Het configureren van de voorgedeelde toetsen van versleuteling in Cisco IOS-router

Downloadopties

PDF (123.7 KB)
Met Adobe Reader op diverse apparaten bekijken
ePub (89.3 KB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (75.4 KB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:19 januari 2006

Document-id:46420

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Conventies

Configureren

Configuraties

Verifiëren

Problemen oplossen

Gerelateerde informatie

Inleiding

Cisco IOS®-softwarerelease 12.3(2)T-code introduceert de functionaliteit waarmee de router de ISAKMP vooraf gedeelde sleutel in veilig type 6-formaat kan versleutelen in niet-vluchtige RAM (NVRAM). De te versleutelen vooraf gedeelde sleutel kan als standaard, onder een ISAKMP-sleutelring, in agressieve modus of als groepswachtwoord worden ingesteld onder een EzVPN-server of client. Deze voorbeeldconfiguratie specificeert hoe u codering van zowel bestaande als nieuwe pre-Shared keys kunt instellen.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op deze softwareversie:

Cisco IOS-softwarerelease 12.3(2)T

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg de Cisco Technical Tips Convention voor meer informatie over documentconventies.

Configureren

In dit gedeelte wordt de informatie gegeven die u kunt gebruiken om de functies te configureren die in dit document worden beschreven.

Opmerking: Gebruik het Opname Gereedschap (alleen geregistreerde klanten) om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt.

Deze twee nieuwe opdrachten worden toegevoegd om een pre-gedeeld sleutelencryptie mogelijk te maken:

key bestand-key password-encryptie [master key]
wachtwoordencryptie

De[master] is het wachtwoord/de toets die wordt gebruikt om alle andere toetsen in de routerconfiguratie te versleutelen met een AES-symmetrisch algoritme (Advance Encryption Standard). De master key is niet opgeslagen in de routerconfiguratie en kan op geen enkele manier worden gezien of verkregen tijdens verbinding met de router.

Zodra geconfigureerd wordt de hoofdtoets gebruikt om bestaande of nieuwe toetsen in de routerconfiguratie te versleutelen. Als de opdrachtregel niet op de opdrachtregel staat, dan vraagt de router de gebruiker om de toets in te voeren en hem opnieuw ter verificatie in te voeren. Als er al een toets bestaat, wordt de gebruiker gevraagd eerst de oude toets in te voeren. Toetsen worden niet versleuteld totdat u de opdracht Wachtwoordencryptie geeft.

De loper-toets kan worden gewijzigd (hoewel dit niet nodig zou moeten zijn, tenzij de toets op een of andere manier is gecompromitteerd) door de key te geven. commando opnieuw met de nieuwe [master-key]. Alle bestaande versleutelde toetsen in de routerconfiguratie worden opnieuw versleuteld met de nieuwe toets.

U kunt de hoofdtoets verwijderen wanneer u de geen sleutel..... Niettemin, geeft dit alle momenteel gevormde toetsen in de routerconfiguratie nutteloos toe (een waarschuwingsbericht toont dat dit gedetailleerd is en de hoofdsleutel wisst). Aangezien de hoofdtoets niet meer bestaat, kunnen de wachtwoorden van het type 6 niet worden versleuteld en door de router worden gebruikt.

Opmerking: Om veiligheidsredenen heeft noch de verwijdering van de hoofdtoets, noch de verwijdering van de opdracht voor wachtwoordencryptie de wachtwoorden in de routerconfiguratie verwijderd. Zodra de wachtwoorden zijn versleuteld, worden ze niet versleuteld. Bestaande versleutelde toetsen in de configuratie kunnen nog niet worden versleuteld, mits de hoofdtoets niet wordt verwijderd.

Daarnaast gebruikt u de opdracht wachtwoordvastlegging in de configuratie van de configuratie om meldingen van wachtwoordencryptie te zien.

Configuraties

Dit document gebruikt deze configuraties op de router:

De bestaande voorgedeelde sleutel versleutelen
Voeg interactief een nieuwe Master Key toe
De bestaande hoofdtoets interactief wijzigen
Verwijdert de hoofdtoets

De bestaande voorgedeelde sleutel versleutelen
Router#show running-config Building configuration... . .crypto isakmp policy 10 authentication pre-share crypto isakmp key cisco123 address 10.1.1.1 . . endRouter#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#key config-key password-encrypt testkey123 Router(config)#password encryption aes Router(config)#^Z Router# Router#show running-config Building configuration... . . password encryption aes . . crypto isakmp policy 10 authentication pre-share crypto isakmp key 6 FLgBaJHXdYY_AcHZZMgQ_RhTDJXHUBAAB address 10.1.1.1 . . end

De bestaande voorgedeelde sleutel versleutelen

Router#show running-config 
Building configuration...
.
.crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco123 address 10.1.1.1
.
.
endRouter#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#key config-key password-encrypt testkey123
Router(config)#password encryption aes
Router(config)#^Z
Router#
Router#show running-config 
Building configuration...
.
.
password encryption aes
.
.
crypto isakmp policy 10
 authentication pre-share
crypto isakmp key 6 FLgBaJHXdYY_AcHZZMgQ_RhTDJXHUBAAB address 10.1.1.1
.
.
end

Voeg interactief een nieuwe Master Key toe
Router(config)#key config-key password-encrypt New key: Confirm key: Router(config)#

De bestaande hoofdtoets interactief wijzigen
Router(config)#key config-key password-encrypt Old key: New key: Confirm key: Router(config)# *Jan 7 01:42:12.299: TYPE6_PASS: Master key change heralded, re-encrypting the keys with the new master key

De bestaande hoofdtoets interactief wijzigen

Router(config)#key config-key password-encrypt
 Old key: 
         
         
New key: 
         
         
Confirm key: 
         
         
Router(config)#
*Jan  7 01:42:12.299: TYPE6_PASS: Master key change heralded, 
re-encrypting the keys with the new master key

Verwijdert de hoofdtoets
Router(config)#no key config-key password-encrypt WARNING: All type 6 encrypted keys will become unusable Continue with master key deletion ? [yes/no]: yes Router(config)#

Revisiegeschiedenis

Revisie	Publicatiedatum	Opmerkingen
1.0	19-Jan-2006	Eerste vrijgave

Was dit document nuttig?

Feedback

Contact Cisco

Een ondersteuningscase openen
(Vereist een Cisco-servicecontract)