Explorar Cisco
Cómo comprar

¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Configure las claves previamente compartidas de cifrado en el router Cisco IOS

Opciones de descarga

  • PDF     (156.1 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (88.5 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (74.3 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:19 de enero de 2006
ID del documento:46420

Bias-Free Language

The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

El código Cisco IOS® Software Release 12.3(2)T introduce funciones que permiten que el router cifre la clave ISAKMP previamente compartida en el formato seguro de tipo 6 en la memoria RAM no volátil (NVRAM). La clave previamente compartida que se cifrará se puede configurar como estándar, bajo un anillo fundamental ISAKMP, en el modo agresivo o como un contraseña de grupo bajo una configuración de cliente o servidor EzVPN. Esta configuración de ejemplo muestra cómo configurar el cifrado de las claves previamente compartidas existentes y nuevas.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

La información de este documento se basa en esta versión del software:

  • Versión 12.3(2)T del software del IOS de Cisco

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

Esta sección le presenta la información que puede utilizar para configurar las características que describe este documento.

Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.

Estos dos nuevos comandos se introducen para habilitar el cifrado de clave previamente compartida:

  • key config-key password-encryption [master key]

  • password encryption aes

La [clave maestra] es la contraseña/clave utilizada para cifrar todas las demás claves en la configuración del router con el uso de un cifrado simétrico de Estándar de cifrado avanzado (AES). La clave maestra no se almacena en la configuración del router y no se puede ver ni obtener de ninguna manera mientras se conecta al router.

Una vez configurada, la clave maestra se utiliza para cifrar cualquier clave existente o nueva en la configuración del router. Si la [clave maestra] no se especifica en la línea de comandos, el router solicita al usuario que introduzca la clave y que vuelva a introducirla para verificarla. Si ya existe una clave, se solicita al usuario que introduzca primero la antigua. Las claves no se cifran hasta que ejecute el comando password encryption aes.

La clave maestra se puede cambiar (aunque esto no debería ser necesario a menos que la clave se haya visto comprometida de alguna manera) ejecutando la clave config-key... de nuevo con el nuevo [master-key] . Cualquier clave cifrada existente en la configuración del router se vuelve a cifrar con la nueva clave.

Puede eliminar la clave maestra cuando ejecute el comando no key config-key.... Sin embargo, esto hace que todas las claves configuradas actualmente en la configuración del router sean inútiles (se muestra un mensaje de advertencia que detalla esto y confirma la eliminación de la clave maestra). Dado que la clave maestra ya no existe, el router no puede descifrar las contraseñas de tipo 6 y usarlas.

Nota: Por razones de seguridad, ni la eliminación de la clave maestra ni el comando password encryption aes descifra las contraseñas en la configuración del router. Una vez que las contraseñas se cifran, no se descifran. Las claves cifradas existentes en la configuración aún pueden descifrarse siempre que la clave maestra no se elimine.

Además, para ver los mensajes de tipo debug de las funciones de encripción de contraseñas, utilice el comando password logging en el modo de configuración.

Configuraciones

Este documento utiliza estas configuraciones en el router:

Cifrar la clave previamente compartida existente 
Router#show running-config 
Building configuration...
.
.crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco123 address 10.1.1.1
.
.
endRouter#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#key config-key password-encrypt testkey123
Router(config)#password encryption aes
Router(config)#^Z
Router#
Router#show running-config 
Building configuration...
.
.
password encryption aes
.
.
crypto isakmp policy 10
 authentication pre-share
crypto isakmp key 6 FLgBaJHXdYY_AcHZZMgQ_RhTDJXHUBAAB address 10.1.1.1
.
.
end

Agregar una nueva clave maestra de forma interactiva 
Router(config)#key config-key password-encrypt 
New key: 
         
         
Confirm key: 
         
         
Router(config)#

Modificar la clave maestra existente de forma interactiva 
Router(config)#key config-key password-encrypt
 Old key: 
         
         
New key: 
         
         
Confirm key: 
         
         
Router(config)#
*Jan  7 01:42:12.299: TYPE6_PASS: Master key change heralded, 
re-encrypting the keys with the new master key

Eliminación de la clave maestra 
Router(config)#no key config-key password-encrypt 
WARNING: All type 6 encrypted keys will become unusable
Continue with master key deletion ? [yes/no]: yes
Router(config)#

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshoot

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
19-Jan-2006
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos