IPsec Dead Peer Detection Periodic Message Option

Transcripción

1 IPsec Dead Peer Detection Periodic Message Option Descargue este capítulo IPsec Dead Peer Detection Periodic Message Option Descargue el libro completo Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR (PDF - 5 MB) Feedback Contenidos Dead Peer Detection del IPSec periódico Encontrar la información de la característica Contenido Requisitos previos para el Dead Peer Detection del IPSec periódico Restricciones para el Dead Peer Detection del IPSec periódico Información sobre el Dead Peer Detection del IPSec Opción de Mensaje Periódico Cómo Funcionan las Funciones DPD y Cisco IOS Keepalive Uso de IPsec Dead Peer Detection Periodic Message Option Usando el DPD y las Funciones keepalives del Cisco IOS con los peeres múltiples en la correspondencia de criptografía Uso de DPD en una Configuración Easy VPN Remote Cómo configurar el Dead Peer Detection del IPSec periódico Configuración de un Mensaje DPD Periódico Configurar el DPD y el Keepalives del Cisco IOS con los peeres múltiples en la correspondencia de criptografía Configuración de DPD para Easy VPN Remote Verificación de que DPD está Habilitado Ejemplos de configuración para el Dead Peer Detection del IPSec Opción de Mensaje Periódico Configuración de Sitio a Sitio con el DPD Periódico Habilitado: Ejemplo: Easy VPN Remote con DPD Habilitado: Ejemplo: Verificación de la Configuración de DPD con el Comando debug crypto isakmp: Ejemplo: DPD y Cisco IOS Keepalives Usados Conjuntamente con Varios Peers en una Crypto Map: Ejemplo: DPD Usado Conjuntamente con varios Peers para un Easy VPN Remote: Ejemplo: Referencias adicionales Documentos Relacionados Estándares MIB RFC Asistencia Técnica Información de la característica para la opción del mensaje periódico del Dead Peer Detection del IPSec Dead Peer Detection del IPSec periódico Primera publicación: 1 de mayo de 2004 Última actualización: De marzo el 24 de 2011 La característica de la opción del mensaje periódico del Dead Peer Detection del IPSec se utiliza para configurar al router para preguntar la vivacidad de su par del Internet Key Exchange (IKE) a intervalos regulares. La ventaja de este enfoque sobre el enfoque predeterminado (detección de peer muerto bajo demanda) es una detección más temprana de peers muertos. Encontrar la información de la característica Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea información de la característica para la sección de la opción del mensaje periódico del Dead Peer Detection del IPSec. Utilice Cisco Feature Navigator para buscar información sobre el soporte de plataformas y el soporte de imágenes del software Cisco IOS y Catalyst OS. Para acceder a Cisco Feature Navigator, vaya a Una cuenta en

2 Cisco.com no se requiere. Contenido Requisitos previos para la opción del mensaje periódico del Dead Peer Detection del IPSec Restricciones para la opción del mensaje periódico del Dead Peer Detection del IPSec Información sobre la opción del mensaje periódico del Dead Peer Detection del IPSec Cómo configurar la opción del mensaje periódico del Dead Peer Detection del IPSec Ejemplos de configuración para la opción del mensaje periódico del Dead Peer Detection del IPSec Referencias adicionales Información de la característica para la opción del mensaje periódico del Dead Peer Detection del IPSec Message_Option"> Requisitos previos para el Dead Peer Detection del IPSec periódico Antes de configurar la característica de la opción del mensaje periódico del Dead Peer Detection del IPSec, usted debe tener el siguiente: Familiaridad con configurar la seguridad IP (IPSec). Un par IKE que soporta DPD (Dead Peer Detection). Las implementaciones que soportan el DPD incluyen el concentrador, el Cisco PIX Firewall, el Cliente Cisco VPN, y el Cisco IOS Software del Cisco VPN 3000 en todos los modos de operación sitio a localizar, Easy VPN Remote, y Easy VPN Server. Message_Option"> Restricciones para el Dead Peer Detection del IPSec periódico Usando el DPD periódico potencialmente permite que el router detecte a un par insensible IKE con un mejor tiempo de respuesta cuando está comparado al DPD a pedido. Sin embargo, el uso del DPD periódico incurre en los gastos indirectos adicionales. Al comunicar a un gran número de pares IKE, usted debe considerar usar el DPD a pedido en lugar de otro. Periodic_Message_Option"> Información sobre el Dead Peer Detection del IPSec Opción de Mensaje Periódico Para configurar la opción del mensaje periódico del Dead Peer Detection del IPSec, usted debe entender los conceptos siguientes: Cómo Funcionan las Funciones DPD y Cisco IOS Keepalive Uso de IPsec Dead Peer Detection Periodic Message Option Usando el DPD y las Funciones keepalives del Cisco IOS con los peeres múltiples en la correspondencia de criptografía Uso de DPD en una Configuración Easy VPN Remote Cómo Funcionan las Funciones DPD y Cisco IOS Keepalive DPD y función del Keepalives del Cisco IOS en base del temporizador. Si el temporizador se fija por 10 segundos, el router envía un mensaje de saludo cada 10 segundos (a menos que, por supuesto, el router recibe un mensaje de saludo del par). La ventaja del Keepalives IOS y del DPD periódico es detección anterior de peeres muertos. Sin embargo, el Keepalives IOS y el DPD periódico confían en los mensajes periódicos que tienen que ser enviados con la considerable frecuencia. El resultado de enviar los mensajes frecuentes es que los pares de comunicación deben cifrar y desencriptar más paquetes. El DPD también tiene un acercamiento a pedido. El acercamiento a pedido que pone en contraste es el valor por defecto. Con el DPD a pedido, los mensajes se envían en base de los patrones de tráfico. Por ejemplo, si un router tiene que enviar el tráfico saliente y la vivacidad del par es cuestionable, el router envía un mensaje DPD para preguntar el estatus del par. Si un router no tiene ningún tráfico a enviar, nunca envía un mensaje DPD. Si un par está muerto, y el router nunca tiene cualquier tráfico a enviar al par, el router no descubre que esto hasta el IKE o la asociación de seguridad IPSec (SA) tiene que ser reintroducido (la vivacidad del par es poco importante si el router no está intentando comunicar con el par). Por otra parte, si el router tiene tráfico a enviar al par, y el par no responde, el router inicia un mensaje DPD para determinar el estado del par. Uso de IPsec Dead Peer Detection Periodic Message Option Con la característica de la opción del mensaje periódico del Dead Peer Detection del IPSec, usted puede configurar a su router de modo que los mensajes DPD sean forzados a intervalos regulares. Esto forzó los resultados del acercamiento en la detección anterior de peeres muertos. Por ejemplo, si un router no tiene ningún tráfico a enviar, un mensaje DPD todavía se envía a intervalos regulares, y si un par está muerto, el router no tiene que esperar hasta los tiempos IKE SA hacia fuera para descubrir. Si usted quiere configurar la opción del mensaje periódico DPD, usted debe utilizar crypto isakmp keepalive el comando con periodic la palabra clave. Si usted no configura periodic la palabra clave, los valores predeterminados del router al acercamiento a pedido.

3 Observecuando crypto isakmp keepalive el comando se configura, el Cisco IOS Software negocia el uso del Keepalives del Cisco IOS o del DPD, dependiendo cuyo de protocolo el par soporta. with_multiple_peers_in_the_crypto_map"> Usando el DPD y las Funciones keepalives del Cisco IOS con los peeres múltiples en la correspondencia de criptografía Las Funciones keepalives DPD y IOS se pueden utilizar conjuntamente con los peeres múltiples en la correspondencia de criptografía para tener en cuenta la Conmutación por falla apátrida. El DPD permite que el router detecte a un par muerto IKE, y cuando el router detecta el estado muerto, el router borra el IPSec y el IKE SA al par. Si usted configura a los peeres múltiples, los switches del router encima al par mencionado siguiente para una Conmutación por falla apátrida. Uso de DPD en una Configuración Easy VPN Remote El DPD se puede utilizar en una configuración VNP remota sencilla. Vea la sección el configurar del DPD para sección de un Easy VPN Remote. Message_Option"> Cómo configurar el Dead Peer Detection del IPSec periódico Esta sección contiene las siguientes tareas: Configuración de un Mensaje DPD Periódico Configurar el DPD y el Keepalives del Cisco IOS con los peeres múltiples en la correspondencia de criptografía Configuración de DPD para Easy VPN Remote Verificación de que DPD está Habilitado Configuración de un Mensaje DPD Periódico Para configurar un mensaje periódico DPD, realice los pasos siguientes. PASOS SUMARIOS 1. enable 2. configure terminal 3. crypto isakmp keepalive seconds[]retry-seconds[periodic on-demand] PASOS DETALLADOS Comando o acción enable Router> enable configure terminal Router# configure terminal crypto isakmp keepalive seconds [retryseconds] [ periodic ondemand] Router (config)# crypto isakmp keepalive 10 periodic Propósito Habilita el modo EXEC privilegiado. Ingrese su contraseña si se le pide que lo haga. Ingresa en el modo de configuración global. Permite que el gateway envíe los mensajes DPD al par. seconds Cuando periodic se utiliza la palabra clave, este argumento es el número de segundos entre los mensajes DPD; el rango es a partir 10 a 3600 segundos. Cuando on-demand se utiliza la palabra clave, este argumento es el número de segundos durante los cuales el tráfico no se reciba del par antes de que se envíen los mensajes de la recomprobación DPD si hay tráfico de los datos (IPSec) a enviar; el rango es a partir 10 a 3600 segundos. Observesi usted no especifican un intervalo de tiempo, aparece un mensaje de error. retry-seconds Número (opcional) de segundos entre los mensajes de la recomprobación DPD si el mensaje de la recomprobación DPD es faltado por el par; el rango es a partir 2 a 60 segundos. Una vez que 1 mensaje DPD es faltado por el par, el router se traslada a un estado más agresivo y envía el mensaje de la recomprobación DPD en el intervalo entre reintentos más

4 rápido, que es el número de segundos entre las recomprobaciones DPD si el mensaje DPD es faltado por el par. El mensaje de la recomprobación del valor por defecto DPD se envía cada 2 segundos. Cinco mensajes agresivos de la recomprobación DPD pueden ser faltados antes de que el túnel se marque como abajo. Observepara configurar el DPD con alta disponibilidad de IPSec (HA), la recomendación es utilizar un valor con excepción del valor por defecto (que es 2 segundos). Un temporizador KEEPALIVE de 10 segundos con 5 recomprobaciones parece trabajar bien con el HA debido al tiempo que toma para que el router consiga en el modo activo. periodic Los mensajes (opcionales) DPD se envían a intervalos regulares. on-demand (Opcional) el comportamiento predeterminado. Las recomprobaciones DPD se envían a pedido. Observeporque esta opción es el valor por defecto, ondemand la palabra clave no aparece en el resultado de la configuración. in_the_crypto_map"> Configurar el DPD y el Keepalives del Cisco IOS con los peeres múltiples en la correspondencia de criptografía Para configurar el Keepalives DPD y IOS que se utilizará conjuntamente con la correspondencia de criptografía para tener en cuenta la Conmutación por falla apátrida, realice los pasos siguientes. Esta configuración hace a un router completar un ciclo a través de la lista del peer cuando detecta que el primer par está muerto. PASOS SUMARIOS 1. enable 2. configure terminal 3. crypto map map-name seq-num ipsec-isakmp 4. set peer {host-name []dynamic ip-address} 5. set transform-set transform-set-name 6. match address [access-list-id name] PASOS DETALLADOS Comando o acción enable Router> enable configure terminal Router# configure terminal crypto map map-name seq-num ipsec-isakmp Router (config)# crypto map green 1 ipsec-isakmp Propósito Habilita el modo EXEC privilegiado. Ingrese su contraseña si se le pide que lo haga. Ingresa en el modo de configuración global. Ingresa al modo de configuración de la correspondencia de criptografía y crea o modifica una entrada de correspondencia de criptografía. ipsec-isakmp La palabra clave indica que el IKE está utilizado para establecer el SA de IPSec para proteger el tráfico especificado por esta entrada de correspondencia de criptografía. 4 5 set peer {host-name [dynamic] ipaddress} Router (configcrypto-map)# set peer set transform-set transform-set-name Especifica un peer IPSec en una entrada de crypto map. Usted puede especificar a los peeres múltiples relanzando este comando. Especifica qué conjuntos de transformación se pueden utilizar con la entrada de crypto map. Usted puede especificar más de uno transforma el

5 6 Router (configcrypto-map)# set transform-set txfm match address [ access-list-id name] Router (configcrypto-map)# match address 101 nombre del conjunto relanzando este comando. Especifica una lista de acceso ampliada para una entrada de crypto map. Configuración de DPD para Easy VPN Remote Para configurar el DPD en una configuración VNP remota sencilla, realice los pasos siguientes. Esta configuración también hace a un router completar un ciclo a través de la lista del peer cuando detecta que el primer par está muerto. El KeepalivesIOS de la nota no se soporta para las configuraciones VNP remotas sencillas. PASOS SUMARIOS 1. enable 2. configure terminal 3. crypto ipsec client ezvpn name 4. connect {auto manual} 5. group group-name key group-key 6. mode {client network-extension} 7. peer {ipaddress hostname} PASOS DETALLADOS enable Router> enable configure terminal Router# configure terminal crypto ipsec client ezvpn name Router (config)# crypto ipsec client ezvpn ezvpn-config1 connect {auto manual} Router (config-cryptoezvpn)# connect manual group group-name key group-key Router (config-cryptoezvpn)# group unity key preshared mode {client networkextension} Router (config-cryptoezvpn)# mode client peer {ipaddress hostname} Router (config-cryptoezvpn)# peer Habilita el modo EXEC privilegiado. Ingrese su contraseña si se le pide que lo haga. Ingresa en el modo de configuración global. Crea una configuración remota de Cisco Easy VPN e ingresa al modo de configuración remota de Cisco Easy VPN. Establece y termina manualmente un túnel del IPSec VPN a pedido. auto La opción de palabra clave es la configuración predeterminada. Especifica el nombre del grupo y el valor de la clave para la conexión de Red privada virtual (VPN). Especifica el modo de operación VPN del router. Fija el IP Address de Peer o el nombre del host para la conexión VPN. Un nombre de host puede ser especificado solamente cuando el router tiene un servidor DNS disponible para la resolución del hostname.

6 Este comando se puede relanzar las épocas múltiples. Verificación de que DPD está Habilitado El DPD permite que el router borre el estado IKE cuando un par hace inalcanzable. Si se habilita el DPD y el par es inalcanzable por algún tiempo, usted puede utilizar clear crypto session el comando manualmente IKE claro y el SA de IPSec. debug crypto isakmp El comando se puede utilizar para verificar que el DPD está habilitado. PASOS SUMARIOS 1. enable 2. clear crypto session [[]local ip-address port local-portdel [[]]remote ip-address port remote-port] []fvrf vrf-namedel [] ivrf vrf-name 3. debug crypto isakmp PASOS DETALLADOS 1 enable Router> enable Habilita el modo EXEC privilegiado. Ingrese su contraseña si se le pide que lo haga. 2 clear crypto session [local ip-address [port local-port]] [remote ip-address [port remote-port]] [fvrf vrf-name] [ivrf vrfname] Sesiones de criptografía de las cancelaciones (IPSec y IKE SA). 3 Router# clear crypto session debug crypto isakmp Router# debug crypto isakmp Muestra mensajes sobre los eventos IKE. Periodic_Message_Option"> Ejemplos de configuración para el Dead Peer Detection del IPSec Opción de Mensaje Periódico Esta sección proporciona los siguientes ejemplos de configuración: Configuración de Sitio a Sitio con el DPD Periódico Habilitado: Ejemplo: Easy VPN Remote con DPD Habilitado: Ejemplo: Verificación de la Configuración de DPD con el Comando debug crypto isakmp: Ejemplo: DPD y Cisco IOS Keepalives Usados Conjuntamente con Varios Peers en una Crypto Map: Ejemplo: DPD Usado Conjuntamente con varios Peers para un Easy VPN Remote: Ejemplo: Configuración de Sitio a Sitio con el DPD Periódico Habilitado: Ejemplo: Las configuraciones siguientes están para un sitio a localizar puesto sin el DPD periódico habilitado. Las configuraciones están para la directiva de la fase 1 IKE y para la clave del preshared IKE. Directiva de la fase 1 IKE crypto isakmp policy 1 encryption 3des authentication pre-share group 2 Clave del preshared IKE crypto isakmp key kd94j1ksldz address crypto isakmp keepalive 10 periodic crypto ipsec transform-set esp-3des-sha esp-3des esp-sha-hmac crypto map test 1 ipsec-isakmp

7 set peer set transform-set esp-3des-sha match address 101 interface FastEthernet0 ip address speed auto crypto map test Easy VPN Remote con DPD Habilitado: Ejemplo: La configuración siguiente dice al router enviar un mensaje periódico DPD cada 30 segundos. Si el par no puede responder al mensaje DPD R_U_THERE, el router vuelve a enviar el mensaje cada 20 segundos (cuatro transmisiones en conjunto). crypto isakmp keepalive periodic crypto ipsec client ezvpn ezvpn-config connect auto group unity key preshared mode client peer interface Ethernet0 ip address half-duplex crypto ipsec client ezvpn ezvpn-config inside interface FastEthernet0 ip address speed auto crypto ipsec client ezvpn ezvpn-config outside Verificación de la Configuración de DPD con el Comando debug crypto isakmp: Ejemplo: La salida de muestra siguiente debug crypto isakmp del comando verifica que el IKE DPD esté habilitado: *Mar 25 15:17:14.131: ISAKMP:(0:1:HW:2):IKE_DPD is enabled, initializing timers Para ver que el IKE DPD está habilitado (y que el par soporta el DPD): cuando se habilita el DPD periódico, usted debe ver los mensajes siguientes del debug en el intervalo especificado por el comando: *Mar 25 15:18:52.107: ISAKMP:(0:1:HW:2): sending packet to my_port *Mar 25 15:18:52.107: ISAKMP:(0:1:HW:2):purging node *Mar 25 15:18:52.111: IKE_TIMER_IM_ALIVE

8 *Mar 25 15:18:52.111: ISAKMP:(0:1:HW:2):Old State = New State = El mensaje antedicho corresponde a enviar el mensaje DPD R_U_THERE. *Mar 25 15:18:52.123: ISAKMP (0: ): received packet from dport 500 sport 500 Global (I) QM_IDLE *Mar 25 15:18:52.123: ISAKMP: set new node to QM_IDLE *Mar 25 15:18:52.131: ISAKMP:(0:1:HW:2): processing HASH payload. message ID = *Mar 25 15:18:52.131: ISAKMP:(0:1:HW:2): processing NOTIFY R_U_THERE_ACK protocol 1 spi 0, message ID = , sa = 81BA4DD4 *Mar 25 15:18:52.135: ISAKMP:(0:1:HW:2): DPD/R_U_THERE_ACK received from peer , sequence 0x9 *Mar 25 15:18:52.135: ISAKMP:(0:1:HW:2):deleting node error FALSE reason "informational (in) state 1" *Mar 25 15:18:52.135: ISAKMP:(0:1:HW:2):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY *Mar 25 15:18:52.135: ISAKMP:(0:1:HW:2):Old State = New State = El mensaje antedicho corresponde a recibir el mensaje del reconocimiento (ACK) del par. Router# *Mar 25 15:47:35.335: ISAKMP: set new node to QM_IDLE *Mar 25 15:47:35.343: ISAKMP:(0:1:HW:2): sending packet to my_port *Mar 25 15:47:35.343: ISAKMP:(0:1:HW:2):purging node *Mar 25 15:47:35.347: IKE_TIMER_IM_ALIVE *Mar 25 15:47:35.347: ISAKMP:(0:1:HW:2):Old State = New State = *Mar 25 15:47:36.611: ISAKMP:(0:1:HW:2):purging node *Mar 25 15:47:37.343: ISAKMP:(0:1:HW:2):incrementing error counter on sa: PEERS_ALIVE_TIMER *Mar 25 15:47:37.343: ISAKMP: set new node to QM_IDLE *Mar 25 15:47:37.351: ISAKMP:(0:1:HW:2): sending packet to my_port *Mar 25 15:47:37.351: ISAKMP:(0:1:HW:2):purging node *Mar 25 15:47:37.355: IKE_TIMER_PEERS_ALIVE *Mar 25 15:47:37.355: ISAKMP:(0:1:HW:2):Old State = New State =

9 *Mar 25 15:47:39.355: ISAKMP:(0:1:HW:2):incrementing error counter on sa: PEERS_ALIVE_TIMER *Mar 25 15:47:39.355: ISAKMP: set new node to QM_IDLE *Mar 25 15:47:39.363: ISAKMP:(0:1:HW:2): sending packet to my_port *Mar 25 15:47:39.363: ISAKMP:(0:1:HW:2):purging node *Mar 25 15:47:39.367: IKE_TIMER_PEERS_ALIVE *Mar 25 15:47:39.367: ISAKMP:(0:1:HW:2):Old State = New State = *Mar 25 15:47:41.367: ISAKMP:(0:1:HW:2):incrementing error counter on sa: PEERS_ALIVE_TIMER *Mar 25 15:47:41.367: ISAKMP: set new node to QM_IDLE *Mar 25 15:47:41.375: ISAKMP:(0:1:HW:2): sending packet to my_port *Mar 25 15:47:41.379: ISAKMP:(0:1:HW:2):purging node *Mar 25 15:47:41.379: IKE_TIMER_PEERS_ALIVE *Mar 25 15:47:41.379: ISAKMP:(0:1:HW:2):Old State = New State = *Mar 25 15:47:43.379: ISAKMP:(0:1:HW:2):incrementing error counter on sa: PEERS_ALIVE_TIMER *Mar 25 15:47:43.379: ISAKMP: set new node to QM_IDLE *Mar 25 15:47:43.387: ISAKMP:(0:1:HW:2): sending packet to my_port *Mar 25 15:47:43.387: ISAKMP:(0:1:HW:2):purging node *Mar 25 15:47:43.391: IKE_TIMER_PEERS_ALIVE *Mar 25 15:47:43.391: ISAKMP:(0:1:HW:2):Old State = New State = *Mar 25 15:47:45.391: ISAKMP:(0:1:HW:2):incrementing error counter on sa: PEERS_ALIVE_TIMER *Mar 25 15:47:45.391: ISAKMP:(0:1:HW:2):peer not responding *Mar 25 15:47:45.391: ISAKMP:(0:1:HW:2):peer does not do paranoid keepalives. *Mar 25 15:47:45.391: ISAKMP:(0:1:HW:2):deleting SA reason "peers alive" state (I) QM_IDLE (peer ) input queue 0

10 *Mar 25 15:47:45.395: ISAKMP: Unlocking IPSEC struct 0x81E5C4E8 from delete_siblings, count 0 *Mar 25 15:47:45.395: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is DOWN. Peer :500 Id: *Mar 25 15:47:45.399: ISAKMP: set new node to QM_IDLE *Mar 25 15:47:45.411: ISAKMP:(0:1:HW:2): sending packet to my_port *Mar 25 15:47:45.411: ISAKMP:(0:1:HW:2):purging node *Mar 25 15:47:45.411: IKE_TIMER_PEERS_ALIVE *Mar 25 15:47:45.411: ISAKMP:(0:1:HW:2):Old State = New State = IKE_DEST_SA *Mar 25 15:47:45.415: ISAKMP:(0:1:HW:2):deleting SA reason "peers alive" state (I) QM_IDLE (peer ) input queue 0 *Mar 25 15:47:45.415: ISAKMP: Unlocking IKE struct 0x81E5C4E8 for isadb_mark_sa_deleted(), count 0 *Mar 25 15:47:45.415: ISAKMP: Deleting peer node by peer_reap for : 81E5C4E8 *Mar 25 15:47:45.415: ISAKMP:(0:1:HW:2):deleting node error TRUE reason "peers alive" *Mar 25 15:47:45.415: ISAKMP:(0:1:HW:2):deleting node error TRUE reason "peers alive" *Mar 25 15:47:45.419: ISAKMP:(0:1:HW:2):deleting node error TRUE reason "peers alive" *Mar 25 15:47:45.419: ISAKMP:(0:1:HW:2):deleting node error TRUE reason "peers alive" *Mar 25 15:47:45.419: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL *Mar 25 15:47:45.419: ISAKMP:(0:1:HW:2):Old State = IKE_DEST_SA New State = IKE_DEST_SA *Mar 25 15:47:45.419: ISAKMP: received ke message (4/1) *Mar 25 15:47:45.419: ISAKMP: received ke message (3/1) *Mar 25 15:47:45.423: ISAKMP: ignoring request to send delete notify (no ISAKMP sa) src dst for SPI 0x3A7B69BF *Mar 25 15:47:45.423: ISAKMP:(0:1:HW:2):deleting SA reason "" state (I) MM_NO_STATE (peer ) input queue 0 *Mar 25 15:47:45.423: ISAKMP:(0:1:HW:2):deleting node error FALSE reason ""

11 *Mar 25 15:47:45.423: ISAKMP:(0:1:HW:2):deleting node error FALSE reason "" *Mar 25 15:47:45.423: ISAKMP:(0:1:HW:2):deleting node error FALSE reason "" *Mar 25 15:47:45.427: ISAKMP:(0:1:HW:2):deleting node error FALSE reason "" *Mar 25 15:47:45.427: ISAKMP:(0:1:HW:2):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH *Mar 25 15:47:45.427: ISAKMP:(0:1:HW:2):Old State = IKE_DEST_SA New State = IKE_DEST_SA El mensaje antedicho muestra qué sucede cuando el peer remoto es inalcanzable. El router envía un mensaje DPD R_U_THERE y cuatro retransmisiones antes de que finalmente borre el IPSec y el IKE SA. DPD y Cisco IOS Keepalives Usados Conjuntamente con Varios Peers en una Crypto Map: Ejemplo: El siguiente ejemplo muestra que el DPD y el Keepalives del Cisco IOS están utilizados conjuntamente con los peeres múltiples en una configuración de la correspondencia de criptografía cuando el IKE se utiliza para establecer a las asociaciones de seguridad (SA). En este ejemplo, un SA se podía configurar al peer IPSec en , , o crypto map green 1 ipsec-isakmp set peer set peer set peer set transform-set txfm match address 101 DPD Usado Conjuntamente con varios Peers para un Easy VPN Remote: Ejemplo: El siguiente ejemplo muestra que el DPD está utilizado conjuntamente con los peeres múltiples en una configuración VNP remota sencilla. En este ejemplo, un SA se podía configurar al peer IPSec en , , o crypto ipsec client ezvpn ezvpn-config connect auto group unity key preshared mode client peer peer peer Referencias adicionales Documentos Relacionados Tema relacionado Configurar el IPSec Comandos del IPSec Título del documento Configurar directivo de seguridad para los VPN con el IPSec Referencia de Comandos de Seguridad de Cisco IOS Estándares Estándares Título

12 Ninguno MIB MIB Link del MIB Ninguno Para localizar y descargar el MIB para las plataformas elegidas, las versiones de Cisco IOS Software, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente: RFC RFC El DPD se ajusta a los Borradores de Internet "draft-ietf-ipsec-dpd-04.txt," que es publicación pendiente como RFC informativo (un número todavía no se ha asignado). Título Asistencia Técnica Descripción Link El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com. Información de la característica para la opción del mensaje periódico del Dead Peer Detection del IPSec La Tabla 1 muestra el historial de versiones de esta función. Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a Una cuenta en el cisco.com no se requiere. Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica. Nombre de la función Versiones Información sobre la Función IPsec Dead Peer Detection Periodic Message Option 12.3(7)T 12.2(33)SRA 12.2(33)SXH La característica de la opción del mensaje periódico del Dead Peer Detection del IPSec se utiliza para configurar al router para preguntar la vivacidad de su par del Internet Key Exchange (IKE) a intervalos regulares. La ventaja de este enfoque sobre el enfoque predeterminado (detección de peer muerto bajo demanda) es una detección más temprana de peers muertos. Esta característica fue introducida en el Cisco IOS Release 12.3(7)T. Esta característica era integrada en el Cisco IOS Release 12.2(33)SRA Esta característica era integrada en el Cisco IOS Release 12.2(33)SXH

13 Se ha insertado el siguiente comando: crypto isakmp keepalive. Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at /go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R) Any Internet Protocol (IP) addresses used in this document are not intended to be actual addresses. Any examples, command display output, and figures included in the document are shown for illustrative purposes only. Any use of actual IP addresses in illustrative content is unintentional and coincidental Cisco Systems, Inc. All rights reserved Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 2 Agosto