La implementación de IPsec en IPv6 Seguridad

7/16/2019 La implementacin de IPsec en IPv6 Seguridad

1/16

15/05/13 La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems

www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html

Descarga este captulo

Feedback

La implementacin de IPsec en IPv6 Seguridad

Tabla de contenido

La implementacin de IPsec en IPv6 SeguridadBsqueda de i nformacin de funciones

Contenido

Requisitos previos para la implem entacin de IPsec para IPv6

Seguridad

Informacin s obre la implementacin de IPsec para IPv6 Seguridad

OSPF para IPv6 con soporte de autenticacin IPsec

IPsec para IPv6

IPv6 IPsec Proteccin de sitio a sitio usando interfaz de tnel virtual

Cmo implem entar IPsec para IPv6 Seguridad

Configuracin de un VTI de Site-to-Site IPv6 IPsec Proteccin

Creacin de una directiva IKE y una clave previamente compartida en IPv6

Configuracin del Modo Agresivo de ISAKMP

Configuracin de un conjunto de transformacin y IPsec IPsec Perfil

Configuracin de un perfil ISAKMP en IPv6

Configuracin de IPsec IPv6 VTI

Verificacin de la configuracin modo de tnel IPsec

Solucin de problemas de IPsec para la configuracin y el funcionamiento de IPv6

Ejemplos

Ejemplos de configuracin de IPsec para IPv6 Seguridad

Ejemplo: Configuracin de un VTI de Site-to-Site IPv6 IPsec Proteccin

Referencias adicionales

Documentos relacionados

Normas

MIB

RFC

Asis tencia Tcnica

Informacin de funciones para la im plementacin IPsec en IPv6 Seguridad

La implementacin de IPsec en IPv6 Seguridad

Publicado por primera vez: 03 de noviembre 2003ltima actualizacin: 25 de marzo 2011IOS de Cisco IPv6 caractersticas de seguridad para sus dis positivos de red de Cisco puede proteger

su red contra la degradacin o el fracaso y la prdida de datos o el compromiso res ultante de los

ataques intencionales y no intencionales de los errores, pero perjudicial por usuarios de l a red con

buenas intenciones.

Funcionalidad de Cisco IOS IPsec proporciona cifrado de datos de la red a nivel de paquete IP, queofrece una solucin de seguridad robusta, basada en es tndares. IPsec proporciona autenticacin de

datos y servicios de anti-replay, adems de servicios de confidencialidad de datos.

IPsec es un componente obligatorio de la especificacin de IPv6. OSPF para IPv6 proporciona s oporte

de autenticacin IPsec y la proteccin, y el modo de tnel IPsec IPv6 y la encapsulacin se utiliza para

proteger el trfico unicast IPv6 y multicast. Este docum ento contiene informacin acerca de cm o

implem entar IPsec en la seguridad IPv6.

Bsqueda de informacin de funciones

Su versin de software no sea compatible con todas las caractersticas documentadas en es te

mdulo. Para obtener la ltim a informacin s obre las caractersticas y advertencias, consulte las notas

de la versin de su plataforma y versin de software. Para encontrar informacin acerca de las

caractersticas documentadas en es te mdulo, y para ver una lista de las versiones en las que se

apoya cada funcin, consulte la "Informacin de funciones para la aplicacin de IPsec en la Seguridad

IPv6" seccin .

Utilice Cisco Feature Navigator para encontrar informacin s obre la compatibilidad de la plataforma y

Cisco IOS y Catalyst apoyo de imgenes de software del si stema operativo. Para acceder a Cisco

Feature Navigator, vaya a http://www.cisco.com/go/cfn . No es neces aria una cuenta en Cisco.com

Contenido

Requisitos para la implementacin de IPsec para IPv6 Seguridad

Informacin s obre la im plementacin de IPsec para IPv6 Seguridad

Cmo implem entar IPsec para IPv6 Seguridad


Referencias Adicionales

Informacin de funciones para la im plementacin IPsec en IPv6 Seguridad

Requisitos previos para la implementacin de IPsec para IPv6 Seguridad

Usted debe estar familiarizado con IPv4. Consulte las publicaciones de referencia en la seccin

" "

La implementacin de IPsec en

IPv6 Seguridad
http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1116719http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027173http://www.cisco.com/go/cfnhttp://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1116719http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1116719http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1094731http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1044069http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1060959http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1083106http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1088899http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027177http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027173http://%20void%280%29/http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.pdfhttp://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1101822http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.pdfhttp://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027293http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1116719http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1106585http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1044069http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027188http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027177http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027173http://www.cisco.com/go/cfnhttp://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1116719http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1116719http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1056659http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1056685http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1032445http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1032406http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027293http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1106585http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1094731http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1044069http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1062658http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1060959http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1086601http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1083106http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1093941http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1092684http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1092660http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1091541http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1088899http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027188http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1109512http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1106051http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1106263http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027177http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027173http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1069393http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1117121http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1101822http://www.cisco.com/en/US/hmpgs/index.htmlhttp://%20void%280%29/


2/16



.

Usted debe estar familiarizado con el direccionamiento IPv6 y la configuracin bsica. Referirse

aLa implem entacin del IPv6 Direccionamiento y conectividad b sica para ms informacin.

Informacin sobre la implementacin de IPsec para IPv6 Seguridad

OSPF para IPv6 Soporte de autenticacin de IPsec

IPsec para IPv6

OSPF para IPv6 con soporte de autenticacin IPsec

Con el fin de garantizar que los paquetes OSPF IPv6 no se alteran y re-enviado al router, causando que

el router se comporta de una manera no deseada por parte de sus gestores, OSPF para los paquetes

IPv6 debe estar autenticado. OSPF para IPv6 utiliza la seguridad IP (IPsec) interfaz de programa de

aplicacin de socket seguro (API) para agregar autenticacin OSPF de paquetes IPv6. Esta API se haampliado para proporcionar soporte para IPv6.

OSPF para IPv6 requiere el uso de IPsec para habilitar la autenticacin. Imgenes Crypto estn

obligados a utilizar la autenticacin, ya que s lo las imgenes incluyen la API de cifrado IPsec

necesaria para el uso con OSPF para IPv6.

En OSPF para IPv6, Campos de autenticacin se han eliminado de los encabezados OSPF. Cuando se

ejecuta en IPv6 OSPF, OSPF se basa en la cabecera IPv6 autenticacin (AH) y IPv6 Carga de seguridad

encapsuladora (ESP) para garantizar la integridad, autenticacin y confidencialidad de los intercambios

de enrutamiento. IPv6 cabeceras AH y ESP de extensin se pueden utilizar para proporcionar

autenticacin y la confidencialidad a OSPF para IPv6.

Para configurar IPsec, los usuarios configurar una poltica de seguridad, que es una combinacin del

ndice de polticas de seguridad (SPI) y la tecla (la tecla crea y valida el compendio de mens ajes 5

[MD5] valor). IPsec para OSPF para IPv6 se puede configurar en una interfaz o en un rea OSPF. Para

mayor seguridad, el usuario debe configurar una poltica diferente en cada interfaz configurada con

IPsec. Si un usuario configura IPsec para un rea OSPF, la poltica se aplica a todas las interfaces en

esa zona, con excepcin de las interfaces que tienen IPsec configurado directamente. Una vez IPsec

est configurado para OSPF para IPv6, IPsec es invisible para el us uario.

Para obtener informacin sobre la configuracin de IPsec en OSPF en IPv6, vea Implementacin de

OSPF para IPv6.

IPsec para IPv6

Seguridad IP o IPsec, es un marco de estndares abiertos des arrollados por el Internet Engineering

Task Force (IETF) que proporcionan la seguridad para la transmisin de informacin sens ible a travs

de redes sin proteccin tales como Internet. IPsec acta en la capa de red, la proteccin y autenticacin

de paquetes IP entre dispositivos IPsec participantes (los compaeros), tales como routers Cisco.

IPsec proporciona los siguientes servicios de seguridad de red opcionales. En general, la poltica de

seguridad local dictar el uso de uno o ms de estos servicios:

Confidencialidad de los datos-El remitente IPsec puede cifrar los paquetes antes de enviarlos a

travs de una red.

Integridad de los datos-El receptor de IPsec puede autenticar los paquetes enviados por el

remitente IPsec para asegurar que los datos no ha sido alterado durante la transmis in. origen de datos de autenticacin El receptor IPsec puede autenticar el origen de los paquetes

IPsec enviado. Este servicio depende del servicio de i ntegridad de datos.

antireplay-El receptor IPsec puede detectar y rechazar los paquetes reproducidos .

Con IPsec, los datos s e pueden enviar a travs de una red pblica sin observacin, modificacin o

suplantacin de identidad. Funcionalidad IPsec es sim ilar en IPv6 e IPv4, sin em bargo, el modo de

tnel del sitio-a-sitio slo es compatible con IPv6.

En IPv6, IPsec se implementa utilizando la cabecera de autentificacin AH y la extensin de cabecera

ESP. El encabezado de autenticacin proporciona integridad y autenticacin de la fuente. Tambin

ofrece proteccin opcional contra paquetes reproducidos. El encabezado de autenticacin protege la

integridad de la m ayora de los campos de cabecera IP y autentica la fuente a travs de un algoritmo de

firma bas ada. La cabecera ESP proporciona confidencialidad, la autenticacin de la fuente, integridad

sin conexin del paquete interno, antireplay, y confidencialidad limitada del flujo de trfico.

(IKE) protocolo de intercambio de claves de Internet es un protocolo de gestin de clave es tndar que

se utiliza en conjuncin con IPsec. IPsec puede s er configurado sin IKE, pero IKE mejora IPsec al

proporcionar caractersticas adi cionales, la flexibilidad y la facilidad de configuracin para el es tndarIPSec.

IKE es un protocolo hbrido que implem enta la clave Oakley intercambio y Skeme intercambio de claves

dentro de la Asociacin de Protocolo de Internet Security de administracin de claves (ISAKMP) Marco

(ISAKMP, Oakley y Skeme son protocolos de seguridad que implementan IKE) (verfigura 1 ). Esta

funcionalidad es similar al modelo de pasarela de s eguridad utilizando IPv4 proteccin IPsec.

IPv6 IPsec Proteccin de sitio a sitio usando interfaz de tnel virtual

La interfaz de tnel virtual IPsec (VTI) ofrece sitio a si tio IPv6 proteccin criptogrfica de trfico IPv6. IPv6

nativo encapsulacin IPsec se utiliza para proteger a todos los tipos de unidi fusin IPv6 y el trfico de

multidifusin.

El IPsec VTI permite que los routers IPv6 para trabajar como gateways de s eguridad, establecer

tneles IPSec entre otros routers de gateway de seguridad, y proporcionar proteccin criptogrfica

IPsec para el trfico de las redes internas cuando se enva a travs de la Internet IPv6 (verFigura 1 ).

Esta funcionalidad es s imilar al modelo de pasarela de s eguridad utilizando IPv4 proteccin IPsec.
http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027293http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1107991http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1107991http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ospf.htmlhttp://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1106051http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1106263http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027293


3/16



gura n er az e ne sec para v

Cuando se configura el tnel IPsec, IKE y asociaciones de seguridad IPsec (SA) se negocian y

establecen antes de cambiar el protocolo de l nea para la interfaz de tnel para el estado UP. El

interlocutor IKE remoto es la m ism a que la direccin de des tino del tnel, el interlocutor IKE local ser

la direccin de recogida des de la interfaz de origen del tnel, que tiene el m ism o alcance direccin IPv6

como direccin de des tino del tnel.

La Figura 2 mues tra el formato del paquete IPsec.

Figura 2 IPv6 Paquete Formato IPsec

Para obtener ms informacin acerca de IPsec VTI, consulte la interfaz de tnel virtual IPsecmdulo

en la Gua de configuracin de Cisco IOS Seguridad.

Cmo implementar IPsec para IPv6 Seguridad

Configuracin de un VTI de Site-to-Site IPv6 IPsec Proteccin (requerido)

Verificacin de la configuracin de modo de tnel IPsec (opcional)

Solucin de problem as de configuracin de IPsec para IPv6 y Operacin (opcional)

Configuracin de un VTI de Site-to-Site IPv6 IPsec ProteccinRealice las siguientes tareas para configurar una IPsec VTI de s ite-to-site proteccin IPsec de IPv6

unicast y el trfico de m ultidifusin. Esta caracterstica permite el uso del IPv6 encapsulacin IPsec

para proteger el trfico IPv6.

Creacin de una directiva IKE y una clave previamente compartida en IPv6 (requerido)

Configuracin ISAKMP Modo Agres ivo(opcional)

Configuracin de un conjunto de transformacin IPsec e IPsec perfil (requerido)

Configuracin de un perfil ISAKMP en IPv6 (opcional)

Configuracin de IPsec IPv6 VTI (requerido)

Creacin de una directiva IKE y una clave previamente compartida en IPv6

Debido a las negociaciones IKE deben ser protegidos, cada negociacin IKE se inicia por acuerdo de

los dos compaeros en una poltica comn (compartida) IKE. Esta poltica establece que se utilizarn

los parmetros de seguridad para proteger a las negociaciones IKE posteriores y mandatos cm o se

autentican los compaeros .

Despus de los dos com paeros estn de acuerdo en una poltica, los parmetros de s eguridad de la

poltica se i dentifican por una SA con domicilio s ocial en cada par, y estos SAs s e aplican a todo el

trfico IKE pos terior durante la negociacin.

Puede configurar varias polticas priorizadas en cada peer-cada uno con una combinacin diferente de

valores de los parmetros. Sin embargo, al m enos una de estas polticas debe contener exactamente

la misma encriptacin, el hash, autenticacin y valores de los parmetros Diffie-Hellman com o una de

las polticas en el extremo remoto. Para cada poltica que se crea, se asigna una prioridad nica (del 1

al 10.000, siendo 1 la prioridad ms alta).

Nota Si usted es la interoperabilidad con un dispos itivo que slo adm ite uno de los valores de unparmetro, la eleccin se limita al valor admi tido por el otro dispos itivo. Aparte de esta lim itacin, a

menudo hay un trade-off entre la s eguridad y el rendimiento, y muchos de estos valores de los

parmetros representan como una compens acin. Usted debe evaluar el nivel de riesgos de

seguridad para su red y su tolerancia a estos riesgos .
http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1083106http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1093941http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1092684http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1092660http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1091541http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1060959http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1086601http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1088899http://www.cisco.com/en/US/docs/ios/security/configuration/guide/sec_ipsec_virt_tunnl.html


4/16


www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html 4

Cuando comienza la negociacin IKE, bsquedas IKE para una poltica IKE que es el mis mo en

ambos pares. El par que inicia la negociacin enviar todas sus polticas a l a par remoto, y la distancia

entre pares tratar de encontrar una coincidencia. El interlocutor remoto busca una coincidencia

comparando su propia poltica de mxima prioridad contra las polticas recibidos del otro par. La

distancia entre pares comprueba cada uno de sus polticas con el fin de que su prioridad (prioridad

ms alta primero) hasta que se encuentre una coincidencia.

Un partido se hace cuando tanto las polticas de los dos pares contienen la mis ma encriptacin, el

hash, la autenticacin, y valores de los parm etros de Diffie-Hellman, y cuando la poltica del

interlocutor remoto especifica un tiempo de vida que es menor que o igual a la vida til en la poltica

que se comparan . (Si el tiempo de vida que no s on idnticos, el ms corto de toda la vida del

interlocutor remoto poltica ser utilizado.)

Si se encuentra una coincidencia, IKE completar la negociacin, y ser creado as ociaciones de

seguridad IPsec. Si no se encuentra una coincidencia aceptable, IKE se niega negociacin y IPsec no

se establecer.

Nota En funcin del mtodo de autenticacin se especifica en una poltica, puede ser necesarioconfiguracin adicional. Si la poltica de un compaero no tiene l a configuracin compaera requerida,

el par no presentar la poltica cuando se trata de encontrar una poltica coincidente con el par remoto.

Debe es tablecer la identidad ISAKMP para cada interlocutor que utiliza claves previamente compartidas

en una poltica IKE.

Cuando s e utilizan dos pares IKE para establecer IPsec, cada interlocutor enva su identidad a la par

remoto. Cada par enva ya sea su nombre de hos t o su direccin IPv6, dependiendo de cmo s e haya

configurado la identidad ISAKMP del router.

De forma predeterminada, la identidad ISAKMP de un compaero es la direccin IPv6 de los pares. Si

es apropiado, se puede cambiar la identidad de ser el nombre de host de los pares en su lugar. Como

regla general, establecer las identidades de todos los compaeros de la m ism a manera, ya sea todos

los compaeros deben utilizar sus direcciones IPv6 o todos los com paeros deben utilizar sus

nombres de host. Si algunos compaeros usan sus nombres de host y algunos compaeros usan

sus direcciones IPv6 para identificarse entre s, las negociaciones IKE puede fallar si la identidad de

un interlocutor remoto no es reconocido y una bsqueda de DNS no es capaz de resolver la identidad.

PASOS RESUMEN

1. permitir

2. configurar terminales

3. crypto poltica isakmpprioridad

4. autenticacin { rsa-sig | rsa-encr| pre-share }

. 5 de hash { sha | md5 }

6. grupo { 1 | 2 | 5 }

. 7 cifrado { des | 3des | aes | aes 192 | aes 256 }

8. vitalicios segundos

9. salida

. 10 crypto isakmp clave de tipo contrasea k eystring{ direccinpeer-direccin [ mscara ] | ipv6 {direccin-ipv6/ ipv6-prefix} | nombre_host nombre_host} [ no-xauth ]

11. crypto llavero llavero de nombre [ vrffvrf-nombre ]

12. pre-shared key- { direccin de la direccin [ mscara ] | nombre_host nombre_host| ipv6 {direccin-ipv6| ipv6-prefix}} llave clave

Pasos detallados

Comando o accin Propsito

Paso 1 permitir

Ejemplo:

Router> enable

Activa el modo

EXEC

privilegiado.

Introduzca

su

contrasea

si se le

solicita.

Paso 2 configurar terminales

Ejemplo:Router # configure terminal

Entra en el

modo de

configuracin

global.

Paso 3 poltica crypto isakmpprioridad

Ejemplo:Router (config) # crypto poltica

isakmp 15

Define una

poltica IKE, y

entra en el

modo de

configuracin


5/16



ISAKMP.

Nmero de la

pliza 1 indica

la poltica de la

ms alta

prioridad. La

ms pequea

es laprioridad

valor del

argumento,

mayor es la

prioridad.

Paso 4 autenticacin { rsa-sig | rsa-encr |pre-share }

Ejemplo:Router (config-ISAKMP-poltica) # la

autenticacin pre-share

Especifica el

mtodo de

autenticacin

dentro de una

poltica IKE.

El rsa-sig yrsa-ENCRpalabras clave

no son

compatibles

con IPv6.

Paso 5 Hash { sha |md5 }

Ejemplo:Router (config-ISAKMP-poltica) de hash

md5 #

Especifica el

algoritmo de

control dentro

de una poltica

IKE.

Paso 6 grupo { 1 | 2 | 5 }

Ejemplo:Router (config-ISAKMP-poltica) # Grupo

2

Especifica el

identificador de

grupo Diffie-

Hellman en

una poltica

IKE.

Paso 7 cifrado { des | 3des | aes | aes 192 |

aes 256 }

Ejemplo:Router (config-ISAKMP-poltica) #

cifrado 3DES

Especifica el

algoritmo de

cifrado dentro

de una poltica

IKE.

Paso 8 vida segundo

Ejemplo:Router (config-ISAKMP-poltica) # 43200

vida

Especifica el

tiempo de vidade un IKE SA.

Ajuste del valor

de la vida IKE

es opcional.

Paso 9 salida

Ejemplo:Router (config-ISAKMP-poltica) # exit

Escriba este

comando para

salir del modo

de

configuracin

de la directiva

ISAKMP y entrar

en el modo de

configuracin

global.

Paso 10 cripto isakmp clave enc tipo dgitoskeystring { direccinpeer-ip [mask] |ipv6 { direccin-ipv6/ ipv6-prefix} |

nombre_host nombre_host} [ no-xauth ]

Ejemplo:Router (config) # crypto isakmp tecla 0

Direccin mi-preshare-key-0 ipv6 3ffe:

1001 :: 2/128

Configura unaclave de

autenticacin

compartida

previamente.

Paso 11 cripto llavero llavero de nombre [ vrffvrf-nombre ]

Ejemplo:Router (config) # crypto llavero

keyring1

Define un cripto

llavero para s er

utilizado

durante la

autenticacin

IKE.

Paso 12 pre-shared key- { direccin de la

direccin mscara nombre host

Define una


6/16



_

nombre_host | ipv6 { direccin-ipv6|

ipv6-prefix}} llave clave

Ejemplo:

Router (config-keyring) # ipv6 pre-shared-key3FFE: 2002 :: A8BB: CCFF: FE01: 2C02/128

previamente

compartida que

se utilizar

para la

autenticacin

IKE.

Configuracin del Modo Agresivo de ISAKMP

Nota: Es probable que no es necesario configurar el modo agresivo en un escenario de sitio a sitio. Elmodo por defecto se utiliza normalmente.

PASOS RESUMEN

1. permitir


3. crypto isakmp pares { direccin { direccin IPv4 | ipv6 ipv6 direccin ipv6-longitud-prefijo } |nombre de host FQDN-hostname }

. 4 establecer agresiva en modo cliente-endpoint { cliente endpoint| ipv6 ipv6 direccin }

Pasos detallados


Paso 1 permitir

Ejemplo:Router> enable

Activa el modo

EXEC

privilegiado.

Introduzca

su

contrasea

si se le

solicita.



Entra en el

modo de

configuracin

global.

Paso 3 cripto isakmp pares { direccin { direccin IPv4| ipv6 ipv6 direccin ipv6-longitud-prefijo } |

nombre de host FQDN-hostname }

Ejemplo:Router (config) # crypto isakmp pares de direcciones IPv63FFE: 2002 :: A8BB: CCFF: FE01: 2C02/128

Permite un

nivel de IPsec

para IKE

consultar losatributos del

tnel.

Paso 4 establecer agresiva en modo cliente-endpoint {cliente endpoint | ipv6 ipv6 direccin }

Ejemplo:Router (config-ISAKMP-peer) # Ajuste el modo

agresivo ipv6 cliente de punto final 3ffe: 2002

:: A8BB: SFCC: fe01: 2C02/128

Define la

direccin IPv6

del interlocutor

remoto, el cual

ser utilizado

por

negociacin de

modo agresivo.

La direccin

del interlocutor

remoto es

normalmente

la direccin del

punto final dellado del cliente.

Configuracin de un conjunto de transformacin y IPsec IPsec Perfil

Un conjunto de transformacin es una combinacin de protocolos y algoritmos de s eguridad que sea

aceptable para los enrutadores IPsec.

PASOS RESUMEN

1. permitir


3. crypto ipsec transform-set transformar-set-nomb re transform1 [ transform2] [ transform3 ] [transform4 ]

4. crypto ipsec perfil Nombre


7/16



5. transformar-fij transformar-set-nombre [ transformar-fij-tipo2 ... transform-set-name6]

Pasos detallados


Paso 1 permitir


Activa el modo EXEC

privilegiado.

Introduzca su

contrasea si se le

solicita.

Paso 2 configurar terminalesEjemplo:Router # configure

terminal

Entra en el modo deconfiguracin global.

Paso 3 crypto ipsec transform-settransformar-set-nombre

transform1 [ transform2 ]

[ transform3 ] [

transform4 ]

Ejemplo:Router (config) # crypto

ipsec transform-set myset0

ah-sha-hmac esp-3des

Define un conjunto de

transformacin, y coloca el

router en el modo de

configuracin de

transformacin criptogrfica.

Paso 4 crypto ipsec perfil Nombre

Ejemplo:Router (config) # crypto

ipsec perfil Perfil0

Define los parmetros de

IPsec que se van a utilizar

para el cifrado IPSec entredos enrutadores IPsec.

Paso 5 transformar-fijtransformar-set-nombre [

transformar-fij-tipo2 ...

transform-set-name6]

Ejemplo:Router (config-cripto-

transform) # set-

transform-set myset0

Especifica que conjuntos de

transformacin se pueden

utilizar con la entrada de

mapa de cripto.

Configuracin de un perfil ISAKMP en IPv6

PASOS RESUMEN

1. permitir2. configurar terminales

3. crypto perfil isakmpperfil en nom bre de [ la contabilidad aaalist]

4. autoidentidad { Direccin | Direccin IPv6 ] | fqdn | usuario fqdn usuario fqdn }

. 5 coincidir la identidad { grupo group-name | Direccin { abordar[ mscara ] [ fvrf] | ipv6 ipv6direccin } | husped host-name | host de dominio de nombres de dominio | usuario usuario fqdn |dominio de usuario domain-name }

Pasos detallados


Paso 1 permitir

Ejemplo:

Router> enable

Activa el modo

EXEC

privilegiado.

Introduzca

su

contrasea

si se le

solicita.



Entra en el

modo de

configuracin

global.

Paso 3 cripto perfil isakmp nombre-perfil [contabilidadaaalist ]

Ejemplo:Router (config) # crypto isakmp

perfil profile1

Define un perfil

de ISAKMP y

auditoras de

las sesiones

de usuario


8/16



.

Paso 4 autoidentidad{ Direccin | DireccinIPv6 ] | fqdn | usuario fqdn usuario

fqdn }

Ejemplo:Router (config-ISAKMP-perfil) #

identidad propia direccin IPv6

Define la

identidad que

el IKE local

utiliza para

identificarse en

el extremo

remoto.

Paso 5 coincidir con la identidad{ grupogroup-name | Direccin { abordar[

mscara ] [ fvrf] | ipv6 ipv6

direccin } | huspedhost-name |

host de dominio de nombres de dominio| usuario usuario fqdn | dominio de

usuario domain-name }

Ejemplo:Router (config-isakmp perfil) #

coincide con la direccin ipv6

identidad 3FFE: 2002 :: A8BB: CCFF:

FE01: 2C02/128

Coincide con la

identidad de un

interlocutor

remoto en un

perfil deISAKMP.

Configuracin de IPsec IPv6 VTI

Requisitos previos

Utilice el unicast-routing IPv6 comando para habilitar el enrutamiento unicas t IPv6.

PASOS RESUMEN

1. permitir


3. ipv6 unicast-routing

4. tnel de interfaz de tnel nmero

5. ipv6 direccin ipv6-address/prefix

6. IPv6 permiten

. 7 origen del tnel { direccin-ip | direccin-ipv6| -tipo de interfaz interfaz de serie }

8. destino del tnel { host-name | direccin-ip | ipv6 direccin }

9. modo tnel { AURP | cayman | dvmrp | eon | gre | gre multipunto | gre ipv6 | ipip [ decapsulate-any] | ipsec ipv4 | iptalk | ipv6 | ipv6 ipsec | mpls | nn | rbscp }

10. Proteccin perfil IPSec tnel nombre [ compartida ]

Pasos detallados


Paso 1 permitir


Activa el modo EXEC

privilegiado.

Introduzca su

contrasea s i se le

solicita.



Entra en el modo de

configuracin global.

Paso 3 ipv6 unicast-routing

Ejemplo:Router (config) # ipv6

unicast-routing

Permite enrutamiento

unicast IPv6. Solo

necesita habilitar IPv6unicast enrutamiento vez,

no im porta cuntos

tneles de interfaz que

desea configurar.

Paso 4 interfaz de tnel tnelnmero

Ejemplo:Router (config) # interfaz de

tnel 0

Especifica una interfaz de

tnel y nmero, y entra en

el modo de configuracin

de in terfaz.

Paso 5 ipv6 direccinipv6-address/prefix

Ejemplo:Router (config-if) # ipv6

direccin 3FFE: C000: 0:7 ::

Proporciona una

direccin IPv6 a la interfaz

de tnel, por lo que el

trfico IPv6 se puede

dirigir a este tnel.


9/16



/ 64 EUI-64

Paso 6 ipv6 enable

Ejemplo:Router (config-if) # ipv6 permitir

Activa IPv6 en esta

interfaz de tnel.

Paso 7 origen del tnel { direccin-ip | direccin-ipv6| -tipo

de interfaz interfaz de serie

}

Ejemplo:Router (config-if) # origen

del tnel ethernet0

Establece la direccin de

origen para una interfaz

de tnel.

Paso 8 tnel del destino { host-name| direccin-ip | ipv6

direccin }

Ejemplo:Router (config -if) # destino

del tnel 2001: DB8:

1111:2222 :: 1

Especifica el destino de

una interfaz de tnel.

Paso 9 tnel de modo {AURP | cayman| dvmrp | eon | gre | gre

multipunto | gre ipv6 | ipip[ decapsulate-any ] | ipsecipv4 | iptalk | i PV6 | ipsecipv6 |mpls | nn | r BSCP }

Ejemplo:Router (config-if) # ipv6

modo tnel IPSec

Establece el modo de

encapsulacin para la

interfaz de tnel. Para

IPsec, slo los ipv6 ipsecpalabras clave son

compatibles.

Paso 10 proteccin tnel perfil ipsecnombre [ compartida ]

Ejemplo:Router (config-if) # tnel

proteccin ipsec perfil

profile1

Asocia una interfaz de

tnel con un perfil de

IPsec. IPv6 no es

compatible con el comnde palabras clave.

Verificacin de la configuracin modo de tnel IPsec

PASOS RESUMEN

. 1 mostrar adyacencia [ Resumen [ tipo de interfaz de la interfaz de serie ]] | [prefijo ] [ interfaceinterface-number] [ ConnectionID ID ] [ enlace { ipv4 | ipv6 | mpls }] [ detalles ]

. 2 mostrar crypto motor{ acelerador| breve | Configuracin | conexiones [ activo | dh | descendido

de paquetes | Mostrar] | qos }

3. espectculo crypto ipsec sa [ IPv6 ] [ -type interface interface-number] [ detallado ]

. 4 mostrar crypto isakmp pares [ config | detalles ]

5. Mostrar poltica crypto isakmp

6. espectculo crypto isakmp perfil de [ tag nombreperfil| vrfvrfname ]

7. espectculo crypto mapa [ interface interface | tag map-nombre ]

. 8 sesiones crypto espectculo [detalles] | [ local de direccin-ip [ Puerto local puerto ] | [ remotodireccin IP[ puerto remoto puerto ]] |detalles ] | fvfrVRF-nombre | [ ivrfVRF-nombre ]

9. espectculo crypto socket

10. ipv6 mostrar la lista de acceso [ access-list-nombre ]

11. espectculo ipv6 cef[ VRF] [ IPv6 prefijo/ longitud-prefijo ] | [ tipo de interfaz de la interfaz deserie ] [ a ms largo prefijos | parecida-prefijos | detalle | interno | plataforma | epoca | fuente ]]

12. Mostrar la interfaz de tipo de nmero Estadsticas

Pasos detallados


Paso 1 mostrar adyacencia [ Resumen [tipo de interfaz de la interfaz

de serie ]] | [prefijo] [

interface interface-number] [

ConnectionID ID] [ enlace {

ipv4 | ipv6 |mpls }] [detalles ]

Ejemplo:

Router # show detalle adyacencia

Muestra informacin

sobre el Expreso tabla

de adyacencia

Forwarding Cisco o la

capa de hardware tabla

de adyacencia 3 de

conmutacin.

Paso 2 espectculo motor de cifrado { Muestra un resumen de


10/16



acelerador |breve |

Configuracin | conexiones [activo | dh | descendido de

paquetes |Mostrar ] | qos }

Ejemplo:Router # show conexin motor de

cifrado activo

la informacin de

configuracin de los

motores de cifrado.

Paso 3 espectculo crypto ipsec sa [IPv6 ] [ -type interface

interface-number] [ detallado

]

Ejemplo:Router # show crypto ipsec sa

ipv6

Muestra los ajustes

utilizados por las SV

actual en IPv6.

Paso 4 espectculo crypto isakmp pares[ config | detalles ]

Ejemplo:Router # show crypto isakmp

detalle pares

Muestra asoman

descripciones.

Paso 5 Mostrar poltica crypto isakmp

Ejemplo:Router # show crypto poltica

isakmp

Muestra los parmetros

para cada poltica IKE.

Paso 6 espectculo crypto isakmpperfil [ tag nombreperfil | vrf

vrfname ]

Ejemplo:Router # show crypto isakmp

perfil

Lista todos los perfiles

ISAKMP que se definen

en un router.

Paso 7 mostrar mapa crypto [ interfaceinterface | tag map-nombre ]

Ejemplo:Router # show crypto mapa

Muestra el mapa de

configuracin de

cifrado.

Los mapas de cifrado

que se muestran en

esta salida del

comando se generan

dinmicamente. El

usuario no tiene que

configurar mapas

criptogrficos.

Paso 8 sesin de cifrado espectculo [

detalles ] | [ local dedireccin-ip [ Puerto local

puerto ] | [ remoto direccin

IP[puerto remoto puerto ]] |

detalles ] | fvfr VRF-nombre |

ivrf VRF-nombre

Ejemplo:Router # crypto sesin de

demostracin

Muestra informacin

sobre el estado de lasses iones criptogrficas

activos.

IPv6 no admite la fvfroivrfpalabras clave o elVRF-nombre de

argumento.

Paso 9 espectculo crypto socket

Ejemplo:Router # show crypto socket

Muestra s ockets de

cifrado.

Paso 10 mostrar ipv6 access-list [access-list-nombre ]

Ejemplo:Router # show access-list ipv6

Muestra el contenido de

todas las listas de

acceso IPv6 actuales.

Paso 11 mostrar ipv6 cef [ IPv6 prefijo/ longitud-prefijo ] | [ tipo

de interfaz de la interfaz de

serie ] [ a ms largo prefijos

|parecida-prefijos | detalle |interno |plataforma | epoca |fuente ]]

Ejemplo:

Router # show ipv6 cef

Muestra las entradas

de la base de

informacin de reenvo

de IPv6 (FIB).

Paso 12 Mostrar la interfaz de tipo denmero Estadsticas

Ejemplo:

Muestra el nmero de

paquetes que fueron

procesados cambiaron,


11/16



Router # show interface fddi

estadsticas 3/0/0

,

distribuidos

conmutada.

Solucin de problemas de IPsec para la configuracin y el funcionamiento de IPv6

PASOS RESUMEN

1. permitir

2. debug crypto ipsec [ error]

3. depurar paquete motor de cifrado [ detalles ] [ error]

Pasos detallados

Comando oaccin Propsito

Paso 1 permitir

Ejemplo:Router #

enable

Activa el modo EXEC privilegiado.

Introduzca su contrasea si se le

solicita.

Paso 2 debug cryptoipsec

Ejemplo:Router # debug

crypto ipsec

Muestra IPsec eventos de la red.

Paso 3 depurarpaquete motorde cifrado [

detalles ]

Ejemplo:Router # debug

paquete de

motor de

cifrado

Muestra el contenido de los paquetes IPv6.

Precaucin El uso de este comandopodra inundar el sis tema y

aumentar el uso de la CPU si

varios paquetes s e estn cifrados.

Ejemplos

Ejemplo de sal ida de la serie crypto ipsec sa Comando

Ejemplo de sal ida de la serie crypto isakmp pares Com ando

Ejemplo de s alida del comando crypto perfil isakmp es pectculo

Ejemplo de sal ida de la serie crypto isakmp sa Com ando

Ejemplo de sal ida de la serie crypto mapa Comando

Ejemplo de salida del comando show session crypto

Ejemplo de salida de la serie crypto ipsec sa Comando

El siguiente es un ejemplo de salida del espectculo crypto ipsec sa comando:

Router #mostrar crypto ipsec sa

Interfaz: Tunnel0

Crypto mapa tag: Tunnel0-cabeza-0, locales addr 3FFE: 2002 :: A8BB: CCFF: FE01: 9002

protegida vrf: (ninguno)

locales ident (addr / mscara / prot / puerto): (:: / 0/0/0)

ident remoto (addr / mscara / prot / puerto): (:: / 0/0/0)

current_peer 3FFE: 2002 :: A8BB: CCFF: FE01: 2C02 puerto 500

PERMISO, flags = {origin_is_acl,}

# Pkts encaps: 133, # pkts cifrar: 133, # pkts digest: 133

# Pkts decaps: 133, # pkts descifrar: 133, # pkts verificar: 133

# Pkts comprimido: 0, # PKTS descomprimido: 0

# PKTS los compactos: 0, # pkts compr. perdidos: 0

# PKTS no descomprime: 0, # pkts descomprimir fall: 0

# Enviar errores, # 60 errores recv 0

cripto locales Endpt:. 3FFE: 2002 :: A8BB: CCFF: FE01: 9002,

remoto crypto Endpt:. 3FFE: 2002 :: A8BB: CCFF: FE01: 2C02

Path MTU 1514, ip mtu 1514

actual spi salida: 0x28551D9A (676666778)
http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1108437http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1108426http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1100294http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1099731http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1099654http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1062362


12/16



entra a esp sas:

spi: 0x2104850C (553944332)

transform: esp-des,

en entornos de uso = {Tnel,}

CONN id: 93, flow_id: SW: 93, crypto mapa: Tunnel0-cabeza-0

sa tiempo: duracin de la clave restante (k / s): (4397507/148)

Tamao IV: 8 bytes

apoyo deteccin de reproduccin: Y

Status: ACTIVE

entrante ah sas:

spi: 0x967698CB (2524354763)

transform: ah-sha-hmac,





Status: ACTIVE

entrada pcp sas:

saliente esp sas:

spi: 0x28551D9A (676666778)

transform: esp-des,




Tamao IV: 8 bytes


Status: ACTIVE

saliente ah sas:

spi: 0xA83E05B5 (2822636981)

transform: ah-sha-hmac,





Status: ACTIVE

saliente pcp sas:

Ejemplo de salida de la serie crypto isakmp pares Comando

La siguiente salida de ejemplo m uestra descripciones de pares en un router IPv6:

Router #mostrar crypto isakmp detalle pares

Peer: 2001: DB8: 0:1 :: 1 Puerto: 500 Local: 2001: DB8: 0:2 :: 1

Fase 1 id: 2001: DB8: 0:1 :: 1

banderas:

NAS Puerto: 0 (Normal)

IKE SA: 1 IPsec SA paquetes: 1

last_locker: 0x141A188, last_last_locker: 0x0

last_unlocker: 0x0, last_last_unlocker: 0x0

Ejemplo de salida del comando crypto perfil isakmp espectculo

La salida de ejemplo siguiente m uestra los perfiles ISAKMP que se definen en un router IPv6.

Router # show crypto isakmp perfil

ISAKMP PERFIL tom

Identidades coincidentes son:

ipv6 direccin 2001: DB8: 0:1 :: 1/32

Mapas de certificados coincidentes son:

Identidad que se presenta es: ipv6 direccin fqdn

llavero (s):

trustpoint (s):

Ejemplo de salida de la serie crypto isakmp sa Comando

La si guiente salida de ejemplo muestra las SA de un dispos itivo de IPv6 activo. El dispos itivo de IPv4

est activo:

Router #mostrar crypto isakmp sa detalle


13/16



Cdigos: C - Modo de configuracin IKE, D - Dead Peer Detection

K - Keepalives, N - NAT-Traversal

X - Autenticacin Extendida IKE

psk - Clave precompartida, rsig - RSA firma

RENC - cifrado RSA

IPv4 Crypto ISAKMP SA

C-id Local de E-VRF Estado Encr Hash de autenticacin DH

Cap de por vida.

IPv6 Crypto ISAKMP SA

dst: 3FFE: 2002 :: A8BB: CCFF: FE01: 2C02

src: 3FFE: 2002 :: A8BB: CCFF: FE01: 9002

conn-id: 1001 I-VRF: Estado: ACTIVE Encr: des Hash: sha Aut:

psk

DH: 1 Vida til: 23:45:00 Cap: D Motor-id: Conn-id = SW: 1

dst: 3FFE: 2002 :: A8BB: CCFF: FE01: 2C02

src: 3FFE: 2002 :: A8BB: CCFF: FE01: 9002

conn-id: 1002 I-VRF: Estado: ACTIVE Encr: des Hash: sha Aut: psk

DH: 1 Vida til: 23:45:01 Cap: D Motor-id: Conn-id = SW: 2

Ejemplo de salida de la serie crypto mapa Comando

La salida de ejemplo siguiente muestra los mapas de cifrado generadas dinmicamente de undispositivo de IPv6 activo:

Router #mostrar crypto mapa

Crypto Map "Tunnel1-cabeza-0" 65536 ipsec-isakmp

Nombre del perfil: Perfil0

Asociacin de seguridad de duracin: 4608000 kilobytes/300 segundos

PFS (Y / N): N

Transformar sets = {

ts,

}

Crypto Map "Tunnel1-cabeza-0" 65537

Mapa es una instancia de perfil.

Peer = 2001:1 :: 2

Lista de acceso IPv6 Tunnel1-cabeza-0-ACL (cripto)

permitir ipv6 any any (61.445.999 partidos) Secuencia 1

Pares actual: 2001:1 :: 2

Asociacin de seguridad de duracin: 4608000 kilobytes/300 segundos

PFS (Y / N): N

Transformar sets = {

ts,

}

Interfaces utilizando criptografa mapa Tunnel1-cabeza-0:

Tunnel1

Ejemplo de salida del comando show session crypto

La siguiente salida de la serie crypto informacin de la s esin s e proporcionan detalles s obre las

ses iones de cifrado actualmente activas:Router #mostrar crypto detalle reunin

Crypto sesin situacin actual

Cdigo: C - Modo de configuracin IKE, D - Dead Peer Detection K - Keepalives, N -NAT-Traversal, X - Autenticacin Extendida IKE

Interfaz: Tunnel1

Estado de la sesin: UP-ACTIVE

Peer: 2001:1 :: 1 puerto 500 fvrf: (ninguno) ivrf: (ninguno)

Phase1_id: 2001:1 :: 1

Desc: (ninguno)

IKE SA: 2001:1 locales :: 2/500


14/16



remoto 2001:1 :: 1/500 Activo

Capacidades: (ninguno) connID: 14,001 duracin: 00:04:32

IPSEC FLUJO: ipv6 permiso :: / 0 :: / 0

Activa SA: 4, origen: crypto mapa

Entrantes: # pkts dec'ed 42641 drop 0 Vida (KB / s) 4534375/72

Salientes: # pkts enc'ed 6734980 drop 0 Vida (KB / s) 2392402/72


Ejemplo: Configuracin de un VTI de Site-to-Site IPv6 IPsec Proteccin

Ejemplo: Configuracin de un VTI de Site-to-Site IPv6 IPsec Proteccinpoltica crypto isakmp 1

autenticacin pre-share

!

cripto isakmp clave myPreshareKey0 direccin ipv6 3FFE: 2002 :: A8BB: CCFF: FE01: 2C02/128

cripto isakmp keepalive 30 30

!

ipsec crypto transformar-ah establecido 3des-sha-hmac esp-3des

!

crypto ipsec perfil Perfil0

transformar-fij 3des

!

ipv6 cef

!

interfaz Tunnel0

direccin ipv6 3FFE: 1001 :: / 64 EUI-64

ipv6 enable

ipv6 cef

tnel fuente Ethernet2 / 0

destino del tnel 3FFE: 2002 :: A8BB: CCFF: FE01: 2C02

modo de tnel IPSec ipv6

tnel de la proteccin de IPsec perfil Perfil0

Referencias adicionales

Documentos relacionados

Tema relacionado Ttulo del documento

OSPF para IPv6 con soporte de autenticacin

IPsec

La implem entacin de OSPF

para IPv6

Informacin IPsec VTI Interfaz de tnel virtual IPsec

IPv6 lista de caractersticas con el apoyo Comience aqu: Cisco IOS

Software Release Especficospara las caractersticas de IPv6

Comandos IPv6: la sintaxis de comandos

completa, modo de comando, por defecto,

directrices de us o y ejemplos

Cisco IOS IPv6 de mandatos

IPv4 tareas de configuracin de seguridad Cisco IOS Gua de configuracin

de seguridad

IPv4 comandos de seguridad: la s intaxis de

comandos com pleta, modo de comando, por

defecto, directrices de uso y ejemplos

Cisco IOS Seguridad de

mandatos

Normas

Normas Ttulo

No hay normas nuevas o modificadas s on compatibles con esta

caracterstica, y el apoyo a las normas existentes que no han s ido

modificados por esta caracterstica.

-

MIB

MIB MIB Enlace

Ninguno Para localizar y descargar MIB para plataformas seleccionadas,

versiones de s oftware de Cis co, y conjuntos de caractersticas, utilice

Cisco MIB Localizador de encontrar en la s iguiente URL:

http://www.cisco.com/go/mibs
http://www.cisco.com/go/mibshttp://www.cisco.com/en/US/docs/ios/security/command/reference/sec_book.htmlhttp://www.cisco.com/en/US/docs/ios/security/configuration/guide/12_4t/sec_12_4t_book.htmlhttp://www.cisco.com/en/US/docs/ios/ipv6/command/reference/ipv6_book.htmlhttp://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-roadmap.htmlhttp://www.cisco.com/en/US/docs/ios/security/configuration/guide/sec_ipsec_virt_tunnl.htmlhttp://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ospf.htmlhttp://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1094731


15/16



RFC

RFC Ttulo

RFC

2401

Arquitectura de seguridad para el Protocolo de Internet

RFC

2402

IP Authentication Header

RFC

2404

El uso de hash de autenticacin de mensaje Cdigo Federal Information

Processing Standard 180-1 dentro de Carga de seguridad encapsuladoray cabecera de autenticacin

RFC

2406

IP Carga de seguridad encapsuladora (ESP)

RFC

2407

El dominio de seguridad de Internet de Interpretacin de ISAKMP

RFC

2408

Asociacin de Seguridad de I nternet y el Protocolo de administracin de

claves (ISAKMP)

RFC

2409

Internet Key Exchange (IKE)

RFC

2460

Protocolo de Internet versin 6 (IPv6) Specification

RFC2474

Definicin de los Servicios diferenciados Field (DS Mvil) en losencabezados IPv4 e IPv6

RFC

3576

Cambio de Autorizacin

RFC

4109

Algoritm os de claves de Internet versin Tipo 1 (IKEv1)

RFC

4302

IP Authentication Header

RFC

4306

Internet Key Exchange (IKEv2) Protocolo

RFC

4308

Criptogrfica Suites para IPsec

Asistencia Tcnica

Descripcin Enlace

El apoyo y el sitio web de

documentacin de Cisco

proporciona recursos en

lnea para descargar la

documentacin, el software y

las herramientas. Use estos

recursos para instalar y

configurar el software y para

solucionar y resolver

problemas tcnicos con los

productos y tecnologas deCisco. El acceso a la

mayora de las herramientas

en la Ayuda de Cisco y el

sitio web de documentacin

requiere un ID de usuario y

contrasea de Cis co.com.

http://www.cisco.com/cisco/web/support/index.html

Informacin de funciones para la implementacin IPsec en IPv6 Seguridad

La Tabla 1 mues tra las caractersticas de este m dulo y proporciona vnculos a informacin de

configuracin especfica.

Utilice Cisco Feature Navigator para encontrar informacin s obre la compatibilidad de la plataforma y

soporte de imgenes de s oftware. Cisco Feature Navigator le permite determinar qu imgenes de

software apoyan una versin especfica del software, el conjunto de funciones, o de la plataforma. Para

acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn . No es necesaria una cuenta en
http://www.cisco.com/go/cfnhttp://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1119702


16/16


Cisco.com.

Tenga en cuenta la tabla 1 se enum eran slo la versin de software que introdujo soporte para unadeterminada caracterstica en un tren de versin de s oftware determinada. A menos que se indique lo

contrario, las versiones pos teriores de esta s erie de actualizaciones de s oftware tambin s on

compatibles con esta caracterstica.

Tabla 1 caractersticas de Informacin para la aplicacin de IPsec en IPv6Seguridad

Nombre de la

caracterstica Ediciones Informacin FeatureIPv6 IPsec para la

autenticacin

Open Shortest

Path First para

IPv6 (OSPFv3)

12.3 (4) T

12.4

12.4 (2) T

OSPF para IPv6 utiliza la interfaz IPsec Secure

Socket programa de aplicacin (API) para

agregar autenticacin a OSPF para los

paquetes IPv6. Esta API se ha am pliado para

proporcionar soporte para IPv6.

Las siguientes secciones proporcionan

informacin acerca de esta caracterstica:

OSPF para IPv6 Soporte de autenticacin de

IPsec

Cmo implem entar IPsec para IPv6

Seguridad

IPv6 IPsec VPN 12.4 (4) T Las s iguientes secciones proporcionan


Informacin sobre la im plementacin de

IPsec para IPv6 Seguridad

Cmo implem entar IPsec para IPv6

Seguridad

IPsec IPv6 Fase 2

Soporte

12.4 (4) T Caractersticas de este modo tnel soporte

en fase de site-to-site proteccin IPsec del

trfico IPv6. Esta caracterstica permite el uso

del IPv6 encapsulacin IPsec para proteger el

trfico de unidifusin y multidifusin IPv6.

Las siguientes secciones proporcionan


IPv6 IPsec Proteccin de sitio a sitio us ando

interfaz de tnel virtual

Configuracin de un VTI de Site-to-Site IPv6

IPsec Proteccin

Cisco y el logoti po de Cisco son marcas comerciales de Cisco Systems, Inc. y / o sus filiales en los EE.UU. y otros pases.

Una li sta de las marcas comerciales de Cisco se puede encontrar en www.cisco.com / g o / trademarks . Marcas

comerciales de terceros mencionadas son propiedad de sus respectivos dueos. El uso de la p alabra socio no i mpli ca

una relacin de sociedad entre Cisco y cualquier otra compaa. (1005R)

Las direcciones de Protocolo de Internet (IP) y los nmeros de telfono utilizados en este documento no pretenden ser

direcciones reales. Los ejemplos, salida de visualizacin de comandos y figuras incluidas en el documento se muestran

slo con fines ilustrativos. Cualquier uso de direcciones IP reales en el contenido ilustrativo es accidental y casual.

2001-2011 de Cisco Systems, Inc. Todos los derechos reservados.

Trminos y Condiciones | Declaracin de privacidad | Poltica de Cookies | Marcas registradas
http://www.cisco.com/web/siteassets/legal/trademark.htmlhttp://www.cisco.com/web/siteassets/legal/privacy.html#cookieshttp://www.cisco.com/web/siteassets/legal/privacy.htmlhttp://www.cisco.com/web/siteassets/legal/terms_condition.htmlhttp://www.cisco.com/go/trademarkshttp://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1088899http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1109512http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027188http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027177http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1027188http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1106263http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html#wp1119702

Date post:	31-Oct-2015
Category:	Documents
Upload:	joan-e-vazjim
View:	110 times
Download:	0 times

La implementación de IPsec en IPv6 Seguridad

Documents