Escolar Documentos
Profissional Documentos
Cultura Documentos
La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
Contenido
Requisitos para la implementacin de IPsec para IPv6 Seguridad Informacin sobre la implementacin de IPsec para IPv6 Seguridad Cmo implementar IPsec para IPv6 Seguridad Ejemplos de configuracin de IPsec para IPv6 Seguridad Referencias Adicionales Informacin de funciones para la implementacin IPsec en IPv6 Seguridad
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html
1/16
15/05/13
La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
"Documentos relacionados" en la seccin de configuracin de IPv4 y de referencia de comandos. Usted debe estar familiarizado con el direccionamiento IPv6 y la configuracin bsica. Referirse aLa implementacin del IPv6 Direccionamiento y conectividad b sica para ms informacin.
Con IPsec, los datos se pueden enviar a travs de una red pblica sin observacin, modificacin o suplantacin de identidad. Funcionalidad IPsec es similar en IPv6 e IPv4, sin embargo, el modo de tnel del sitio-a-sitio slo es compatible con IPv6. En IPv6, IPsec se implementa utilizando la cabecera de autentificacin AH y la extensin de cabecera ESP. El encabezado de autenticacin proporciona integridad y autenticacin de la fuente. Tambin ofrece proteccin opcional contra paquetes reproducidos. El encabezado de autenticacin protege la integridad de la mayora de los campos de cabecera IP y autentica la fuente a travs de un algoritmo de firma basada. La cabecera ESP proporciona confidencialidad, la autenticacin de la fuente, integridad sin conexin del paquete interno, antireplay, y confidencialidad limitada del flujo de trfico. (IKE) protocolo de intercambio de claves de Internet es un protocolo de gestin de clave estndar que se utiliza en conjuncin con IPsec. IPsec puede ser configurado sin IKE, pero IKE mejora IPsec al proporcionar caractersticas adicionales, la flexibilidad y la facilidad de configuracin para el estndar IPSec. IKE es un protocolo hbrido que implementa la clave Oakley intercambio y Skeme intercambio de claves dentro de la Asociacin de Protocolo de Internet Security de administracin de claves (ISAKMP) Marco (ISAKMP, Oakley y Skeme son protocolos de seguridad que implementan IKE) (ver figura 1 ). Esta funcionalidad es similar al modelo de pasarela de seguridad utilizando IPv4 proteccin IPsec.
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html
2/16
15/05/13
La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
Figura 1 Interfaz de tnel IPsec para IPv6
Cuando se configura el tnel IPsec, IKE y asociaciones de seguridad IPsec (SA) se negocian y establecen antes de cambiar el protocolo de lnea para la interfaz de tnel para el estado UP. El interlocutor IKE remoto es la misma que la direccin de destino del tnel, el interlocutor IKE local ser la direccin de recogida desde la interfaz de origen del tnel, que tiene el mismo alcance direccin IPv6 como direccin de destino del tnel. La Figura 2 muestra el formato del paquete IPsec. Figura 2 IPv6 Paquete Formato IPsec
Para obtener ms informacin acerca de IPsec VTI, consulte la interfaz de tnel virtual IPsec mdulo en la Gua de configuracin de Cisco IOS Seguridad .
Nota Si usted es la interoperabilidad con un dispositivo que slo admite uno de los valores de un parmetro, la eleccin se limita al valor admitido por el otro dispositivo. Aparte de esta limitacin, a menudo hay un trade-off entre la seguridad y el rendimiento, y muchos de estos valores de los parmetros representan como una compensacin. Usted debe evaluar el nivel de riesgos de seguridad para su red y su tolerancia a estos riesgos.
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html
3/16
15/05/13
La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
Cuando comienza la negociacin IKE, bsquedas IKE para una poltica IKE que es el mismo en ambos pares. El par que inicia la negociacin enviar todas sus polticas a la par remoto, y la distancia entre pares tratar de encontrar una coincidencia. El interlocutor remoto busca una coincidencia comparando su propia poltica de mxima prioridad contra las polticas recibidos del otro par. La distancia entre pares comprueba cada uno de sus polticas con el fin de que su prioridad (prioridad ms alta primero) hasta que se encuentre una coincidencia. Un partido se hace cuando tanto las polticas de los dos pares contienen la misma encriptacin, el hash, la autenticacin, y valores de los parmetros de Diffie-Hellman, y cuando la poltica del interlocutor remoto especifica un tiempo de vida que es menor que o igual a la vida til en la poltica que se comparan . (Si el tiempo de vida que no son idnticos, el ms corto de toda la vida del interlocutor remoto poltica ser utilizado.) Si se encuentra una coincidencia, IKE completar la negociacin, y ser creado asociaciones de seguridad IPsec. Si no se encuentra una coincidencia aceptable, IKE se niega negociacin y IPsec no se establecer.
Nota En funcin del mtodo de autenticacin se especifica en una poltica, puede ser necesario configuracin adicional. Si la poltica de un compaero no tiene la configuracin compaera requerida, el par no presentar la poltica cuando se trata de encontrar una poltica coincidente con el par remoto. Debe establecer la identidad ISAKMP para cada interlocutor que utiliza claves previamente compartidas en una poltica IKE. Cuando se utilizan dos pares IKE para establecer IPsec, cada interlocutor enva su identidad a la par remoto. Cada par enva ya sea su nombre de host o su direccin IPv6, dependiendo de cmo se haya configurado la identidad ISAKMP del router. De forma predeterminada, la identidad ISAKMP de un compaero es la direccin IPv6 de los pares. Si es apropiado, se puede cambiar la identidad de ser el nombre de host de los pares en su lugar. Como regla general, establecer las identidades de todos los compaeros de la misma manera, ya sea todos los compaeros deben utilizar sus direcciones IPv6 o todos los compaeros deben utilizar sus nombres de host. Si algunos compaeros usan sus nombres de host y algunos compaeros usan sus direcciones IPv6 para identificarse entre s, las negociaciones IKE puede fallar si la identidad de un interlocutor remoto no es reconocido y una bsqueda de DNS no es capaz de resolver la identidad. PASOS RESUMEN 1. 2. 3. 4. .5 6. .7 8. 9. . 10 11. 12. permitir configurar terminales crypto poltica isakmp prioridad autenticacin { rsa-sig | rsa-encr | pre-share } de hash { sha | md5 } grupo { 1 | 2 | 5 } cifrado { des | 3des | aes | aes 192 | aes 256 } vitalicios segundos salida crypto isakmp clave de tipo contrasea keystring { direccin peer-direccin [ mscara ] | ipv6 { direccin-ipv6 / ipv6-prefix } | nombre_host nomb re_host } [ no-xauth ] crypto llavero llavero de nomb re [ vrf fvrf-nomb re ] pre-shared key- { direccin de la direccin [ mscara ] | nombre_host nomb re_host | ipv6 { direccin-ipv6 | ipv6-prefix }} llave clave
Pasos detallados
Comando o accin
Paso 1
p e r m i t i r Ejem plo: R o u t e r >e n a b l e
Propsito
Activa el modo EXEC privilegiado. Introduzca su contrasea si se le solicita.
Paso 2
Entra en el modo de configuracin global. Define una poltica IKE, y entra en el modo de configuracin de la directiva
Paso 3
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html
4/16
15/05/13
La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
de la directiva ISAKMP.
Nmero de la pliza 1 indica la poltica de la ms alta prioridad. La ms pequea es la prioridad valor del argumento, mayor es la prioridad. Paso 4
a u t e n t i c a c i n{r s a s i g|r s a e n c r| p r e s h a r e} Ejem plo: R o u t e r( c o n f i g I S A K M P p o l t i c a )#l a a u t e n t i c a c i np r e s h a r e
Especifica el mtodo de autenticacin dentro de una poltica IKE. El rsa-sig y rsa-ENCR palabras clave no son compatibles con IPv6.
Paso 5
H a s h{s h a|m d 5}
Paso 6
Especifica el identificador de
Paso 7
Paso 8
v i d as e g u n d o
Especifica el tiempo de vida Ejem plo: de un IKE SA. R o u t e r( c o n f i g I S A K M P p o l t i c a )#4 3 2 0 0 Ajuste del valor v i d a de la vida IKE es opcional.
s a l i d a Ejem plo: R o u t e r( c o n f i g I S A K M P p o l t i c a )#e x i t
Paso 9
Escriba este comando para salir del modo de configuracin de la directiva ISAKMP y entrar en el modo de configuracin global. Configura una clave de autenticacin compartida previamente.
Paso 10
Paso 11
Define un cripto llavero para ser utilizado durante la autenticacin IKE. Define una clave
Paso 12
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html
5/16
15/05/13
La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
d i r e c c i n[m s c a r a]|n o m b r e _ h o s t n o m b r e _ h o s t|i p v 6{d i r e c c i n i p v 6| i p v 6 p r e f i x} }l l a v ec l a v e
clave previamente compartida que se utilizar Ejem plo: para la R o u t e r( c o n f i g k e y r i n g )#i p v 6p r e s h a r e d k e y autenticacin 3 F F E :2 0 0 2: :A 8 B B :C C F F :F E 0 1 :2 C 0 2 / 1 2 8 IKE.
Nota: Es probable que no es necesario configurar el modo agresivo en un escenario de sitio a sitio. El modo por defecto se utiliza normalmente. PASOS RESUMEN 1. 2. 3. .4 permitir configurar terminales crypto isakmp pares { direccin { direccin IPv4 | ipv6 ipv6 direccin ipv6-longitud-prefijo } | nombre de host FQDN-hostname } establecer agresiva en modo cliente-endpoint { cliente endpoint | ipv6 ipv6 direccin }
Pasos detallados
Comando o accin
Paso 1
p e r m i t i r Ejem plo: R o u t e r >e n a b l e
Propsito
Activa el modo EXEC privilegiado. Introduzca su contrasea si se le solicita.
Paso 2
Paso 3
Permite un nivel de IPsec para IKE consultar los Ejem plo: atributos del R o u t e r( c o n f i g )#c r y p t oi s a k m pp a r e sd ed i r e c c i o n e sI P v 6 tnel.
3 F F E :2 0 0 2: :A 8 B B :C C F F :F E 0 1 :2 C 0 2 / 1 2 8
Paso 4
Define la direccin IPv6 del interlocutor remoto, el cual ser utilizado por negociacin de modo agresivo. La direccin del interlocutor remoto es normalmente la direccin del punto final del lado del cliente.
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html
6/16
15/05/13
La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
5. transformar-fij transformar-set-nomb re [ transformar-fij-tipo2 ... transform-set-name6 ]
Pasos detallados
Comando o accin
Paso 1
p e r m i t i r Ejem plo: R o u t e r >e n a b l e
Propsito
Activa el modo EXEC privilegiado. Introduzca su contrasea si se le solicita.
Paso 2
Paso 3
Paso 4
IPsec que se van a utilizar para el cifrado IPSec entre dos enrutadores IPsec. Especifica que conjuntos de transformacin se pueden utilizar con la entrada de mapa de cripto.
Paso 5
Pasos detallados
Comando o accin
Paso 1
p e r m i t i r Ejem plo: R o u t e r >e n a b l e
Propsito
Activa el modo EXEC privilegiado. Introduzca su contrasea si se le solicita.
Paso 2
Entra en el modo de configuracin global. Define un perfil de ISAKMP y auditoras de las sesiones de usuario IPsec.
Paso 3
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html
7/16
15/05/13
La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
IPsec. Paso 4
a u t o i d e n t i d a d{D i r e c c i n|D i r e c c i n Define la I P v 6]|f q d n|u s u a r i of q d nu s u a r i o identidad que f q d n} el IKE local Ejem plo: R o u t e r( c o n f i g I S A K M P p e r f i l )# i d e n t i d a dp r o p i ad i r e c c i nI P v 6
utiliza para identificarse en el extremo remoto. Coincide con la identidad de un interlocutor remoto en un perfil de ISAKMP.
Paso 5
Pasos detallados
Comando o accin
Paso 1
p e r m i t i r Ejem plo: R o u t e r >e n a b l e
Propsito
Activa el modo EXEC privilegiado. Introduzca su contrasea si se le solicita.
Paso 2
Paso 3
Permite enrutamiento unicast IPv6. Solo necesita habilitar IPv6 unicast enrutamiento vez, no importa cuntos tneles de interfaz que desea configurar. Especifica una interfaz de tnel y nmero, y entra en el modo de configuracin de interfaz.
Paso 4
Paso 5
ipv6 direccin i p v 6 a d d r e s s / p r e f i x
Ejem plo: R o u t e r( c o n f i g i f )#i p v 6 d i r e c c i n3 F F E :C 0 0 0 :0 : 7: : /6 4E U I 6 4
Proporciona una direccin IPv6 a la interfaz de tnel, por lo que el trfico IPv6 se puede dirigir a este tnel.
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html
8/16
15/05/13
La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
/6 4E U I 6 4
Paso 6
ipv6 enable
Ejem plo:
Paso 8
t n e ld e ld e s t i n o{h o s t n a m e Especifica el destino de |d i r e c c i n i p|i p v 6 una interfaz de tnel. d i r e c c i n} Ejem plo: R o u t e r( c o n f i gi f )#d e s t i n o d e lt n e l2 0 0 1 :D B 8 : 1 1 1 1 : 2 2 2 2: :1
Paso 9
t n e ld em o d o{A U R P|c a y m a n |d v m r p|e o n|g r e|g r e m u l t i p u n t o|g r ei p v 6|i p i p [d e c a p s u l a t e a n y]|i p s e c i p v 4|i p t a l k|iP V 6|i p s e c i p v 6|m p l s|n n|rB S C P} Ejem plo: R o u t e r( c o n f i g i f )#i p v 6 m o d ot n e lI P S e c
Establece el modo de encapsulacin para la interfaz de tnel. Para IPsec, slo los ipv6 ipsec palabras clave son compatibles.
Paso 10
p r o t e c c i nt n e lp e r f i li p s e c Asocia una interfaz de n o m b r e[c o m p a r t i d a] tnel con un perfil de Ejem plo: R o u t e r( c o n f i g i f )#t n e l p r o t e c c i ni p s e cp e r f i l p r o f i l e 1
Pasos detallados
Comando o accin
Paso 1
m o s t r a ra d y a c e n c i a[R e s u m e n[ t i p od ei n t e r f a zd el ai n t e r f a z d es e r i e] ]|[p r e f i j o][ i n t e r f a c ei n t e r f a c e n u m b e r][ C o n n e c t i o n I DI D][e n l a c e{ i p v 4|i p v 6|m p l s} ][ d e t a l l e s] Ejem plo:
R o u t e r#s h o wd e t a l l ea d y a c e n c i a
Propsito
Muestra informacin sobre el Expreso tabla de adyacencia Forwarding Cisco o la capa de hardware tabla de adyacencia 3 de conmutacin.
Paso 2
e s p e c t c u l om o t o rd ec i f r a d o{
Muestra un resumen de
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html
9/16
15/05/13
La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
Paso 2
e s p e c t c u l om o t o rd ec i f r a d o{ a c e l e r a d o r|b r e v e| C o n f i g u r a c i n|c o n e x i o n e s[ a c t i v o|d h|d e s c e n d i d od e p a q u e t e s|M o s t r a r]|q o s} Ejem plo: R o u t e r#s h o wc o n e x i nm o t o rd e c i f r a d oa c t i v o
Paso 3
Paso 4
Paso 5
Paso 6
e s p e c t c u l oc r y p t oi s a k m p Lista todos los perfiles p e r f i l[t a gn o m b r e p e r f i l|v r f ISAKMP que se definen v r f n a m e] en un router. Ejem plo: R o u t e r#s h o wc r y p t oi s a k m p p e r f i l
Paso 7
cifrado. Los mapas de cifrado que se muestran en esta salida del comando se generan dinmicamente. El usuario no tiene que configurar mapas criptogrficos. Muestra informacin sobre el estado de las sesiones criptogrficas activos. IPv6 no admite la fvfr o ivrf palabras clave o el VRF-nomb re de argumento.
Paso 8
Paso 9
Paso 10
m o s t r a ri p v 6a c c e s s l i s t[ a c c e s s l i s t n o m b r e] Ejem plo:
R o u t e r#s h o wa c c e s s l i s ti p v 6
Paso 11
Paso 12
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html
10/16
15/05/13
La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
R o u t e r#s h o wi n t e r f a c ef d d i e s t a d s t i c a s3 / 0 / 0
Pasos detallados
Comando o accin
Paso 1
p e r m i t i r Ejem plo: R o u t e r# e n a b l e
Propsito
Activa el modo EXEC privilegiado. Introduzca su contrasea si se le solicita.
Paso 2
Paso 3
Precaucin El uso de este comando podra inundar el sistema y aumentar el uso de la CPU si varios paquetes se estn cifrados.
Ejemplos
Ejemplo de salida de la serie crypto ipsec sa Comando Ejemplo de salida de la serie crypto isakmp pares Comando Ejemplo de salida del comando crypto perfil isakmp espectculo Ejemplo de salida de la serie crypto isakmp sa Comando Ejemplo de salida de la serie crypto mapa Comando Ejemplo de salida del comando show session crypto Ejemplo de salida de la serie crypto ipsec sa Comando El siguiente es un ejemplo de salida del espectculo crypto ipsec sa comando:
R o u t e r#m o s t r a rc r y p t oi p s e cs a
I n t e r f a z :T u n n e l 0 C r y p t om a p at a g :T u n n e l 0 c a b e z a 0 ,l o c a l e sa d d r3 F F E :2 0 0 2: :A 8 B B :C C F F :F E 0 1 :9 0 0 2
p r o t e g i d av r f :( n i n g u n o ) l o c a l e si d e n t( a d d r/m s c a r a/p r o t/p u e r t o ) :( : :/0 / 0 / 0 ) i d e n tr e m o t o( a d d r/m s c a r a/p r o t/p u e r t o ) :( : :/0 / 0 / 0 ) c u r r e n t _ p e e r3 F F E :2 0 0 2: :A 8 B B :C C F F :F E 0 1 :2 C 0 2p u e r t o5 0 0 P E R M I S O ,f l a g s={ o r i g i n _ i s _ a c l , } #P k t se n c a p s :1 3 3 ,#p k t sc i f r a r :1 3 3 ,#p k t sd i g e s t :1 3 3 #P k t sd e c a p s :1 3 3 ,#p k t sd e s c i f r a r :1 3 3 ,#p k t sv e r i f i c a r :1 3 3 #P k t sc o m p r i m i d o :0 ,#P K T Sd e s c o m p r i m i d o :0 #P K T Sl o sc o m p a c t o s :0 ,#p k t sc o m p r .p e r d i d o s :0 #P K T Sn od e s c o m p r i m e :0 ,#p k t sd e s c o m p r i m i rf a l l :0 #E n v i a re r r o r e s ,#6 0e r r o r e sr e c v0
c r i p t ol o c a l e sE n d p t : .3 F F E :2 0 0 2: :A 8 B B :C C F F :F E 0 1 :9 0 0 2 , r e m o t oc r y p t oE n d p t : .3 F F E :2 0 0 2: :A 8 B B :C C F F :F E 0 1 :2 C 0 2 P a t hM T U1 5 1 4 ,i pm t u1 5 1 4 a c t u a ls p is a l i d a :0 x 2 8 5 5 1 D 9 A( 6 7 6 6 6 6 7 7 8 )
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html
e n t r a d ae s ps a s :
11/16
15/05/13
La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
e n t r a d ae s ps a s : s p i :0 x 2 1 0 4 8 5 0 C( 5 5 3 9 4 4 3 3 2 ) t r a n s f o r m :e s p d e s , e ne n t o r n o sd eu s o={ T n e l , } C O N Ni d :9 3 ,f l o w _ i d :S W :9 3 ,c r y p t om a p a :T u n n e l 0 c a b e z a 0 s at i e m p o :d u r a c i nd el ac l a v er e s t a n t e( k/s ) :( 4 3 9 7 5 0 7 / 1 4 8 ) T a m a oI V :8b y t e s a p o y od e t e c c i nd er e p r o d u c c i n :Y S t a t u s :A C T I V E
e n t r a n t ea hs a s : s p i :0 x 9 6 7 6 9 8 C B( 2 5 2 4 3 5 4 7 6 3 ) t r a n s f o r m :a h s h a h m a c , e ne n t o r n o sd eu s o={ T n e l , } C O N Ni d :9 3 ,f l o w _ i d :S W :9 3 ,c r y p t om a p a :T u n n e l 0 c a b e z a 0 s at i e m p o :d u r a c i nd el ac l a v er e s t a n t e( k/s ) :( 4 3 9 7 5 0 7 / 1 4 7 ) a p o y od e t e c c i nd er e p r o d u c c i n :Y S t a t u s :A C T I V E
e n t r a d ap c ps a s :
s a l i e n t ea hs a s : s p i :0 x A 8 3 E 0 5 B 5( 2 8 2 2 6 3 6 9 8 1 ) t r a n s f o r m :a h s h a h m a c , e ne n t o r n o sd eu s o={ T n e l , } C O N Ni d :9 4 ,f l o w _ i d :S W :9 4 ,c r y p t om a p a :T u n n e l 0 c a b e z a 0 s at i e m p o :d u r a c i nd el ac l a v er e s t a n t e( k/s ) :( 4 3 9 7 5 0 8 / 1 4 7 ) a p o y od e t e c c i nd er e p r o d u c c i n :Y S t a t u s :A C T I V E
s a l i e n t ep c ps a s :
Ejemplo de salida de la serie crypto isakmp pares Comando La siguiente salida de ejemplo muestra descripciones de pares en un router IPv6:
R o u t e r#m o s t r a rc r y p t oi s a k m pd e t a l l ep a r e s
Ejemplo de salida del comando crypto perfil isakmp espectculo La salida de ejemplo siguiente muestra los perfiles ISAKMP que se definen en un router IPv6.
R o u t e r#s h o wc r y p t oi s a k m pp e r f i l
Ejemplo de salida de la serie crypto isakmp sa Comando La siguiente salida de ejemplo muestra las SA de un dispositivo de IPv6 activo. El dispositivo de IPv4 est activo:
R o u t e r#m o s t r a rc r y p t oi s a k m ps ad e t a l l e
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html
12/16
15/05/13
La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
C d i g o s :C-M o d od ec o n f i g u r a c i nI K E ,D-D e a dP e e rD e t e c t i o n K-K e e p a l i v e s ,N-N A T T r a v e r s a l X-A u t e n t i c a c i nE x t e n d i d aI K E p s k-C l a v ep r e c o m p a r t i d a ,r s i g-R S Af i r m a R E N C-c i f r a d oR S A I P v 4C r y p t oI S A K M PS A
C i dL o c a ld eE V R FE s t a d oE n c rH a s hd ea u t e n t i c a c i nD H C a pd ep o rv i d a .
I P v 6C r y p t oI S A K M PS A
Ejemplo de salida de la serie crypto mapa Comando La salida de ejemplo siguiente muestra los mapas de cifrado generadas dinmicamente de un dispositivo de IPv6 activo:
R o u t e r#m o s t r a rc r y p t om a p a
L i s t ad ea c c e s oI P v 6T u n n e l 1 c a b e z a 0 A C L( c r i p t o ) p e r m i t i ri p v 6a n ya n y( 6 1 . 4 4 5 . 9 9 9p a r t i d o s )S e c u e n c i a1 P a r e sa c t u a l :2 0 0 1 : 1: :2 A s o c i a c i nd es e g u r i d a dd ed u r a c i n :4 6 0 8 0 0 0k i l o b y t e s / 3 0 0s e g u n d o s P F S( Y/N ) :N T r a n s f o r m a rs e t s={ t s , } I n t e r f a c e su t i l i z a n d oc r i p t o g r a f am a p aT u n n e l 1 c a b e z a 0 : T u n n e l 1
Ejemplo de salida del comando show session crypto La siguiente salida de la serie crypto informacin de la sesin se proporcionan detalles sobre las sesiones de cifrado actualmente activas:
R o u t e r#m o s t r a rc r y p t od e t a l l er e u n i n
C r y p t os e s i ns i t u a c i na c t u a l
I n t e r f a z :T u n n e l 1 E s t a d od el as e s i n :U P A C T I V E P e e r :2 0 0 1 : 1: :1p u e r t o5 0 0f v r f :( n i n g u n o )i v r f :( n i n g u n o ) P h a s e 1 _ i d :2 0 0 1 : 1: :1 D e s c :( n i n g u n o ) I K ES A :2 0 0 1 : 1l o c a l e s: :2 / 5 0 0
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html
13/16
15/05/13
La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
r e m o t o2 0 0 1 : 1: :1 / 5 0 0A c t i v o C a p a c i d a d e s :( n i n g u n o )c o n n I D :1 4 , 0 0 1d u r a c i n :0 0 : 0 4 : 3 2 I P S E CF L U J O :i p v 6p e r m i s o: :/0: :/0 A c t i v aS A :4 ,o r i g e n :c r y p t om a p a E n t r a n t e s :#p k t sd e c ' e d4 2 6 4 1d r o p0V i d a( K B/s )4 5 3 4 3 7 5 / 7 2 S a l i e n t e s :#p k t se n c ' e d6 7 3 4 9 8 0d r o p0V i d a( K B/s )2 3 9 2 4 0 2 / 7 2
Referencias adicionales
Documentos relacionados
Tema relacionado
OSPF para IPv6 con soporte de autenticacin IPsec Informacin IPsec VTI IPv6 lista de caractersticas con el apoyo
Comandos IPv6: la sintaxis de comandos completa, modo de comando, por defecto, directrices de uso y ejemplos IPv4 tareas de configuracin de seguridad IPv4 comandos de seguridad: la sintaxis de comandos completa, modo de comando, por defecto, directrices de uso y ejemplos
Normas
Normas
No hay normas nuevas o modificadas son compatibles con esta caracterstica, y el apoyo a las normas existentes que no han sido modificados por esta caracterstica.
Ttulo
-
MIB
MIB
MIB Enlace
Ninguno Para localizar y descargar MIB para plataformas seleccionadas, versiones de software de Cisco, y conjuntos de caractersticas, utilice Cisco MIB Localizador de encontrar en la siguiente URL: http://www.cisco.com/go/mibs
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html
14/16
15/05/13
La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
RFC
RFC Ttulo
RFC Arquitectura de seguridad para el Protocolo de Internet 2401 RFC IP Authentication Header 2402 RFC El uso de hash de autenticacin de mensaje Cdigo Federal Information 2404 Processing Standard 180-1 dentro de Carga de seguridad encapsuladora y cab ecera de autenticacin RFC IP Carga de seguridad encapsuladora (ESP) 2406 RFC El dominio de seguridad de Internet de Interpretacin de ISAKMP 2407 RFC Asociacin de Seguridad de Internet y el Protocolo de administracin de 2408 claves (ISAKMP) RFC Internet Key Exchange (IKE) 2409 RFC Protocolo de Internet versin 6 (IPv6) Specification 2460 RFC Definicin de los Servicios diferenciados Field (DS Mvil) en los 2474 encab ezados IPv4 e IPv6 RFC Camb io de Autorizacin 3576 RFC Algoritmos de claves de Internet versin Tipo 1 (IKEv1) 4109 RFC IP Authentication Header 4302 RFC Internet Key Exchange (IKEv2) Protocolo 4306 RFC Criptogrfica Suites para IPsec 4308
Asistencia Tcnica
Descripcin
Enlace
El apoyo y el sitio web de http://www.cisco.com/cisco/web/support/index.html documentacin de Cisco proporciona recursos en lnea para descargar la documentacin, el software y las herramientas. Use estos recursos para instalar y configurar el software y para solucionar y resolver problemas tcnicos con los productos y tecnologas de Cisco. El acceso a la mayora de las herramientas en la Ayuda de Cisco y el sitio web de documentacin requiere un ID de usuario y contrasea de Cisco.com.
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html
15/16
15/05/13
La implementacin de IPsec en IPv6 Seguridad [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
Cisco.com.
Tenga en cuenta la tabla 1 se enumeran slo la versin de software que introdujo soporte para una determinada caracterstica en un tren de versin de software determinada. A menos que se indique lo contrario, las versiones posteriores de esta serie de actualizaciones de software tambin son compatibles con esta caracterstica. Tabla 1 caractersticas de Informacin para la aplicacin de IPsec en IPv6 Seguridad
Nombre de la caracterstica
IPv6 IPsec para la autenticacin Open Shortest Path First para IPv6 (OSPFv3)
12.4 (4) T
Las siguientes secciones proporcionan informacin acerca de esta caracterstica: Informacin sobre la implementacin de IPsec para IPv6 Seguridad Cmo implementar IPsec para IPv6 Seguridad
12.4 (4) T
Caractersticas de este modo tnel soporte en fase de site-to-site proteccin IPsec del trfico IPv6. Esta caracterstica permite el uso del IPv6 encapsulacin IPsec para proteger el trfico de unidifusin y multidifusin IPv6. Las siguientes secciones proporcionan informacin acerca de esta caracterstica: IPv6 IPsec Proteccin de sitio a sitio usando interfaz de tnel virtual Configuracin de un VTI de Site-to-Site IPv6 IPsec Proteccin
Cisco y el logotipo de Cisco son marcas comerciales de Cisco Systems, Inc. y / o sus filiales en los EE.UU. y otros pases. Una lista de las marcas comerciales de Cisco se puede encontrar en www.cisco.com / go / trademarks . Marcas comerciales de terceros mencionadas son propiedad de sus respectivos dueos. El uso de la palabra socio no implica una relacin de sociedad entre Cisco y cualquier otra compaa. (1005R) Las direcciones de Protocolo de Internet (IP) y los nmeros de telfono utilizados en este documento no pretenden ser direcciones reales. Los ejemplos, salida de visualizacin de comandos y figuras incluidas en el documento se muestran slo con fines ilustrativos. Cualquier uso de direcciones IP reales en el contenido ilustrativo es accidental y casual. 2001-2011 de Cisco Systems, Inc. Todos los derechos reservados.
www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ipsec.html
16/16