Cisco IOS®-softwarerelease 12.3(2)T-code introduceert de functionaliteit waarmee de router de ISAKMP vooraf gedeelde sleutel in veilig type 6-formaat kan versleutelen in niet-vluchtige RAM (NVRAM). De te versleutelen vooraf gedeelde sleutel kan als standaard, onder een ISAKMP-sleutelring, in agressieve modus of als groepswachtwoord worden ingesteld onder een EzVPN-server of client. Deze voorbeeldconfiguratie specificeert hoe u codering van zowel bestaande als nieuwe pre-Shared keys kunt instellen.
Er zijn geen specifieke vereisten van toepassing op dit document.
De informatie in dit document is gebaseerd op deze softwareversie:
Cisco IOS-softwarerelease 12.3(2)T
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Raadpleeg de Cisco Technical Tips Convention voor meer informatie over documentconventies.
In dit gedeelte wordt de informatie gegeven die u kunt gebruiken om de functies te configureren die in dit document worden beschreven.
Opmerking: Gebruik het Opname Gereedschap (alleen geregistreerde klanten) om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt.
Deze twee nieuwe opdrachten worden toegevoegd om een pre-gedeeld sleutelencryptie mogelijk te maken:
key bestand-key password-encryptie [master key]
wachtwoordencryptie
De[master] is het wachtwoord/de toets die wordt gebruikt om alle andere toetsen in de routerconfiguratie te versleutelen met een AES-symmetrisch algoritme (Advance Encryption Standard). De master key is niet opgeslagen in de routerconfiguratie en kan op geen enkele manier worden gezien of verkregen tijdens verbinding met de router.
Zodra geconfigureerd wordt de hoofdtoets gebruikt om bestaande of nieuwe toetsen in de routerconfiguratie te versleutelen. Als de opdrachtregel niet op de opdrachtregel staat, dan vraagt de router de gebruiker om de toets in te voeren en hem opnieuw ter verificatie in te voeren. Als er al een toets bestaat, wordt de gebruiker gevraagd eerst de oude toets in te voeren. Toetsen worden niet versleuteld totdat u de opdracht Wachtwoordencryptie geeft.
De loper-toets kan worden gewijzigd (hoewel dit niet nodig zou moeten zijn, tenzij de toets op een of andere manier is gecompromitteerd) door de key te geven. commando opnieuw met de nieuwe [master-key]. Alle bestaande versleutelde toetsen in de routerconfiguratie worden opnieuw versleuteld met de nieuwe toets.
U kunt de hoofdtoets verwijderen wanneer u de geen sleutel..... Niettemin, geeft dit alle momenteel gevormde toetsen in de routerconfiguratie nutteloos toe (een waarschuwingsbericht toont dat dit gedetailleerd is en de hoofdsleutel wisst). Aangezien de hoofdtoets niet meer bestaat, kunnen de wachtwoorden van het type 6 niet worden versleuteld en door de router worden gebruikt.
Opmerking: Om veiligheidsredenen heeft noch de verwijdering van de hoofdtoets, noch de verwijdering van de opdracht voor wachtwoordencryptie de wachtwoorden in de routerconfiguratie verwijderd. Zodra de wachtwoorden zijn versleuteld, worden ze niet versleuteld. Bestaande versleutelde toetsen in de configuratie kunnen nog niet worden versleuteld, mits de hoofdtoets niet wordt verwijderd.
Daarnaast gebruikt u de opdracht wachtwoordvastlegging in de configuratie van de configuratie om meldingen van wachtwoordencryptie te zien.
Dit document gebruikt deze configuraties op de router:
De bestaande voorgedeelde sleutel versleutelen |
---|
Router#show running-config Building configuration... . .crypto isakmp policy 10 authentication pre-share crypto isakmp key cisco123 address 10.1.1.1 . . endRouter#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#key config-key password-encrypt testkey123 Router(config)#password encryption aes Router(config)#^Z Router# Router#show running-config Building configuration... . . password encryption aes . . crypto isakmp policy 10 authentication pre-share crypto isakmp key 6 FLgBaJHXdYY_AcHZZMgQ_RhTDJXHUBAAB address 10.1.1.1 . . end |
Voeg interactief een nieuwe Master Key toe |
---|
Router(config)#key config-key password-encrypt New key: |
De bestaande hoofdtoets interactief wijzigen |
---|
Router(config)#key config-key password-encrypt Old key: |
Verwijdert de hoofdtoets |
---|
Router(config)#no key config-key password-encrypt WARNING: All type 6 encrypted keys will become unusable Continue with master key deletion ? [yes/no]: yes Router(config)# |
Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.
Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
19-Jan-2006 |
Eerste vrijgave |