imágenes del software Cisco IOS y Catalyst OS. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Contenido

Requisitos previos para la autenticación de mensaje RSVP

Restricciones para la autenticación de mensaje RSVP

Información sobre la autenticación de mensaje RSVP

Cómo configurar la autenticación de mensaje RSVP

Ejemplos de configuración para la autenticación de mensaje RSVP

Referencias adicionales

Referencia de Comandos

Requisitos previos para la autenticación de mensaje RSVP

Asegúrese de que RSVP esté configurado en una o más interfaces en por lo menos dos routeres de la vencidad que compartan un link dentro de la red.

Restricciones para la autenticación de mensaje RSVP

La característica de autenticación del mensaje RSVP está solamente para autenticar a los vecinos de RSVP.

La característica de autenticación del mensaje RSVP no puede discriminar entre las diversas aplicaciones de QoS o los usuarios, cuyo muchas pueden existir en un vecino autenticado de RSVP.

Diferente envíe y valide los cursos de la vida para la misma clave en un llavero específico no se soportan; todos los tipos de la clave de RSVP son bidireccionales.

La autenticación para los mensajes Hello Messages del graceful restart se soporta para el por-vecino y las claves de la lista de control del por-acceso (ACL), pero no para las claves del por interface.

Usted no puede utilizar ip rsvp authentication key y ip rsvp authentication key-chain los comandos en el mismo router interconectan.

Para una configuración del Multiprotocol Label Switching/de la ingeniería de tráfico (MPLS/TE), utilice las claves del por-vecino con las direcciones físicas y el router ID.

Información sobre la autenticación de mensaje RSVP

Para configurar la autenticación de mensaje RSVP, usted necesita entender los conceptos siguientes:

Diseño de la característica de la autenticación de mensaje RSVP

Herencia de la autenticación global y del parámetro

Claves del Por-vecino

Llaveros

Ventajas de la autenticación de mensaje RSVP

Diseño de la característica de la autenticación de mensaje RSVP

Los administradores de la red necesitan la capacidad de establecer un dominio de seguridad para controlar el conjunto de los sistemas que RSVP iniciado pide.

La característica de autenticación del mensaje RSVP permite los vecinos en una red de RSVP utilicen un hash seguro para firmar todos los mensajes de señalización de RSVP digital, así permitiendo que el receptor de un mensaje RSVP verifique el remitente del mensaje sin la confianza solamente en la dirección IP del remitente como es hecho publicando ip rsvp neighbor el comando con un ACL.

La firma se logra sobre una base del por-RSVP-salto con un objeto de la integridad de RSVP en el mensaje RSVP según lo definido en el RFC 2747. Este método proporciona la protección contra la modificación de la falsificación o del mensaje. Sin embargo, el receptor debe conocer la clave de seguridad usada por el remitente para validar la firma digital en el mensaje RSVP recibido.

Los administradores de la red configuran manualmente una clave común para cada interfaz vecina de RSVP en la red compartida. Una configuración de muestra se muestra en el cuadro 1.

Cuadro 1 configuración de autenticación del mensaje RSVP

Herencia de la autenticación global y del parámetro

Usted puede configurar los valores por defecto globales para todos los parámetros de autenticación incluyendo la clave, el tipo, los tamaños de la ventana, el curso de la vida, y el desafío. Se heredan estos valores por defecto cuando usted habilita la autenticación para cada vecino o interfaz. Sin embargo, usted puede también configurar estos parámetros individualmente sobre una base del por-vecino o del por interface en este caso se ignoran los valores por defecto globales heredados.

Usando la autenticación global y el parámetro la herencia puede simplificar la configuración porque usted puede habilitar o inhabilitar la autenticación sin tener que cambiar cada atributo del por-vecino o del por interface. Usted puede activar la autenticación para todos los vecinos usando dos comandos, uno de definir una clave predeterminada global y uno para habilitar la autenticación global. Sin embargo, usando la misma clave para todos los vecinos no proporciona la mejor seguridad de la red.


ObserveRSVP utiliza las reglas siguientes al elegir qué parámetro de autenticación a utilizar cuando ese parámetro se configura en los niveles múltiples (por interface, por-vecino, o global). RSVP va del más específico al lo más menos posible específico; es decir, por-vecino, por interface, y entonces global. Las reglas son levemente diferentes al buscar la configuración para que la clave correcta autentique un mensaje RSVP — por-vecino, por-ACL, por interface, y entonces global.


Claves del Por-vecino

En el cuadro 2, habilitar la autenticación entre los routeres del Proveedor de servicios de Internet (ISP) A y B, A y el C, y A y D, los ISP deben compartir una clave común. Sin embargo, la distribución de una clave común también habilita la autenticación entre los routeres del ISP B y C, C y D, y B y D. Usted no puede querer la autenticación entre todos los ISP porque puede ser que sean diversas compañías con el cuadro único 2. de los dominios de seguridad.

Cuadro 2 autenticación de mensaje RSVP en una configuración de Ethernet

En el router del ISP A, usted crea una diversa clave para los routeres del ISP B, el C, y D y los asigna a sus IP Addresses respectivos usando los comandos rsvp. En el otro Routers, cree una clave para comunicar con la dirección IP del router del ISP a.

Llaveros

Para cada vecino de RSVP, usted puede configurar una lista de claves con los ID específicos que son únicos y tener diversos cursos de la vida para poder cambiar las claves en los intervalos predeterminados automáticamente sin ninguna interrupción del servicio. La rotación dominante automática aumenta la seguridad de la red minimizando los problemas que podrían resultar si una fuente untrusted obtenida, deducida, o conjeturada la clave actual.


Observesi usted utilizan las ventanas de fecha y hora que solapan para sus vidas útiles de la clave, RSVP pide el componente del administrador de la clave del Cisco IOS Software la clave viva siguiente que comienza en el tiempo T. El administrador dominante recorre las claves en el encadenamiento hasta que encuentre primer con la hora de inicio S y el tiempo E del final tales que el <= E. del <= T S. Por lo tanto, la clave con el valor más pequeño (Y) no se puede utilizar después.


Ventajas de la autenticación de mensaje RSVP

Seguridad mejorada

La característica de autenticación del mensaje RSVP reduce grandemente la ocasión de un ataque de simulación RSVP-basado y proporciona un método seguro para controlar el acceso de QoS a una red.

Entornos múltiples

La característica de autenticación del mensaje RSVP se puede utilizar en la ingeniería de tráfico (TE) y los entornos NON-TE así como con el Subnetwork Bandwidth Manager (SBM).

Plataformas múltiples y interfaces

La característica de autenticación del mensaje RSVP se puede utilizar en cualquier plataforma o interfaz soportada de RSVP.

Cómo configurar la autenticación de mensaje RSVP

Los parámetros de la configuración siguientes dan instrucciones RSVP en cómo generar y verificar los objetos de la integridad en los diversos mensajes RSVP.


La notaallí es dos Procedimientos de configuración: lleno y mínimo. Hay también dos tipos de procedimientos de autenticación: interfaz y vecino.


Autenticación del por interface — Configuración total

Realice los siguientes procedimientos para una configuración total para la autenticación del por interface:

Habilitando RSVP en una interfaz (requerida)

Configurando un tipo de autenticación de RSVP (opcional)

Configurando una clave de autenticación de RSVP (requerida)

Habilitando la encripción de claves de RSVP (opcional)

Habilitando el desafío de autenticación de RSVP (opcional)

Configurando el curso de la vida de la autenticación de RSVP (opcional)

Configurando los tamaños de RSVP ventana Authentication (Autenticación) (opcionales)

Autenticación de RSVP que activa (requerida)

Verificando la autenticación de mensaje RSVP (opcional)

Autenticación del por interface — Configuración mínima

Realice las tareas siguientes para una configuración mínima para la autenticación del por interface:

Habilitando RSVP en una interfaz (requerida)

Configurando una clave de autenticación de RSVP (requerida)

Autenticación de RSVP que activa (requerida)

Autenticación del Por-vecino — Configuración total

Realice los siguientes procedimientos para una configuración total para la autenticación del por-vecino:

Configurando un tipo de autenticación de RSVP (opcional)

Habilitando el desafío de autenticación de RSVP (opcional)

Habilitando la encripción de claves de RSVP (opcional)

Configurando el curso de la vida de la autenticación de RSVP (opcional)

Configurando los tamaños de RSVP ventana Authentication (Autenticación) (opcionales)

Autenticación de RSVP que activa (requerida)

Verificando la autenticación de mensaje RSVP (opcional)

Configurando un llavero (requerido)

Atando un llavero a un vecino de RSVP (requerido)

Autenticación del Por-vecino — Configuración mínima

Realice las tareas siguientes para una configuración mínima para la autenticación del por-vecino:

Autenticación de RSVP que activa (requerida)

Configurando un llavero (requerido)

Atando un llavero a un vecino de RSVP (requerido)

Habilitar RSVP en una interfaz

Realice esta tarea de habilitar RSVP en una interfaz.

PASOS SUMARIOS

1. enable

2. configure terminal

3. interface type number

4.ip rsvp bandwidth [interface-kbps [single-flow-kbps]]

5. end

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

interface type number

Example:

Router(config)# interface Ethernet0/0

Ingresa en el modo de configuración de la interfaz.

type number El argumento identifica la interfaz que se configurará.

Paso 4 

ip rsvp bandwidth [interface-kbps [single-flow-kbps]]

Example:

Router(config-if)# ip rsvp bandwidth 7500 7500

Permisos RSVP en una interfaz.

El opcionales interface-kbps y single-flow-kbps los argumentos especifican la cantidad de ancho de banda que se puede afectar un aparato por los flujos de RSVP o a un flujo único, respectivamente. Los valores son a partir la 1 a 10.000.000.

Observela repetición este comando para cada interfaz que usted quiera habilitar.

Paso 5 

end

Example:

Router(config-if)# end

Vuelve al modo EXEC privilegiado.

Configurar un tipo de autenticación de RSVP

Realice esta tarea de configurar un tipo de autenticación de RSVP.

PASOS SUMARIOS

1. enable

2. configure terminal

3. interface type number

4.ip rsvp authentication type {md5 | sha-1}

5. end

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

interface type number

Example:

Router(config)# interface Ethernet0/0

Ingresa en el modo de configuración de la interfaz.

type number El argumento identifica la interfaz que se configurará.

La notaomite este paso si usted está configurando un tipo de autenticación para un vecino o está fijando un valor por defecto global.

Paso 4 

ip rsvp authentication type {md5 | sha-1}

Example:

Para la autenticación de canal:

Router(config-if)# ip rsvp authentication type sha-1


Para la autenticación de vecino:

Router(config)# ip rsvp authentication neighbor address 10.1.1.1 type sha-1

o

Router(config)# ip rsvp authentication neighbor access-list 1 type sha-1


Para un valor por defecto global:

Router(config)# ip rsvp authentication type sha-1

Especifica el algoritmo usado para generar las firmas criptográficas en los mensajes RSVP en una interfaz o global.

Los algoritmos son md5, el valor por defecto, y sha-1, que es más nuevo y más seguro que md5.

La notaomite neighbor address address u neighbor access-list acl-name o acl-number fijar el valor por defecto global.

Paso 5 

end

Example:

Router(config-if)# end

Vuelve al modo EXEC privilegiado.

PASOS DETALLADOS

Configurar una clave de autenticación de RSVP

Realice esta tarea de configurar una clave de autenticación de RSVP.

PASOS SUMARIOS

1. enable

2. configure terminal

3. interface type number

4. ip rsvp authentication key passphrase

5. exit

6. ip rsvp authentication key-chain chain

7. end

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Observesi usted quieren configurar una clave, proceda al paso 3; si usted quiere configurar un llavero, proceda a
Paso 6.

Paso 3 

interface type number

Example:

Router(config)# interface Ethernet0/0

Ingresa en el modo de configuración de la interfaz.

type number El argumento identifica la interfaz que se configurará.

La notaomite este paso y va al paso 6 si usted quiere configurar solamente un llavero.

Paso 4 

ip rsvp authentication key passphrase

Example:

Router(config-if)# ip rsvp authentication key 11223344


Especifica la cadena de los datos (clave) para el algoritmo de autenticación.

La clave consiste en 8 a 40 caracteres. Puede incluir los espacios y las palabras múltiples. Puede también ser cifrada o aparecer en el texto claro cuando está visualizada.

La notaomite este paso si usted quiere configurar un llavero.

Paso 5 

exit

Example:

Router(config-if)# exit

Sale al modo de configuración global.

Paso 6 

ip rsvp authentication key-chain chain
Example:

Para la autenticación de vecino:

Router(config)# ip rsvp authentication neighbor address 10.1.1.1 key-chain xzy

o

Router(config)# ip rsvp authentication neighbor access-list 1 key-chain xzy


Para un valor por defecto global:

Router(config)# ip rsvp authentication key-chain xzy

Especifica la cadena de los datos (llavero) para el algoritmo de autenticación.

El llavero debe tener por lo menos una clave, pero puede tener hasta 2,147,483647 claves.

Notausted no puede utilizar ip rsvp authentication key y ip rsvp authentication key-chain los comandos en el mismo router interconectan. Los comandos se reemplazan; sin embargo, no se genera ningún mensaje de error.

La notaomite neighbor address address u neighbor access-list acl-name o acl-number fijar el valor por defecto global.

Paso 7 

end

Example:

Router(config)# end

Vuelve al modo EXEC privilegiado.

Habilitar la encripción de claves de RSVP

Realice esta tarea de habilitar la encripción de claves de RSVP cuando la clave se salva en la configuración del router. (Esto evita que cualquier persona vea la clave del texto claro en el archivo de configuración.)

PASOS SUMARIOS

1. enable

2. configure terminal

3. key config-key 1 string

4. end

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

key config-key 1 string

Example:

Router(config)# key config-key 1 11223344

Habilita la encripción de claves en el archivo de configuración.

Observe string el argumento puede contener hasta ocho caracteres alfanuméricos.

Paso 4 

end

Example:

Router(config)# end

Vuelve al modo EXEC privilegiado.

Habilitar el desafío de autenticación de RSVP

Realice esta tarea de habilitar el desafío de autenticación de RSVP.

PASOS SUMARIOS

1. enable

2. configure terminal

3. interface type number

4. ip rsvp authentication challenge

5. end

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

interface type number

Example:

Router(config)# interface Ethernet0/0

Ingresa en el modo de configuración de la interfaz.

type number El argumento identifica la interfaz que se configurará.

La notaomite este paso si usted está configurando un desafío de autenticación para un vecino o está fijando un valor por defecto global.

Paso 4 

ip rsvp authentication challenge

Example:

Para la autenticación de canal:

Router(config-if)# ip rsvp authentication challenge


Para la autenticación de vecino:

Router(config)# ip rsvp authentication neighbor address 10.1.1.1 challenge

o

Router(config)# ip rsvp authentication neighbor access-list 1 challenge


Para un valor por defecto global:

Router(config)# ip rsvp authentication challenge

Hace que RSVP realiza un apretón de manos de la respuesta de seguridad en una interfaz o global cuando RSVP aprende sobre cualquier nuevo vecino desafío-capaz en una red.

La notaomite neighbor address address u neighbor access-list acl-name o acl-number fijar el valor por defecto global.

Paso 5 

end

Example:

Router(config-if)# end

Vuelve al modo EXEC privilegiado.

Configurar el curso de la vida de la autenticación de RSVP

Realice esta tarea de configurar los cursos de la vida de las asociaciones de seguridad entre los vecinos de RSVP.

PASOS SUMARIOS

1. enable

2. configure terminal

3. interface type number

4.ip rsvp authentication lifetime hh:mm:ss

5. end

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

interface type number

Example:

Router(config)# interface Ethernet0/0

La notaomite este paso si usted está configurando un curso de la vida de la autenticación para un vecino o está fijando un valor por defecto global.

Ingresa en el modo de configuración de la interfaz.

type number El argumento identifica la interfaz que se configurará.

Paso 4 

ip rsvp authentication lifetime hh:mm:ss

Example:

Para la autenticación de canal:

Router(config-if)# ip rsvp authentication lifetime 00:05:00


Para la autenticación de vecino:

Router(config)# ip rsvp authentication neighbor address 10.1.1.1 lifetime 00:05:00

o

Router(config)# ip rsvp authentication neighbor access-list 1 lifetime 00:05:00


Para un valor por defecto global:

Router(config)# ip rsvp authentication 00:05:00

Controles cuánto tiempo RSVP mantiene a las asociaciones de seguridad con los vecinos de RSVP en una interfaz o global.

La asociación de seguridad predeterminada para el hh: milímetro: los ss son 30 minutos; el rango es 1 segundo a 24 horas.

La notaomite neighbor address address u neighbor access-list acl-name o acl-number fijar el valor por defecto global.

Paso 5 

end

Example:

Router(config-if)# end

Vuelve al modo EXEC privilegiado.

Configurar los tamaños de RSVP ventana Authentication (Autenticación)

Realice esta tarea de configurar los tamaños de RSVP ventana Authentication (Autenticación).

PASOS SUMARIOS

1. enable

2. configure terminal

3. interface type number

4. ip rsvp authentication window-size n

5. end

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

interface type number

Example:

Router(config)# interface Ethernet0/0

Ingresa en el modo de configuración de la interfaz.

type number El argumento identifica la interfaz que se configurará.

La notaomite este paso si usted está configurando los tamaños de la ventana para un vecino o está fijando un valor por defecto global.

Paso 4 

ip rsvp authentication window-size n

Example:

Para la autenticación de canal:

Router(config-if)# ip rsvp authentication window-size 2


Para la autenticación de vecino:

Router(config)# ip rsvp authentication neighbor address 10.1.1.1 window-size 2

o

Router(config)# ip rsvp authentication neighbor access-list 1 window-size


Para un valor por defecto global:

Router(config)# ip rsvp authentication window-size 2

Especifica el número máximo de mensajes autenticados que puedan estar en una interfaz o global fuera de servicio recibido.

El valor predeterminado es un mensaje; el rango es 1 a 64 mensajes.

La notaomite neighbor address address u neighbor access-list acl-name o acl-number fijar el valor por defecto global.

Paso 5 

end

Example:

Router(config-if)# end

Vuelve al modo EXEC privilegiado.

Autenticación de RSVP que activa

Realice esta tarea de activar la autenticación de RSVP.

PASOS SUMARIOS

1. enable

2. configure terminal

3. interface type number

4. ip rsvp authentication

5. end

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

interface type number

Example:

Router(config)# interface Ethernet0/0

Ingresa en el modo de configuración de la interfaz.

type number El argumento identifica la interfaz que se configurará.

La notaomite este paso si usted está configurando la autenticación para un vecino o está fijando un valor por defecto global.

Paso 4 

ip rsvp authentication

Example:

Para la autenticación de canal:

Router(config-if)# ip rsvp authentication

Para la autenticación de vecino:

Router(config)# ip rsvp authentication neighbor address 10.1.1.1

o

Router(config)# ip rsvp authentication neighbor access-list 1


Para un valor por defecto global:

Router(config)# ip rsvp authentication

Activa la autenticación criptográfica de RSVP en una interfaz o global.

La notaomite neighbor address address u neighbor access-list acl-name o acl-number fijar el valor por defecto global.

Paso 5 

end

Example:

Router(config-if)# end

Vuelve al modo EXEC privilegiado.

Verificar la autenticación de mensaje RSVP

Realice esta tarea de verificar que está funcionando la característica de autenticación del mensaje RSVP.

PASOS SUMARIOS

1. enable

2.show ip rsvp interface [detail] [interface-type interface-number]

3.show ip rsvp authentication []detail[from {ip-address | hostname}] [to {ip-address | hostname}]

4.show ip rsvp counters [authentication | interface interface-unit | neighbor | summary]

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

show ip rsvp interface [detail] [interface-type interface-number]

Example:

Router# show ip rsvp interface detail

Visualiza la información sobre las interfaces en las cuales se habilita RSVP, incluyendo el ancho de banda disponible actual del presupuesto y del máximo de la asignación.

La palabra clave optativa detail visualiza el ancho de banda, la señalización, y los parámetros de autenticación.

Paso 3 

show ip rsvp authentication [detail] [from {ip-address | hostname}] [to {ip-address | hostname}]

Example:

Router# show ip rsvp authentication detail

Visualiza a las asociaciones de seguridad que RSVP ha establecido con otros vecinos de RSVP.

La palabra clave optativa detail visualiza la información del estado que incluye los IP Addresses, las interfaces habilitadas, y configuró los parámetros de la autenticación criptográfica sobre las asociaciones de seguridad que RSVP ha establecido con los vecinos.

Paso 4 

show ip rsvp counters [authentication | interface interface-unit | neighbor | summary]

Example:
Router# show ip rsvp counters summary

Router# show ip rsvp counters 
authentication

Visualiza todos los contadores de RSVP.

Observelos incrementos del contador de errores siempre que ocurra un error de autenticación, pero puede también incrementar para los errores no relacionados con la autenticación.

La palabra clave optativa authentication muestra una lista de contadores de la autenticación de RSVP.

La combinación interface interface-unit del argumento de la palabra clave optativa muestra el número de mensajes RSVP enviados y recibidos por la interfaz específica.

La palabra clave optativa neighbor muestra el número de mensajes RSVP enviados y recibidos por el vecino específico.

La palabra clave optativa summary muestra la cantidad acumulativa de mensajes RSVP enviados y recibidos por el router. No imprime los contadores del por interface.

Configurar un llavero

Realice esta tarea de configurar un llavero para la autenticación de vecino.

PASOS SUMARIOS

1. enable

2. configure terminal

3.key chain nombre-de-encadenamiento

4.{key []key-ID | key-string []text | accept-lifetime [start-time {infinite | end-time | duration seconds}] | send-lifetime [start-time {infinite | end-time | duration seconds}]}

5. end

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

key chain name-of-chain

Example:

Router(config)# key chain neighbor_V

Ingresa el modo del clave-encadenamiento.

Paso 4 

{key [key-ID] | key-string [text] | accept-lifetime [start-time {infinite | end-time | duration seconds}] | send-lifetime [start-time {infinite | end-time | duration seconds}]

Example:

Router(config-keychain)# key 1


Router(config-keychain)# key-string ABcXyz

Selecciona los parámetros para el llavero. (Éstos son submodes.)

Observepara los detalles en estos parámetros, vea la referencia del comando ip del Cisco IOS, el volumen 2 de 4, los Routing Protocol, la versión 12.3T.

Se ignoraaccept-lifetime la nota cuando un llavero se asigna a RSVP.

Paso 5 

end

Example:

Router(config-keychain)# end

Vuelve al modo EXEC privilegiado.

Atar un llavero a un vecino de RSVP

Realice esta tarea de atar un llavero a un vecino de RSVP para la autenticación de vecino.

PASOS SUMARIOS

1. enable

2. configure terminal

3.ip rsvp authentication neighbor address addressllavero key-chain-name

o

ip rsvp authentication neighbor access-list acl-name o acl-number llavero key-chain-name

4. end

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

ip rsvp authentication neighbor address address key-chain key-chain-name

or

ip rsvp authentication neighbor access-list acl-name or acl-number key-chain key-chain-name

Example:

Router(config)# ip rsvp authentication neighbor access-list 1 key-chain neighbor_V

Ata un encadenamiento dominante a un IP Address o a un ACL y ingresa el modo del clave-encadenamiento.

Observesi usted están utilizando un ACL, usted debe crearlo antes de que usted lo ate a un llavero. Vea el comando authentication del rsvp del IP en la sección de referencia de comandos para los ejemplos.

Paso 4 

end

Example:

Router(config-keychain)# end

Vuelve al modo EXEC privilegiado.

Consejos de Troubleshooting

Después de que usted habilite la autenticación de RSVP, RSVP registra los eventos de error del sistema siempre que un control de la autenticación falle. Estos eventos se registran en vez apenas de ser visualizado cuando se habilita el hacer el debug de porque pueden indicar los ataques de la seguridad potencial. Se generan los eventos cuando:

RSVP recibe un mensaje que no contenga la firma criptográfica correcta. Esto podría ser debido al misconfiguration de la clave de autenticación o del algoritmo en uno o más vecinos de RSVP, pero puede también indicar un ataque (fracasado).

RSVP recibe un mensaje con la firma criptográfica correcta, pero con un número de secuencia duplicado de la autenticación. Esto puede indicar un ataque con paquetes copiados (fracasado) del mensaje.

RSVP recibe un mensaje con la firma criptográfica correcta, pero con un número de secuencia de la autenticación que sea exterior la ventana de la recepción. Esto podría ser debido a una explosión reordenada de los mensajes RSVP válidos, pero puede también indicar un ataque con paquetes copiados (fracasado) del mensaje.

Los desafíos fallados resultan de los descansos o de las malas respuestas de seguridad.

Para resolver problemas la característica de autenticación del mensaje RSVP, utilice los siguientes comandos en el modo EXEC privilegiado.

Comando
Propósito
Router# debug ip rsvp authentication

Visualizaciones hechas salir relacionadas con la autenticación de RSVP.

Router# debug ip rsvp dump signalling

Las visualizaciones informan la información sobre los mensajes de la señalización (trayectoria y Resv).

Router# debug ip rsvp errors

Visualiza los eventos de error incluyendo los errores de autenticación.


Ejemplos de configuración para la autenticación de mensaje RSVP

Ejemplo: Por interface de la autenticación de mensaje RSVP

Ejemplo: Por-vecino de la autenticación de mensaje RSVP

Ejemplo: Por interface de la autenticación de mensaje RSVP

En el siguiente ejemplo, los parámetros de la autenticación criptográfica, incluyendo el tipo, clave, desafío, curso de la vida, y los tamaños de la ventana se configuran; y se activa la autenticación:

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface e0/0
Router(config-if)# ip rsvp bandwidth 7500 7500
Router(config-if)# ip rsvp authentication type sha-1
Router(config-if)# ip rsvp authentication key 11223344
Router(config-if)# ip rsvp authentication challenge
Router(config-if)# ip rsvp authentication lifetime 00:30:05
Router(config-if)# ip rsvp authentication window-size 2
Router(config-if)# ip rsvp authentication

En el producto siguiente show ip rsvp interface detail del comando, note los parámetros de la autenticación criptográfica que usted configuró para la interfaz del Ethernet0/0:

Router# show ip rsvp interface detail

Et0/0:
   Bandwidth:
     Curr allocated: 0 bits/sec
     Max. allowed (total): 7500K bits/sec
     Max. allowed (per flow): 7500K bits/sec
     Max. allowed for LSP tunnels using sub-pools: 0 bits/sec
     Set aside by policy (total): 0 bits/sec
   Neighbors:
     Using IP encap: 0.  Using UDP encap: 0
   Signalling:
     Refresh reduction: disabled
   Authentication: enabled
     Key:         11223344
     Type:        sha-1
     Window size: 2
     Challenge:   enabled 

En el ejemplo anterior, la clave de autenticación aparece en el texto claro. Si usted ingresa key-config-key 1 string el comando, la clave aparece cifrada, como en el siguiente ejemplo:

Router# show ip rsvp interface detail

 Et0/0:
   Bandwidth:
     Curr allocated: 0 bits/sec
Max. allowed (total): 7500K bits/sec
     Max. allowed (per flow): 7500K bits/sec
     Max. allowed for LSP tunnels using sub-pools: 0 bits/sec
     Set aside by policy (total): 0 bits/sec
   Neighbors:
     Using IP encap: 0.  Using UDP encap: 0
   Signalling:
     Refresh reduction: disabled
   Authentication: enabled
     Key:         <encrypted>
     Type:        sha-1
     Window size: 2
     Challenge:   enabled

En el producto siguiente, note que los cambios de clave de autenticación de cifrado al texto claro después no key config-key 1 del comando están publicados:

Router# show running-config interface e0/0

Building configuration...

Current configuration :247 bytes
!
interface Ethernet0/0
 ip address 192.168.101.2 255.255.255.0
 no ip directed-broadcast
 ip pim dense-mode
 no ip mroute-cache
 no cdp enable
 ip rsvp bandwidth 7500 7500
 ip rsvp authentication key 7>70>9:7<872>?74
 ip rsvp authentication
end
Router# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)# no key config-key 1 
Router(config)# end
Router# show running-config
*Jan 30  08:02:09.559:%SYS-5-CONFIG_I:Configured from console by console
int e0/0
Building configuration...

Current configuration :239 bytes
!
interface Ethernet0/0
 ip address 192.168.101.2 255.255.255.0
 no ip directed-broadcast
 ip pim dense-mode
 no ip mroute-cache
 no cdp enable
 ip rsvp bandwidth 7500 7500
 ip rsvp authentication key 11223344
 ip rsvp authentication
end

Ejemplo: Por-vecino de la autenticación de mensaje RSVP

En el siguiente ejemplo, un llavero con dos claves para cada vecino se define, después una lista de acceso y un llavero se crean para los vecinos V, Y, y Z y la autenticación se habilita explícitamente para cada vecino y global. Sin embargo, solamente los vecinos especificados tendrán sus mensajes validados; los mensajes de otras fuentes serán rechazados. Esto aumenta la seguridad de la red.

Por razones de seguridad, usted debe cambiar las claves en las bases normales. Cuando expira la primera clave, la segunda clave asume el control automáticamente. En ese momento, usted debe cambiar la clave-cadena de la primera clave a un nuevo valor y después fijar los cursos de la vida del envío para asumir el control después de que expire la segunda clave. El router registrará un evento cuando una clave expira para recordarle ponerla al día.

Los cursos de la vida de las primeras y segundas claves para cada coincidencia vecina. Esto permite cualquier problema de Sincronización por reloj que pudiera hacer a los vecinos no conmutar las claves en el momento adecuado. Usted puede evitar estas coincidencias configurando a los vecinos para utilizar el Network Time Protocol (NTP) para sincronizar sus relojes a un Servidor de tiempo.

Para una configuración MPLS/TE, dan las direcciones físicas y el router ID.

Router# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)# key chain neighbor_V
Router(config-keychain)# key 1
Router(config-keychain-key)# key-string R72*UiAXy
Router(config-keychain-key)# send-life 02:00:00 1 jun 2003 02:00:00 1 aug 2003
Router(config-keychain-key)# exit
Router(config-keychain)# key 2
Router(config-keychain-key)# key-string Pl349&DaQ
Router(config-keychain-key)# send-life 01:00:00 1 jun 2003 02:00:00 1 aug 2003
Router(config-keychain-key)# exit
Router(config-keychain)# exit
Router(config)# key chain neighbor_Y
Router(config-keychain)# key 3
Router(config-keychain-key)# key-string *ZXFwR!03
Router(config-keychain-key)# send-life 02:00:00 1 jun 2003 02:00:00 1 aug 2003
Router(config-keychain-key)# exit
Router(config-keychain)# key 4
Router(config-keychain-key)# key-string UnGR8f&lOmY
Router(config-keychain-key)# send-life 01:00:00 1 jun 2003 02:00:00 1 aug 2003
Router(config-keychain-key)# exit
Router(config-keychain)# exit
Router(config)# key chain neighbor_Z
Router(config-keychain)# key 5
Router(config-keychain-key)# key-string P+T=77&/M
Router(config-keychain-key)# send-life 02:00:00 1 jun 2003 02:00:00 1 aug 2003
Router(config-keychain-key)# exit
Router(config-keychain)# key 6
Router(config-keychain-key)# key-string payattention2me
Router(config-keychain-key)# send-life 01:00:00 1 jun 2003 02:00:00 1 aug 2003
Router(config-keychain-key)# exit
Router(config-keychain)# exit
Router(config)# end

Notausted puede utilizar key-config-key 1 string el comando de cifrar los llaveros para una interfaz, un vecino, o global.


Router# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)# ip access-list standard neighbor_V
Router(config-std-nacl)# permit 10.0.0.1 <------- physical address
Router(config-std-nacl)# permit 10.0.0.2 <------- physical address
Router(config-std-nacl)# permit 10.0.0.3 <------- router ID
Router(config-std-nacl)# exit
Router(config)# ip access-list standard neighbor_Y
Router(config-std-nacl)# permit 10.0.0.4 <------- physical address
Router(config-std-nacl)# permit 10.0.0.5 <------- physical address
Router(config-std-nacl)# permit 10.0.0.6 <------- router ID
Router(config-std-nacl)# exit
Router(config)# ip access-list standard neighbor_Z
Router(config-std-nacl)# permit 10.0.0.7 <------- physical address
Router(config-std-nacl)# permit 10.0.0.8 <------- physical address
Router(config-std-nacl)# permit 10.0.0.9 <------- router ID
Router(config-std-nacl)# exit
Router(config)# ip rsvp authentication neighbor access-list neighbor_V key-chain 
neighbor_V
Router(config)# ip rsvp authentication neighbor access-list neighbor_Y key-chain 
neighbor_Y
Router(config)# ip rsvp authentication neighbor access-list neighbor_Z key-chain 
neighbor_Z
Router(config)# ip rsvp authentication
Router(config)# end

Referencias adicionales

Las secciones siguientes proporcionan las referencias relacionadas con la característica de autenticación del mensaje RSVP.

Documentos Relacionados

Tema relacionado
Título del documento

Comandos de Cisco IOS

El Cisco IOS domina los comandos list, todos las versiones

Comandos rsvp: sintaxis, modo de comando, valores por defecto, Pautas para el uso, y ejemplos del comando complete

Referencia de Comandos de las Soluciones de Calidad de Servicio de Cisco IOS

Características de QoS incluyendo la señalización, la clasificación, y la administración de la congestión

Módulo de la descripción de la calidad de servicio”

Inter-COMO las características incluyendo la autenticación de las claves del soporte y del por-vecino de la política local

“Ingeniería de tráfico MPLS —” Módulo Inter-COMO-TE


Estándares

Estándares
Título

Esta función no soporta estándares nuevos o modificados, y el soporte de los estándares existentes no ha sido modificado por ella.


MIB

MIB
Link del MIB

Esta función no soporta MIBs nuevas o modificadas, y el soporte para las MIBs existentes no ha sido modificado por esta función.

Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y conjuntos de funciones seleccionados, utilice Cisco MIB Locator, que se encuentra en la siguiente URL:

http://www.cisco.com/cisco/web/LA/support/index.html


RFC

RFC
Título

RFC 1321

El algoritmo condensado de mensaje MD5

RFC 2104

HMAC: Cerrar-picado para la autenticación de la Mensajería

RFC 2205

Resource Reservation Protocol

RFC 2209

RSVP — Reglas del procesamiento de mensajes de la versión 1

RFC 2401

Arquitectura de seguridad para el protocolo de Internet

RFC 2747

Autenticación criptográfica de RSVP

RFC 3097

Autenticación de RSVP Crytographic — Valor actualizado del Tipo de mensaje

RFC 3174

Algoritmo de troceo seguro 1 (SHA1) E.E.U.U.


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Referencia de Comandos

Los siguientes comandos se introducen o se modifican en la característica o las características documentadas en este módulo. Para la información sobre estos comandos, vea la referencia del comando solutions de la Calidad de servicio de Cisco IOS en http://www.cisco.com/en/US/docs/ios/qos/command/reference/qos_book.html. Para obtener información sobre todos los comandos de Cisco IOS, utilice la Herramienta de Búsqueda de Comandos en http://tools.cisco.com/Support/CLILookup o en la Lista de Comandos Principal de Cisco IOS.

clear ip rsvp authentication

debug ip rsvp authentication

ip rsvp authentication

ip rsvp authentication challenge

ip rsvp authentication key

ip rsvp authentication key-chain

ip rsvp authentication lifetime

ip rsvp authentication neighbor

ip rsvp authentication type

ip rsvp authentication window-size

show ip rsvp authentication

show ip rsvp counters

show ip rsvp interface

Glosario

ancho de banda — La diferencia entre las frecuencias más altas y más bajas disponibles para la red señala. El término también se utiliza para describir la capacidad de caudal nominal de un medio de red o de un protocolo dado.

DMZ — zonas desmilitarizadas. La zona neutral entre el público y las redes corporativas.

flujo — Un flujo de datos que viaja entre dos puntos finales a través de una red (por ejemplo, a partir de una estación LAN a otra). Es posible transmitir múltiples flujos en un solo circuito.

clave — Los datos atan que se combinan con los datos de fuente según un algoritmo para producir la salida que es ilegible hasta desencriptado.

QoS: Calidad de servicio. Medida del rendimiento para un sistema de transmisión que refleja su calidad de transmisión y la disponibilidad del servicio.

router: un dispositivo de la capa de red que utiliza una o varias métricas para determinar la trayectoria óptima a lo largo de la cual se debe reenviar el tráfico de la red. Los routers reenvían paquetes de una red a otra basándose en la información de la capa de red.

RSVP — Resource Reservation Protocol. Protocolo que soporta la reserva de recursos a través de una red IP. Las aplicaciones que se ejecutan en los sistemas finales IP pueden utilizar RSVP para indicar a otros nodos la naturaleza (ancho de banda, fluctuación, ráfaga máxima, etc.) de los flujos de paquetes que quieren recibir.

asociación de seguridad — Un bloque de memoria usado para llevar a cabo toda la información RSVP necesita autenticar los mensajes de señalización de RSVP de un vecino específico de RSVP.

spoofing — El acto de un paquete que demanda ilegal ser de un direccionamiento del cual no fue enviado realmente. El spoofing se diseña para foil los mecanismos de seguridad de la red, tales como filtros y Listas de acceso.

TE: ingeniería de tráfico. Las técnicas y procesos usadas para que el tráfico ruteado viaje a través de la red en una trayectoria distinta de la que se hubiera elegido si se hubieran utilizado los métodos de ruteo estándar.

vecino de confianza — Un router con el acceso autorizado a la información.