Guest

Configuración de la Intercepción de tráfico de TCP en el Routers IOS/IOS-XE

Opciones de descarga

  • PDF     (189.3 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (70.9 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (77.0 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:3 de noviembre de 2016
ID del documento:200792
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento dirige el requisito para habilitar la característica de la Intercepción de tráfico de TCP de Cisco en el Routers de Cisco IOS/IOS-XE. La Intercepción de tráfico de TCP se requiere para proteger a los servidores TCP contra los ataques de inundación SYN TCP, un tipo de establecimiento de rechazo del servicio.

Problema

¿No podemos configurar? ¿Intercepción de tráfico de TCP del IP? en el Routers ISR G1/G2/G3 y ASR1k. Abajo están los registros con respecto lo mismo:

1. Para el Routers ISR G1:

Ver de Router#show

Cisco IOS Software, software 2800 (C2800NM-IPBASEK9-M), versión 15.1(4)M12a, SOFTWARE DE LA VERSIÓN (fc1)

El tiempo de actividad del router es 14 minutos

El sistema volvió a la ROM por la recarga en 07:45:56 UTC Tue el 1 de noviembre de 2016

El archivo de imagen del sistema es "flash:c2800nm-ipbasek9-mz.151-4.M12a(1).bin"

El tipo más reciente de la recarga: Recarga normal

<omitted>

Cisco 2811 (revision 1.0) con los bytes de memoria 512000K/12288K.

ID de la placa de procesador FHK1404F3U8

2 interfaces FastEthernet

1 puerto canalizado E1/PRI

La configuración de DRAM es 64 bits de par en par con la paridad habilitada.

bytes 239K de memoria de configuración no volátil.

bytes 250368K de CompactFlash ATA (de lectura/grabación)

Información sobre la licencia:

Licencia UDI:

-------------------------------------------------

Device# PID SN

-------------------------------------------------

*0 CISCO2811 FHK1404F3U8   

El registro de la configuración es 0x2102

Config t del Router-

Ingrese los comandos de configuración, uno por línea.  Finalizar con CNTL/Z.

¿Router(config)#ip tcp?

  cuenta de la válvula reguladora de la configuración RST de la RST-cuenta

  async-movilidad de la configuración de la async-movilidad

  tamaño del pedazo del pedazo-tamaño TCP

  notificación de congestión explícita del permiso del ecn

        Maximum Segment Size de la inicial de los mss TCP

  detección de MTU de trayecto del permiso de la trayectoria-MTU-detección en las nuevas conexiones TCP

  almacenamiento en cola máximo del queuemax de los paquetes TCP salientes

  selectivo-ACK permiso TCP SELECTIVO-ACK

  tiempo determinado del synwait-tiempo para esperar en las nuevas conexiones TCP

  opción del grupo fecha/hora del permiso TCP del grupo fecha/hora

  tamaño de la ventana TCP del tamaño de la ventana

2. Para el Routers ISR G2:

Ver de Router#show

Cisco IOS Software, software C1900 (C1900-UNIVERSALK9-M), versión 15.4(3)M4, SOFTWARE DE LA VERSIÓN (fc1)

<omitted>

El tiempo de actividad del router es 1 minuto

El sistema volvió a la ROM por la recarga en 10:28:40 UTC lunes el 31 de octubre de 2016

El archivo de imagen del sistema es "flash:c1900-universalk9-mz.SPA.154-3.M4.bin"

El tipo más reciente de la recarga: Recarga normal

La razón más reciente de la recarga: Comando Reload

<omitted>

Cisco CISCO1941/K9 (revision 1.0) con los bytes de memoria 2543552K/77824K.

ID de la placa de procesador FHK141571QW

4 interfaces FastEthernet

<omitted>

Información sobre la licencia del paquete de la tecnología para Module:'c1900

------------------------------------------------------------------------

Tecnología-paquete del Tecnología-paquete de la tecnología

              Reinicialización siguiente del objeto type actual 

------------------------------------------------------------------------

ipbase ipbasek9 ipbasek9 permanente

Seguridad securityk9 RightToUse securityk9

datos ninguno ninguno ninguno          

NtwkEss ningunos ningunos ningunos

El registro de la configuración es 0x2102

Config t del Router-

Ingrese los comandos de configuración, uno por línea.  Finalizar con CNTL/Z.

¿Router(config)#ip tcp?

  cuenta de la válvula reguladora de la configuración RST de la RST-cuenta

  async-movilidad de la configuración de la async-movilidad

  tamaño del pedazo del pedazo-tamaño TCP

  notificación de congestión explícita del permiso del ecn

  parámetros de keepalive de la configuración TCP del keepalive

  Maximum Segment Size de la inicial de los mss TCP

  detección de MTU de trayecto del permiso de la trayectoria-MTU-detección en las nuevas conexiones TCP

  almacenamiento en cola máximo del queuemax de los paquetes TCP salientes

  selectivo-ACK permiso TCP SELECTIVO-ACK

  tiempo determinado del synwait-tiempo para esperar en las nuevas conexiones TCP

  opción del grupo fecha/hora del permiso TCP del grupo fecha/hora

  tamaño de la ventana TCP del tamaño de la ventana

3. Para el Routers ISR G3:

Ver de Router#sh

Software Cisco IOS XE, versión 03.15.02.S - Versión estándar del soporte

Cisco IOS Software, software ISR (X86_64_LINUX_IOSD-UNIVERSALK9-M), versión 15.5(2)S2, SOFTWARE DE LA VERSIÓN (fc1)

Soporte técnico: http://www.cisco.com/techsupport

Copyright (c) 1986-2015 por el Cisco Systems, Inc.

Fri compilado 16-Oct-15 18:00 por el mcpre

<omitted>

El tiempo de actividad del router es 7 minutos

El Uptime para este Control Processor es 8 minutos

Sistema vuelto a la ROM por la recarga

El archivo de imagen del sistema es "bootflash:isr4300-universalk9.03.15.02.S.155-2.S2-std.SPA.bin"

La razón más reciente de la recarga: Comando Reload

<omitted>

Información sobre la licencia del paquete de la tecnología:

-----------------------------------------------------------------

Tecnología-paquete del Tecnología-paquete de la tecnología

              Reinicialización siguiente del objeto type actual 

------------------------------------------------------------------

appx ninguno ninguno ninguno            

uc uck9 uck9 permanente

Seguridad securityk9 EvalRightToUse securityk9

ipbase ipbasek9 ipbasek9 permanente

procesador de Cisco ISR4331/K9 (1RU) con los bytes de memoria 1665776K/6147K.

ID de la placa de procesador FDO2012A0AT

3 interfaces de Ethernet Gigabite

bytes 32768K de memoria de configuración no volátil.

bytes 4194304K de memoria física.

bytes 3223551K de memoria flash en el bootflash:.

El registro de la configuración es 0x2102

Config t del Router-

Ingrese los comandos de configuración, uno por línea.  Finalizar con CNTL/Z.

¿Router(config)#ip tcp?

  cuenta de la válvula reguladora de la configuración RST de la RST-cuenta

  async-movilidad de la configuración de la async-movilidad

  tamaño del pedazo del pedazo-tamaño TCP

  notificación de congestión explícita del permiso del ecn

  parámetros de keepalive de la configuración TCP del keepalive

  Maximum Segment Size de la inicial de los mss TCP

  detección de MTU de trayecto del permiso de la trayectoria-MTU-detección en las nuevas conexiones TCP

  almacenamiento en cola máximo del queuemax de los paquetes TCP salientes

  selectivo-ACK permiso TCP SELECTIVO-ACK

  tiempo determinado del synwait-tiempo para esperar en las nuevas conexiones TCP

  opción del grupo fecha/hora del permiso TCP del grupo fecha/hora

  tamaño de la ventana TCP del tamaño de la ventana

4. Para el Routers ASR1k:

Versión de Router#show

Software Cisco IOS XE, versión 03.16.01a.S - Versión extendida del soporte

Cisco IOS Software, software ASR1000 (X86_64_LINUX_IOSD-UNIVERSAL-M), versión 15.5(3)S1a, SOFTWARE DE LA VERSIÓN (fc1)

Soporte técnico: http://www.cisco.com/techsupport

Copyright (c) 1986-2015 por el Cisco Systems, Inc.

Compilado casese 04-Nov-15 13:57 por el mcpre

<omitted>

El tiempo de actividad del router es 1 minuto

El Uptime para este Control Processor es 2 minutos

Sistema vuelto a la ROM por la recarga

El archivo de imagen del sistema es "bootflash:asr1001x-universal.03.16.01a.S.155-3.S1a-ext.SPA.bin"

La razón más reciente de la recarga: PowerOn

Licencia llana: ipbase

Tipo de licencia: Permanente

Nivel siguiente de la licencia de la recarga: ipbase

procesador de Cisco ASR1001-X (1NG) (revisión 1NG) con los bytes de memoria 3753592K/6147K.

ID de la placa de procesador FXS1925Q33T

6 interfaces de Ethernet Gigabite

2 diez interfaces de Ethernet Gigabite

bytes 32768K de memoria de configuración no volátil.

bytes 8388608K de memoria física.

bytes 6684671K del flash del eUSB en el bootflash:.

El registro de la configuración es 0x2102

ASR-HUB-01#config t

Ingrese los comandos de configuración, uno por línea.  Finalizar con CNTL/Z.

ASR-HUB-01(config)#li

¿ASR-HUB-01(config)#ip tcp?

  cuenta de la válvula reguladora de la configuración RST de la RST-cuenta

  async-movilidad de la configuración de la async-movilidad

  tamaño del pedazo del pedazo-tamaño TCP

  notificación de congestión explícita del permiso del ecn

  parámetros de keepalive de la configuración TCP del keepalive

  Maximum Segment Size de la inicial de los mss TCP

  detección de MTU de trayecto del permiso de la trayectoria-MTU-detección en las nuevas conexiones TCP

  almacenamiento en cola máximo del queuemax de los paquetes TCP salientes

  selectivo-ACK permiso TCP SELECTIVO-ACK

  tiempo determinado del synwait-tiempo para esperar en las nuevas conexiones TCP

  opción del grupo fecha/hora del permiso TCP del grupo fecha/hora

  tamaño de la ventana TCP del tamaño de la ventana

Solución

Para habilitar la Intercepción de tráfico de TCP de la característica, necesitaríamos:

  • Mínimo de conjunto de características del entbase en el Routers ISR G1
  • Appxk9/ Datak9 en ISRG2 y el router de las G3 Series
  • Licencia mínima de los advipservices en el router de la serie ASR1k.

 Una vez que habilitamos la licencia requerida en la plataforma, podremos configurar lo mismo:

¿Router(config)#ip tcp?

  cuenta de la válvula reguladora de la configuración RST de la RST-cuenta

  async-movilidad de la configuración de la async-movilidad

  tamaño del pedazo del pedazo-tamaño TCP

  notificación de congestión explícita del permiso del ecn

  interceptación del permiso TCP de la interceptación

  parámetros de keepalive de la configuración TCP del keepalive

  Maximum Segment Size de la inicial de los mss TCP

  detección de MTU de trayecto del permiso de la trayectoria-MTU-detección en las nuevas conexiones TCP

  almacenamiento en cola máximo del queuemax de los paquetes TCP salientes

  selectivo-ACK permiso TCP SELECTIVO-ACK

  tiempo determinado del synwait-tiempo para esperar en las nuevas conexiones TCP

  opción del grupo fecha/hora del permiso TCP del grupo fecha/hora

  tamaño de la ventana TCP del tamaño de la ventana

Referencias

http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfdenl.html

TAC Authored

Con la colaboración de ingenieros de Cisco

  • Meghana Tandon
    Ingeniero de Cisco TAC
  • Anupam Chakraborty
    Ingeniero de Cisco TAC

¿Resultó útil este documento?

Comentarios

Déjenos ayudarlo