15/05/13

La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems

La implementacin de IPsec en IPv6 Seguridad

Tabla de contenido
Descarga este captulo La implementacin de IPsec en IPv6 Seguridad La implementacin de IPsec en Bsqueda de informacin de funciones IPv6 Seguridad Contenido Requisitos previos para la implementacin de IPsec para IPv6 Feedback Seguridad Informacin sobre la implementacin de IPsec para IPv6 Seguridad OSPF para IPv6 con soporte de autenticacin IPsec IPsec para IPv6 IPv6 IPsec Proteccin de sitio a sitio usando interfaz de tnel virtual Cmo implementar IPsec para IPv6 Seguridad Configuracin de un VTI de Site-to-Site IPv6 IPsec Proteccin Creacin de una directiva IKE y una clave previamente compartida en IPv6 Configuracin del Modo Agresivo de ISAKMP Configuracin de un conjunto de transformacin y IPsec IPsec Perfil Configuracin de un perfil ISAKMP en IPv6 Configuracin de IPsec IPv6 VTI Verificacin de la configuracin modo de tnel IPsec Solucin de problemas de IPsec para la configuracin y el funcionamiento de IPv6 Ejemplos Ejemplos de configuracin de IPsec para IPv6 Seguridad Ejemplo: Configuracin de un VTI de Site-to-Site IPv6 IPsec Proteccin Referencias adicionales Documentos relacionados Normas MIB RFC Asistencia Tcnica Informacin de funciones para la implementacin IPsec en IPv6 Seguridad

La implementacin de IPsec en IPv6 Seguridad

Publicado por primera vez: 03 de noviembre 2003 ltima actualizacin: 25 de marzo 2011 IOS de Cisco IPv6 caractersticas de seguridad para sus dispositivos de red de Cisco puede proteger su red contra la degradacin o el fracaso y la prdida de datos o el compromiso resultante de los ataques intencionales y no intencionales de los errores, pero perjudicial por usuarios de la red con buenas intenciones. Funcionalidad de Cisco IOS IPsec proporciona cifrado de datos de la red a nivel de paquete IP, que ofrece una solucin de seguridad robusta, basada en estndares. IPsec proporciona autenticacin de datos y servicios de anti-replay, adems de servicios de confidencialidad de datos. IPsec es un componente obligatorio de la especificacin de IPv6. OSPF para IPv6 proporciona soporte de autenticacin IPsec y la proteccin, y el modo de tnel IPsec IPv6 y la encapsulacin se utiliza para proteger el trfico unicast IPv6 y multicast. Este documento contiene informacin acerca de cmo implementar IPsec en la seguridad IPv6.

Bsqueda de informacin de funciones

Su versin de software no sea compatible con todas las caractersticas documentadas en este mdulo. Para obtener la ltima informacin sobre las caractersticas y advertencias, consulte las notas de la versin de su plataforma y versin de software. Para encontrar informacin acerca de las caractersticas documentadas en este mdulo, y para ver una lista de las versiones en las que se apoya cada funcin, consulte la "Informacin de funciones para la aplicacin de IPsec en la Seguridad IPv6" seccin . Utilice Cisco Feature Navigator para encontrar informacin sobre la compatibilidad de la plataforma y Cisco IOS y Catalyst apoyo de imgenes de software del sistema operativo. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn . No es necesaria una cuenta en Cisco.com

Contenido
Requisitos para la implementacin de IPsec para IPv6 Seguridad Informacin sobre la implementacin de IPsec para IPv6 Seguridad Cmo implementar IPsec para IPv6 Seguridad Ejemplos de configuracin de IPsec para IPv6 Seguridad Referencias Adicionales Informacin de funciones para la implementacin IPsec en IPv6 Seguridad

Requisitos previos para la implementacin de IPsec para IPv6 Seguridad

Usted debe estar familiarizado con IPv4. Consulte las publicaciones de referencia en la seccin "Documentos relacionados" en la seccin de configuracin de IPv4 y de referencia de comandos.

www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html

1/16

15/05/13

La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems

"Documentos relacionados" en la seccin de configuracin de IPv4 y de referencia de comandos. Usted debe estar familiarizado con el direccionamiento IPv6 y la configuracin bsica. Referirse aLa implementacin del IPv6 Direccionamiento y conectividad b sica para ms informacin.

Informacin sobre la implementacin de IPsec para IPv6 Seguridad

OSPF para IPv6 Soporte de autenticacin de IPsec IPsec para IPv6

OSPF para IPv6 con soporte de autenticacin IPsec

Con el fin de garantizar que los paquetes OSPF IPv6 no se alteran y re-enviado al router, causando que el router se comporta de una manera no deseada por parte de sus gestores, OSPF para los paquetes IPv6 debe estar autenticado. OSPF para IPv6 utiliza la seguridad IP (IPsec) interfaz de programa de aplicacin de socket seguro (API) para agregar autenticacin OSPF de paquetes IPv6. Esta API se ha ampliado para proporcionar soporte para IPv6. OSPF para IPv6 requiere el uso de IPsec para habilitar la autenticacin. Imgenes Crypto estn obligados a utilizar la autenticacin, ya que slo las imgenes incluyen la API de cifrado IPsec necesaria para el uso con OSPF para IPv6. En OSPF para IPv6, Campos de autenticacin se han eliminado de los encabezados OSPF. Cuando se ejecuta en IPv6 OSPF, OSPF se basa en la cabecera IPv6 autenticacin (AH) y IPv6 Carga de seguridad encapsuladora (ESP) para garantizar la integridad, autenticacin y confidencialidad de los intercambios de enrutamiento. IPv6 cabeceras AH y ESP de extensin se pueden utilizar para proporcionar autenticacin y la confidencialidad a OSPF para IPv6. Para configurar IPsec, los usuarios configurar una poltica de seguridad, que es una combinacin del ndice de polticas de seguridad (SPI) y la tecla (la tecla crea y valida el compendio de mensajes 5 [MD5] valor). IPsec para OSPF para IPv6 se puede configurar en una interfaz o en un rea OSPF. Para mayor seguridad, el usuario debe configurar una poltica diferente en cada interfaz configurada con IPsec. Si un usuario configura IPsec para un rea OSPF, la poltica se aplica a todas las interfaces en esa zona, con excepcin de las interfaces que tienen IPsec configurado directamente. Una vez IPsec est configurado para OSPF para IPv6, IPsec es invisible para el usuario. Para obtener informacin sobre la configuracin de IPsec en OSPF en IPv6, vea Implementacin de OSPF para IPv6 .

IPsec para IPv6

Seguridad IP o IPsec, es un marco de estndares abiertos desarrollados por el Internet Engineering Task Force (IETF) que proporcionan la seguridad para la transmisin de informacin sensible a travs de redes sin proteccin tales como Internet. IPsec acta en la capa de red, la proteccin y autenticacin de paquetes IP entre dispositivos IPsec participantes (los compaeros), tales como routers Cisco. IPsec proporciona los siguientes servicios de seguridad de red opcionales. En general, la poltica de seguridad local dictar el uso de uno o ms de estos servicios: Confidencialidad de los datos-El remitente IPsec puede cifrar los paquetes antes de enviarlos a travs de una red. Integridad de los datos-El receptor de IPsec puede autenticar los paquetes enviados por el remitente IPsec para asegurar que los datos no ha sido alterado durante la transmisin. origen de datos de autenticacin El receptor IPsec puede autenticar el origen de los paquetes IPsec enviado. Este servicio depende del servicio de integridad de datos. antireplay-El receptor IPsec puede detectar y rechazar los paquetes reproducidos.

Con IPsec, los datos se pueden enviar a travs de una red pblica sin observacin, modificacin o suplantacin de identidad. Funcionalidad IPsec es similar en IPv6 e IPv4, sin embargo, el modo de tnel del sitio-a-sitio slo es compatible con IPv6. En IPv6, IPsec se implementa utilizando la cabecera de autentificacin AH y la extensin de cabecera ESP. El encabezado de autenticacin proporciona integridad y autenticacin de la fuente. Tambin ofrece proteccin opcional contra paquetes reproducidos. El encabezado de autenticacin protege la integridad de la mayora de los campos de cabecera IP y autentica la fuente a travs de un algoritmo de firma basada. La cabecera ESP proporciona confidencialidad, la autenticacin de la fuente, integridad sin conexin del paquete interno, antireplay, y confidencialidad limitada del flujo de trfico. (IKE) protocolo de intercambio de claves de Internet es un protocolo de gestin de clave estndar que se utiliza en conjuncin con IPsec. IPsec puede ser configurado sin IKE, pero IKE mejora IPsec al proporcionar caractersticas adicionales, la flexibilidad y la facilidad de configuracin para el estndar IPSec. IKE es un protocolo hbrido que implementa la clave Oakley intercambio y Skeme intercambio de claves dentro de la Asociacin de Protocolo de Internet Security de administracin de claves (ISAKMP) Marco (ISAKMP, Oakley y Skeme son protocolos de seguridad que implementan IKE) (ver figura 1 ). Esta funcionalidad es similar al modelo de pasarela de seguridad utilizando IPv4 proteccin IPsec.

IPv6 IPsec Proteccin de sitio a sitio usando interfaz de tnel virtual

La interfaz de tnel virtual IPsec (VTI) ofrece sitio a sitio IPv6 proteccin criptogrfica de trfico IPv6. IPv6 nativo encapsulacin IPsec se utiliza para proteger a todos los tipos de unidifusin IPv6 y el trfico de multidifusin. El IPsec VTI permite que los routers IPv6 para trabajar como gateways de seguridad, establecer tneles IPSec entre otros routers de gateway de seguridad, y proporcionar proteccin criptogrfica IPsec para el trfico de las redes internas cuando se enva a travs de la Internet IPv6 (ver Figura 1 ). Esta funcionalidad es similar al modelo de pasarela de seguridad utilizando IPv4 proteccin IPsec.

www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html

Figura 1 Interfaz de tnel IPsec para IPv6

2/16

15/05/13

La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
Figura 1 Interfaz de tnel IPsec para IPv6

Cuando se configura el tnel IPsec, IKE y asociaciones de seguridad IPsec (SA) se negocian y establecen antes de cambiar el protocolo de lnea para la interfaz de tnel para el estado UP. El interlocutor IKE remoto es la misma que la direccin de destino del tnel, el interlocutor IKE local ser la direccin de recogida desde la interfaz de origen del tnel, que tiene el mismo alcance direccin IPv6 como direccin de destino del tnel. La Figura 2 muestra el formato del paquete IPsec. Figura 2 IPv6 Paquete Formato IPsec

Para obtener ms informacin acerca de IPsec VTI, consulte la interfaz de tnel virtual IPsec mdulo en la Gua de configuracin de Cisco IOS Seguridad .

Cmo implementar IPsec para IPv6 Seguridad

Configuracin de un VTI de Site-to-Site IPv6 IPsec Proteccin (requerido) Verificacin de la configuracin de modo de tnel IPsec (opcional) Solucin de problemas de configuracin de IPsec para IPv6 y Operacin (opcional)

Configuracin de un VTI de Site-to-Site IPv6 IPsec Proteccin

Realice las siguientes tareas para configurar una IPsec VTI de site-to-site proteccin IPsec de IPv6 unicast y el trfico de multidifusin. Esta caracterstica permite el uso del IPv6 encapsulacin IPsec para proteger el trfico IPv6. Creacin de una directiva IKE y una clave previamente compartida en IPv6 (requerido) Configuracin ISAKMP Modo Agresivo (opcional) Configuracin de un conjunto de transformacin IPsec e IPsec perfil (requerido) Configuracin de un perfil ISAKMP en IPv6 (opcional) Configuracin de IPsec IPv6 VTI (requerido)

Creacin de una directiva IKE y una clave previamente compartida en IPv6

Debido a las negociaciones IKE deben ser protegidos, cada negociacin IKE se inicia por acuerdo de los dos compaeros en una poltica comn (compartida) IKE. Esta poltica establece que se utilizarn los parmetros de seguridad para proteger a las negociaciones IKE posteriores y mandatos cmo se autentican los compaeros. Despus de los dos compaeros estn de acuerdo en una poltica, los parmetros de seguridad de la poltica se identifican por una SA con domicilio social en cada par, y estos SAs se aplican a todo el trfico IKE posterior durante la negociacin. Puede configurar varias polticas priorizadas en cada peer-cada uno con una combinacin diferente de valores de los parmetros. Sin embargo, al menos una de estas polticas debe contener exactamente la misma encriptacin, el hash, autenticacin y valores de los parmetros Diffie-Hellman como una de las polticas en el extremo remoto. Para cada poltica que se crea, se asigna una prioridad nica (del 1 al 10.000, siendo 1 la prioridad ms alta).

Nota Si usted es la interoperabilidad con un dispositivo que slo admite uno de los valores de un parmetro, la eleccin se limita al valor admitido por el otro dispositivo. Aparte de esta limitacin, a menudo hay un trade-off entre la seguridad y el rendimiento, y muchos de estos valores de los parmetros representan como una compensacin. Usted debe evaluar el nivel de riesgos de seguridad para su red y su tolerancia a estos riesgos.

www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html

3/16

15/05/13

La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
Cuando comienza la negociacin IKE, bsquedas IKE para una poltica IKE que es el mismo en ambos pares. El par que inicia la negociacin enviar todas sus polticas a la par remoto, y la distancia entre pares tratar de encontrar una coincidencia. El interlocutor remoto busca una coincidencia comparando su propia poltica de mxima prioridad contra las polticas recibidos del otro par. La distancia entre pares comprueba cada uno de sus polticas con el fin de que su prioridad (prioridad ms alta primero) hasta que se encuentre una coincidencia. Un partido se hace cuando tanto las polticas de los dos pares contienen la misma encriptacin, el hash, la autenticacin, y valores de los parmetros de Diffie-Hellman, y cuando la poltica del interlocutor remoto especifica un tiempo de vida que es menor que o igual a la vida til en la poltica que se comparan . (Si el tiempo de vida que no son idnticos, el ms corto de toda la vida del interlocutor remoto poltica ser utilizado.) Si se encuentra una coincidencia, IKE completar la negociacin, y ser creado asociaciones de seguridad IPsec. Si no se encuentra una coincidencia aceptable, IKE se niega negociacin y IPsec no se establecer.

Nota En funcin del mtodo de autenticacin se especifica en una poltica, puede ser necesario configuracin adicional. Si la poltica de un compaero no tiene la configuracin compaera requerida, el par no presentar la poltica cuando se trata de encontrar una poltica coincidente con el par remoto. Debe establecer la identidad ISAKMP para cada interlocutor que utiliza claves previamente compartidas en una poltica IKE. Cuando se utilizan dos pares IKE para establecer IPsec, cada interlocutor enva su identidad a la par remoto. Cada par enva ya sea su nombre de host o su direccin IPv6, dependiendo de cmo se haya configurado la identidad ISAKMP del router. De forma predeterminada, la identidad ISAKMP de un compaero es la direccin IPv6 de los pares. Si es apropiado, se puede cambiar la identidad de ser el nombre de host de los pares en su lugar. Como regla general, establecer las identidades de todos los compaeros de la misma manera, ya sea todos los compaeros deben utilizar sus direcciones IPv6 o todos los compaeros deben utilizar sus nombres de host. Si algunos compaeros usan sus nombres de host y algunos compaeros usan sus direcciones IPv6 para identificarse entre s, las negociaciones IKE puede fallar si la identidad de un interlocutor remoto no es reconocido y una bsqueda de DNS no es capaz de resolver la identidad. PASOS RESUMEN 1. 2. 3. 4. .5 6. .7 8. 9. . 10 11. 12. permitir configurar terminales crypto poltica isakmp prioridad autenticacin { rsa-sig | rsa-encr | pre-share } de hash { sha | md5 } grupo { 1 | 2 | 5 } cifrado { des | 3des | aes | aes 192 | aes 256 } vitalicios segundos salida crypto isakmp clave de tipo contrasea keystring { direccin peer-direccin [ mscara ] | ipv6 { direccin-ipv6 / ipv6-prefix } | nombre_host nomb re_host } [ no-xauth ] crypto llavero llavero de nomb re [ vrf fvrf-nomb re ] pre-shared key- { direccin de la direccin [ mscara ] | nombre_host nomb re_host | ipv6 { direccin-ipv6 | ipv6-prefix }} llave clave

Pasos detallados

Comando o accin
Paso 1
p e r m i t i r Ejem plo: R o u t e r >e n a b l e

Propsito
Activa el modo EXEC privilegiado. Introduzca su contrasea si se le solicita.

Paso 2

c o n f i g u r a rt e r m i n a l e s Ejem plo: R o u t e r#c o n f i g u r et e r m i n a l

Entra en el modo de configuracin global. Define una poltica IKE, y entra en el modo de configuracin de la directiva

Paso 3

p o l t i c ac r y p t oi s a k m pp r i o r i d a d Ejem plo: R o u t e r( c o n f i g )#c r y p t op o l t i c a i s a k m p1 5

www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html

4/16

15/05/13

La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
de la directiva ISAKMP.

Nmero de la pliza 1 indica la poltica de la ms alta prioridad. La ms pequea es la prioridad valor del argumento, mayor es la prioridad. Paso 4
a u t e n t i c a c i n{r s a s i g|r s a e n c r| p r e s h a r e} Ejem plo: R o u t e r( c o n f i g I S A K M P p o l t i c a )#l a a u t e n t i c a c i np r e s h a r e

Especifica el mtodo de autenticacin dentro de una poltica IKE. El rsa-sig y rsa-ENCR palabras clave no son compatibles con IPv6.

Paso 5

H a s h{s h a|m d 5}

Especifica el algoritmo de Ejem plo: control dentro R o u t e r( c o n f i g I S A K M P p o l t i c a )d eh a s h de una poltica m d 5# IKE.

g r u p o{1|2|5}

Paso 6

Ejem plo: grupo DiffieR o u t e r( c o n f i g I S A K M P p o l t i c a )#G r u p o Hellman en 2

Especifica el identificador de

una poltica IKE.

Paso 7

c i f r a d o{d e s|3 d e s|a e s|a e s1 9 2| a e s2 5 6} Ejem plo: R o u t e r( c o n f i g I S A K M P p o l t i c a )# c i f r a d o3 D E S

Especifica el algoritmo de cifrado dentro de una poltica IKE.

Paso 8

v i d as e g u n d o

Especifica el tiempo de vida Ejem plo: de un IKE SA. R o u t e r( c o n f i g I S A K M P p o l t i c a )#4 3 2 0 0 Ajuste del valor v i d a de la vida IKE es opcional.
s a l i d a Ejem plo: R o u t e r( c o n f i g I S A K M P p o l t i c a )#e x i t

Paso 9

Escriba este comando para salir del modo de configuracin de la directiva ISAKMP y entrar en el modo de configuracin global. Configura una clave de autenticacin compartida previamente.

Paso 10

c r i p t oi s a k m pc l a v ee n ct i p od g i t o s k e y s t r i n g{d i r e c c i np e e r i p[ m a s k ]| i p v 6{d i r e c c i n i p v 6/i p v 6 p r e f i x}| n o m b r e _ h o s tn o m b r e _ h o s t }[n o x a u t h] Ejem plo: R o u t e r( c o n f i g )#c r y p t oi s a k m pt e c l a0 D i r e c c i nm i p r e s h a r e k e y 0i p v 63 f f e : 1 0 0 1: :2 / 1 2 8

Paso 11

c r i p t ol l a v e r ol l a v e r od en o m b r e[v r f f v r f n o m b r e] Ejem plo: R o u t e r( c o n f i g )#c r y p t ol l a v e r o k e y r i n g 1

Define un cripto llavero para ser utilizado durante la autenticacin IKE. Define una clave

Paso 12

p r e s h a r e dk e y -{d i r e c c i nd el a d i r e c c i n[m s c a r a]|n o m b r e _ h o s t

www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html

5/16

15/05/13

La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
d i r e c c i n[m s c a r a]|n o m b r e _ h o s t n o m b r e _ h o s t|i p v 6{d i r e c c i n i p v 6| i p v 6 p r e f i x} }l l a v ec l a v e

clave previamente compartida que se utilizar Ejem plo: para la R o u t e r( c o n f i g k e y r i n g )#i p v 6p r e s h a r e d k e y autenticacin 3 F F E :2 0 0 2: :A 8 B B :C C F F :F E 0 1 :2 C 0 2 / 1 2 8 IKE.

Configuracin del Modo Agresivo de ISAKMP

Nota: Es probable que no es necesario configurar el modo agresivo en un escenario de sitio a sitio. El modo por defecto se utiliza normalmente. PASOS RESUMEN 1. 2. 3. .4 permitir configurar terminales crypto isakmp pares { direccin { direccin IPv4 | ipv6 ipv6 direccin ipv6-longitud-prefijo } | nombre de host FQDN-hostname } establecer agresiva en modo cliente-endpoint { cliente endpoint | ipv6 ipv6 direccin }

Pasos detallados

Comando o accin
Paso 1
p e r m i t i r Ejem plo: R o u t e r >e n a b l e

Propsito
Activa el modo EXEC privilegiado. Introduzca su contrasea si se le solicita.

Paso 2

c o n f i g u r a rt e r m i n a l e s Ejem plo: R o u t e r#c o n f i g u r et e r m i n a l

Entra en el modo de configuracin global.

Paso 3

c r i p t oi s a k m pp a r e s{d i r e c c i n{d i r e c c i nI P v 4 |i p v 6i p v 6d i r e c c i ni p v 6 l o n g i t u d p r e f i j o}| n o m b r ed eh o s tF Q D N h o s t n a m e}

Permite un nivel de IPsec para IKE consultar los Ejem plo: atributos del R o u t e r( c o n f i g )#c r y p t oi s a k m pp a r e sd ed i r e c c i o n e sI P v 6 tnel.
3 F F E :2 0 0 2: :A 8 B B :C C F F :F E 0 1 :2 C 0 2 / 1 2 8

Paso 4

e s t a b l e c e ra g r e s i v ae nm o d oc l i e n t e e n d p o i n t{ c l i e n t ee n d p o i n t|i p v 6i p v 6d i r e c c i n} Ejem plo: R o u t e r( c o n f i g I S A K M P p e e r )#A j u s t ee lm o d o a g r e s i v oi p v 6c l i e n t ed ep u n t of i n a l3 f f e :2 0 0 2 : :A 8 B B :S F C C :f e 0 1 :2 C 0 2 / 1 2 8

Define la direccin IPv6 del interlocutor remoto, el cual ser utilizado por negociacin de modo agresivo. La direccin del interlocutor remoto es normalmente la direccin del punto final del lado del cliente.

Configuracin de un conjunto de transformacin y IPsec IPsec Perfil

Un conjunto de transformacin es una combinacin de protocolos y algoritmos de seguridad que sea aceptable para los enrutadores IPsec. PASOS RESUMEN 1. 2. 3. 4. permitir configurar terminales crypto ipsec transform-set transformar-set-nomb re transform1 [ transform2 ] [ transform3 ] [ transform4 ] crypto ipsec perfil Nomb re

www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html

6/16

15/05/13

La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
5. transformar-fij transformar-set-nomb re [ transformar-fij-tipo2 ... transform-set-name6 ]

Pasos detallados

Comando o accin
Paso 1
p e r m i t i r Ejem plo: R o u t e r >e n a b l e

Propsito
Activa el modo EXEC privilegiado. Introduzca su contrasea si se le solicita.

Paso 2

c o n f i g u r a rt e r m i n a l e s Ejem plo: R o u t e r#c o n f i g u r e t e r m i n a l

Entra en el modo de configuracin global.

Paso 3

c r y p t oi p s e ct r a n s f o r m s e t t r a n s f o r m a r s e t n o m b r e t r a n s f o r m 1[t r a n s f o r m 2] [t r a n s f o r m 3][ t r a n s f o r m 4] Ejem plo: R o u t e r( c o n f i g )#c r y p t o i p s e ct r a n s f o r m s e tm y s e t 0 a h s h a h m a ce s p 3 d e s

Define un conjunto de transformacin, y coloca el router en el modo de configuracin de transformacin criptogrfica.

Paso 4

c r y p t oi p s e cp e r f i lN o m b r e Define los parmetros de Ejem plo: R o u t e r( c o n f i g )#c r y p t o i p s e cp e r f i lP e r f i l 0

IPsec que se van a utilizar para el cifrado IPSec entre dos enrutadores IPsec. Especifica que conjuntos de transformacin se pueden utilizar con la entrada de mapa de cripto.

Paso 5

t r a n s f o r m a r f i j t r a n s f o r m a r s e t n o m b r e[ t r a n s f o r m a r f i j t i p o 2. . . t r a n s f o r m s e t n a m e 6] Ejem plo: R o u t e r( c o n f i g c r i p t o t r a n s f o r m )#s e t t r a n s f o r m s e tm y s e t 0

Configuracin de un perfil ISAKMP en IPv6

PASOS RESUMEN 1. 2. 3. 4. .5 permitir configurar terminales crypto perfil isakmp perfil en nomb re de [ la contabilidad aaalist ] autoidentidad { Direccin | Direccin IPv6 ] | fqdn | usuario fqdn usuario fqdn } coincidir la identidad { grupo group-name | Direccin { ab ordar [ mscara ] [ fvrf ] | ipv6 ipv6 direccin } | husped host-name | host de dominio de nomb res de dominio | usuario usuario fqdn | dominio de usuario domain-name }

Pasos detallados

Comando o accin
Paso 1
p e r m i t i r Ejem plo: R o u t e r >e n a b l e

Propsito
Activa el modo EXEC privilegiado. Introduzca su contrasea si se le solicita.

Paso 2

c o n f i g u r a rt e r m i n a l e s Ejem plo: R o u t e r#c o n f i g u r et e r m i n a l

Entra en el modo de configuracin global. Define un perfil de ISAKMP y auditoras de las sesiones de usuario IPsec.

Paso 3

c r i p t op e r f i li s a k m pn o m b r e p e r f i l[ c o n t a b i l i d a da a a l i s t] Ejem plo: R o u t e r( c o n f i g )#c r y p t oi s a k m p p e r f i lp r o f i l e 1

www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html

7/16

15/05/13

La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
IPsec. Paso 4
a u t o i d e n t i d a d{D i r e c c i n|D i r e c c i n Define la I P v 6]|f q d n|u s u a r i of q d nu s u a r i o identidad que f q d n} el IKE local Ejem plo: R o u t e r( c o n f i g I S A K M P p e r f i l )# i d e n t i d a dp r o p i ad i r e c c i nI P v 6

utiliza para identificarse en el extremo remoto. Coincide con la identidad de un interlocutor remoto en un perfil de ISAKMP.

Paso 5

c o i n c i d i rc o nl ai d e n t i d a d{g r u p o g r o u p n a m e|D i r e c c i n{a b o r d a r[ m s c a r a][f v r f]|i p v 6i p v 6 d i r e c c i n}|h u s p e dh o s t n a m e| h o s td ed o m i n i od en o m b r e sd ed o m i n i o |u s u a r i ou s u a r i of q d n|d o m i n i od e u s u a r i od o m a i n n a m e} Ejem plo: R o u t e r( c o n f i g i s a k m pp e r f i l )# c o i n c i d ec o nl ad i r e c c i ni p v 6 i d e n t i d a d3 F F E :2 0 0 2: :A 8 B B :C C F F : F E 0 1 :2 C 0 2 / 1 2 8

Configuracin de IPsec IPv6 VTI

Requisitos previos Utilice el unicast-routing IPv6 comando para habilitar el enrutamiento unicast IPv6. PASOS RESUMEN 1. 2. 3. 4. 5. 6. .7 8. 9. 10. permitir configurar terminales ipv6 unicast-routing tnel de interfaz de tnel nmero ipv6 direccin ipv6-address/prefix IPv6 permiten origen del tnel { direccin-ip | direccin-ipv6 | -tipo de interfaz interfaz de serie } destino del tnel { host-name | direccin-ip | ipv6 direccin } modo tnel { AURP | cayman | dvmrp | eon | gre | gre multipunto | gre ipv6 | ipip [ decapsulate-any ] | ipsec ipv4 | iptalk | ipv6 | ipv6 ipsec | mpls | nn | rbscp } Proteccin perfil IPSec tnel nomb re [ compartida ]

Pasos detallados

Comando o accin
Paso 1
p e r m i t i r Ejem plo: R o u t e r >e n a b l e

Propsito
Activa el modo EXEC privilegiado. Introduzca su contrasea si se le solicita.

Paso 2

c o n f i g u r a rt e r m i n a l e s Ejem plo: R o u t e r#c o n f i g u r et e r m i n a l

Entra en el modo de configuracin global.

Paso 3

i p v 6u n i c a s t r o u t i n g Ejem plo: R o u t e r( c o n f i g )#i p v 6 u n i c a s t r o u t i n g

Permite enrutamiento unicast IPv6. Solo necesita habilitar IPv6 unicast enrutamiento vez, no importa cuntos tneles de interfaz que desea configurar. Especifica una interfaz de tnel y nmero, y entra en el modo de configuracin de interfaz.

Paso 4

i n t e r f a zd et n e lt n e l n m e r o Ejem plo: R o u t e r( c o n f i g )#i n t e r f a zd e t n e l0

Paso 5

ipv6 direccin i p v 6 a d d r e s s / p r e f i x
Ejem plo: R o u t e r( c o n f i g i f )#i p v 6 d i r e c c i n3 F F E :C 0 0 0 :0 : 7: : /6 4E U I 6 4

Proporciona una direccin IPv6 a la interfaz de tnel, por lo que el trfico IPv6 se puede dirigir a este tnel.

www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html

8/16

15/05/13

La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
/6 4E U I 6 4

Paso 6

ipv6 enable
Ejem plo:

Activa IPv6 en esta interfaz de tnel.

Router (config-if) # ipv6 permitir Paso 7

o r i g e nd e lt n e l{d i r e c c i n - Establece la direccin de i p|d i r e c c i n i p v 6|t i p o origen para una interfaz d ei n t e r f a zi n t e r f a zd es e r i e de tnel. } Ejem plo: R o u t e r( c o n f i g i f )#o r i g e n d e lt n e le t h e r n e t 0

Paso 8

t n e ld e ld e s t i n o{h o s t n a m e Especifica el destino de |d i r e c c i n i p|i p v 6 una interfaz de tnel. d i r e c c i n} Ejem plo: R o u t e r( c o n f i gi f )#d e s t i n o d e lt n e l2 0 0 1 :D B 8 : 1 1 1 1 : 2 2 2 2: :1

Paso 9

t n e ld em o d o{A U R P|c a y m a n |d v m r p|e o n|g r e|g r e m u l t i p u n t o|g r ei p v 6|i p i p [d e c a p s u l a t e a n y]|i p s e c i p v 4|i p t a l k|iP V 6|i p s e c i p v 6|m p l s|n n|rB S C P} Ejem plo: R o u t e r( c o n f i g i f )#i p v 6 m o d ot n e lI P S e c

Establece el modo de encapsulacin para la interfaz de tnel. Para IPsec, slo los ipv6 ipsec palabras clave son compatibles.

Paso 10

p r o t e c c i nt n e lp e r f i li p s e c Asocia una interfaz de n o m b r e[c o m p a r t i d a] tnel con un perfil de Ejem plo: R o u t e r( c o n f i g i f )#t n e l p r o t e c c i ni p s e cp e r f i l p r o f i l e 1

IPsec. IPv6 no es compatible con el comn de palabras clave.

Verificacin de la configuracin modo de tnel IPsec

PASOS RESUMEN .1 .2 3. .4 5. 6. 7. .8 9. 10. 11. 12. mostrar adyacencia [ Resumen [ tipo de interfaz de la interfaz de serie ]] | [ prefijo ] [ interface interface-numb er ] [ ConnectionID ID ] [ enlace { ipv4 | ipv6 | mpls }] [ detalles ] mostrar crypto motor { acelerador | breve | Configuracin | conexiones [ activo | dh | descendido de paquetes | Mostrar ] | qos } espectculo crypto ipsec sa [ IPv6 ] [ -type interface interface-numb er ] [ detallado ] mostrar crypto isakmp pares [ config | detalles ] Mostrar poltica crypto isakmp espectculo crypto isakmp perfil de [ tag nomb reperfil | vrf vrfname ] espectculo crypto mapa [ interface interface | tag map-nomb re ] sesiones crypto espectculo [detalles] | [ local de direccin-ip [ Puerto local puerto ] | [ remoto direccin IP [ puerto remoto puerto ]] | detalles ] | fvfr VRF-nomb re | [ ivrf VRF-nomb re ] espectculo crypto socket ipv6 mostrar la lista de acceso [ access-list-nomb re ] espectculo ipv6 cef [ VRF ] [ IPv6 prefijo / longitud-prefijo ] | [ tipo de interfaz de la interfaz de serie ] [ a ms largo prefijos | parecida-prefijos | detalle | interno | plataforma | epoca | fuente ]] Mostrar la interfaz de tipo de nmero Estadsticas

Pasos detallados

Comando o accin
Paso 1
m o s t r a ra d y a c e n c i a[R e s u m e n[ t i p od ei n t e r f a zd el ai n t e r f a z d es e r i e] ]|[p r e f i j o][ i n t e r f a c ei n t e r f a c e n u m b e r][ C o n n e c t i o n I DI D][e n l a c e{ i p v 4|i p v 6|m p l s} ][ d e t a l l e s] Ejem plo:
R o u t e r#s h o wd e t a l l ea d y a c e n c i a

Propsito
Muestra informacin sobre el Expreso tabla de adyacencia Forwarding Cisco o la capa de hardware tabla de adyacencia 3 de conmutacin.

Paso 2

e s p e c t c u l om o t o rd ec i f r a d o{

Muestra un resumen de

www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html

9/16

15/05/13

La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
Paso 2
e s p e c t c u l om o t o rd ec i f r a d o{ a c e l e r a d o r|b r e v e| C o n f i g u r a c i n|c o n e x i o n e s[ a c t i v o|d h|d e s c e n d i d od e p a q u e t e s|M o s t r a r]|q o s} Ejem plo: R o u t e r#s h o wc o n e x i nm o t o rd e c i f r a d oa c t i v o

Muestra un resumen de la informacin de configuracin de los motores de cifrado.

Paso 3

e s p e c t c u l oc r y p t oi p s e cs a[ I P v 6][t y p ei n t e r f a c e i n t e r f a c e n u m b e r][d e t a l l a d o ] Ejem plo: R o u t e r#s h o wc r y p t oi p s e cs a i p v 6

Muestra los ajustes utilizados por las SV actual en IPv6.

Paso 4

e s p e c t c u l oc r y p t oi s a k m pp a r e s Muestra asoman [c o n f i g|d e t a l l e s] descripciones. Ejem plo: R o u t e r#s h o wc r y p t oi s a k m p d e t a l l ep a r e s

Paso 5

M o s t r a rp o l t i c ac r y p t oi s a k m p Ejem plo: R o u t e r#s h o wc r y p t op o l t i c a i s a k m p

Muestra los parmetros para cada poltica IKE.

Paso 6

e s p e c t c u l oc r y p t oi s a k m p Lista todos los perfiles p e r f i l[t a gn o m b r e p e r f i l|v r f ISAKMP que se definen v r f n a m e] en un router. Ejem plo: R o u t e r#s h o wc r y p t oi s a k m p p e r f i l

Paso 7

m o s t r a rm a p ac r y p t o[i n t e r f a c e Muestra el mapa de i n t e r f a c e|t a gm a p n o m b r e] configuracin de Ejem plo: R o u t e r#s h o wc r y p t om a p a

cifrado. Los mapas de cifrado que se muestran en esta salida del comando se generan dinmicamente. El usuario no tiene que configurar mapas criptogrficos. Muestra informacin sobre el estado de las sesiones criptogrficas activos. IPv6 no admite la fvfr o ivrf palabras clave o el VRF-nomb re de argumento.

Paso 8

s e s i nd ec i f r a d oe s p e c t c u l o[ d e t a l l e s]|[l o c a ld e d i r e c c i n i p[P u e r t ol o c a l p u e r t o]|[r e m o t od i r e c c i n I P[p u e r t or e m o t op u e r t o] ]| d e t a l l e s]|f v f rV R F n o m b r e| i v r fV R F n o m b r e Ejem plo: R o u t e r#c r y p t os e s i nd e d e m o s t r a c i n

Paso 9

e s p e c t c u l oc r y p t os o c k e t Ejem plo: R o u t e r#s h o wc r y p t os o c k e t

Muestra sockets de cifrado.

Paso 10

m o s t r a ri p v 6a c c e s s l i s t[ a c c e s s l i s t n o m b r e] Ejem plo:
R o u t e r#s h o wa c c e s s l i s ti p v 6

Muestra el contenido de todas las listas de acceso IPv6 actuales.

Paso 11

m o s t r a ri p v 6c e f[I P v 6p r e f i j o /l o n g i t u d p r e f i j o]|[t i p o d ei n t e r f a zd el ai n t e r f a zd e s e r i e][am sl a r g op r e f i j o s |p a r e c i d a p r e f i j o s|d e t a l l e| i n t e r n o|p l a t a f o r m a|e p o c a| f u e n t e] ] Ejem plo:

R o u t e r#s h o wi p v 6c e f

Muestra las entradas de la base de informacin de reenvo de IPv6 (FIB).

Paso 12

M o s t r a rl ai n t e r f a zd et i p od e n m e r oE s t a d s t i c a s Ejem plo: R o u t e r#s h o wi n t e r f a c ef d d i

Muestra el nmero de paquetes que fueron procesados cambiaron, cambi rpido, y

www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html

10/16

15/05/13

La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
R o u t e r#s h o wi n t e r f a c ef d d i e s t a d s t i c a s3 / 0 / 0

cambi rpido, y distribuidos conmutada.

Solucin de problemas de IPsec para la configuracin y el funcionamiento de IPv6

PASOS RESUMEN 1. 2. 3. permitir debug crypto ipsec [ error ] depurar paquete motor de cifrado [ detalles ] [ error ]

Pasos detallados

Comando o accin
Paso 1
p e r m i t i r Ejem plo: R o u t e r# e n a b l e

Propsito
Activa el modo EXEC privilegiado. Introduzca su contrasea si se le solicita.

Paso 2

d e b u gc r y p t o i p s e c Ejem plo: R o u t e r#d e b u g c r y p t oi p s e c

Muestra IPsec eventos de la red.

Paso 3

d e p u r a r p a q u e t em o t o r d ec i f r a d o[ d e t a l l e s] Ejem plo: R o u t e r#d e b u g p a q u e t ed e m o t o rd e c i f r a d o

Muestra el contenido de los paquetes IPv6.

Precaucin El uso de este comando podra inundar el sistema y aumentar el uso de la CPU si varios paquetes se estn cifrados.

Ejemplos
Ejemplo de salida de la serie crypto ipsec sa Comando Ejemplo de salida de la serie crypto isakmp pares Comando Ejemplo de salida del comando crypto perfil isakmp espectculo Ejemplo de salida de la serie crypto isakmp sa Comando Ejemplo de salida de la serie crypto mapa Comando Ejemplo de salida del comando show session crypto Ejemplo de salida de la serie crypto ipsec sa Comando El siguiente es un ejemplo de salida del espectculo crypto ipsec sa comando:
R o u t e r#m o s t r a rc r y p t oi p s e cs a

I n t e r f a z :T u n n e l 0 C r y p t om a p at a g :T u n n e l 0 c a b e z a 0 ,l o c a l e sa d d r3 F F E :2 0 0 2: :A 8 B B :C C F F :F E 0 1 :9 0 0 2

p r o t e g i d av r f :( n i n g u n o ) l o c a l e si d e n t( a d d r/m s c a r a/p r o t/p u e r t o ) :( : :/0 / 0 / 0 ) i d e n tr e m o t o( a d d r/m s c a r a/p r o t/p u e r t o ) :( : :/0 / 0 / 0 ) c u r r e n t _ p e e r3 F F E :2 0 0 2: :A 8 B B :C C F F :F E 0 1 :2 C 0 2p u e r t o5 0 0 P E R M I S O ,f l a g s={ o r i g i n _ i s _ a c l , } #P k t se n c a p s :1 3 3 ,#p k t sc i f r a r :1 3 3 ,#p k t sd i g e s t :1 3 3 #P k t sd e c a p s :1 3 3 ,#p k t sd e s c i f r a r :1 3 3 ,#p k t sv e r i f i c a r :1 3 3 #P k t sc o m p r i m i d o :0 ,#P K T Sd e s c o m p r i m i d o :0 #P K T Sl o sc o m p a c t o s :0 ,#p k t sc o m p r .p e r d i d o s :0 #P K T Sn od e s c o m p r i m e :0 ,#p k t sd e s c o m p r i m i rf a l l :0 #E n v i a re r r o r e s ,#6 0e r r o r e sr e c v0

c r i p t ol o c a l e sE n d p t : .3 F F E :2 0 0 2: :A 8 B B :C C F F :F E 0 1 :9 0 0 2 , r e m o t oc r y p t oE n d p t : .3 F F E :2 0 0 2: :A 8 B B :C C F F :F E 0 1 :2 C 0 2 P a t hM T U1 5 1 4 ,i pm t u1 5 1 4 a c t u a ls p is a l i d a :0 x 2 8 5 5 1 D 9 A( 6 7 6 6 6 6 7 7 8 )

www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html

e n t r a d ae s ps a s :

11/16

15/05/13

La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
e n t r a d ae s ps a s : s p i :0 x 2 1 0 4 8 5 0 C( 5 5 3 9 4 4 3 3 2 ) t r a n s f o r m :e s p d e s , e ne n t o r n o sd eu s o={ T n e l , } C O N Ni d :9 3 ,f l o w _ i d :S W :9 3 ,c r y p t om a p a :T u n n e l 0 c a b e z a 0 s at i e m p o :d u r a c i nd el ac l a v er e s t a n t e( k/s ) :( 4 3 9 7 5 0 7 / 1 4 8 ) T a m a oI V :8b y t e s a p o y od e t e c c i nd er e p r o d u c c i n :Y S t a t u s :A C T I V E

e n t r a n t ea hs a s : s p i :0 x 9 6 7 6 9 8 C B( 2 5 2 4 3 5 4 7 6 3 ) t r a n s f o r m :a h s h a h m a c , e ne n t o r n o sd eu s o={ T n e l , } C O N Ni d :9 3 ,f l o w _ i d :S W :9 3 ,c r y p t om a p a :T u n n e l 0 c a b e z a 0 s at i e m p o :d u r a c i nd el ac l a v er e s t a n t e( k/s ) :( 4 3 9 7 5 0 7 / 1 4 7 ) a p o y od e t e c c i nd er e p r o d u c c i n :Y S t a t u s :A C T I V E

e n t r a d ap c ps a s :

s a l i e n t ee s ps a s : s p i :0 x 2 8 5 5 1 D 9 A( 6 7 6 6 6 6 7 7 8 ) t r a n s f o r m :e s p d e s , e ne n t o r n o sd eu s o={ T n e l , } C O N Ni d :9 4 ,f l o w _ i d :S W :9 4 ,c r y p t om a p a :T u n n e l 0 c a b e z a 0 s at i e m p o :d u r a c i nd el ac l a v er e s t a n t e( k/s ) :( 4 3 9 7 5 0 8 / 1 4 7 ) T a m a oI V :8b y t e s a p o y od e t e c c i nd er e p r o d u c c i n :Y S t a t u s :A C T I V E

s a l i e n t ea hs a s : s p i :0 x A 8 3 E 0 5 B 5( 2 8 2 2 6 3 6 9 8 1 ) t r a n s f o r m :a h s h a h m a c , e ne n t o r n o sd eu s o={ T n e l , } C O N Ni d :9 4 ,f l o w _ i d :S W :9 4 ,c r y p t om a p a :T u n n e l 0 c a b e z a 0 s at i e m p o :d u r a c i nd el ac l a v er e s t a n t e( k/s ) :( 4 3 9 7 5 0 8 / 1 4 7 ) a p o y od e t e c c i nd er e p r o d u c c i n :Y S t a t u s :A C T I V E

s a l i e n t ep c ps a s :

Ejemplo de salida de la serie crypto isakmp pares Comando La siguiente salida de ejemplo muestra descripciones de pares en un router IPv6:
R o u t e r#m o s t r a rc r y p t oi s a k m pd e t a l l ep a r e s

P e e r :2 0 0 1 :D B 8 :0 : 1: :1P u e r t o :5 0 0L o c a l :2 0 0 1 :D B 8 :0 : 2: :1 F a s e1i d :2 0 0 1 :D B 8 :0 : 1: :1 b a n d e r a s : N A SP u e r t o :0( N o r m a l ) I K ES A :1I P s e cS Ap a q u e t e s :1 l a s t _ l o c k e r :0 x 1 4 1 A 1 8 8 ,l a s t _ l a s t _ l o c k e r :0 x 0 l a s t _ u n l o c k e r :0 x 0 ,l a s t _ l a s t _ u n l o c k e r :0 x 0

Ejemplo de salida del comando crypto perfil isakmp espectculo La salida de ejemplo siguiente muestra los perfiles ISAKMP que se definen en un router IPv6.
R o u t e r#s h o wc r y p t oi s a k m pp e r f i l

I S A K M PP E R F I Lt o m I d e n t i d a d e sc o i n c i d e n t e ss o n : i p v 6d i r e c c i n2 0 0 1 :D B 8 :0 : 1: :1 / 3 2 M a p a sd ec e r t i f i c a d o sc o i n c i d e n t e ss o n : I d e n t i d a dq u es ep r e s e n t ae s :i p v 6d i r e c c i nf q d n l l a v e r o( s ) :< n i n g u n o > t r u s t p o i n t( s ) :< a l l >

Ejemplo de salida de la serie crypto isakmp sa Comando La siguiente salida de ejemplo muestra las SA de un dispositivo de IPv6 activo. El dispositivo de IPv4 est activo:
R o u t e r#m o s t r a rc r y p t oi s a k m ps ad e t a l l e

www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html

12/16

15/05/13

La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
C d i g o s :C-M o d od ec o n f i g u r a c i nI K E ,D-D e a dP e e rD e t e c t i o n K-K e e p a l i v e s ,N-N A T T r a v e r s a l X-A u t e n t i c a c i nE x t e n d i d aI K E p s k-C l a v ep r e c o m p a r t i d a ,r s i g-R S Af i r m a R E N C-c i f r a d oR S A I P v 4C r y p t oI S A K M PS A

C i dL o c a ld eE V R FE s t a d oE n c rH a s hd ea u t e n t i c a c i nD H C a pd ep o rv i d a .

I P v 6C r y p t oI S A K M PS A

d s t :3 F F E :2 0 0 2: :A 8 B B :C C F F :F E 0 1 :2 C 0 2 s r c :3 F F E :2 0 0 2: :A 8 B B :C C F F :F E 0 1 :9 0 0 2 c o n n i d :1 0 0 1I V R F :E s t a d o :A C T I V EE n c r :d e sH a s h :s h aA u t : p s k D H :1V i d a t i l :2 3 : 4 5 : 0 0C a p :DM o t o r i d :C o n n i d=S W :1

d s t :3 F F E :2 0 0 2: :A 8 B B :C C F F :F E 0 1 :2 C 0 2 s r c :3 F F E :2 0 0 2: :A 8 B B :C C F F :F E 0 1 :9 0 0 2 c o n n i d :1 0 0 2I V R F :E s t a d o :A C T I V EE n c r :d e sH a s h :s h aA u t :p s k D H :1V i d a t i l :2 3 : 4 5 : 0 1C a p :DM o t o r i d :C o n n i d=S W :2

Ejemplo de salida de la serie crypto mapa Comando La salida de ejemplo siguiente muestra los mapas de cifrado generadas dinmicamente de un dispositivo de IPv6 activo:
R o u t e r#m o s t r a rc r y p t om a p a

C r y p t oM a p" T u n n e l 1 c a b e z a 0 "6 5 5 3 6i p s e c i s a k m p N o m b r ed e lp e r f i l :P e r f i l 0 A s o c i a c i nd es e g u r i d a dd ed u r a c i n :4 6 0 8 0 0 0k i l o b y t e s / 3 0 0s e g u n d o s P F S( Y/N ) :N T r a n s f o r m a rs e t s={ t s , }

C r y p t oM a p" T u n n e l 1 c a b e z a 0 "6 5 5 3 7 M a p ae su n ai n s t a n c i ad ep e r f i l . P e e r=2 0 0 1 : 1: :2

L i s t ad ea c c e s oI P v 6T u n n e l 1 c a b e z a 0 A C L( c r i p t o ) p e r m i t i ri p v 6a n ya n y( 6 1 . 4 4 5 . 9 9 9p a r t i d o s )S e c u e n c i a1 P a r e sa c t u a l :2 0 0 1 : 1: :2 A s o c i a c i nd es e g u r i d a dd ed u r a c i n :4 6 0 8 0 0 0k i l o b y t e s / 3 0 0s e g u n d o s P F S( Y/N ) :N T r a n s f o r m a rs e t s={ t s , } I n t e r f a c e su t i l i z a n d oc r i p t o g r a f am a p aT u n n e l 1 c a b e z a 0 : T u n n e l 1

Ejemplo de salida del comando show session crypto La siguiente salida de la serie crypto informacin de la sesin se proporcionan detalles sobre las sesiones de cifrado actualmente activas:
R o u t e r#m o s t r a rc r y p t od e t a l l er e u n i n

C r y p t os e s i ns i t u a c i na c t u a l

C d i g o :C-M o d od ec o n f i g u r a c i nI K E ,D-D e a dP e e rD e t e c t i o nK-K e e p a l i v e s ,NN A T T r a v e r s a l ,X-A u t e n t i c a c i nE x t e n d i d aI K E

I n t e r f a z :T u n n e l 1 E s t a d od el as e s i n :U P A C T I V E P e e r :2 0 0 1 : 1: :1p u e r t o5 0 0f v r f :( n i n g u n o )i v r f :( n i n g u n o ) P h a s e 1 _ i d :2 0 0 1 : 1: :1 D e s c :( n i n g u n o ) I K ES A :2 0 0 1 : 1l o c a l e s: :2 / 5 0 0

www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html

13/16

15/05/13

La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
r e m o t o2 0 0 1 : 1: :1 / 5 0 0A c t i v o C a p a c i d a d e s :( n i n g u n o )c o n n I D :1 4 , 0 0 1d u r a c i n :0 0 : 0 4 : 3 2 I P S E CF L U J O :i p v 6p e r m i s o: :/0: :/0 A c t i v aS A :4 ,o r i g e n :c r y p t om a p a E n t r a n t e s :#p k t sd e c ' e d4 2 6 4 1d r o p0V i d a( K B/s )4 5 3 4 3 7 5 / 7 2 S a l i e n t e s :#p k t se n c ' e d6 7 3 4 9 8 0d r o p0V i d a( K B/s )2 3 9 2 4 0 2 / 7 2

Ejemplos de configuracin de IPsec para IPv6 Seguridad

Ejemplo: Configuracin de un VTI de Site-to-Site IPv6 IPsec Proteccin

Ejemplo: Configuracin de un VTI de Site-to-Site IPv6 IPsec Proteccin

p o l t i c ac r y p t oi s a k m p1 a u t e n t i c a c i np r e s h a r e ! c r i p t oi s a k m pc l a v em y P r e s h a r e K e y 0d i r e c c i ni p v 63 F F E :2 0 0 2: :A 8 B B :C C F F :F E 0 1 :2 C 0 2 / 1 2 8 c r i p t oi s a k m pk e e p a l i v e3 03 0 ! i p s e cc r y p t ot r a n s f o r m a r a he s t a b l e c i d o3 d e s s h a h m a ce s p 3 d e s ! c r y p t oi p s e cp e r f i lP e r f i l 0 t r a n s f o r m a r f i j 3 d e s ! i p v 6c e f ! i n t e r f a zT u n n e l 0 d i r e c c i ni p v 63 F F E :1 0 0 1: :/6 4E U I 6 4 i p v 6e n a b l e i p v 6c e f t n e lf u e n t eE t h e r n e t 2/0 d e s t i n od e lt n e l3 F F E :2 0 0 2: :A 8 B B :C C F F :F E 0 1 :2 C 0 2 m o d od et n e lI P S e ci p v 6 t n e ld el ap r o t e c c i nd eI P s e cp e r f i lP e r f i l 0

Referencias adicionales
Documentos relacionados

Tema relacionado
OSPF para IPv6 con soporte de autenticacin IPsec Informacin IPsec VTI IPv6 lista de caractersticas con el apoyo

Ttulo del documento

La implementacin de OSPF para IPv6 Interfaz de tnel virtual IPsec Comience aqu: Cisco IOS Software Release Especficos para las caractersticas de IPv6 Cisco IOS IPv6 de mandatos

Comandos IPv6: la sintaxis de comandos completa, modo de comando, por defecto, directrices de uso y ejemplos IPv4 tareas de configuracin de seguridad IPv4 comandos de seguridad: la sintaxis de comandos completa, modo de comando, por defecto, directrices de uso y ejemplos

Cisco IOS Gua de configuracin de seguridad Cisco IOS Seguridad de mandatos

Normas

Normas
No hay normas nuevas o modificadas son compatibles con esta caracterstica, y el apoyo a las normas existentes que no han sido modificados por esta caracterstica.

Ttulo
-

MIB

MIB

MIB Enlace

Ninguno Para localizar y descargar MIB para plataformas seleccionadas, versiones de software de Cisco, y conjuntos de caractersticas, utilice Cisco MIB Localizador de encontrar en la siguiente URL: http://www.cisco.com/go/mibs

www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html

14/16

15/05/13

La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems

RFC

RFC Ttulo
RFC Arquitectura de seguridad para el Protocolo de Internet 2401 RFC IP Authentication Header 2402 RFC El uso de hash de autenticacin de mensaje Cdigo Federal Information 2404 Processing Standard 180-1 dentro de Carga de seguridad encapsuladora y cab ecera de autenticacin RFC IP Carga de seguridad encapsuladora (ESP) 2406 RFC El dominio de seguridad de Internet de Interpretacin de ISAKMP 2407 RFC Asociacin de Seguridad de Internet y el Protocolo de administracin de 2408 claves (ISAKMP) RFC Internet Key Exchange (IKE) 2409 RFC Protocolo de Internet versin 6 (IPv6) Specification 2460 RFC Definicin de los Servicios diferenciados Field (DS Mvil) en los 2474 encab ezados IPv4 e IPv6 RFC Camb io de Autorizacin 3576 RFC Algoritmos de claves de Internet versin Tipo 1 (IKEv1) 4109 RFC IP Authentication Header 4302 RFC Internet Key Exchange (IKEv2) Protocolo 4306 RFC Criptogrfica Suites para IPsec 4308

Asistencia Tcnica

Descripcin

Enlace

El apoyo y el sitio web de http://www.cisco.com/cisco/web/support/index.html documentacin de Cisco proporciona recursos en lnea para descargar la documentacin, el software y las herramientas. Use estos recursos para instalar y configurar el software y para solucionar y resolver problemas tcnicos con los productos y tecnologas de Cisco. El acceso a la mayora de las herramientas en la Ayuda de Cisco y el sitio web de documentacin requiere un ID de usuario y contrasea de Cisco.com.

Informacin de funciones para la implementacin IPsec en IPv6 Seguridad

La Tabla 1 muestra las caractersticas de este mdulo y proporciona vnculos a informacin de configuracin especfica. Utilice Cisco Feature Navigator para encontrar informacin sobre la compatibilidad de la plataforma y soporte de imgenes de software. Cisco Feature Navigator le permite determinar qu imgenes de software apoyan una versin especfica del software, el conjunto de funciones, o de la plataforma. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn . No es necesaria una cuenta en

www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html

15/16

15/05/13

La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
Cisco.com.

Tenga en cuenta la tabla 1 se enumeran slo la versin de software que introdujo soporte para una determinada caracterstica en un tren de versin de software determinada. A menos que se indique lo contrario, las versiones posteriores de esta serie de actualizaciones de software tambin son compatibles con esta caracterstica. Tabla 1 caractersticas de Informacin para la aplicacin de IPsec en IPv6 Seguridad

Nombre de la caracterstica
IPv6 IPsec para la autenticacin Open Shortest Path First para IPv6 (OSPFv3)

Ediciones Informacin Feature

12.3 (4) T 12.4 12.4 (2) T OSPF para IPv6 utiliza la interfaz IPsec Secure Socket programa de aplicacin (API) para agregar autenticacin a OSPF para los paquetes IPv6. Esta API se ha ampliado para proporcionar soporte para IPv6. Las siguientes secciones proporcionan informacin acerca de esta caracterstica: OSPF para IPv6 Soporte de autenticacin de IPsec Cmo implementar IPsec para IPv6 Seguridad

IPv6 IPsec VPN

12.4 (4) T

Las siguientes secciones proporcionan informacin acerca de esta caracterstica: Informacin sobre la implementacin de IPsec para IPv6 Seguridad Cmo implementar IPsec para IPv6 Seguridad

IPsec IPv6 Fase 2 Soporte

12.4 (4) T

Caractersticas de este modo tnel soporte en fase de site-to-site proteccin IPsec del trfico IPv6. Esta caracterstica permite el uso del IPv6 encapsulacin IPsec para proteger el trfico de unidifusin y multidifusin IPv6. Las siguientes secciones proporcionan informacin acerca de esta caracterstica: IPv6 IPsec Proteccin de sitio a sitio usando interfaz de tnel virtual Configuracin de un VTI de Site-to-Site IPv6 IPsec Proteccin

Cisco y el logotipo de Cisco son marcas comerciales de Cisco Systems, Inc. y / o sus filiales en los EE.UU. y otros pases. Una lista de las marcas comerciales de Cisco se puede encontrar en www.cisco.com / go / trademarks . Marcas comerciales de terceros mencionadas son propiedad de sus respectivos dueos. El uso de la palabra socio no implica una relacin de sociedad entre Cisco y cualquier otra compaa. (1005R) Las direcciones de Protocolo de Internet (IP) y los nmeros de telfono utilizados en este documento no pretenden ser direcciones reales. Los ejemplos, salida de visualizacin de comandos y figuras incluidas en el documento se muestran slo con fines ilustrativos. Cualquier uso de direcciones IP reales en el contenido ilustrativo es accidental y casual. 2001-2011 de Cisco Systems, Inc. Todos los derechos reservados.

Trminos y Condiciones | Declaracin de privacidad | Poltica de Cookies | Marcas registradas

www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html

16/16