Software Cisco IOS y NX-OS : Software Cisco IOS versión 12.2 T

IPSec NAT Transparency

14 Abril 2008 - Traducción manual
Otras Versiones: PDFpdf | Inglés (31 Diciembre 2002) | Comentarios


Contenidos

IPSec NAT Transparency
Contenidos
Restricciones de IPSec NAT Transparency
Información sobre IPSec NAT Transparency
Cómo configurar NAT e IPSec
Ejemplos de configuración de IPSec y NAT
Referencias adicionales
Referencia de comandos
crypto isamkp nat keepalive
access-list (IP extended)
show crypto ipsec sa
Glosario

IPSec NAT Transparency


La característica IPSec NAT Transparency incorpora el soporte para el tráfico de seguridad IP (IPSec) que circula a través de la traducción de direcciones de red (NAT) o puntos de traducción de direcciones de punto (PAT) de la red resolviendo diversas incompatibilidades conocidas entre NAT e IPSec.

Especificaciones de características de la característica IPSec NAT Transparency
Historial de características
Versión Modificación

12.2(13)T

Se agregó esta característica.

Plataformas compatibles

Para las plataformas compatibles en la versión 12.2(13)T de Cisco IOS, consulte Cisco Feature Navigator.

Determinación de la compatibilidad de la plataforma a través de Cisco Feature Navigator

El software Cisco IOS está incluido en paquetes de conjuntos de características compatibles en plataformas específicas. Para obtener información actualizada sobre la compatibilidad de la plataforma de esta característica, acceda a Cisco Feature Navigator. El Cisco Feature Navigator actualiza de manera dinámica la lista de plataformas compatibles cuando se agrega un soporte nuevo de plataforma a la característica.

El Cisco Feature Navigator es una herramienta basada en la Web que le permite determinar qué imágenes del software Cisco IOS son compatibles con un conjunto específico de características y qué características es compatible con una imagen específica del Cisco IOS. Puede realizar la búsqueda por característica o por versión. En la sección de versión, puede comparar las versiones una junto a otra para poder ver tanto las características que son únicas para cada versión de software como las características que éstas tienen en común.

Para acceder al Cisco Feature Navigator, debe tener una cuenta en Cisco.com. Si ha olvidado o perdido la información de la cuenta, envíe un correo electrónico en blanco a cco-locksmith@cisco.com. Una prueba automática verificará que la dirección de correo electrónico esté registrada en Cisco.com. Si la prueba se realiza con éxito, se le enviará un correo electrónico con los detalles de la cuenta junto con una contraseña nueva aleatoria. Para crear una cuenta en Cisco.com, los usuarios calificados pueden seguir las instrucciones de la siguiente dirección URL:

http://www.cisco.com/cisco/web/LA/support/index.html

El Cisco Feature Navigator se actualiza regularmente cuando tienen lugar los principales lanzamientos tecnológicos y de software Cisco IOS. Para consultar la información más actual, vaya a la página de inicio del Cisco Feature Navigator en la siguiente dirección URL:

http://www.cisco.com/cisco/web/LA/support/index.html

Disponibilidad de imágenes de Software Cisco IOS

La compatibilidad de la plataforma para determinadas versiones de Software Cisco IOS depende de la disponibilidad de las imágenes de software para dichas plataformas. Es posible que las imágenes de software de algunas plataformas se posterguen, retrasen o cambien sin notificación previa. Para obtener información actualizada sobre la compatibilidad de la plataforma y la disponibilidad de las imágenes de software para cada versión de software Cisco IOS, consulte las notas en línea de las versiones o, si es compatible, consulte el Cisco Feature Navigator.

Contenidos

Restricciones de IPSec NAT Transparency

Aunque esta característica trata muchas incompatibilidades entre NAT e IPSec, seguirán dándose los siguientes problemas:

Dirección IP de intercambio de claves de Internet (IKE) y NAT

Esta incompatibilidad se produce únicamente cuando las direcciones IP se utilizan como clave de acceso para encontrar una clave previamente compartida. Modificación de las direcciones IP de origen o de destino por NAT o por los resultados de NAT inversos en una discordancia entre la dirección IP y la clave previamente compartida.

NAT y direcciones IP incluidas

Debido a que la carga útil está protegida íntegramente, NAT no puede traducir cualquier dirección IP cerrada dentro de los paquetes IPSec. Entre los protocolos que utilizan direcciones IP incorporadas se incluyen FTP, Internet Relay Chat (IRC), el Protocolo de administración de red simple (SNMP), el Protocolo ligero de acceso a directorios (LDAP), H.323 y el Protocolo de inicio de sesión (SIP).

Información sobre IPSec NAT Transparency

Para configurar la característica de IPSec NAT Transparency, debe entender los siguientes conceptos:

Ventajas de IPSec NAT Transparency

Antes de introducir esta característica, un túnel de red privada virtual (VPN) de IPSec estándar no funcionaría si hubiera uno o más puntos NAT o PAT en la ruta de la entrega del paquete IPSec. Esta característica hace que IPSec se de cuenta de la presencia de NAT y así permite a los usuarios de acceso remoto construir túneles IPSec hacia las gateways de inicio.

Diseño de características de IPSec NAT Traversal

La característica IPSec NAT Transparency introduce el soporte para que el tráfico IPSec se desplace a través de los puntos NAT o PAT de la red mediante el encapsulación de paquetes IPSec en un envoltorio de protocolo de datagrama de usuario (UDP), que permite que los paquetes se desplacen a través de los dispositivos NAT. En las siguientes secciones se definen los detalles de NAT traversal:

Negociación de la fase 1 IKE: detección de NAT

Durante la negociación de la fase 1 de intercambio de claves de Internet (IKE), se detectan dos tipos de NAT antes de que comience el modo rápido IKE—el soporte NAT y la existencia de NAT a lo largo de la ruta de la red.

Para detectar el soporte NAT, debe intercambiar la cadena de identificación del proveedor (ID) con el par remoto. Durante el modo principal (MM) 1 y 2 de la fase 1 IKE, el par remoto envía una carga útil de la cadena de identificación del vendedor a su par para indicar que esta versión admite NAT traversal. A partir de ese momento, se puede determinar la existencia de NAT en la ruta de la red.

La detección de la existencia de NAT en la ruta de la red le permitirá encontrar cualquier dispositivo NAT entre dos pares y la ubicación exacta de NAT. Un dispositivo NAT puede traducir el puerto y la dirección IP privados a un valor público (o de público a privado). Esta traducción cambia la dirección IP y el puerto si el paquete pasa por el dispositivo. Para detectar si un dispositivo NAT existe en la ruta de la red, los pares deben enviar una carga útil con hash de la dirección IP y el puerto tanto de la direcciones fuente como de destino desde cada extremo. Si ambos extremos calculan los hash y la coincidencia de hash, cada par sabrá que no existe un dispositivo NAT en la ruta de la red de entre ellos. Si los hash no coinciden (es decir, la dirección o el puerto se ha traducido), entonces cada par necesita realizar NAT traversal para que el paquete IPSec circule por la red.

Los hash se envían como series de carga útil de datos de descubrimiento NAT (NAT-D). Cada carga útil contiene un hash. Si existen varios hash, se envían varias cargas útiles de datos NAT-D. En la mayoría de los entornos existen únicamente dos cargas útiles de datos NAT-D, una para la dirección y el puerto de origen y otra para la dirección y el puerto de destino. Primero se envían las cargas útiles de los datos NAT-D de destino, seguida de la carga de los datos NAT-D de origen, lo que implica que el receptor debe procesar primero la carga útil de los datos NAT-D locales y después la carga de los datos NAT-D remotos. Las cargas útiles de los datos NAT-D están incluidas en los mensajes tercero y cuarto del modo principal y en los mensajes segundo y tercero del modo agresivo (AM).

Negociación de la fase 2 IKE: decisión de NAT Traversal

Mientras que la fase 1 IKE detecta la compatibilidad y la existencia de NAT en la ruta de la red, la fase 2 IKE decide si los pares en ambos extremos utilizarán NAT traversal. La carga útil de la asociación de seguridad (SA) del modo rápido (QM) se utiliza en QM1 y QM2 para la negociación de NAT traversal.

Se pueden producir incompatibilidades entre NAT y IPSec debido a que el dispositivo NAT cambia de dirección IP y número de puerto. De esta forma, para eludir incompatibilidades intercambie la dirección de origen inicial.

Encapsulación UDP de paquetes IPSec para NAT Traversal

Además de permitir que los paquetes IPSec atraviesen los dispositivos NAT, el encapsulación UDP también trata muchos de los problemas de incompatibilidad entre IPSec, NAT y PAT. Los problemas resueltos son los siguientes:

Incompatibilidad entre IPSec ESP y PAT—Resuelto

Si PAT encontrara un puerto y una dirección IP legislativa, dejaría caer el paquete de carga útil de seguridad encapsulada (ESP). Para evitar esta situación, se utiliza el encapsulación UDP para esconder el paquete ESP detrás del encabezado UDP. De esta forma, PAT trata el paquete ESP como un paquete UDP y procesa el paquete ESP como un paquete UDP normal.

Incompatibilidad entre sumas de comprobación y NAT—Resuelto

En el nuevo encabezado UDP, al valor de suma de comprobación se le asigna siempre cero. Este valor evita que un dispositivo intermedio valide la suma de comprobación en contra de la suma de comprobación del paquete y, de esta forma, se resuelve el problema de la suma de comprobación TCP UDP, ya que NAT cambia la dirección IP de origen y de destino.

Incompatibilidad entre los puertos de destino IKE fijos y PAT—Resuelto

PAT cambia la dirección de puerto en el nuevo encabezado UDP para traducir y deja igual la carga útil original.

Para ver cómo ayuda el encapsulación UDP a enviar los paquetes IPSec, consulte la Figura 1 y la Figura 2.


Figura 1   Túnel IPSec estándar a través de un punto NAT/PAT (sin encapsulación UDP)



Figura 2   Paquete IPSec con encapsulación UDP


Proceso de encapulación UDP para motores de software: encapsulación ESP de modo de túnel y de transporte

Después de que un acelerador de hardware o un sistema de criptografía de software cifren el paquete IPSec, se insertan un encabezado UDP y un marcador distinto de IKE (de 8 bytes de longitud) entre el encabezado IP original y el encabezado ESP. Los campos de longitud total, de protocolo y de suma de comprobación se cambian para que coincidan con esta modificación. En la Figura 3, se muestra un paquete IPSec antes y después de aplicarle el modo transporte. En la Figura 4, se muestra un paquete IPSec antes y después de aplicarle el modo de túnel.


Figura 3   Modo de transporte— paquete IPSec antes y después del encapsulación ESP



Figura 4   Modo de túnel— paquete IPSec antes y después del encapsulación ESP


Señales de mantenimiento de NAT

Las señales de mantenimiento de NAT se activan para mantener conectado la asignación dinámica de NAT durante la conexión entre dos pares. Las señales de mantenimiento NAT son paquetes UDP con una carga útil no cifrada de 1 byte. Aunque la implementación actual de la detección de par inactivo (DPD) es parecida a las señales de mantenimiento de NAT, existe una pequeña diferencia: DPD se utiliza para detectar el estado del par, mientras que las señales de mantenimiento NAT se envían si la entidad IPSec no ha recibido o enviado el paquete en un período de tiempo específico —el intervalo válido oscila entre los 5 y los 3600 segundos.

Si las señales de mantenimiento NAT están activadas (mediante el comando crypto isamkp nat keepalive), los usuarios deben asegurarse de que el valor de inactividad sea menor que el tiempo de vencimiento de la asignación de NAT, es decir, 20 segundos.

Cómo configurar NAT e IPSec

En esta sección, se incluyen los siguientes procedimientos:

Configuración de NAT Traversal

NAT Traversal es una característica que los dispositivos VPN detectan de manera automática. El router con la versión 12.2(13)T de Cisco IOS no dispone de pasos de configuración. Si los dispositivos VPN disponen de NAT-T, NAT Traversal se detectará y negociará de manera automática.

Desactivación de NAT Traversal

Si sabe que su red utiliza NAT de reconocimiento de IPSec (esquema de correspondencia de SPI), es posible que desee desactivar NAT Traversal. Para desactivar NAT Traversal, utilice los siguientes comandos:

RESUMEN DE PASOS:

1. enable

2. configure terminal

3. no crypto ipsec nat-transparency udp-encapsulation

PASOS DETALLADOS

Comando o acción Propósito
Paso 1 

enable

Ejemplo:

Router> enable

Activa niveles de privilegios superiores, como el modo EXEC con privilegios.

Introduzca la contraseña si se le solicita.

Paso 2 

configure terminal

Ejemplo:

Router# configure terminal

Introduce el modo de configuración global.

Paso 3 

no crypto ipsec nat-transparency udp-encapsulation

Ejemplo:

Router(config)# no crypto ipsec nat-transparency udp-encapsulation

Desactiva NAT Traversal.

Configuración de las señales de mantenimiento de NAT

Para configurar el router para que envíe señales de mantenimiento de NAT, utilice los siguientes comandos:

RESUMEN DE PASOS:

1. enable

2. configure terminal

3. crypto isakmp nat keepalive segundos

PASOS DETALLADOS

Comando o acción Propósito
Paso 1 

enable

Ejemplo:

Router> enable

Activa niveles de privilegios superiores, como el modo EXEC con privilegios.

Introduzca la contraseña si se le solicita.

Paso 2 

configure terminal

Ejemplo:

Router# configure terminal

Introduce el modo de configuración global.

Paso 3 

crypto isakmp nat keepalive segundos

Ejemplo:

Router(config)# crypto isakmp nat keepalive 20

Permite que un nodo IPSec envíe paquetes de señales de mantenimiento de NAT.

  • segundos: el número de segundos entre los paquetes de señales de mantenimiento; el intervalo oscila entre los 5 y 3.600 segundos.

Verificación de la configuración de IPSec

Para verificar la configuración, realice los siguientes pasos opcionales:

RESUMEN DE PASOS:

1. enable

2. show crypto ipsec sa [map nombre-asignación | address | identity] [detail]

PASOS DETALLADOS

Comando o acción Propósito
Paso 1 

enable

Ejemplo:

Router> enable

Activa niveles de privilegios superiores, como el modo EXEC con privilegios.

Introduzca la contraseña si se le solicita.

Paso 2 

show crypto ipsec sa [map nombre-asignación | address | identity] [detail]

Ejemplo:

Router# show crypto ipsec sa

Muestra la configuración que utilizan las SA actuales.

Ejemplos de configuración de IPSec y NAT

Esta sección proporciona el siguiente ejemplo de configuración:

Ejemplo de configuración de señales de mantenimiento de NAT

En el siguiente ejemplo, se muestra cómo activar las señales de mantenimiento de NAT para que se envíen cada 20 segundos:

crypto isakmp policy 1
authentication pre-share
crypto isakmp key 1234 address 56.0.0.1
crypto isakmp nat keepalive 20
!
!
crypto ipsec transform-set t2 esp-des esp-sha-hmac
!
crypto map test2 10 ipsec-isakmp
set peer 56.0.0.1
set transform-set t2

match address 101

Referencias adicionales

En las siguientes secciones encontrará referencias adicionales relacionadas con IPSec NAT Transparency:

Documentos relacionados

Tema relacionado Título del documento

Tareas de configuración adicionales de NAT.

El capítulo "Configuring IP Addressing" de la Cisco  IOS IP Configuration Guide, versión 12.2

Comandos NAT adicionales

El capítulo "IP Addressing Commands" de Cisco IOS IP Command Reference, Volume 1 of 3: Addressing and Services, versión 12.2

Tareas de configuración adicionales de IPSec

El capítulo "Configuring IPSec Network Security" de Cisco  IOS Security Configuration Guide, versión 12.2

Comandos IPSec adicionales

El capítulo "IPSec Network Security Commands" de Cisco  IOS Security Command Reference, versión 12.2

Información de la fase 1 y 2 de IKE, de modo agresivo y de modo principal.

El capítulo "Configuring Internet Key Exchange Security Protocol" de Cisco  IOS Security Configuration Guide, versión 12.2

Información adicional sobre la detección de par inactivo de IKE.

Easy VPN Server , módulo de la característica de Cisco IOS, versión 12.2(8)T

Normas

Normas Título

Ninguno

MIB

MIB Enlace de MIB

Ninguno

Para obtener las listas de las MIB compatibles con la plataforma y por la versión de Cisco IOS y para descargar los módulos MIB, vaya al sitio web de MIB de Cisco en Cisco.com en la siguiente dirección URL:

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

Para localizar y descargar MIB para las plataformas seleccionadas, las versiones de Cisco IOS y los conjuntos de características, utilice el localizador MIB de Cisco que se encuentra en la siguiente URL:

http://tools.cisco.com/ITDIT/MIBS/servlet/index

Si el localizador de MIB de Cisco no admite la información de MIB que necesita, también puede obtener una lista de las MIB compatibles y descargarlas desde la página de MIB de Cisco en la siguiente URL:

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

Para acceder al localizador de MIB de Cisco, debe tener una cuenta en Cisco.com. Si ha olvidado o perdido la información de la cuenta, envíe un correo electrónico en blanco a cco-locksmith@cisco.com. Una prueba automática verificará que la dirección de correo electrónico esté registrada en Cisco.com. Si la prueba se realiza con éxito, se le enviará un correo electrónico con los detalles de la cuenta junto con una contraseña nueva aleatoria. Para crear una cuenta en Cisco.com, los usuarios calificados pueden seguir las instrucciones de la siguiente dirección URL:

http://www.cisco.com/cisco/web/LA/support/index.html

RFC

RFC1 Título

RFC 2402

Encabezamiento de autenticación de IP

RFC 2406

Carga útil de seguridad encapsulada IP (ESP)

1No se enumeran todas las RFC compatibles.

Asistencia técnica

Descripción Enlace

La página de inicio del Centro de asistencia técnica (TAC) contiene 30.000 páginas en las que se pueden buscar contenidos técnicos que incluyen enlaces a los productos, tecnologías, soluciones, consejos técnicos y herramientas. Los usuarios registrados en Cisco.com pueden iniciar sesión desde esta página para acceder a más contenido.

http://www.cisco.com/cisco/web/LA/support/index.html

Referencia de comandos

En esta sección, se explican los comandos nuevos y modificados. El resto de los comandos que se utilizan con esta característica se explican en las publicaciones de referencia de la versión 12.2 de Tcommand de Cisco IOS.

Comando nuevo
Comandos modificados

crypto isamkp nat keepalive

Para permitir que un nodo de seguridad IP (IPSec) envíe paquetes de señales de mantenimiento de traducción de direcciones de redes (NAT), utilice el comando crypto isakmp nat keepalive en el modo de configuración global. Para desactivar los paquetes de señales de mantenimiento de NAT, utilice la forma de este comando con no.

crypto isakmp nat keepalive segundos

no crypto isakmp nat keepalive

Descripción de la sintaxis

segundos

Número de segundos entre los paquetes de señales de mantenimiento; el intervalo oscila entre los 5 y 3600 segundos.

Valores predeterminados

Los paquetes de señales de mantenimiento NAT no se han enviado.

Modos de comando

Configuración global

Historial de comando

Versión Modificación

12.2(13)T

Se agregó este comando.

Pautas de uso

El comando crypto isakmp nat keepalive permite a los usuarios mantener conectado la asignación de NAT dinámica durante la conexión entre dos pares. Se envía un batido de señales de mantenimiento de NAT si IPSec no envía ni recibe un paquete dentro de un período de tiempo específico; el intervalo válido oscila entre los 5 y los 3600 segundos.

Si este comando está activado, los usuarios deben asegurarse de que el valor de inactividad sea menor que el tiempo de vencimiento de la asignación de NAT, es decir, 20 segundos.

Ejemplos

En el siguiente ejemplo, se muestra cómo activar las señales de mantenimiento de NAT para que se envíen cada 20 segundos:

crypto isakmp policy 1
authentication pre-share
crypto isakmp key 1234 address 56.0.0.1
crypto isakmp nat keepalive 20
!
!
crypto ipsec transform-set t2 esp-des esp-sha-hmac
!
crypto map test2 10 ipsec-isakmp
set peer 56.0.0.1
set transform-set t2
match address 101

access-list (IP extended)

Para definir una lista de acceso de IP ampliado utilice la versión ampliada del comando de configuración global access-list. Para eliminar las listas de acceso, utilice la fórmula de este comando con no.

Protocolo de datagrama de usuario (UDP)

También puede utilizar la siguiente sintaxis para UDP:

access-list número-lista-acceso [dynamic nombre-dinámico [timeout minutos]] {deny | permit} udp source comodín-origen [operator [puerto]] destination comodín-destino [operator [puerto]] [precedence precedencia] [tos tos] [log | log-input] [time-range nombre-intervalo-tiempo] [fragments]

Descripción de la sintaxis

número-lista-acceso

Número de lista de acceso. Es un número decimal entre 100 y 199 o entre 2000 y 2699.

dynamic nombre-dinámico

(Opcional) Identifica esta lista de acceso como una lista de acceso dinámica. Consulte el acceso Lock-and-Key que se incluye en el capítulo "Configuring Lock-and-Key Security (Dynamic Access Lists)" de la Cisco IOS Security Configuration Guide.

timeout minutos

(Opcional) Especifica el tiempo total en minutos que una entrada de lista de acceso temporal puede permanecer en una lista de acceso dinámico. El valor predeterminado en minutos es infinito, lo que permite que una entrada pueda incluirse de forma permanente. Consulte el acceso Lock-and-Key que se incluye en el capítulo "Configuring Lock-and-Key Security (Dynamic Access Lists)" de la Cisco IOS Security Configuration Guide.

deny

Deniega el acceso si se dan las condiciones.

permit

Permite el acceso si se dan las condiciones.

protocolo

Nombre o número de un protocolo de Internet. Puede ser una de las palabras claves eigrp, gre, icmp, igmp, igrp, ip, ipinip, nos, ospf, pim, tcp, o udp, o un número entero entre 0 y 255 que represente un número de protocolo de Internet. Para que coincida con un protocolo de Internet (incluidos ICMP, TCP, y UDP) utilice la palabra clave ip. Algunos protocolos permiten más calificadores que se describen a continuación.

source

Número de red o host desde el que se envía el paquete. Existen tres maneras alternativas de especificar el origen:

  • Utilizar una cantidad de 32 bits en formato decimal con cuatro partes.
  • Utilizar la palabra clave any como abreviatura de source y de un comodín–origen de 0.0.0.0 255.255.255.255.
  • Utilizar host source como abreviatura de un source y de un comodín-origen de source 0.0.0.0.

comodín-origen

Número de bits de comodín para aplicar al origen. Cada bit de comodín 0 indica la posición de bit correspondiente en el origen. Cada bit de comodín configurado en 1 indica que tanto 0 bit como 1 bit en la posición correspondiente de la dirección IP del paquete se considerarán coincidencias de esta entrada de lista de acceso.

Existen tres maneras alternativas de especificar un comodín de origen:

  • Utilizar una cantidad de 32 bits en formato decimal con cuatro partes. Coloque unos (1) en las posiciones de bit que desea ignorar.
  • Utilizar la palabra clave any como abreviatura de source y de un comodín-origen de 0.0.0.0 255.255.255.255.
  • Utilizar host source como abreviatura de un source y comodón-origen de source 0.0.0.0.

Los bits de comodín configurados en 1 no necesitan ser contiguos en el comodín de origen. Por ejemplo, un comodín de origen de 0.255.0.64 sería válido.

destination

Número de red o host al que se envía el paquete. Existen tres maneras alternativas de especificar un destino:

  • Utilizar una cantidad de 32 bits en formato decimal con cuatro partes.
  • Utilizar la palabra clave any como abreviatura de destination y comodín-destino de 0.0.0.0 255.255.255.255.
  • Utilizar host destination como abreviatura de destination y comodín-destino de destination 0.0.0.0.

comodín-destino

Número de bits de comodín para aplicar al destino. Existen tres maneras alternativas de especificar un comodín de destino:

  • Utilizar una cantidad de 32 bits en formato decimal con cuatro partes. Coloque unos (1) en las posiciones de bit que desea ignorar.
  • Utilizar la palabra clave any como abreviatura de destination y comodín-destino de 0.0.0.0 255.255.255.255.
  • Utilizar host destination como abreviatura de destination y comodín-destino de destination 0.0.0.0.

precedence precedencia

(Opcional) Se pueden filtrar los paquetes por nivel de precedencia, especificándolos con un número entre 0 y 7 o con un nombre, como se detalla en la sección "Pautas de uso".

tos tos

(Opcional) Se pueden filtrar los paquetes por nivel de tipo de servicio, especificándolos con un número entre 0 y 15 o con un nombre, como se detalla en la sección "Pautas de uso".

log

(Opcional) Genera un mensaje de registro de información sobre el paquete que coincide con la entrada que se va a enviar a la consola. (El nivel de mensajes registrados en la consola está controlado por el comando logging console).

El mensaje incluye el número de lista de acceso, si el paquete se ha permitido o denegado; el protocolo, si se trata de TCP, UDP, ICMP o un número y, si corresponde, las direcciones y los números de puertos de origen y de destino. El mensaje se genera para el primer paquete que coincida y, a continuación, a intervalos de 5 minutos, incluido el número de paquetes permitidos o denegados en el intervalo de 5 minutos anterior.

La función de registro podría eliminar algunos paquetes de mensajes de registro si existen demasiados como para manejarlos o si existe más de un mensaje de registro para manejar en un segundo. Este comportamiento impide que el router sufra una caída debido a demasiados paquetes de registro. Por tanto, la función de registro no se debe utilizar como herramienta de facturación o como origen preciso del número de coincidencias con una lista de acceso.

log-input

(Opcional) Incluye la interfaz de entrada y la dirección MAC de origen o VC en la salida de registro.

time-range nombre-intervalo-tiempo

(Opcional) Nombre del intervalo de tiempo que corresponde a esta sentencia. El nombre del intervalo de tiempo y sus restricciones se especifican mediante el comando time-range.

operator

(Opcional) Compara los puertos fuente y de destino. Entre los posibles operandos se incluyen lt (menor que), gt (mayor que), eq (igual a), neq (no igual a) y range (intervalo incluido).

Si se ha colocado el operador después de source y comodín-origen, debe coincidir con el puerto de origen.

Si se ha colocado el operador después de destination y comodín-destino, debe coincidir con el puerto de destino.

El operador range requiere dos números de puerto. El resto de operadores requiere uno.

puerto

(Opcional) El nombre o número decimal de un puerto TCP o UDP. Un número de puerto es un número entre 0 y 65535. Los nombres de puertos TCP y UDP se enumeran en la sección "Pautas de uso". Los nombres de puertos TCP sólo se pueden utilizar al filtrar TCP. Los nombres de puertos UDP sólo se pueden utilizar al filtrar UDP.

Los nombres de puertos TCP sólo se pueden utilizar al filtrar TCP. Los nombres de puertos UDP sólo se pueden utilizar al filtrar UDP.

fragments

(Opcional) La entrada de lista de acceso se aplica a fragmentos no iniciales de paquetes. El fragmento se permite o deniega de la forma correspondiente. Para obtener más detalles sobre la palabra clave fragments, consulte las secciones "Procesamiento de fragmentos de lista de acceso" y "Fragmentos y enrutamiento de políticas" de la sección "Pautas de uso".

Valores predeterminados

Una lista de acceso ampliado está predeterminada como una lista que lo deniega todo. Una sentencia deny implícita termina una lista de acceso ampliado.

Modos de comando

Configuración global

Historial de comando

Versión Modificación

10.0

Se agregó este comando.

10.3

Se han agregado los siguientes argumentos y palabras clave:

  • source
  • comodín-origen
  • destination
  • comodín-destino
  • precedence precedencia
  • icmp-type
  • icm-code
  • icmp-message
  • igmp-type
  • operator
  • puerto
  • established

11.1

Se han agregado la palabra clave y el argumento dynamic nombre-dinámico.

11.1

Se han agregado la palabra clave y el argumento timeout minutos.

11.2

Se ha agregado la palabra clave log-input.

12.0(1)T

Se han agregado la palabra clave y el argumento time-range nombre-intervalo-tiempo.

12.0(11) y 12.1(2)

Se ha agregado la palabra clave fragments.

12.2(13)T

La palabra clave non500-isakmp se ha agregado a la lista de los nombres de puertos UDP.

Pautas de uso

Puede utilizar las listas de acceso para controlar la transmisión de paquetes en una interfaz, controlar el acceso a vty y restringir el contenido de las actualizaciones de enrutamiento. El Software Cisco IOS detiene la comprobación de la lista de acceso ampliado después de que se produce una coincidencia.

Los paquetes IP fragmentados distintos del fragmento inicial son aceptados inmediatamente por una lista de acceso IP ampliado. Las listas de acceso ampliado que se utilizan para controlar el acceso a vty o restringir el contenido de las actualizaciones de enrutamiento no deben coincidir con el puerto de origen TCP, el valor de tipo de servicio (ToS) o la precedencia del paquete.


Nota   Después de crear una lista de acceso numerada, cualquier adición posterior se coloca (posiblemente introducida desde la terminal) al final de la lista. En otras palabras, no puede agregar o eliminar de forma selectiva las líneas de comandos de lista de acceso de una lista de acceso numerada determinada.

A continuación se incluye una lista de nombres de precedencia:

  • crítico
  • flash
  • flash-override
  • inmediato
  • internet
  • network
  • prioridad
  • routine

A continuación se incluye una lista de nombres de puertos UDP que se pueden utilizar en lugar de los números de puertos. Consulte la RFC de números asignados actuales para encontrar una referencia a estos protocolos. Los números de puertos que corresponden a estos protocolos también se pueden encontrar si se escribe ? en el lugar de un número de puerto.

  • biff
  • bootpc
  • bootps
  • discard
  • dnsix
  • domain
  • echo
  • mobile-ip
  • nameserver
  • netbios-dgm
  • netbios-ns
  • non500-isamkmp
  • ntp
  • rip
  • snmp'
  • snmptrap
  • sunrpc
  • syslog
  • tacacs-ds
  • talk
  • tftp
  • time
  • who
  • xdmcp
Procesamiento de fragmentos de lista de acceso

El comportamiento de las entradas de lista de acceso con respecto al uso o la falta de la palabra clave fragments se puede resumir de la siguiente forma:

Si la entrada de lista de acceso tiene... Entonces...

...ninguna palabra clave fragments (el comportamiento predeterminado) y siempre que toda la información de entrada de lista de acceso coincida,

En el caso de una entrada de lista de acceso que contenga sólo información de capa 3:

  • La entrada se aplica a paquetes sin fragmentar, fragmentos iniciales y no iniciales.

En el caso de una entrada de lista de acceso que contenga información de capa 3 y capa 4:

  • La entrada se aplica a paquetes no fragmentados e iniciales.
    • Si la entrada es una sentencia permit, se permiten el paquete o el fragmento.
    • Si la entrada es una sentencia deny, se deniegan el paquete o el fragmento.
  • La entrada también se aplica a fragmentos no iniciales de la siguiente forma. Debido a que los fragmentos no iniciales contienen sólo información de capa 3, sólo se puede aplicar la parte de capa 3 de una entrada de lista de acceso. Si la parte de capa 3 de la entrada de lista de acceso coincide y
    • Si la entrada es una sentencia permit, se permite el fragmento no inicial.
    • Si la entrada es una sentencia deny, se procesa la siguiente entrada de lista de acceso.

Nota    Las sentencias deny se manejan de forma diferente en el caso de los fragmentos no iniciales frente a los fragmentos iniciales o no fragmentados.

...la palabra clave fragments y siempre que toda la información de entrada de lista de acceso coincida,

La entrada de lista de acceso se aplica sólo a fragmentos no iniciales.


Nota    La palabra clave fragments no se puede configurar para una entrada de lista de acceso que contenga cualquier información de capa 4.

Tenga en cuenta que no se debe agregar simplemente la palabra clave fragments a todas las entradas de lista de acceso, ya que el primer fragmento del paquete IP no se considera un fragmento y se trata de manera independiente de los fragmentos posteriores. Un fragmento inicial no coincidirá con una entrada permit o deny de lista de acceso que contenga la palabra clave fragments: el paquete se compara con la siguiente entrada de lista de acceso y así en adelante, hasta que sea permitido o denegado por una entrada de lista de acceso que no contenga la palabra clave fragments. Por tanto, es posible que necesite dos entradas de lista de acceso para todas las entradas deny. La primera entrada deny del par no incluirá la palabra clave fragments y se aplica al fragmento inicial. La segunda entrada deny del par incluirá la palabra clave fragments y se aplica a los fragmentos posteriores. En caso de que existan varias entradas de lista de acceso deny para el mismo host pero con diferentes puertos de capa 4, lo único que se tiene que agregar es una sola entrada de lista de acceso deny con la palabra clave fragments al host. Además, la lista de acceso maneja todos los fragmentos de un paquete de la misma forma.

Los fragmentos de paquetes de datagramas IP se consideran paquetes individuales y cada uno cuenta de forma individual como paquete en la lista de acceso contable y en los recuentos de violación a la lista de acceso.


Nota   La palabra clave fragments no puede solucionar todos los casos que implican fragmentos IP y listas de acceso.

Fragmentos y enrutamiento de políticas

La característica de control de fragmentos y la fragmentación afectan al enrutamiento de políticas si éste se basa en el comando match ip address y la lista de acceso tenía entradas que coinciden con la información que va de la capa 4 a la 7. Es posible que los fragmentos no iniciales pasen la lista de acceso y se enrute su política, incluso aunque el primero no tenía la política enrutada o a la inversa.

Mediante el uso de la palabra clave fragments en las entradas de lista de acceso como se ha descrito anteriormente, se puede obtener una mayor coincidencia entre la acción llevada a cabo para los fragmentos iniciales y no iniciales y es más probable que el enrutamiento de políticas se produzca según lo previsto.

Ejemplos

En el siguiente ejemplo, la interfaz de serie 0 forma parte de la red de clase B con la dirección 128.88.0.0, y la dirección del host de correo es 128.88.1.2. La palabra clave established se utiliza sólo para indicar que se ha establecido una conexión en el protocolo TCP. Se produce una coincidencia si el datagrama TCP tiene configurados los bits ACK o RST, lo que indica que el paquete pertenece a una conexión existente.

access-list 102 permit tcp 0.0.0.0 255.255.255.255 128.88.0.0 0.0.255.255 established
access-list 102 permit tcp 0.0.0.0 255.255.255.255 128.88.1.2 0.0.0.0 eq 25
interface serial 0
 ip access-group 102 in

En el siguiente ejemplo, se permiten los paquetes del sistema de nombres de dominio (DNS) y los paquetes echo ICMP y de respuesta de eco:

access-list 102 permit tcp any 128.88.0.0 0.0.255.255 established
access-list 102 permit tcp any host 128.88.1.2 eq smtp
access-list 102 permit tcp any any eq domain
access-list 102 permit udp any any eq domain
access-list 102 permit icmp any any echo
access-list 102 permit icmp any any echo-reply

En los siguientes ejemplos, se muestra cómo se utilizan los bits de comodín para indicar el número de bits del prefijo o la máscara que son relevantes. Los bits de comodín son parecidos a las máscaras de bits que se utilizan con las listas de acceso normales. Los bits de máscara o prefijo que corresponden a los bits de comodín configurados a 1 se ignoran durante las comparaciones y los bits de comodín o prefijo que corresponden a bits de comodín configurados a 0 se utilizan en la comparación.

En el siguiente ejemplo, se permite 192.108.0.0 255.255.0.0, pero se deniega cualquier ruta más específica de 192.108.0.0 (incluida 192.108.0.0 255.255.255.0):

access-list 101 permit ip 192.108.0.0 0.0.0.0 255.255.0.0 0.0.0.0
access-list 101 deny ip 192.108.0.0 0.0.255.255 255.255.0.0 0.0.255.255

En el siguiente ejemplo se permite 131.108.0/24 pero se deniega 131.108/16 y el resto de subredes de 131.108.0.0:

access-list 101 permit ip 131.108.0.0 0.0.0.0 255.255.255.0 0.0.0.0
access-list 101 deny ip 131.108.0.0 0.0.255.255 255.255.0.0 0.0.255.255

En el siguiente ejemplo, se utiliza un intervalo de tiempo para denegar el tráfico HTTP de lunes a viernes, desde las 8:00 a.m. a las 6:00 p.m.:

time-range no-http
 periodic weekdays 8:00 to 18:00
!
access-list 101 deny tcp any any eq http time-range no-http
!
interface ethernet 0
 ip access-group 101 in

show crypto ipsec sa

Para mostrar la configuración utilizada por las asociaciones de seguridad actuales (SAs), utilice el comando EXEC show crypto ipsec sa.

show crypto ipsec sa [map nombre-asignación | address | identity] [detail]

Descripción de la sintaxis

map nombre-asignación

(Opcional) Muestra cualquier asociación de seguridad existente creada para cualquier conjunto de asignación de criptografía denominada nombre-asignación.

address

(Opcional) Muestra todas las asociaciones de seguridad existentes, ordenadas por la dirección de destino (ya sea la dirección local o la dirección del par remoto de seguridad IP ) y, a continuación, por protocolo (encabezamiento de autenticación o protocolo de seguridad encapsulada).

identity

(Opcional) Muestra sólo la información de flujo. No muestra la información de asociación de seguridad.

detail

(Opcional) Muestra contadores de errores detallados. (El valor predeterminado es contadores de error de envío y recepción de alto nivel).

Modos de comando

EXEC

Historial de comando

Versión Modificación

11.3 T

Se agregó este comando.

12.2(13)T

Los campos "remote crypto endpt" e "in use settings" se modificaron para soportar NAT traversal.

Pautas de uso

Si no se utiliza una palabra clave, se muestran todos los SAs. Se ordenan primero por interfaz y, a continuación, por flujo de tráfico (por ejemplo, dirección fuente/destino, máscara, protocolo, puerto). Dentro de un flujo, los SAs se enumeran por protocolo (ESP/AH) y dirección (entrante/saliente).

Ejemplos

A continuación se incluye un resultado de ejemplo del comando show crypto ipsec sa:

Router# show crypto ipsec sa
interface:FastEthernet0
Crypto map tag:testtag, local addr. 10.2.80.161
local ident (addr/mask/prot/port):(10.2.80.161/255.255.255.255/0/0)
remote ident (addr/mask/prot/port):(100.0.0.1/255.255.255.255/0/0)
current_peer:100.0.0.1:4500
PERMIT, flags={origin_is_acl,}
#pkts encaps:109, #pkts encrypt:109, #pkts digest 109
#pkts decaps:109, #pkts decrypt:109, #pkts verify 109
#pkts compressed:0, #pkts decompressed:0
#pkts not compressed:0, #pkts compr. failed:0, #pkts decompress failed:0
#send errors 90, #recv errors 0
local crypto endpt.:10.2.80.161, remote crypto endpt.:100.0.0.1:4500
path mtu 1500, media mtu 1500
current outbound spi:23945537
inbound esp sas:
spi:0xF423E273(4095992435)
transform:esp-des esp-sha-hmac ,
in use settings ={Tunnel UDP-Encaps, }
slot:0, conn id:200, flow_id:1, crypto map:testtag
sa timing:remaining key lifetime (k/sec):(4607996/2546)
IV size:8 bytes
replay detection support:Y
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi:0x23945537(596923703)
transform:esp-des esp-sha-hmac ,
in use settings ={Tunnel UDP-Encaps, }
slot:0, conn id:201, flow_id:2, crypto map:testtag
sa timing:remaining key lifetime (k/sec):(4607998/2519)
IV size:8 bytes
replay detection support:Y
outbound ah sas:
outbound pcp sas:

Glosario

IKE: intercambio de claves de Internet. Protocolo híbrido que implementa el intercambio de claves Oakley y Skeme dentro del marco Asociación de seguridad en Internet y administración de claves (ISAKMP). Aunque IKE se puede utilizar con otros protocolos, su implementación inicial es con IPSec. IKE proporciona la autenticación de pares IPSec, negocia las claves de IPSec y las asociaciones de seguridad IPSec (SAs).

IPSec: Seguridad IP. Marco de normativas abiertas desarrollado por el Grupo de trabajo en ingeniería de Internet (IETF). IPSec proporciona seguridad para la transmisión de información confidencial por redes no protegidas, como Internet. IPSec actúa como capa de red, protegiendo y autenticando paquetes IP entre los dispositivos IPSec que participan ("pares"), como los routers Cisco.

NAT: Traducción de dirección de red. Traduce una dirección IP privada utilizada dentro de la corporación en una dirección pública enrutable para su uso fuera de la empresa, como Internet. Por NAT se entiende la asignación de direcciones individuales de privadas a públicas.

PAT: Traducción de dirección de puerto. Al igual que NAT, PAT también traduce direcciones IP a direcciones enrutables y públicas. A diferencia de NAT, PAT proporciona una asignación de muchos a una direcciones privadas a una dirección pública; cada instancia de la dirección pública se asocia a un número de puerto determinado para garantizar la unicidad. PAT se puede utilizar en entornos donde el costo de obtener un intervalo de direcciones públicas es demasiado caro para una organización.


Nota   Consulte Internetworking Terms and Acronyms para consultar los términos no incluidos en este glosario.