la implementación de ipsec en ipv6 seguridad
Post on 31-Oct-2015
113 Views
Preview:
TRANSCRIPT
-
7/16/2019 La implementacin de IPsec en IPv6 Seguridad
1/16
15/05/13 La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html
Descarga este captulo
Feedback
La implementacin de IPsec en IPv6 Seguridad
Tabla de contenido
La implementacin de IPsec en IPv6 SeguridadBsqueda de i nformacin de funciones
Contenido
Requisitos previos para la implem entacin de IPsec para IPv6
Seguridad
Informacin s obre la implementacin de IPsec para IPv6 Seguridad
OSPF para IPv6 con soporte de autenticacin IPsec
IPsec para IPv6
IPv6 IPsec Proteccin de sitio a sitio usando interfaz de tnel virtual
Cmo implem entar IPsec para IPv6 Seguridad
Configuracin de un VTI de Site-to-Site IPv6 IPsec Proteccin
Creacin de una directiva IKE y una clave previamente compartida en IPv6
Configuracin del Modo Agresivo de ISAKMP
Configuracin de un conjunto de transformacin y IPsec IPsec Perfil
Configuracin de un perfil ISAKMP en IPv6
Configuracin de IPsec IPv6 VTI
Verificacin de la configuracin modo de tnel IPsec
Solucin de problemas de IPsec para la configuracin y el funcionamiento de IPv6
Ejemplos
Ejemplos de configuracin de IPsec para IPv6 Seguridad
Ejemplo: Configuracin de un VTI de Site-to-Site IPv6 IPsec Proteccin
Referencias adicionales
Documentos relacionados
Normas
MIB
RFC
Asis tencia Tcnica
Informacin de funciones para la im plementacin IPsec en IPv6 Seguridad
La implementacin de IPsec en IPv6 Seguridad
Publicado por primera vez: 03 de noviembre 2003ltima actualizacin: 25 de marzo 2011IOS de Cisco IPv6 caractersticas de seguridad para sus dis positivos de red de Cisco puede proteger
su red contra la degradacin o el fracaso y la prdida de datos o el compromiso res ultante de los
ataques intencionales y no intencionales de los errores, pero perjudicial por usuarios de l a red con
buenas intenciones.
Funcionalidad de Cisco IOS IPsec proporciona cifrado de datos de la red a nivel de paquete IP, queofrece una solucin de seguridad robusta, basada en es tndares. IPsec proporciona autenticacin de
datos y servicios de anti-replay, adems de servicios de confidencialidad de datos.
IPsec es un componente obligatorio de la especificacin de IPv6. OSPF para IPv6 proporciona s oporte
de autenticacin IPsec y la proteccin, y el modo de tnel IPsec IPv6 y la encapsulacin se utiliza para
proteger el trfico unicast IPv6 y multicast. Este docum ento contiene informacin acerca de cm o
implem entar IPsec en la seguridad IPv6.
Bsqueda de informacin de funciones
Su versin de software no sea compatible con todas las caractersticas documentadas en es te
mdulo. Para obtener la ltim a informacin s obre las caractersticas y advertencias, consulte las notas
de la versin de su plataforma y versin de software. Para encontrar informacin acerca de las
caractersticas documentadas en es te mdulo, y para ver una lista de las versiones en las que se
apoya cada funcin, consulte la "Informacin de funciones para la aplicacin de IPsec en la Seguridad
IPv6" seccin .
Utilice Cisco Feature Navigator para encontrar informacin s obre la compatibilidad de la plataforma y
Cisco IOS y Catalyst apoyo de imgenes de software del si stema operativo. Para acceder a Cisco
Feature Navigator, vaya a http://www.cisco.com/go/cfn . No es neces aria una cuenta en Cisco.com
Contenido
Requisitos para la implementacin de IPsec para IPv6 Seguridad
Informacin s obre la im plementacin de IPsec para IPv6 Seguridad
Cmo implem entar IPsec para IPv6 Seguridad
Ejemplos de configuracin de IPsec para IPv6 Seguridad
Referencias Adicionales
Informacin de funciones para la im plementacin IPsec en IPv6 Seguridad
Requisitos previos para la implementacin de IPsec para IPv6 Seguridad
Usted debe estar familiarizado con IPv4. Consulte las publicaciones de referencia en la seccin
" "
La implementacin de IPsec en
IPv6 Seguridad
http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1116719http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027173http://www.cisco.com/go/cfnhttp://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1116719http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1116719http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1094731http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1044069http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1060959http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1083106http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1088899http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027177http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027173http://%20void%280%29/http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.pdfhttp://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1101822http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.pdfhttp://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027293http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1116719http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1106585http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1044069http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027188http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027177http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027173http://www.cisco.com/go/cfnhttp://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1116719http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1116719http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1056659http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1056685http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1032445http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1032406http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027293http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1106585http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1094731http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1044069http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1062658http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1060959http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1086601http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1083106http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1093941http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1092684http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1092660http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1091541http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1088899http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027188http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1109512http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1106051http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1106263http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027177http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027173http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1069393http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1117121http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1101822http://www.cisco.com/en/US/hmpgs/index.htmlhttp://%20void%280%29/ -
7/16/2019 La implementacin de IPsec en IPv6 Seguridad
2/16
15/05/13 La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html
.
Usted debe estar familiarizado con el direccionamiento IPv6 y la configuracin bsica. Referirse
aLa implem entacin del IPv6 Direccionamiento y conectividad b sica para ms informacin.
Informacin sobre la implementacin de IPsec para IPv6 Seguridad
OSPF para IPv6 Soporte de autenticacin de IPsec
IPsec para IPv6
OSPF para IPv6 con soporte de autenticacin IPsec
Con el fin de garantizar que los paquetes OSPF IPv6 no se alteran y re-enviado al router, causando que
el router se comporta de una manera no deseada por parte de sus gestores, OSPF para los paquetes
IPv6 debe estar autenticado. OSPF para IPv6 utiliza la seguridad IP (IPsec) interfaz de programa de
aplicacin de socket seguro (API) para agregar autenticacin OSPF de paquetes IPv6. Esta API se haampliado para proporcionar soporte para IPv6.
OSPF para IPv6 requiere el uso de IPsec para habilitar la autenticacin. Imgenes Crypto estn
obligados a utilizar la autenticacin, ya que s lo las imgenes incluyen la API de cifrado IPsec
necesaria para el uso con OSPF para IPv6.
En OSPF para IPv6, Campos de autenticacin se han eliminado de los encabezados OSPF. Cuando se
ejecuta en IPv6 OSPF, OSPF se basa en la cabecera IPv6 autenticacin (AH) y IPv6 Carga de seguridad
encapsuladora (ESP) para garantizar la integridad, autenticacin y confidencialidad de los intercambios
de enrutamiento. IPv6 cabeceras AH y ESP de extensin se pueden utilizar para proporcionar
autenticacin y la confidencialidad a OSPF para IPv6.
Para configurar IPsec, los usuarios configurar una poltica de seguridad, que es una combinacin del
ndice de polticas de seguridad (SPI) y la tecla (la tecla crea y valida el compendio de mens ajes 5
[MD5] valor). IPsec para OSPF para IPv6 se puede configurar en una interfaz o en un rea OSPF. Para
mayor seguridad, el usuario debe configurar una poltica diferente en cada interfaz configurada con
IPsec. Si un usuario configura IPsec para un rea OSPF, la poltica se aplica a todas las interfaces en
esa zona, con excepcin de las interfaces que tienen IPsec configurado directamente. Una vez IPsec
est configurado para OSPF para IPv6, IPsec es invisible para el us uario.
Para obtener informacin sobre la configuracin de IPsec en OSPF en IPv6, vea Implementacin de
OSPF para IPv6.
IPsec para IPv6
Seguridad IP o IPsec, es un marco de estndares abiertos des arrollados por el Internet Engineering
Task Force (IETF) que proporcionan la seguridad para la transmisin de informacin sens ible a travs
de redes sin proteccin tales como Internet. IPsec acta en la capa de red, la proteccin y autenticacin
de paquetes IP entre dispositivos IPsec participantes (los compaeros), tales como routers Cisco.
IPsec proporciona los siguientes servicios de seguridad de red opcionales. En general, la poltica de
seguridad local dictar el uso de uno o ms de estos servicios:
Confidencialidad de los datos-El remitente IPsec puede cifrar los paquetes antes de enviarlos a
travs de una red.
Integridad de los datos-El receptor de IPsec puede autenticar los paquetes enviados por el
remitente IPsec para asegurar que los datos no ha sido alterado durante la transmis in. origen de datos de autenticacin El receptor IPsec puede autenticar el origen de los paquetes
IPsec enviado. Este servicio depende del servicio de i ntegridad de datos.
antireplay-El receptor IPsec puede detectar y rechazar los paquetes reproducidos .
Con IPsec, los datos s e pueden enviar a travs de una red pblica sin observacin, modificacin o
suplantacin de identidad. Funcionalidad IPsec es sim ilar en IPv6 e IPv4, sin em bargo, el modo de
tnel del sitio-a-sitio slo es compatible con IPv6.
En IPv6, IPsec se implementa utilizando la cabecera de autentificacin AH y la extensin de cabecera
ESP. El encabezado de autenticacin proporciona integridad y autenticacin de la fuente. Tambin
ofrece proteccin opcional contra paquetes reproducidos. El encabezado de autenticacin protege la
integridad de la m ayora de los campos de cabecera IP y autentica la fuente a travs de un algoritmo de
firma bas ada. La cabecera ESP proporciona confidencialidad, la autenticacin de la fuente, integridad
sin conexin del paquete interno, antireplay, y confidencialidad limitada del flujo de trfico.
(IKE) protocolo de intercambio de claves de Internet es un protocolo de gestin de clave es tndar que
se utiliza en conjuncin con IPsec. IPsec puede s er configurado sin IKE, pero IKE mejora IPsec al
proporcionar caractersticas adi cionales, la flexibilidad y la facilidad de configuracin para el es tndarIPSec.
IKE es un protocolo hbrido que implem enta la clave Oakley intercambio y Skeme intercambio de claves
dentro de la Asociacin de Protocolo de Internet Security de administracin de claves (ISAKMP) Marco
(ISAKMP, Oakley y Skeme son protocolos de seguridad que implementan IKE) (verfigura 1 ). Esta
funcionalidad es similar al modelo de pasarela de s eguridad utilizando IPv4 proteccin IPsec.
IPv6 IPsec Proteccin de sitio a sitio usando interfaz de tnel virtual
La interfaz de tnel virtual IPsec (VTI) ofrece sitio a si tio IPv6 proteccin criptogrfica de trfico IPv6. IPv6
nativo encapsulacin IPsec se utiliza para proteger a todos los tipos de unidi fusin IPv6 y el trfico de
multidifusin.
El IPsec VTI permite que los routers IPv6 para trabajar como gateways de s eguridad, establecer
tneles IPSec entre otros routers de gateway de seguridad, y proporcionar proteccin criptogrfica
IPsec para el trfico de las redes internas cuando se enva a travs de la Internet IPv6 (verFigura 1 ).
Esta funcionalidad es s imilar al modelo de pasarela de s eguridad utilizando IPv4 proteccin IPsec.
http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027293http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1107991http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1107991http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ospf.htmlhttp://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1106051http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1106263http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027293 -
7/16/2019 La implementacin de IPsec en IPv6 Seguridad
3/16
15/05/13 La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html
gura n er az e ne sec para v
Cuando se configura el tnel IPsec, IKE y asociaciones de seguridad IPsec (SA) se negocian y
establecen antes de cambiar el protocolo de l nea para la interfaz de tnel para el estado UP. El
interlocutor IKE remoto es la m ism a que la direccin de des tino del tnel, el interlocutor IKE local ser
la direccin de recogida des de la interfaz de origen del tnel, que tiene el m ism o alcance direccin IPv6
como direccin de des tino del tnel.
La Figura 2 mues tra el formato del paquete IPsec.
Figura 2 IPv6 Paquete Formato IPsec
Para obtener ms informacin acerca de IPsec VTI, consulte la interfaz de tnel virtual IPsecmdulo
en la Gua de configuracin de Cisco IOS Seguridad.
Cmo implementar IPsec para IPv6 Seguridad
Configuracin de un VTI de Site-to-Site IPv6 IPsec Proteccin (requerido)
Verificacin de la configuracin de modo de tnel IPsec (opcional)
Solucin de problem as de configuracin de IPsec para IPv6 y Operacin (opcional)
Configuracin de un VTI de Site-to-Site IPv6 IPsec ProteccinRealice las siguientes tareas para configurar una IPsec VTI de s ite-to-site proteccin IPsec de IPv6
unicast y el trfico de m ultidifusin. Esta caracterstica permite el uso del IPv6 encapsulacin IPsec
para proteger el trfico IPv6.
Creacin de una directiva IKE y una clave previamente compartida en IPv6 (requerido)
Configuracin ISAKMP Modo Agres ivo(opcional)
Configuracin de un conjunto de transformacin IPsec e IPsec perfil (requerido)
Configuracin de un perfil ISAKMP en IPv6 (opcional)
Configuracin de IPsec IPv6 VTI (requerido)
Creacin de una directiva IKE y una clave previamente compartida en IPv6
Debido a las negociaciones IKE deben ser protegidos, cada negociacin IKE se inicia por acuerdo de
los dos compaeros en una poltica comn (compartida) IKE. Esta poltica establece que se utilizarn
los parmetros de seguridad para proteger a las negociaciones IKE posteriores y mandatos cm o se
autentican los compaeros .
Despus de los dos com paeros estn de acuerdo en una poltica, los parmetros de s eguridad de la
poltica se i dentifican por una SA con domicilio s ocial en cada par, y estos SAs s e aplican a todo el
trfico IKE pos terior durante la negociacin.
Puede configurar varias polticas priorizadas en cada peer-cada uno con una combinacin diferente de
valores de los parmetros. Sin embargo, al m enos una de estas polticas debe contener exactamente
la misma encriptacin, el hash, autenticacin y valores de los parmetros Diffie-Hellman com o una de
las polticas en el extremo remoto. Para cada poltica que se crea, se asigna una prioridad nica (del 1
al 10.000, siendo 1 la prioridad ms alta).
Nota Si usted es la interoperabilidad con un dispos itivo que slo adm ite uno de los valores de unparmetro, la eleccin se limita al valor admi tido por el otro dispos itivo. Aparte de esta lim itacin, a
menudo hay un trade-off entre la s eguridad y el rendimiento, y muchos de estos valores de los
parmetros representan como una compens acin. Usted debe evaluar el nivel de riesgos de
seguridad para su red y su tolerancia a estos riesgos .
http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1083106http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1093941http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1092684http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1092660http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1091541http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1060959http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1086601http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1088899http://www.cisco.com/en/US/docs/ios/security/configuration/guide/sec_ipsec_virt_tunnl.html -
7/16/2019 La implementacin de IPsec en IPv6 Seguridad
4/16
15/05/13 La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html 4
Cuando comienza la negociacin IKE, bsquedas IKE para una poltica IKE que es el mis mo en
ambos pares. El par que inicia la negociacin enviar todas sus polticas a l a par remoto, y la distancia
entre pares tratar de encontrar una coincidencia. El interlocutor remoto busca una coincidencia
comparando su propia poltica de mxima prioridad contra las polticas recibidos del otro par. La
distancia entre pares comprueba cada uno de sus polticas con el fin de que su prioridad (prioridad
ms alta primero) hasta que se encuentre una coincidencia.
Un partido se hace cuando tanto las polticas de los dos pares contienen la mis ma encriptacin, el
hash, la autenticacin, y valores de los parm etros de Diffie-Hellman, y cuando la poltica del
interlocutor remoto especifica un tiempo de vida que es menor que o igual a la vida til en la poltica
que se comparan . (Si el tiempo de vida que no s on idnticos, el ms corto de toda la vida del
interlocutor remoto poltica ser utilizado.)
Si se encuentra una coincidencia, IKE completar la negociacin, y ser creado as ociaciones de
seguridad IPsec. Si no se encuentra una coincidencia aceptable, IKE se niega negociacin y IPsec no
se establecer.
Nota En funcin del mtodo de autenticacin se especifica en una poltica, puede ser necesarioconfiguracin adicional. Si la poltica de un compaero no tiene l a configuracin compaera requerida,
el par no presentar la poltica cuando se trata de encontrar una poltica coincidente con el par remoto.
Debe es tablecer la identidad ISAKMP para cada interlocutor que utiliza claves previamente compartidas
en una poltica IKE.
Cuando s e utilizan dos pares IKE para establecer IPsec, cada interlocutor enva su identidad a la par
remoto. Cada par enva ya sea su nombre de hos t o su direccin IPv6, dependiendo de cmo s e haya
configurado la identidad ISAKMP del router.
De forma predeterminada, la identidad ISAKMP de un compaero es la direccin IPv6 de los pares. Si
es apropiado, se puede cambiar la identidad de ser el nombre de host de los pares en su lugar. Como
regla general, establecer las identidades de todos los compaeros de la m ism a manera, ya sea todos
los compaeros deben utilizar sus direcciones IPv6 o todos los com paeros deben utilizar sus
nombres de host. Si algunos compaeros usan sus nombres de host y algunos compaeros usan
sus direcciones IPv6 para identificarse entre s, las negociaciones IKE puede fallar si la identidad de
un interlocutor remoto no es reconocido y una bsqueda de DNS no es capaz de resolver la identidad.
PASOS RESUMEN
1. permitir
2. configurar terminales
3. crypto poltica isakmpprioridad
4. autenticacin { rsa-sig | rsa-encr| pre-share }
. 5 de hash { sha | md5 }
6. grupo { 1 | 2 | 5 }
. 7 cifrado { des | 3des | aes | aes 192 | aes 256 }
8. vitalicios segundos
9. salida
. 10 crypto isakmp clave de tipo contrasea k eystring{ direccinpeer-direccin [ mscara ] | ipv6 {direccin-ipv6/ ipv6-prefix} | nombre_host nombre_host} [ no-xauth ]
11. crypto llavero llavero de nombre [ vrffvrf-nombre ]
12. pre-shared key- { direccin de la direccin [ mscara ] | nombre_host nombre_host| ipv6 {direccin-ipv6| ipv6-prefix}} llave clave
Pasos detallados
Comando o accin Propsito
Paso 1 permitir
Ejemplo:
Router> enable
Activa el modo
EXEC
privilegiado.
Introduzca
su
contrasea
si se le
solicita.
Paso 2 configurar terminales
Ejemplo:Router # configure terminal
Entra en el
modo de
configuracin
global.
Paso 3 poltica crypto isakmpprioridad
Ejemplo:Router (config) # crypto poltica
isakmp 15
Define una
poltica IKE, y
entra en el
modo de
configuracin
-
7/16/2019 La implementacin de IPsec en IPv6 Seguridad
5/16
15/05/13 La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html
ISAKMP.
Nmero de la
pliza 1 indica
la poltica de la
ms alta
prioridad. La
ms pequea
es laprioridad
valor del
argumento,
mayor es la
prioridad.
Paso 4 autenticacin { rsa-sig | rsa-encr |pre-share }
Ejemplo:Router (config-ISAKMP-poltica) # la
autenticacin pre-share
Especifica el
mtodo de
autenticacin
dentro de una
poltica IKE.
El rsa-sig yrsa-ENCRpalabras clave
no son
compatibles
con IPv6.
Paso 5 Hash { sha |md5 }
Ejemplo:Router (config-ISAKMP-poltica) de hash
md5 #
Especifica el
algoritmo de
control dentro
de una poltica
IKE.
Paso 6 grupo { 1 | 2 | 5 }
Ejemplo:Router (config-ISAKMP-poltica) # Grupo
2
Especifica el
identificador de
grupo Diffie-
Hellman en
una poltica
IKE.
Paso 7 cifrado { des | 3des | aes | aes 192 |
aes 256 }
Ejemplo:Router (config-ISAKMP-poltica) #
cifrado 3DES
Especifica el
algoritmo de
cifrado dentro
de una poltica
IKE.
Paso 8 vida segundo
Ejemplo:Router (config-ISAKMP-poltica) # 43200
vida
Especifica el
tiempo de vidade un IKE SA.
Ajuste del valor
de la vida IKE
es opcional.
Paso 9 salida
Ejemplo:Router (config-ISAKMP-poltica) # exit
Escriba este
comando para
salir del modo
de
configuracin
de la directiva
ISAKMP y entrar
en el modo de
configuracin
global.
Paso 10 cripto isakmp clave enc tipo dgitoskeystring { direccinpeer-ip [mask] |ipv6 { direccin-ipv6/ ipv6-prefix} |
nombre_host nombre_host} [ no-xauth ]
Ejemplo:Router (config) # crypto isakmp tecla 0
Direccin mi-preshare-key-0 ipv6 3ffe:
1001 :: 2/128
Configura unaclave de
autenticacin
compartida
previamente.
Paso 11 cripto llavero llavero de nombre [ vrffvrf-nombre ]
Ejemplo:Router (config) # crypto llavero
keyring1
Define un cripto
llavero para s er
utilizado
durante la
autenticacin
IKE.
Paso 12 pre-shared key- { direccin de la
direccin mscara nombre host
Define una
-
7/16/2019 La implementacin de IPsec en IPv6 Seguridad
6/16
15/05/13 La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html
_
nombre_host | ipv6 { direccin-ipv6|
ipv6-prefix}} llave clave
Ejemplo:
Router (config-keyring) # ipv6 pre-shared-key3FFE: 2002 :: A8BB: CCFF: FE01: 2C02/128
previamente
compartida que
se utilizar
para la
autenticacin
IKE.
Configuracin del Modo Agresivo de ISAKMP
Nota: Es probable que no es necesario configurar el modo agresivo en un escenario de sitio a sitio. Elmodo por defecto se utiliza normalmente.
PASOS RESUMEN
1. permitir
2. configurar terminales
3. crypto isakmp pares { direccin { direccin IPv4 | ipv6 ipv6 direccin ipv6-longitud-prefijo } |nombre de host FQDN-hostname }
. 4 establecer agresiva en modo cliente-endpoint { cliente endpoint| ipv6 ipv6 direccin }
Pasos detallados
Comando o accin Propsito
Paso 1 permitir
Ejemplo:Router> enable
Activa el modo
EXEC
privilegiado.
Introduzca
su
contrasea
si se le
solicita.
Paso 2 configurar terminales
Ejemplo:Router # configure terminal
Entra en el
modo de
configuracin
global.
Paso 3 cripto isakmp pares { direccin { direccin IPv4| ipv6 ipv6 direccin ipv6-longitud-prefijo } |
nombre de host FQDN-hostname }
Ejemplo:Router (config) # crypto isakmp pares de direcciones IPv63FFE: 2002 :: A8BB: CCFF: FE01: 2C02/128
Permite un
nivel de IPsec
para IKE
consultar losatributos del
tnel.
Paso 4 establecer agresiva en modo cliente-endpoint {cliente endpoint | ipv6 ipv6 direccin }
Ejemplo:Router (config-ISAKMP-peer) # Ajuste el modo
agresivo ipv6 cliente de punto final 3ffe: 2002
:: A8BB: SFCC: fe01: 2C02/128
Define la
direccin IPv6
del interlocutor
remoto, el cual
ser utilizado
por
negociacin de
modo agresivo.
La direccin
del interlocutor
remoto es
normalmente
la direccin del
punto final dellado del cliente.
Configuracin de un conjunto de transformacin y IPsec IPsec Perfil
Un conjunto de transformacin es una combinacin de protocolos y algoritmos de s eguridad que sea
aceptable para los enrutadores IPsec.
PASOS RESUMEN
1. permitir
2. configurar terminales
3. crypto ipsec transform-set transformar-set-nomb re transform1 [ transform2] [ transform3 ] [transform4 ]
4. crypto ipsec perfil Nombre
-
7/16/2019 La implementacin de IPsec en IPv6 Seguridad
7/16
15/05/13 La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html
5. transformar-fij transformar-set-nombre [ transformar-fij-tipo2 ... transform-set-name6]
Pasos detallados
Comando o accin Propsito
Paso 1 permitir
Ejemplo:Router> enable
Activa el modo EXEC
privilegiado.
Introduzca su
contrasea si se le
solicita.
Paso 2 configurar terminalesEjemplo:Router # configure
terminal
Entra en el modo deconfiguracin global.
Paso 3 crypto ipsec transform-settransformar-set-nombre
transform1 [ transform2 ]
[ transform3 ] [
transform4 ]
Ejemplo:Router (config) # crypto
ipsec transform-set myset0
ah-sha-hmac esp-3des
Define un conjunto de
transformacin, y coloca el
router en el modo de
configuracin de
transformacin criptogrfica.
Paso 4 crypto ipsec perfil Nombre
Ejemplo:Router (config) # crypto
ipsec perfil Perfil0
Define los parmetros de
IPsec que se van a utilizar
para el cifrado IPSec entredos enrutadores IPsec.
Paso 5 transformar-fijtransformar-set-nombre [
transformar-fij-tipo2 ...
transform-set-name6]
Ejemplo:Router (config-cripto-
transform) # set-
transform-set myset0
Especifica que conjuntos de
transformacin se pueden
utilizar con la entrada de
mapa de cripto.
Configuracin de un perfil ISAKMP en IPv6
PASOS RESUMEN
1. permitir2. configurar terminales
3. crypto perfil isakmpperfil en nom bre de [ la contabilidad aaalist]
4. autoidentidad { Direccin | Direccin IPv6 ] | fqdn | usuario fqdn usuario fqdn }
. 5 coincidir la identidad { grupo group-name | Direccin { abordar[ mscara ] [ fvrf] | ipv6 ipv6direccin } | husped host-name | host de dominio de nombres de dominio | usuario usuario fqdn |dominio de usuario domain-name }
Pasos detallados
Comando o accin Propsito
Paso 1 permitir
Ejemplo:
Router> enable
Activa el modo
EXEC
privilegiado.
Introduzca
su
contrasea
si se le
solicita.
Paso 2 configurar terminales
Ejemplo:Router # configure terminal
Entra en el
modo de
configuracin
global.
Paso 3 cripto perfil isakmp nombre-perfil [contabilidadaaalist ]
Ejemplo:Router (config) # crypto isakmp
perfil profile1
Define un perfil
de ISAKMP y
auditoras de
las sesiones
de usuario
-
7/16/2019 La implementacin de IPsec en IPv6 Seguridad
8/16
15/05/13 La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html
.
Paso 4 autoidentidad{ Direccin | DireccinIPv6 ] | fqdn | usuario fqdn usuario
fqdn }
Ejemplo:Router (config-ISAKMP-perfil) #
identidad propia direccin IPv6
Define la
identidad que
el IKE local
utiliza para
identificarse en
el extremo
remoto.
Paso 5 coincidir con la identidad{ grupogroup-name | Direccin { abordar[
mscara ] [ fvrf] | ipv6 ipv6
direccin } | huspedhost-name |
host de dominio de nombres de dominio| usuario usuario fqdn | dominio de
usuario domain-name }
Ejemplo:Router (config-isakmp perfil) #
coincide con la direccin ipv6
identidad 3FFE: 2002 :: A8BB: CCFF:
FE01: 2C02/128
Coincide con la
identidad de un
interlocutor
remoto en un
perfil deISAKMP.
Configuracin de IPsec IPv6 VTI
Requisitos previos
Utilice el unicast-routing IPv6 comando para habilitar el enrutamiento unicas t IPv6.
PASOS RESUMEN
1. permitir
2. configurar terminales
3. ipv6 unicast-routing
4. tnel de interfaz de tnel nmero
5. ipv6 direccin ipv6-address/prefix
6. IPv6 permiten
. 7 origen del tnel { direccin-ip | direccin-ipv6| -tipo de interfaz interfaz de serie }
8. destino del tnel { host-name | direccin-ip | ipv6 direccin }
9. modo tnel { AURP | cayman | dvmrp | eon | gre | gre multipunto | gre ipv6 | ipip [ decapsulate-any] | ipsec ipv4 | iptalk | ipv6 | ipv6 ipsec | mpls | nn | rbscp }
10. Proteccin perfil IPSec tnel nombre [ compartida ]
Pasos detallados
Comando o accin Propsito
Paso 1 permitir
Ejemplo:Router> enable
Activa el modo EXEC
privilegiado.
Introduzca su
contrasea s i se le
solicita.
Paso 2 configurar terminales
Ejemplo:Router # configure terminal
Entra en el modo de
configuracin global.
Paso 3 ipv6 unicast-routing
Ejemplo:Router (config) # ipv6
unicast-routing
Permite enrutamiento
unicast IPv6. Solo
necesita habilitar IPv6unicast enrutamiento vez,
no im porta cuntos
tneles de interfaz que
desea configurar.
Paso 4 interfaz de tnel tnelnmero
Ejemplo:Router (config) # interfaz de
tnel 0
Especifica una interfaz de
tnel y nmero, y entra en
el modo de configuracin
de in terfaz.
Paso 5 ipv6 direccinipv6-address/prefix
Ejemplo:Router (config-if) # ipv6
direccin 3FFE: C000: 0:7 ::
Proporciona una
direccin IPv6 a la interfaz
de tnel, por lo que el
trfico IPv6 se puede
dirigir a este tnel.
-
7/16/2019 La implementacin de IPsec en IPv6 Seguridad
9/16
15/05/13 La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html
/ 64 EUI-64
Paso 6 ipv6 enable
Ejemplo:Router (config-if) # ipv6 permitir
Activa IPv6 en esta
interfaz de tnel.
Paso 7 origen del tnel { direccin-ip | direccin-ipv6| -tipo
de interfaz interfaz de serie
}
Ejemplo:Router (config-if) # origen
del tnel ethernet0
Establece la direccin de
origen para una interfaz
de tnel.
Paso 8 tnel del destino { host-name| direccin-ip | ipv6
direccin }
Ejemplo:Router (config -if) # destino
del tnel 2001: DB8:
1111:2222 :: 1
Especifica el destino de
una interfaz de tnel.
Paso 9 tnel de modo {AURP | cayman| dvmrp | eon | gre | gre
multipunto | gre ipv6 | ipip[ decapsulate-any ] | ipsecipv4 | iptalk | i PV6 | ipsecipv6 |mpls | nn | r BSCP }
Ejemplo:Router (config-if) # ipv6
modo tnel IPSec
Establece el modo de
encapsulacin para la
interfaz de tnel. Para
IPsec, slo los ipv6 ipsecpalabras clave son
compatibles.
Paso 10 proteccin tnel perfil ipsecnombre [ compartida ]
Ejemplo:Router (config-if) # tnel
proteccin ipsec perfil
profile1
Asocia una interfaz de
tnel con un perfil de
IPsec. IPv6 no es
compatible con el comnde palabras clave.
Verificacin de la configuracin modo de tnel IPsec
PASOS RESUMEN
. 1 mostrar adyacencia [ Resumen [ tipo de interfaz de la interfaz de serie ]] | [prefijo ] [ interfaceinterface-number] [ ConnectionID ID ] [ enlace { ipv4 | ipv6 | mpls }] [ detalles ]
. 2 mostrar crypto motor{ acelerador| breve | Configuracin | conexiones [ activo | dh | descendido
de paquetes | Mostrar] | qos }
3. espectculo crypto ipsec sa [ IPv6 ] [ -type interface interface-number] [ detallado ]
. 4 mostrar crypto isakmp pares [ config | detalles ]
5. Mostrar poltica crypto isakmp
6. espectculo crypto isakmp perfil de [ tag nombreperfil| vrfvrfname ]
7. espectculo crypto mapa [ interface interface | tag map-nombre ]
. 8 sesiones crypto espectculo [detalles] | [ local de direccin-ip [ Puerto local puerto ] | [ remotodireccin IP[ puerto remoto puerto ]] |detalles ] | fvfrVRF-nombre | [ ivrfVRF-nombre ]
9. espectculo crypto socket
10. ipv6 mostrar la lista de acceso [ access-list-nombre ]
11. espectculo ipv6 cef[ VRF] [ IPv6 prefijo/ longitud-prefijo ] | [ tipo de interfaz de la interfaz deserie ] [ a ms largo prefijos | parecida-prefijos | detalle | interno | plataforma | epoca | fuente ]]
12. Mostrar la interfaz de tipo de nmero Estadsticas
Pasos detallados
Comando o accin Propsito
Paso 1 mostrar adyacencia [ Resumen [tipo de interfaz de la interfaz
de serie ]] | [prefijo] [
interface interface-number] [
ConnectionID ID] [ enlace {
ipv4 | ipv6 |mpls }] [detalles ]
Ejemplo:
Router # show detalle adyacencia
Muestra informacin
sobre el Expreso tabla
de adyacencia
Forwarding Cisco o la
capa de hardware tabla
de adyacencia 3 de
conmutacin.
Paso 2 espectculo motor de cifrado { Muestra un resumen de
-
7/16/2019 La implementacin de IPsec en IPv6 Seguridad
10/16
15/05/13 La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html 1
acelerador |breve |
Configuracin | conexiones [activo | dh | descendido de
paquetes |Mostrar ] | qos }
Ejemplo:Router # show conexin motor de
cifrado activo
la informacin de
configuracin de los
motores de cifrado.
Paso 3 espectculo crypto ipsec sa [IPv6 ] [ -type interface
interface-number] [ detallado
]
Ejemplo:Router # show crypto ipsec sa
ipv6
Muestra los ajustes
utilizados por las SV
actual en IPv6.
Paso 4 espectculo crypto isakmp pares[ config | detalles ]
Ejemplo:Router # show crypto isakmp
detalle pares
Muestra asoman
descripciones.
Paso 5 Mostrar poltica crypto isakmp
Ejemplo:Router # show crypto poltica
isakmp
Muestra los parmetros
para cada poltica IKE.
Paso 6 espectculo crypto isakmpperfil [ tag nombreperfil | vrf
vrfname ]
Ejemplo:Router # show crypto isakmp
perfil
Lista todos los perfiles
ISAKMP que se definen
en un router.
Paso 7 mostrar mapa crypto [ interfaceinterface | tag map-nombre ]
Ejemplo:Router # show crypto mapa
Muestra el mapa de
configuracin de
cifrado.
Los mapas de cifrado
que se muestran en
esta salida del
comando se generan
dinmicamente. El
usuario no tiene que
configurar mapas
criptogrficos.
Paso 8 sesin de cifrado espectculo [
detalles ] | [ local dedireccin-ip [ Puerto local
puerto ] | [ remoto direccin
IP[puerto remoto puerto ]] |
detalles ] | fvfr VRF-nombre |
ivrf VRF-nombre
Ejemplo:Router # crypto sesin de
demostracin
Muestra informacin
sobre el estado de lasses iones criptogrficas
activos.
IPv6 no admite la fvfroivrfpalabras clave o elVRF-nombre de
argumento.
Paso 9 espectculo crypto socket
Ejemplo:Router # show crypto socket
Muestra s ockets de
cifrado.
Paso 10 mostrar ipv6 access-list [access-list-nombre ]
Ejemplo:Router # show access-list ipv6
Muestra el contenido de
todas las listas de
acceso IPv6 actuales.
Paso 11 mostrar ipv6 cef [ IPv6 prefijo/ longitud-prefijo ] | [ tipo
de interfaz de la interfaz de
serie ] [ a ms largo prefijos
|parecida-prefijos | detalle |interno |plataforma | epoca |fuente ]]
Ejemplo:
Router # show ipv6 cef
Muestra las entradas
de la base de
informacin de reenvo
de IPv6 (FIB).
Paso 12 Mostrar la interfaz de tipo denmero Estadsticas
Ejemplo:
Muestra el nmero de
paquetes que fueron
procesados cambiaron,
-
7/16/2019 La implementacin de IPsec en IPv6 Seguridad
11/16
15/05/13 La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html 1
Router # show interface fddi
estadsticas 3/0/0
,
distribuidos
conmutada.
Solucin de problemas de IPsec para la configuracin y el funcionamiento de IPv6
PASOS RESUMEN
1. permitir
2. debug crypto ipsec [ error]
3. depurar paquete motor de cifrado [ detalles ] [ error]
Pasos detallados
Comando oaccin Propsito
Paso 1 permitir
Ejemplo:Router #
enable
Activa el modo EXEC privilegiado.
Introduzca su contrasea si se le
solicita.
Paso 2 debug cryptoipsec
Ejemplo:Router # debug
crypto ipsec
Muestra IPsec eventos de la red.
Paso 3 depurarpaquete motorde cifrado [
detalles ]
Ejemplo:Router # debug
paquete de
motor de
cifrado
Muestra el contenido de los paquetes IPv6.
Precaucin El uso de este comandopodra inundar el sis tema y
aumentar el uso de la CPU si
varios paquetes s e estn cifrados.
Ejemplos
Ejemplo de sal ida de la serie crypto ipsec sa Comando
Ejemplo de sal ida de la serie crypto isakmp pares Com ando
Ejemplo de s alida del comando crypto perfil isakmp es pectculo
Ejemplo de sal ida de la serie crypto isakmp sa Com ando
Ejemplo de sal ida de la serie crypto mapa Comando
Ejemplo de salida del comando show session crypto
Ejemplo de salida de la serie crypto ipsec sa Comando
El siguiente es un ejemplo de salida del espectculo crypto ipsec sa comando:
Router #mostrar crypto ipsec sa
Interfaz: Tunnel0
Crypto mapa tag: Tunnel0-cabeza-0, locales addr 3FFE: 2002 :: A8BB: CCFF: FE01: 9002
protegida vrf: (ninguno)
locales ident (addr / mscara / prot / puerto): (:: / 0/0/0)
ident remoto (addr / mscara / prot / puerto): (:: / 0/0/0)
current_peer 3FFE: 2002 :: A8BB: CCFF: FE01: 2C02 puerto 500
PERMISO, flags = {origin_is_acl,}
# Pkts encaps: 133, # pkts cifrar: 133, # pkts digest: 133
# Pkts decaps: 133, # pkts descifrar: 133, # pkts verificar: 133
# Pkts comprimido: 0, # PKTS descomprimido: 0
# PKTS los compactos: 0, # pkts compr. perdidos: 0
# PKTS no descomprime: 0, # pkts descomprimir fall: 0
# Enviar errores, # 60 errores recv 0
cripto locales Endpt:. 3FFE: 2002 :: A8BB: CCFF: FE01: 9002,
remoto crypto Endpt:. 3FFE: 2002 :: A8BB: CCFF: FE01: 2C02
Path MTU 1514, ip mtu 1514
actual spi salida: 0x28551D9A (676666778)
http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1108437http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1108426http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1100294http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1099731http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1099654http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1062362 -
7/16/2019 La implementacin de IPsec en IPv6 Seguridad
12/16
15/05/13 La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html 1
entra a esp sas:
spi: 0x2104850C (553944332)
transform: esp-des,
en entornos de uso = {Tnel,}
CONN id: 93, flow_id: SW: 93, crypto mapa: Tunnel0-cabeza-0
sa tiempo: duracin de la clave restante (k / s): (4397507/148)
Tamao IV: 8 bytes
apoyo deteccin de reproduccin: Y
Status: ACTIVE
entrante ah sas:
spi: 0x967698CB (2524354763)
transform: ah-sha-hmac,
en entornos de uso = {Tnel,}
CONN id: 93, flow_id: SW: 93, crypto mapa: Tunnel0-cabeza-0
sa tiempo: duracin de la clave restante (k / s): (4397507/147)
apoyo deteccin de reproduccin: Y
Status: ACTIVE
entrada pcp sas:
saliente esp sas:
spi: 0x28551D9A (676666778)
transform: esp-des,
en entornos de uso = {Tnel,}
CONN id: 94, flow_id: SW: 94, crypto mapa: Tunnel0-cabeza-0
sa tiempo: duracin de la clave restante (k / s): (4397508/147)
Tamao IV: 8 bytes
apoyo deteccin de reproduccin: Y
Status: ACTIVE
saliente ah sas:
spi: 0xA83E05B5 (2822636981)
transform: ah-sha-hmac,
en entornos de uso = {Tnel,}
CONN id: 94, flow_id: SW: 94, crypto mapa: Tunnel0-cabeza-0
sa tiempo: duracin de la clave restante (k / s): (4397508/147)
apoyo deteccin de reproduccin: Y
Status: ACTIVE
saliente pcp sas:
Ejemplo de salida de la serie crypto isakmp pares Comando
La siguiente salida de ejemplo m uestra descripciones de pares en un router IPv6:
Router #mostrar crypto isakmp detalle pares
Peer: 2001: DB8: 0:1 :: 1 Puerto: 500 Local: 2001: DB8: 0:2 :: 1
Fase 1 id: 2001: DB8: 0:1 :: 1
banderas:
NAS Puerto: 0 (Normal)
IKE SA: 1 IPsec SA paquetes: 1
last_locker: 0x141A188, last_last_locker: 0x0
last_unlocker: 0x0, last_last_unlocker: 0x0
Ejemplo de salida del comando crypto perfil isakmp espectculo
La salida de ejemplo siguiente m uestra los perfiles ISAKMP que se definen en un router IPv6.
Router # show crypto isakmp perfil
ISAKMP PERFIL tom
Identidades coincidentes son:
ipv6 direccin 2001: DB8: 0:1 :: 1/32
Mapas de certificados coincidentes son:
Identidad que se presenta es: ipv6 direccin fqdn
llavero (s):
trustpoint (s):
Ejemplo de salida de la serie crypto isakmp sa Comando
La si guiente salida de ejemplo muestra las SA de un dispos itivo de IPv6 activo. El dispos itivo de IPv4
est activo:
Router #mostrar crypto isakmp sa detalle
-
7/16/2019 La implementacin de IPsec en IPv6 Seguridad
13/16
15/05/13 La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html 1
Cdigos: C - Modo de configuracin IKE, D - Dead Peer Detection
K - Keepalives, N - NAT-Traversal
X - Autenticacin Extendida IKE
psk - Clave precompartida, rsig - RSA firma
RENC - cifrado RSA
IPv4 Crypto ISAKMP SA
C-id Local de E-VRF Estado Encr Hash de autenticacin DH
Cap de por vida.
IPv6 Crypto ISAKMP SA
dst: 3FFE: 2002 :: A8BB: CCFF: FE01: 2C02
src: 3FFE: 2002 :: A8BB: CCFF: FE01: 9002
conn-id: 1001 I-VRF: Estado: ACTIVE Encr: des Hash: sha Aut:
psk
DH: 1 Vida til: 23:45:00 Cap: D Motor-id: Conn-id = SW: 1
dst: 3FFE: 2002 :: A8BB: CCFF: FE01: 2C02
src: 3FFE: 2002 :: A8BB: CCFF: FE01: 9002
conn-id: 1002 I-VRF: Estado: ACTIVE Encr: des Hash: sha Aut: psk
DH: 1 Vida til: 23:45:01 Cap: D Motor-id: Conn-id = SW: 2
Ejemplo de salida de la serie crypto mapa Comando
La salida de ejemplo siguiente muestra los mapas de cifrado generadas dinmicamente de undispositivo de IPv6 activo:
Router #mostrar crypto mapa
Crypto Map "Tunnel1-cabeza-0" 65536 ipsec-isakmp
Nombre del perfil: Perfil0
Asociacin de seguridad de duracin: 4608000 kilobytes/300 segundos
PFS (Y / N): N
Transformar sets = {
ts,
}
Crypto Map "Tunnel1-cabeza-0" 65537
Mapa es una instancia de perfil.
Peer = 2001:1 :: 2
Lista de acceso IPv6 Tunnel1-cabeza-0-ACL (cripto)
permitir ipv6 any any (61.445.999 partidos) Secuencia 1
Pares actual: 2001:1 :: 2
Asociacin de seguridad de duracin: 4608000 kilobytes/300 segundos
PFS (Y / N): N
Transformar sets = {
ts,
}
Interfaces utilizando criptografa mapa Tunnel1-cabeza-0:
Tunnel1
Ejemplo de salida del comando show session crypto
La siguiente salida de la serie crypto informacin de la s esin s e proporcionan detalles s obre las
ses iones de cifrado actualmente activas:Router #mostrar crypto detalle reunin
Crypto sesin situacin actual
Cdigo: C - Modo de configuracin IKE, D - Dead Peer Detection K - Keepalives, N -NAT-Traversal, X - Autenticacin Extendida IKE
Interfaz: Tunnel1
Estado de la sesin: UP-ACTIVE
Peer: 2001:1 :: 1 puerto 500 fvrf: (ninguno) ivrf: (ninguno)
Phase1_id: 2001:1 :: 1
Desc: (ninguno)
IKE SA: 2001:1 locales :: 2/500
-
7/16/2019 La implementacin de IPsec en IPv6 Seguridad
14/16
15/05/13 La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html 14
remoto 2001:1 :: 1/500 Activo
Capacidades: (ninguno) connID: 14,001 duracin: 00:04:32
IPSEC FLUJO: ipv6 permiso :: / 0 :: / 0
Activa SA: 4, origen: crypto mapa
Entrantes: # pkts dec'ed 42641 drop 0 Vida (KB / s) 4534375/72
Salientes: # pkts enc'ed 6734980 drop 0 Vida (KB / s) 2392402/72
Ejemplos de configuracin de IPsec para IPv6 Seguridad
Ejemplo: Configuracin de un VTI de Site-to-Site IPv6 IPsec Proteccin
Ejemplo: Configuracin de un VTI de Site-to-Site IPv6 IPsec Proteccinpoltica crypto isakmp 1
autenticacin pre-share
!
cripto isakmp clave myPreshareKey0 direccin ipv6 3FFE: 2002 :: A8BB: CCFF: FE01: 2C02/128
cripto isakmp keepalive 30 30
!
ipsec crypto transformar-ah establecido 3des-sha-hmac esp-3des
!
crypto ipsec perfil Perfil0
transformar-fij 3des
!
ipv6 cef
!
interfaz Tunnel0
direccin ipv6 3FFE: 1001 :: / 64 EUI-64
ipv6 enable
ipv6 cef
tnel fuente Ethernet2 / 0
destino del tnel 3FFE: 2002 :: A8BB: CCFF: FE01: 2C02
modo de tnel IPSec ipv6
tnel de la proteccin de IPsec perfil Perfil0
Referencias adicionales
Documentos relacionados
Tema relacionado Ttulo del documento
OSPF para IPv6 con soporte de autenticacin
IPsec
La implem entacin de OSPF
para IPv6
Informacin IPsec VTI Interfaz de tnel virtual IPsec
IPv6 lista de caractersticas con el apoyo Comience aqu: Cisco IOS
Software Release Especficospara las caractersticas de IPv6
Comandos IPv6: la sintaxis de comandos
completa, modo de comando, por defecto,
directrices de us o y ejemplos
Cisco IOS IPv6 de mandatos
IPv4 tareas de configuracin de seguridad Cisco IOS Gua de configuracin
de seguridad
IPv4 comandos de seguridad: la s intaxis de
comandos com pleta, modo de comando, por
defecto, directrices de uso y ejemplos
Cisco IOS Seguridad de
mandatos
Normas
Normas Ttulo
No hay normas nuevas o modificadas s on compatibles con esta
caracterstica, y el apoyo a las normas existentes que no han s ido
modificados por esta caracterstica.
-
MIB
MIB MIB Enlace
Ninguno Para localizar y descargar MIB para plataformas seleccionadas,
versiones de s oftware de Cis co, y conjuntos de caractersticas, utilice
Cisco MIB Localizador de encontrar en la s iguiente URL:
http://www.cisco.com/go/mibs
http://www.cisco.com/go/mibshttp://www.cisco.com/en/US/docs/ios/security/command/reference/sec_book.htmlhttp://www.cisco.com/en/US/docs/ios/security/configuration/guide/12_4t/sec_12_4t_book.htmlhttp://www.cisco.com/en/US/docs/ios/ipv6/command/reference/ipv6_book.htmlhttp://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-roadmap.htmlhttp://www.cisco.com/en/US/docs/ios/security/configuration/guide/sec_ipsec_virt_tunnl.htmlhttp://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ospf.htmlhttp://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1094731 -
7/16/2019 La implementacin de IPsec en IPv6 Seguridad
15/16
15/05/13 La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html 1
RFC
RFC Ttulo
RFC
2401
Arquitectura de seguridad para el Protocolo de Internet
RFC
2402
IP Authentication Header
RFC
2404
El uso de hash de autenticacin de mensaje Cdigo Federal Information
Processing Standard 180-1 dentro de Carga de seguridad encapsuladoray cabecera de autenticacin
RFC
2406
IP Carga de seguridad encapsuladora (ESP)
RFC
2407
El dominio de seguridad de Internet de Interpretacin de ISAKMP
RFC
2408
Asociacin de Seguridad de I nternet y el Protocolo de administracin de
claves (ISAKMP)
RFC
2409
Internet Key Exchange (IKE)
RFC
2460
Protocolo de Internet versin 6 (IPv6) Specification
RFC2474
Definicin de los Servicios diferenciados Field (DS Mvil) en losencabezados IPv4 e IPv6
RFC
3576
Cambio de Autorizacin
RFC
4109
Algoritm os de claves de Internet versin Tipo 1 (IKEv1)
RFC
4302
IP Authentication Header
RFC
4306
Internet Key Exchange (IKEv2) Protocolo
RFC
4308
Criptogrfica Suites para IPsec
Asistencia Tcnica
Descripcin Enlace
El apoyo y el sitio web de
documentacin de Cisco
proporciona recursos en
lnea para descargar la
documentacin, el software y
las herramientas. Use estos
recursos para instalar y
configurar el software y para
solucionar y resolver
problemas tcnicos con los
productos y tecnologas deCisco. El acceso a la
mayora de las herramientas
en la Ayuda de Cisco y el
sitio web de documentacin
requiere un ID de usuario y
contrasea de Cis co.com.
http://www.cisco.com/cisco/web/support/index.html
Informacin de funciones para la implementacin IPsec en IPv6 Seguridad
La Tabla 1 mues tra las caractersticas de este m dulo y proporciona vnculos a informacin de
configuracin especfica.
Utilice Cisco Feature Navigator para encontrar informacin s obre la compatibilidad de la plataforma y
soporte de imgenes de s oftware. Cisco Feature Navigator le permite determinar qu imgenes de
software apoyan una versin especfica del software, el conjunto de funciones, o de la plataforma. Para
acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn . No es necesaria una cuenta en
http://www.cisco.com/go/cfnhttp://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1119702 -
7/16/2019 La implementacin de IPsec en IPv6 Seguridad
16/16
15/05/13 La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
Cisco.com.
Tenga en cuenta la tabla 1 se enum eran slo la versin de software que introdujo soporte para unadeterminada caracterstica en un tren de versin de s oftware determinada. A menos que se indique lo
contrario, las versiones pos teriores de esta s erie de actualizaciones de s oftware tambin s on
compatibles con esta caracterstica.
Tabla 1 caractersticas de Informacin para la aplicacin de IPsec en IPv6Seguridad
Nombre de la
caracterstica Ediciones Informacin FeatureIPv6 IPsec para la
autenticacin
Open Shortest
Path First para
IPv6 (OSPFv3)
12.3 (4) T
12.4
12.4 (2) T
OSPF para IPv6 utiliza la interfaz IPsec Secure
Socket programa de aplicacin (API) para
agregar autenticacin a OSPF para los
paquetes IPv6. Esta API se ha am pliado para
proporcionar soporte para IPv6.
Las siguientes secciones proporcionan
informacin acerca de esta caracterstica:
OSPF para IPv6 Soporte de autenticacin de
IPsec
Cmo implem entar IPsec para IPv6
Seguridad
IPv6 IPsec VPN 12.4 (4) T Las s iguientes secciones proporcionan
informacin acerca de esta caracterstica:
Informacin sobre la im plementacin de
IPsec para IPv6 Seguridad
Cmo implem entar IPsec para IPv6
Seguridad
IPsec IPv6 Fase 2
Soporte
12.4 (4) T Caractersticas de este modo tnel soporte
en fase de site-to-site proteccin IPsec del
trfico IPv6. Esta caracterstica permite el uso
del IPv6 encapsulacin IPsec para proteger el
trfico de unidifusin y multidifusin IPv6.
Las siguientes secciones proporcionan
informacin acerca de esta caracterstica:
IPv6 IPsec Proteccin de sitio a sitio us ando
interfaz de tnel virtual
Configuracin de un VTI de Site-to-Site IPv6
IPsec Proteccin
Cisco y el logoti po de Cisco son marcas comerciales de Cisco Systems, Inc. y / o sus filiales en los EE.UU. y otros pases.
Una li sta de las marcas comerciales de Cisco se puede encontrar en www.cisco.com / g o / trademarks . Marcas
comerciales de terceros mencionadas son propiedad de sus respectivos dueos. El uso de la p alabra socio no i mpli ca
una relacin de sociedad entre Cisco y cualquier otra compaa. (1005R)
Las direcciones de Protocolo de Internet (IP) y los nmeros de telfono utilizados en este documento no pretenden ser
direcciones reales. Los ejemplos, salida de visualizacin de comandos y figuras incluidas en el documento se muestran
slo con fines ilustrativos. Cualquier uso de direcciones IP reales en el contenido ilustrativo es accidental y casual.
2001-2011 de Cisco Systems, Inc. Todos los derechos reservados.
Trminos y Condiciones | Declaracin de privacidad | Poltica de Cookies | Marcas registradas
http://www.cisco.com/web/siteassets/legal/trademark.htmlhttp://www.cisco.com/web/siteassets/legal/privacy.html#cookieshttp://www.cisco.com/web/siteassets/legal/privacy.htmlhttp://www.cisco.com/web/siteassets/legal/terms_condition.htmlhttp://www.cisco.com/go/trademarkshttp://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1088899http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1109512http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027188http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027177http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027188http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1106263http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1119702
top related