IPsec Preferred Peer. IPsec Preferred Peer. Contenidos. Encontrar la información de la característica. Contenido

Transcripción

1 IPsec Preferred Peer Descargue este capítulo IPsec Preferred Peer Descargue el libro completo Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR (PDF - 5 MB) Feedback Contenidos IPsec Preferred Peer Encontrar la información de la característica Contenido Prerrequisitos para el Peer Preferido IPSec Restricciones de IPsec Preferred Peer Información sobre el Peer Preferido IPSec IPSec Dead Peer Detection Configuración Predeterminada de Peer Temporizadores Inactivos Uso del Temporizador de Inactividad de IPsec con el Peer Predeterminado Peers en Crypto Maps Cómo Configurar IPsec Preferred Peer Configurar a un par predeterminado Configurar el temporizador de inactividad Ejemplos de Configuración de IPsec Preferred Peer Configuración de un Peer Predeterminado: Ejemplo: Configuración de IPsec Idle Timer: Ejemplo: Referencias adicionales Documentos Relacionados MIB Asistencia Técnica Información sobre la Función IPsec Preferred Peer Glosario IPsec Preferred Peer Primera publicación: De marzo el 28 de 2005 Última actualización: De marzo el 28 de 2011 La seguridad IP (IPSec) prefirió al par que la característica permite que usted controle las circunstancias las cuales intentan a los peeres múltiples en una correspondencia de criptografía en un escenario de falla. Esta característica incluye las capacidades siguientes: Configuración de peer predeterminada Uso del temporizador ocioso del IPSec con el par predeterminado Encontrar la información de la característica Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea información de la característica para la sección del par preferido IPSec. Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a Una cuenta en el cisco.com no se requiere. Contenido Prerrequisitos para el Peer Preferido IPSec Restricciones de IPsec Preferred Peer Información sobre el Peer Preferido IPSec Cómo Configurar IPsec Preferred Peer Ejemplos de Configuración de IPsec Preferred Peer Referencias adicionales

2 Información sobre la Función IPsec Preferred Peer Glosario Prerrequisitos para el Peer Preferido IPSec Usted debe tener una correspondencia de criptografía correctamente definida, completa. Restricciones de IPsec Preferred Peer Par predeterminado: Esta característica se debe utilizar conjuntamente con el Dead Peer Detection (DPD). Es la más eficaz en un sitio remoto que ejecuta el DPD en el modo periódico. El DPD detecta el error de un dispositivo rápidamente y reajusta la lista del peer para intentar el par predeterminado para la conexión frustrada siguiente. Solamente un par puede ser señalado como el par predeterminado en una correspondencia de criptografía. El par predeterminado debe ser el primer par en la lista del peer. Uso del temporizador ocioso del IPSec con el par predeterminado: Esta característica trabaja solamente en la correspondencia de criptografía para la cual se configura. Usted no puede configurar la capacidad global para todas las correspondencias de criptografía. Si hay un temporizador de inactividad global, el valor de temporizador ocioso de la correspondencia de criptografía debe ser diferente del valor global; si no, el temporizador de inactividad no se agrega a la correspondencia de criptografía. Información sobre el Peer Preferido IPSec Para configurar el IPSec prefirió al par, usted necesita entender los conceptos siguientes: IPSec IPSec Dead Peer Detection Configuración Predeterminada de Peer Temporizadores Inactivos Uso del Temporizador de Inactividad de IPsec con el Peer Predeterminado Peers en Crypto Maps El IPSec es un marco de los estándares abiertos desarrollados por la Fuerza de tareas de ingeniería en Internet (IETF) (IETF). El IPSec proporciona la seguridad para la transmisión de la información vulnerable sobre las redes no protegidas tales como Internet. El IPSec actúa en la capa de red, protegiendo y autenticando los paquetes del Internet Protocol (IP) entre los dispositivos participantes del IPSec (pares), por ejemplo los routeres Cisco. El IPSec proporciona los servicios de seguridad de la red siguientes. Estos servicios son opcionales. Local Security (Seguridad local) la directiva dicta generalmente el uso de uno o más de estos servicios: Confidencialidad de los datos El remitente del IPSec puede cifrar los paquetes antes de transmitirlos a través de una red. Integridad de los datos El receptor del IPSec puede autenticar los paquetes enviados por el remitente del IPSec para asegurarse de que los datos no se han alterado durante la transmisión. Autenticación del origen de los datos El receptor del IPSec puede autenticar la fuente de los paquetes IPsec enviados. Anti-respuesta El receptor del IPSec puede detectar y rechazar los paquetes jugados de nuevo. Con el IPSec, los datos se pueden transmitir a través de una red pública sin el miedo de la observación, de la modificación, o del spoofing. Esto habilita las aplicaciones tales como Redes privadas virtuales (VPN), incluyendo los intranets, las extranets, y el acceso de usuario remoto. El IPSec proporciona los túneles seguros entre dos pares, tales como dos Routers. Se definen qué paquetes se consideran confidenciales y se deben enviar a través de estos túneles seguros, así como los parámetros que se deben utilizar para proteger estos paquetes confidenciales, especificando las características de estos túneles. Cuando el peer IPSec ve un paquete tan sensible, configura el túnel seguro apropiado y envía el paquete a través del túnel al peer remoto. Dead Peer Detection El cliente VPN utiliza un mecanismo de keepalive llamado el Dead Peer Detection (DPD) para marcar la Disponibilidad del dispositivo VPN en el otro lado de un túnel IPsec. Si la red es inusualmente ocupada o no fiable, usted puede aumentar el número de segundos que el cliente VPN espere antes de decidir si el par es no más activo. Los paquetes de keepalive no se envían si se recibe el tráfico. Esto baja el asociado de arriba con el DPD, porque en una red pesadamente cargada muy pocos paquetes de keepalive serán enviados porque el tráfico se está recibiendo en los túneles. Además, el DPD envía los paquetes de keepalive solamente si hay tráfico de usuarios a enviar (y ningún tráfico de usuarios se recibe). Usted puede configurar el Internet Key Exchange (IKE) DPD de modo que el DPD envíe los paquetes de keepalive independientemente de si hay datos de usuario de salida. Es decir, mientras no haya datos del usuario entrantes, los paquetes de keepalive se envían en el intervalo de keepalive configurado.

3 Configuración Predeterminada de Peer Si ocurre un tiempo de espera de la conexión, la conexión al par actual es cerrada. El comando set peer permite que usted configure al primer par como el par predeterminado. Si hay un par predeterminado, la próxima vez que se inicia una conexión, la conexión se dirige al par predeterminado en vez al par siguiente en la lista del peer. Si el par predeterminado es insensible, el par siguiente en la lista del peer hace el par actual y las conexiones futuras a través de la correspondencia de criptografía intentan a ese par. Esta capacidad es útil cuando el tráfico en un vículo físico para debido al error de un peer remoto. El DPD indica que el peer remoto es inasequible, pero que el par sigue siendo el par actual. Un par predeterminado facilita la Conmutación por falla a un par preferido que era previamente inasequible, pero ha vuelto al servicio. Los usuarios pueden dar la preferencia a ciertos pares en caso de Conmutación por falla. Esto es útil si la falla original era debido a un problema de conectividad de red bastante que el error del peer remoto. Temporizadores Inactivos Cuando un Cisco IOS Software corriente del router crea a una asociación de seguridad IPSec (SA) para un par, los recursos se deben afectar un aparato para mantener el SA. La SA requiere memoria y varios temporizadores administrados. Para los peers inactivos, estos recursos se pierden. Si los peers inactivos consumen muchos recursos, es posible que el router no pueda crear nuevas SA con otros peers. Los temporizadores de inactividad IPSec SA aumentan la Disponibilidad de los recursos borrando los SA asociados a los pares ociosos. Porque los temporizadores de inactividad IPSec SA previenen perder de los recursos de los pares ociosos, más recursos están disponibles crear los nuevos SA cuando sea necesario. Si los temporizadores de inactividad IPSec SA no se configuran, sólo los cursos de la vida globales para el SA de IPSec son aplicados. Las SAs se mantienen hasta que caducan los temporizadores globales, independientemente de la actividad del peer. Uso del Temporizador de Inactividad de IPsec con el Peer Predeterminado Si todas las conexiones al par actual miden el tiempo hacia fuera, la próxima vez que se inicia una conexión se dirige al par predeterminado configurado en el comando set peer. Si no configuran a un par predeterminado y hay un tiempo de espera de la conexión, el par actual sigue siendo el que midió el tiempo hacia fuera. Esta mejora ayuda a facilitar una Conmutación por falla a un par preferido que era previamente inasequible pero ahora está en el servicio. Peers en Crypto Maps Un conjunto de crypto maps puede contener múltiples entradas, cada una con una lista de acceso distinta. El router busca las entradas de correspondencia de criptografía en la orden, e intenta hacer juego el paquete a la lista de acceso especificada en esa entrada. Cuando un paquete hace juego permit una entrada en una lista de acceso determinada, y la entrada de correspondencia de criptografía de correspondencia se marca con etiqueta como Cisco, las conexiones se establecen con el peer remoto como se especifica en las sentencias de peer del conjunto dentro de la correspondencia de criptografía. Cómo Configurar IPsec Preferred Peer Esta sección contiene las siguientes tareas: Configurando a un par predeterminado (requerido) Configurando el temporizador de inactividad (opcional) Configurar a un par predeterminado Para configurar a un par predeterminado, realice los pasos siguientes. PASOS SUMARIOS 1. enable 2. configure terminal 3. []map-name seq-num del []ipsec-isakmpdel []dynamic dynamic-map-namedel []discoverde la correspondencia de criptografíaprofile profile-name 4. set peer{host-name[]dynamicdel []default ip-address []default} 5. PASOS DETALLADOS 1 2 Comando o acción enable Router> enable configure terminal Router# configure terminal Propósito Habilita el modo EXEC privilegiado. Ingrese su contraseña si se le pide que lo haga. Ingresa en el modo de configuración global.

4 3 4 5 crypto map map-name seq-num [ipsec-isakmp] [dynamic dynamic-map-name] [discover ] [profile profile-name] Router(config)# crypto map mymap 10 ipsec-isakmp set peer {host-name [ dynamic] [default] ipaddress [default] } set peer default Ingresa en el modo de configuración cryto map. Crea o modifica una entrada de crypto map, crea un perfil crypto que proporciona una plantilla para la configuración de crypto maps creados dinámicamente, o configura una lista de contabilización de cliente. Especifica un peer IPSec en una entrada de crypto map. Se asegura de que definan al primer par especificado como el par predeterminado. Sale del modo de configuración crypto map y vuelve al modo de configuración global. Configurar el temporizador de inactividad Para configurar el temporizador de inactividad, realice los pasos siguientes. PASOS SUMARIOS 1. enable 2. configure terminal 3. []map-name seq-num del []ipsec-isakmpdel []dynamic dynamic-map-namedel []discoverde la correspondencia de criptografíaprofile profile-name 4. set security-association idletime seconds []default 5. PASOS DETALLADOS Comando o acción enable Router> enable configure terminal Router# configure terminal crypto map map-name seq-num [ipsec-isakmp] [dynamic dynamic-map-name] [discover ] [profile profile-name] Router(config)# crypto map mymap 10 ipsec-isakmp set security-association idletime seconds [default] set security-association idletime 120 default Propósito Habilita el modo EXEC privilegiado. Ingrese su contraseña si se le pide que lo haga. Ingresa en el modo de configuración global. Ingresa en el modo de configuración cryto map. Crea o modifica una entrada de crypto map, crea un perfil crypto que proporciona una plantilla para la configuración de crypto maps creados dinámicamente, o configura una lista de contabilización de cliente. Especifica el tiempo máximo que el peer actual puede estar inactivo antes de utilizar el peer predeterminado. Sale del modo de configuración crypto map y vuelve al modo de configuración global. Ejemplos de Configuración de IPsec Preferred Peer Configuración de un Peer Predeterminado: Ejemplo: Configuración de IPsec Idle Timer: Ejemplo: Configuración de un Peer Predeterminado: Ejemplo: El siguiente ejemplo muestra que el primer par, en la dirección IP , es el par predeterminado:

5 crypto map tohub 1 ipsec-isakmp set peer default set peer Configuración de IPsec Idle Timer: Ejemplo: En el siguiente ejemplo, si el par actual está ocioso por 120 segundos, utilizan al par predeterminado (que fue especificado en el comando set peer) para la conexión frustrada siguiente: crypto map tohub 1 ipsec-isakmp set peer default set peer set security-association idletime 120 default Referencias adicionales Documentos Relacionados Tema relacionado Comandos de Cisco IOS IPSec Correspondencia de criptografía DPD Comandos de seguridad Título del documento El Cisco IOS domina los comandos list, todos las versiones Seguridad para los VPN con el IPSec Seguridad para los VPN con el IPSec Configurar el intercambio de claves de Internet para el IPSec VPN IPsec Dead Peer Detection Periodic Message Option Referencia de Comandos de Seguridad de Cisco IOS MIB MIB Link del MIB Ninguno. Para localizar y descargar el MIB para las plataformas elegidas, las versiones de Cisco IOS Software, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente: Asistencia Técnica Descripción Link El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com. Información sobre la Función IPsec Preferred Peer La Tabla 1 muestra el historial de versiones de esta función. Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a

6 Una cuenta en el cisco.com no se requiere. Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica. Nombre de la función Versiones Información sobre la Función IPsec Preferred Peer 12.3(14)T 12.2(33)SRA 12.2(33)SXH El IPSec prefirió al par que la característica permite que usted controle las circunstancias las cuales intentan a los peeres múltiples en una correspondencia de criptografía en un escenario de falla. En 12.3(14)T, esta característica fue introducida. En 12.2(33)SRA, esta característica, set peer (IPsec) el comando, y set security-association idle-time el comando eran integrados en esta versión. Glosario lista de acceso crypto Una lista que define qué tráfico IP será protegido por crypto y qué tráfico no será protegido por crypto. correspondencia de criptografía Una correspondencia que especifica qué tráfico se debe proteger por el IPSec, donde el tráfico protegido por IPSec debe ser enviado, y qué IPSec transforma los conjuntos se debe aplicar a este tráfico. Dead Peer Detection Una característica que permite que el router detecte a un par insensible. mensaje de keepalive Un mensaje enviado por un dispositivo de red para informar a otro dispositivo de red que el circuito virtual entre los dos es todavía activo. par Router o otro dispositivo que participan en el IPSec y el IKE. En el IPSec, los pares son los dispositivos o las entidades que comunican con seguridad con el intercambio de las claves o el intercambio de los Certificados digitales. SA: Asociación de seguridad. Un caso de la política de seguridad y del material de codificación se aplicó a un flujo de datos. Tanto IKE como IPsec usan SAs, aunque los SAs son independientes entre sí. El SA de IPSec es unidireccional y es único en cada Security Protocol. IKE SA es utilizado por el IKE solamente, y a diferencia IPSec SA, es bidireccional. IKE negocia y establece los SAs en nombre de IPsec. Un usuario también puede establecer el SA de IPSec manualmente. Se necesita un conjunto de SAs para una canalización de datos protegida, una por dirección y por protocolo. Por ejemplo, si usted tiene un tubo que soporte el Encapsulating Security Payload (ESP) entre los pares, un ESP SA se requiere para cada dirección. Los SA son identificados únicamente por el direccionamiento del destino (punto final de IPSec), el Security Protocol (AH o ESP), y el Security Parameter Index (SPI). transforme el conjunto Una combinación aceptable de protocolos de Seguridad, de algoritmos, y de otras configuraciones a aplicarse al tráfico protegido por IPSec. Durante la negociación de la asociación de seguridad IPSec, los pares acuerdan utilizar un detalle transforman el conjunto al proteger un flujo de datos determinado. Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at /go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R) Any Internet Protocol (IP) addresses and phone numbers used in this document are not intended to be actual addresses and phone numbers. Any examples, command display output, network topology diagrams, and other figures included in the document are shown for illustrative purposes only. Any use of actual IP addresses or phone numbers in illustrative content is unintentional and coincidental Cisco Systems, Inc. All rights reserved Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 2 Agosto