Recuperación no Válida del Security Parameter Index

Transcripción

1 Recuperación no Válida del Security Parameter Index Descargue este capítulo Recuperación no Válida del Security Parameter Index Descargue el libro completo Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR (PDF - 5 MB) Feedback Contenidos Recuperación no Válida del Security Parameter Index Encontrar la información de la característica Contenido Requisitos previos para la recuperación inválida del Security Parameter Index Restricciones para la recuperación inválida del Security Parameter Index Información sobre la recuperación inválida del Security Parameter Index Cómo la función de recuperación inválida del Security Parameter Index trabaja Cómo configurar la recuperación inválida del Security Parameter Index Configurar la recuperación inválida del Security Parameter Index Verificar la configuración inválida de la recuperación del Security Parameter Index Ejemplos de configuración para la recuperación inválida del Security Parameter Index Recuperación inválida del Security Parameter Index: Ejemplo: Referencias adicionales Documentos Relacionados MIB Asistencia Técnica Información de la característica para la recuperación inválida del Security Parameter Index Recuperación no Válida del Security Parameter Index Primera publicación: De julio el 25 de 2003 Última actualización: 5 de mayo de 2011 Cuando un error inválido del Security Parameter Index (mostrado como SPID inválido ) ocurre en el paquete de la seguridad IP (IPSec) que procesa, la función de recuperación inválida del Security Parameter Index permite una asociación de seguridad del Internet Key Exchange (IKE) (SA) ser establecida. El módulo IKE envía la notificación del error del SPID inválido al peer IPSec el originar de modo que asociación de seguridad que las bases de datos (SADBs) pueden ser resincronizadas y el proceso acertado del paquete puede ser reanudado. Encontrar la información de la característica Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea información de la característica para la sección de la recuperación inválida del Security Parameter Index. Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a Una cuenta en Cisco.com no se requiere. Contenido Requisitos previos para la recuperación inválida del Security Parameter Index Restricciones para la recuperación inválida del Security Parameter Index Información sobre la recuperación inválida del Security Parameter Index Cómo configurar la recuperación inválida del Security Parameter Index Ejemplos de configuración para la recuperación inválida del Security Parameter Index Referencias adicionales Información de la característica para la recuperación inválida del Security Parameter Index Requisitos previos para la recuperación inválida del Security Parameter Index Antes de configurar la función de recuperación inválida del Security Parameter Index, usted debe haber habilitado el Internet Key Exchange (IKE) y el IPSec en su router. Restricciones para la recuperación inválida del Security Parameter Index

2 Si IKE SA se está iniciando para notificar a un peer IPSec de un error del SPID inválido, hay el riesgo que un ataque de Negación de servicio (DoS) puede ocurrir. La función de recuperación inválida del Security Parameter Index tiene un mecanismo incorporado para minimizar tal riesgo, pero porque hay un riesgo, la función de recuperación inválida del Security Parameter Index no se habilita por abandono. Usted debe habilitar el comando usando el comando line interface(cli). Información sobre la recuperación inválida del Security Parameter Index Para utilizar la función de recuperación inválida del Security Parameter Index, usted debe entender el concepto siguiente. Cómo la función de recuperación inválida del Security Parameter Index trabaja Cómo la función de recuperación inválida del Security Parameter Index trabaja Un IPSec agujero negro ocurre cuando muere un peer IPSec (por ejemplo, un par puede morir si ocurre una reinicialización o si un peer IPSec consigue de alguna manera la restauración). Porque reajustan uno de los pares (el par de recepción) totalmente, pierde su IKE SA con el otro par. Generalmente, cuando un peer IPSec recibe un paquete para el cual no pueda encontrar un SA, intenta enviar un IKE SPID INVÁLIDO NOTIFICA el mensaje al terminal original de datos. Esta notificación se envía usando IKE SA. Si no hay IKE SA disponible, el par de recepción cae el paquete. ObserveA que la sola asociación de seguridad (SA) tiene solamente dos pares. Sin embargo, un SADB puede tener SA múltiples, por el que cada SA tenga una asociación con un diverso par. Cuando se encuentra un Security Parameter Index inválido (SPI), la característica inválida del Security Parameter Index preve configurar IKE SA con el terminal original de los datos, y se envía el IKE SPID INVÁLIDO NOTIFICA el mensaje. El par que originó los datos ve el SPID INVÁLIDO NOTIFICAR el mensaje y borra IPSec SA que tiene el SPID inválido. Si hay tráfico adicional del par el originar, no habrá ningún SA de IPSec, y los nuevos SA serán configurados. El tráfico fluirá otra vez. El comportamiento predeterminado (es decir, sin configurar la función de recuperación inválida del Security Parameter Index) es que el paquete de datos que causó el error del SPID inválido está caído. El par el originar guarda en el envío de los datos usando IPSec SA que tienen el SPID inválido, y el par de recepción guarda el caer del tráfico (así creando al agujero negro ). El módulo del IPSec utiliza el módulo IKE para enviar un IKE SPID INVÁLIDO NOTIFICA el mensaje al otro par. Una vez que la recuperación del SPID inválido existe, no debe haber caída significativa de los paquetes aunque la configuración pueda sí mismo IPSec SA dar lugar a la caída de algunos paquetes. Para configurar a su router para la función de recuperación inválida del Security Parameter Index, utilice crypto isakmp invalidspi-recovery el comando. IKE SA no será iniciado a menos que usted haya configurado este comando. Cómo configurar la recuperación inválida del Security Parameter Index Esta sección contiene el siguiente procedimiento. Configurar la recuperación inválida del Security Parameter Index Configurar la recuperación inválida del Security Parameter Index Para configurar la función de recuperación inválida del Security Parameter Index, realice los pasos siguientes. PASOS SUMARIOS 1. enable 2. configure terminal 3. crypto isakmp invalid-spi-recovery PASOS DETALLADOS Paso 1 Paso 2 Paso 3 Comando o acción enable Example: Router> enable configure terminal Example: Router# configure terminal crypto isakmp invalid-spi-recovery Example: Router (config)# crypto isakmp invalid-spi-recovery Propósito Habilita el modo EXEC privilegiado. Ingrese su contraseña si se le pide que lo haga. Ingresa en el modo de configuración global. Inicia el proceso del módulo IKE por el que el módulo IKE notifique al par de recepción que ha ocurrido un error del SPID inválido. Verificar la configuración inválida de la recuperación del Security Parameter Index Para determinar el estatus IPSec SA para el tráfico entre dos pares, usted puede utilizar show crypto ipsec sa el comando. Si

3 IPSec SA está disponible en un par y no en el otro, hay una situación del agujero negro, en este caso usted ve los errores del SPID inválido que son registrados para el par de recepción. Si usted da vuelta a la consola que abre una sesión o marca el servidor de Syslog, usted verá que estos errores también se están registrando. El cuadro 1 muestra la topología de una configuración típica de la configuración del preshared. El host 1 es el par de iniciación (iniciador), y el host 2 es el par de recepción (respondedor). Cuadro 1 topología de la configuración del preshared PASOS SUMARIOS Para verificar la configuración del preshared, realice los pasos siguientes. 1. Inicie el IKE y el SA de IPSec entre el host 1 y el host Borre el IKE y el SA de IPSec en el router B. 3. Envíe el tráfico del host 1 para recibir 2 y para asegurarse de que el IKE y el SA de IPSec están establecidos correctamente. 4. Marque para saber si hay un mensaje del SPID inválido en el router B. PASOS DETALLADOS Router A Paso 1 Inicie el IKE y el SA de IPSec entre el host 1 y el host 2. Router# show crypto isakmp sa f_vrf/i_vrf dst src state conn-id slot / QM_IDLE 1 0 Router B Router# show crypto isakmp sa f_vrf/i_vrf dst src state conn-id slot / QM_IDLE 1 0 Router A Router# show crypto ipsec sa interface fastethernet0/0 interface: FastEthernet0/0 Crypto map tag: testtag1, local addr protected vrf: local ident (addr/mask/prot/port): ( / /0/0) remote ident (addr/mask/prot/port): ( / /0/0) current_peer: :500 PERMIT, flags={origin_is_acl,} #pkts encaps: 10, #pkts encrypt: 10, #pkts digest: 10 #pkts decaps: 10, #pkts decrypt: 10, #pkts verify: 10

4 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: , remote crypto endpt.: path mtu 1500, media mtu 1500 current outbound spi: 7AA69CB7 inbound esp sas: spi: 0x249C5062( ) transform: esp-des esp-sha-hmac, slot: 0, conn id: 5123, flow_id: 1, crypto map: testtag1 sa timing: remaining key lifetime (k/sec): ( /3595) IV size: 8 bytes inbound ah sas: spi: 0xB16D1587( ) transform: ah-sha-hmac, slot: 0, conn id: 5121, flow_id: 1, crypto map: testtag1 sa timing: remaining key lifetime (k/sec): ( /3595) inbound pcp sas: outbound esp sas: spi: 0x7AA69CB7( ) transform: esp-des esp-sha-hmac, slot: 0, conn id: 5124, flow_id: 2, crypto map: testtag1

5 sa timing: remaining key lifetime (k/sec): ( /3595) IV size: 8 bytes outbound ah sas: spi: 0x1214F0D( ) transform: ah-sha-hmac, slot: 0, conn id: 5122, flow_id: 2, crypto map: testtag1 sa timing: remaining key lifetime (k/sec): ( /3594) outbound pcp sas: Router B Router# show crypto ipsec sa interface ethernet1/0 interface: Ethernet1/0 Crypto map tag: testtag1, local addr protected vrf: local ident (addr/mask/prot/port): ( / /0/0) remote ident (addr/mask/prot/port): ( / /0/0) current_peer: :500 PERMIT, flags={origin_is_acl,} #pkts encaps: 10, #pkts encrypt: 10, #pkts digest: 10 #pkts decaps: 10, #pkts decrypt: 10, #pkts verify: 10 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: , remote crypto endpt.: path mtu 1500, media mtu 1500 current outbound spi: 249C5062

6 inbound esp sas: spi: 0x7AA69CB7( ) transform: esp-des esp-sha-hmac, slot: 0, conn id: 5123, flow_id: 1, crypto map: testtag1 sa timing: remaining key lifetime (k/sec): ( /3593) IV size: 8 bytes inbound ah sas: spi: 0x1214F0D( ) transform: ah-sha-hmac, slot: 0, conn id: 5121, flow_id: 1, crypto map: testtag1 sa timing: remaining key lifetime (k/sec): ( /3593) inbound pcp sas: outbound esp sas: spi: 0x249C5062( ) transform: esp-des esp-sha-hmac, slot: 0, conn id: 5124, flow_id: 2, crypto map: testtag1 sa timing: remaining key lifetime (k/sec): ( /3593) IV size: 8 bytes outbound ah sas: spi: 0xB16D1587( ) transform: ah-sha-hmac,

7 slot: 0, conn id: 5122, flow_id: 2, crypto map: testtag1 sa timing: remaining key lifetime (k/sec): ( /3592) outbound pcp sas: Paso 2 Borre el IKE y el SA de IPSec en el router B. Router# clear crypto isakmp Router# clear crypto sa Router# show crypto isakmp sa f_vrf/i_vrf dst src state conn-id slot / MM_NO_STATE 1 0 (deleted) Router# show crypto ipsec sa interface: Ethernet1/0 Crypto map tag: testtag1, local addr protected vrf: local ident (addr/mask/prot/port): ( / /0/0) remote ident (addr/mask/prot/port): ( / /0/0) current_peer: :500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0

8 local crypto endpt.: , remote crypto endpt.: path mtu 1500, media mtu 1500 current outbound spi: 0 inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: Paso 3 Envíe el tráfico del host 1 para recibir 2 y para asegurarse de que el nuevos IKE y SA de IPSec están establecidos correctamente. ping Protocol [ip]: ip Target IP address: Repeat count [5]: 30 Datagram size [100]: 100 Timeout in seconds [2]: Extended commands [n]: no Sweep range of sizes [n]: n Type escape sequence to abort. Sending 30, 100-byte ICMP Echos to , timeout is 2 seconds:.. Success rate is 93 percent (28/30), round-trip min/avg/max = 1/3/8 ms RouterB# show crypto isakmp sa f_vrf/i_vrf dst src state conn-id slot / QM_IDLE 3 0

9 / MM_NO_STATE 1 0 (deleted) RouterB# show crypto ipsec sa interface: Ethernet1/0 Crypto map tag: testtag1, local addr protected vrf: local ident (addr/mask/prot/port): ( / /0/0) remote ident (addr/mask/prot/port): ( / /0/0) current_peer: :500 PERMIT, flags={origin_is_acl,} #pkts encaps: 28, #pkts encrypt: 28, #pkts digest: 28 #pkts decaps: 28, #pkts decrypt: 28, #pkts verify: 28 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: , remote crypto endpt.: path mtu 1500, media mtu 1500 current outbound spi: D763771F inbound esp sas: spi: 0xE7AB4256( ) transform: esp-des esp-sha-hmac, slot: 0, conn id: 5127, flow_id: 3, crypto map: testtag1 sa timing: remaining key lifetime (k/sec): ( /3596) IV size: 8 bytes inbound ah sas:

10 spi: 0xF9205CED( ) transform: ah-sha-hmac, slot: 0, conn id: 5125, flow_id: 3, crypto map: testtag1 sa timing: remaining key lifetime (k/sec): ( /3596) inbound pcp sas: outbound esp sas: spi: 0xD763771F( ) transform: esp-des esp-sha-hmac, slot: 0, conn id: 5128, flow_id: 4, crypto map: testtag1 sa timing: remaining key lifetime (k/sec): ( /3596) IV size: 8 bytes outbound ah sas: spi: 0xEB95406F( ) transform: ah-sha-hmac, slot: 0, conn id: 5126, flow_id: 4, crypto map: testtag1 sa timing: remaining key lifetime (k/sec): ( /3595) outbound pcp sas: RouterA# show crypto isakmp sa f_vrf/i_vrf dst src state conn-id slot / MM_NO_STATE 1 0 (deleted) / QM_IDLE 2 0

11 Paso 4 Marque para saber si hay un mensaje del SPID inválido en el router B. Router# show logging Syslog logging: enabled (10 messages dropped, 13 messages rate-limited, 0 flushes, 0 overruns, xml disabled) Console logging: disabled Monitor logging: level debugging, 0 messages logged, xml disabled Buffer logging: level debugging, 43 messages logged, xml disabled Logging Exception size (8192 bytes) Count and timestamp logging messages: disabled Trap logging: level informational, 72 message lines logged Log Buffer (8000 bytes): *Mar 24 20:55:45.739: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr= , prot=51, spi=0x1214f0d( ), srcaddr= *Mar 24 20:55:47.743: IPSEC(validate_proposal_request): proposal part #1, (key eng. msg.) INBOUND local= , remote= , local_proxy= / /0/0 (type=1), remote_proxy= / /0/0 (type=1), protocol= AH, transform= ah-sha-hmac, lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x2 *Mar 24 20:55:47.743: IPSEC(validate_proposal_request): proposal part #2, (key eng. msg.) INBOUND local= , remote= , local_proxy= / /0/0 (type=1), remote_proxy= / /0/0 (type=1), protocol= ESP, transform= esp-des esp-sha-hmac, lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x2 *Mar 24 20:55:47.743: IPSEC(kei_proxy): head = testtag1, map->ivrf =, kei->ivrf = *Mar 24 20:55:47.743: IPSEC(key_engine): got a queue event with 2 kei messages *Mar 24 20:55:47.743: IPSEC(spi_response): getting spi for SA from to for prot 2

12 *Mar 24 20:55:47.747: IPSEC(spi_response): getting spi for SA from to for prot 3 *Mar 24 20:55:48.071: IPSec: Flow_switching Allocated flow for flow_id *Mar 24 20:55:48.071: IPSec: Flow_switching Allocated flow for flow_id *Mar 24 20:55:48.135: IPSEC(key_engine): got a queue event with 4 kei messages *Mar 24 20:55:48.135: IPSEC(initialize_sas):, (key eng. msg.) INBOUND local= , remote= , local_proxy= / /0/0 (type=1), remote_proxy= / /0/0 (type=1), protocol= AH, transform= ah-sha-hmac, lifedur= 3600s and kb, spi= 0xF9205CED( ), conn_id= , keysize= 0, flags= 0x2 *Mar 24 20:55:48.135: IPSEC(initialize_sas):, (key eng. msg.) OUTBOUND local= , remote= , local_proxy= / /0/0 (type=1), remote_proxy= / /0/0 (type=1), protocol= AH, transform= ah-sha-hmac, lifedur= 3600s and kb, spi= 0xEB95406F( ), conn_id= , keysize= 0, flags= 0xA *Mar 24 20:55:48.135: IPSEC(initialize_sas):, (key eng. msg.) INBOUND local= , remote= , local_proxy= / /0/0 (type=1), remote_proxy= / /0/0 (type=1), protocol= ESP, transform= esp-des esp-sha-hmac, lifedur= 3600s and kb, spi= 0xE7AB4256( ), conn_id= , keysize= 0, flags= 0x2 *Mar 24 20:55:48.135: IPSEC(initialize_sas):, (key eng. msg.) OUTBOUND local= , remote= , local_proxy= / /0/0 (type=1), remote_proxy= / /0/0 (type=1), protocol= ESP, transform= esp-des esp-sha-hmac, lifedur= 3600s and kb, spi= 0xD763771F( ), conn_id= , keysize= 0, flags= 0xA *Mar 24 20:55:48.139: IPSEC(kei_proxy): head = testtag1, map->ivrf =, kei->ivrf = *Mar 24 20:55:48.139: IPSEC(mtree_add_ident): src , dest , dest_port 0

13 *Mar 24 20:55:48.139: IPSEC(create_sa): sa created, (sa) sa_dest= , sa_prot= 51, sa_spi= 0xF9205CED( ), sa_trans= ah-sha-hmac, sa_conn_id= *Mar 24 20:55:48.139: IPSEC(create_sa): sa created, (sa) sa_dest= , sa_prot= 51, sa_spi= 0xEB95406F( ), sa_trans= ah-sha-hmac, sa_conn_id= *Mar 24 20:55:48.139: IPSEC(create_sa): sa created, (sa) sa_dest= , sa_prot= 50, sa_spi= 0xE7AB4256( ), sa_trans= esp-des esp-sha-hmac, sa_conn_id= *Mar 24 20:55:48.139: IPSEC(create_sa): sa created, (sa) sa_dest= , sa_prot= 50, sa_spi= 0xD763771F( ), sa_trans= esp-des esp-sha-hmac, sa_conn_id= ipseca-72a# Ejemplos de configuración para la recuperación inválida del Security Parameter Index Esta sección proporciona el ejemplo de configuración siguiente. Recuperación inválida del Security Parameter Index: Ejemplo: Recuperación inválida del Security Parameter Index: Ejemplo: El siguiente ejemplo muestra que la recuperación inválida del Security Parameter Index se ha configurado en el router A y el router que B. Figure 1 muestra la topología usada para este ejemplo. Router A Router# show running-config Building configuration... Current configuration : 2048 bytes version 12.3 no service pad service timestamps debug datetime msec localtime service timestamps log datetime msec localtime no service password-encryption service tcp-small-servers hostname ipseca-71a

14 logging queue-limit 100 no logging console enable secret 5 $1$4GZB$L2YOmnenOCNAu0jgFxebT/ enable password lab clock timezone PST -8 clock summer-time PDT recurring ip subnet-zero no ip domain lookup ip cef ip audit notify log ip audit po max-events 100 mpls ldp logging neighbor-changes no ftp-server write-enable no voice hpi capture buffer no voice hpi capture destination crypto isakmp policy 1 authentication pre-share lifetime 180 crypto isakmp key address crypto isakmp invalid-spi-recovery crypto ipsec transform-set auth2 ah-sha-hmac esp-des esp-sha-hmac crypto map testtag1 10 ipsec-isakmp set peer set transform-set auth2

15 match address 150 controller ISA 5/1 interface FastEthernet0/0 ip address cef duplex full speed 100 crypto map testtag1 interface FastEthernet0/1 ip address cef duplex auto speed auto interface Serial1/0 serial restart_delay 0 clockrate interface Serial1/1 serial restart_delay 0 clockrate interface Serial1/2

16 serial restart_delay 0 interface Serial1/3 no keepalive serial restart_delay 0 clockrate ip classless ip route no ip http server no ip http secure-server access-list 150 permit ip host host dialer-list 1 protocol ip permit dialer-list 1 protocol ipx permit call rsvp-sync mgcp profile default line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 password lab

17 login end ipseca-71a# Router B Router# show running-config Building configuration... Current configuration : 2849 bytes version 12.3 no service pad service timestamps debug datetime msec localtime service timestamps log datetime msec localtime no service password-encryption service udp-small-servers service tcp-small-servers hostname ipseca-72a logging queue-limit 100 no logging console enable secret 5 $1$kKqL$5Th5Qhw1ubDkkK90KWFxi1 enable password lab clock timezone PST -8 clock summer-time PDT recurring ip subnet-zero no ip domain lookup

18 ip cef ip audit notify log ip audit po max-events 100 mpls ldp logging neighbor-changes no ftp-server write-enable no voice hpi capture buffer no voice hpi capture destination mta receive maximum-recipients 0 crypto isakmp policy 1 authentication pre-share lifetime 180 crypto isakmp key address crypto isakmp invalid-spi-recovery crypto ipsec transform-set auth2 ah-sha-hmac esp-des esp-sha-hmac crypto map testtag1 10 ipsec-isakmp set peer set transform-set auth2 match address 150 controller ISA 5/1 interface FastEthernet0/0

19 duplex half interface Ethernet1/0 ip address cef duplex half crypto map testtag1 interface Ethernet1/1 ip address cef duplex half interface Ethernet1/2 duplex half interface Ethernet1/3 duplex half interface Ethernet1/4 duplex half interface Ethernet1/5

20 duplex half interface Ethernet1/6 duplex half interface Ethernet1/7 duplex half interface Serial3/0 serial restart_delay 0 interface Serial3/1 serial restart_delay 0 clockrate interface Serial3/2

21 serial restart_delay 0 interface Serial3/3 no keepalive serial restart_delay 0 clockrate ip classless ip route no ip http server no ip http secure-server access-list 150 permit ip host host dialer-list 1 protocol ip permit dialer-list 1 protocol ipx permit call rsvp-sync mgcp profile default dial-peer cor custom gatekeeper

22 line con 0 exec-timeout 0 0 stopbits 1 line aux 0 stopbits 1 line vty 0 4 password lab login end Referencias adicionales Documentos Relacionados Tema relacionado Configurar el IKE Comandos interface Título del documento Configurar el intercambio de claves de Internet para el IPSec VPN El Cisco IOS domina el comando list MIB MIB Link del MIB Ninguno. Para localizar y descargar el MIB para las plataformas elegidas, las versiones de Cisco IOS Software, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente: Asistencia Técnica Descripción Link El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com. Información de la característica para la recuperación inválida del Security Parameter Index La Tabla 1 muestra el historial de versiones de esta función. Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a Una cuenta en el cisco.com no se requiere.

23 Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica. Nombre de la función Versiones Información sobre la Función Recuperación no Válida del Security Parameter Index 12,3(2)T 12.2(18)SXE Cuando un error inválido del Security Parameter Index (mostrado como SPID inválido ) ocurre en el paquete de la seguridad IP (IPSec) que procesa, la función de recuperación inválida del Security Parameter Index permite una asociación de seguridad del Internet Key Exchange (IKE) (SA) ser establecida. El módulo IKE envía la notificación del error del SPID inválido al peer IPSec el originar de modo que asociación de seguridad que las bases de datos (SADBs) pueden ser resincronizadas y el proceso acertado del paquete puede ser reanudado. Esta característica fue introducida en el Cisco IOS Release 12.3(2)T. Esta función se integró en Cisco IOS Release 12.2(18)SXE. El siguiente comando fue introducido o modificado: crypto isakmp invalid-spi-recovery Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at /go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R) Any Internet Protocol (IP) addresses and phone numbers used in this document are not intended to be actual addresses and phone numbers. Any examples, command display output, network topology diagrams, and other figures included in the document are shown for illustrative purposes only. Any use of actual IP addresses or phone numbers in illustrative content is unintentional and coincidental Cisco Systems, Inc. All rights reserved Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 2 Agosto