Módulo de Aceleración VPN (VAM) Descargue este capítulo Módulo de Aceleración VPN (VAM) Descargue el libro completo Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR (PDF - 5 MB) Feedback

Contenidos Módulo de Aceleración VPN (VAM) Descripción general de características Beneficios Características y Tecnologías relacionadas Documentos Relacionados Plataformas Soportadas Estándares, MIB, y RFC soportados Prerrequisitos Tareas de Configuración Configurar una política IKE Configuración del IPSec Creación de Listas de Acceso Crypto Definición de Conjuntos de Transformación Verificar la configuración Consejos de Troubleshooting Monitoreo y Mantenimiento del VPN Acceleration Module Ejemplos de Configuración Ejemplo de Configuración de Políticas IKE Ejemplo de Configuración de IPSec Referencia de Comandos Glosario

Módulo de Aceleración VPN (VAM) Historial de la característica

Versión

Modificación

12.1(9)E

Esta característica fue introducida en los Cisco 7200 Series Router en el NPE-225, el NPE-400, y el NSE-1

12.1(14)E

Esta característica era integrada en el Cisco IOS Release 12.1(14)E y el soporte para los VAM duales1 en las Cisco 7200 Series con el NPE-G1 fueron agregados

12.2(9)YE

El soporte para esta característica fue agregado al Cisco 7401ASR Router2

12.2(13)T

Esta función se integró en Cisco IOS Release 12.2(13)T.

12.2(15)T

Esta característica era integrada en el Cisco IOS Release 12.2(15)T

12.3(1)Mainline Esta característica era integrada en el Mainline del Cisco IOS Release 12.3(1) 12.2(14)SU

Esta característica era integrada en el Cisco IOS Release 12.2(14)SU

1 soporte para los VAM duales está disponible en un Cisco 7200 Series Router con el NPE-G1 en el Cisco IOS Release 12.2(15)T, 12.1(14)E,

y el Mainline 12,3 solamente.

2 el Cisco 7401ASR Router se vende no más.

Este módulo de función describe la característica del módulo vpn acceleration (VAM). Incluye las secciones siguientes: •

Descripción general de características

•

Plataformas Soportadas

•

Estándares, MIB, y RFC soportados

•

Prerrequisitos

•

Tareas de Configuración

•

Monitoreo y Mantenimiento del VPN Acceleration Module

•

Ejemplos de Configuración

•

Referencia de Comandos

•

Glosario

Descripción general de características El módulo vpn acceleration (VAM) es un módulo de aceleración de la solo-anchura. Proporciona el Tunelización de alto rendimiento, asistido por hardware y los servicios de encripción convenientes para el Acceso Remoto del Red privada virtual (VPN), el intranet del sitio a localizar, y las aplicaciones del extranet. También proporciona el scalability y Seguridad de la plataforma mientras que trabaja con todos los servicios necesarios para los despliegues de VPN acertados — Seguridad, Calidad de Servicio (QoS), Firewall y detección de intrusos, validación del servicio-nivel, y Administración. El VAM descarga el procesamiento IPSec del procesador principal, liberando así recursos de los motores de procesador para otras tareas. VAM proporciona el soporte de la aceleración de hardware para las siguientes funciones de encripción múltiple: •

modo estándar del Data Encryption Standard (DES) 56-bit: Cipher Block Chaining (CBC)

•

DES Triple de 3 Llaves (168 bits)

•

Algoritmo de troceo seguro (SHA)-1 y publicación de mensaje 5 (MD5)

•

Algoritmo de llave pública Rivest, Shamir, Adelman (RSA)

•

Intercambio de llaves Diffie-Hellman RC4-40

Beneficios El VAM proporciona las siguientes ventajas: •

10 túneles por segundo

•

El número siguiente de túneles basados en la memoria correspondiente del NPE: – 800 túneles para el 64 MB – 1600 túneles para el 128 MB – 3200 túneles para el 256 MB – 5000 túneles para el 512 MB

•

Encripción RSA

•

Funcionamiento Crypto acelerado

•

Internet Key Exchange (IKE) acelerado

•

Soporte de certificado para la autenticación automática usando los Certificados digitales

•

Soporte dual VAM

El soporte de la nota para los VAM duales está disponible en un Cisco 7200 Series Router con un NPE-G1, en el Cisco IOS Release 12.2(15)T, 12.1(14)E, y el Mainline 12,3. • Servicios de encripción a cualquier adaptador de puerto instalado en el router. La interfaz en el adaptador de puerto se debe configurar con una correspondencia de criptografía para soportar el IPSec. • Transmisión de datos de dúplex completo del 100 Mbps excesivo con el diverso cifrado y de los esquemas de compresión para 300 paquetes del byte •

Compresión LZS basado en hardware IPPCP

•

Compresión del tráfico de la red que reduce el uso del ancho de banda

•

Online Insertion and Removal (OIR, por sus siglas en inglés, Inserción y extracción en línea)

•

Interoperation de QoS, multiprotocol, y del Multicast de la característica

• Soporte para la encaminamiento completa de la capa 3, tal como Enhanced Interior Gateway Routing Protocol (EIGRP), Open Shortest Path First (OSPF), y Border Gateway Protocol (BGP) a través del IPSec VPN •

Hasta la producción del 145 Mbps usando el 3DES

•

Mejoras de la inicialización VPN

Resultados del funcionamiento para el solo VAM Las dos tablas siguientes proporcionan los resultados del funcionamiento para un solo VAM en un Cisco 7206VXR con un procesador NPE-G1, los adaptadores de puerto de GE a bordo, y FE en los slots 3 y 4.

clear_packet _size

crypto_packet_size

out_packet_size

64

96

114

300

336

354

1400

1432

1450

Tamaño de paquete combinado: 344

378

396

pkt_size (bytes)

# de los measured_pps meas_clear_ndr meas_crypto_ndr meas_out_ndr túneles (pps) (Mbps) (Mbps) (Mbps)

64

4

65.224

33,39

50,09

59,48

500

41.888

21,44

32,17

38,20

1.000

40.480

20,73

31,09

36,92

5.000

39.408

20,18

30,27

35,94

4

38.032

91,28

102,23

107,71

500

37.184

89,24

99,95

105,31

1.000

36.064

86,55

96,94

102,13

5.000

36.016

86,44

96,81

101,99

4

9.984

111,82

114,38

115,81

500

9.848

110,29

112,82

114,24

1.000

9.648

108,06

110,53

111,92

5.000

9.616

107,70

110,16

111,55

4

31.472

86,61

95,17

99,70

500

31.056

85,47

93,91

98,39

1.000

30.128

82,91

91,11

95,45

5.000

29.264

80,53

88,49

92,71

300

1400

Tamaño de paquete combinado

Resultados del funcionamiento para los VAM duales Las dos tablas siguientes proporcionan los resultados del funcionamiento para los VAM duales en un Cisco 7206VXR con un procesador NPE-G1, los adaptadores de puerto de GE a bordo, y FE en los slots 3 y 4.

clear_packet _size

crypto_packet_size

out_packet_size

64

96

114

300

336

354

1400

1432

1450

Tamaño de paquete combinado: 344

378

396

pkt_size (bytes)

# de los measured_pps meas_clear_ndr meas_crypto_ndr meas_out_ndr túneles (pps) (Mbps) (Mbps) (Mbps)

64

4

135.544

69,40

104,10

123,61

500

61.520

31,50

47,25

56,11

1.000

56.928

29,15

43,72

51,92

5.000

43.744

22,40

33,60

39,89

4

71.336

171,21

191,75

202,02

500

60.416

145,00

162,40

171,10

1.000

56.016

134,44

150,57

158,64

5.000

42.496

101,99

114,23

120,35

4

18.736

209,84

214,64

217,34

500

18.424

206,35

211,07

213,72

1000

18.352

205,54

210,24

212,88

300

1400

Tamaño de paquete combinado

5.000

18.352

205,54

210,24

212,88

4

60.416

166,26

182,70

191,40

500

57.888

159,31

175,05

183,40

1.000

55.488

152,70

167,80

175,79

5.000

34.272

94,32

103,64

108,57

Características y Tecnologías relacionadas Las características y las Tecnologías siguientes se relacionan con el VAM: •

Internet Key Exchange (IKE)

•

Seguridad IP (IPSec)

Documentos Relacionados El documento siguiente describe el hardware VAM: •

Instalación y configuración del módulo vpn acceleration

Plataformas Soportadas La característica VAM se soporta en las Plataformas siguientes: •

Cisco 7200 Series Router con el NPE-225, el NPE-400, el NSE-1, y el NPE-G1

• El soporte dual VAM está disponible en un Cisco 7200 Series Router con un NPE-G1, en el Cisco IOS Release 12.2(15)T, 12.1(14)E, y el 12.3M. •

Cisco 7401ASR Router

Determinar el Soporte de la plataforma con el Cisco Feature Navigator El software de Cisco IOS se suministra en conjuntos de funciones que soportan plataformas específicas. Para conseguir información actualizada relativa al soporte de plataformas de esta función, acceda a Cisco Feature Navigator. Cisco Feature Navigator actualiza dinámicamente la lista de plataformas soportadas a medida que se añade soporte para nuevas plataformas. Cisco Feature Navigator es una herramienta basada en red que permite determinar qué imágenes de Cisco IOS Software soportan un conjunto de funciones específico y qué funciones se soportan en una imagen específica de Cisco IOS. Puede buscar por función o por versión. En la sección de la versión, puede comparar las versiones una al lado de otra para mostrar las funciones únicas de cada versión de software y las funciones en común. Para acceder a Cisco Feature Navigator, debe tener una cuenta en Cisco.com. Si ha olvidado o perdido la información de su cuenta, envíe un correo electrónico en blanco a [email protected]. Una comprobación automática verificará que tu dirección de correo electrónico esté registrada en Cisco.com. Si la verificación es exitosa, recibirá por email los detalles de la cuenta con una nueva contraseña aleatoria. Los usuarios cualificados pueden establecer una cuenta en Cisco.com siguiendo las indicaciones de http://www.cisco.com/cisco/web/LA/support/index.html. Cisco Feature Navigator se actualiza regularmente cuando se publican versiones importantes de la tecnología y el software de Cisco IOS. Para acceder a la información más actualizada, vaya a la página de inicio de Cisco Feature Navigator en la URL siguiente: http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp Disponibilidad de las imágenes del Cisco IOS Software El soporte de plataformas de una versión de software de Cisco IOS particular depende de la disponibilidad de las imágenes de software de dichas plataformas. Las imágenes de software para algunas plataformas se pueden diferir, demorar o cambiar sin previo aviso. Para obtener información actualizada sobre el soporte de plataformas y la disponibilidad de imágenes de software para cada versión de Cisco IOS Software, refiérase a las Release Notes en línea o, si se soporta, a Cisco Feature Navigator.

Estándares, MIB, y RFC soportados Estándares •

Esta función no soporta estándares nuevos o modificados.

MIB El MIB siguiente fue introducido o modificado en esta característica: •

CISCO-IPSEC-FLOW-MONITOR-MIB

•

CISCO-IPSEC-MIB

•

CISCO-IPSEC-POLICY-MAP-MIB

Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y conjuntos de funciones seleccionados, utilice Cisco MIB Locator, que se encuentra en la siguiente URL: http://www.cisco.com/cisco/web/LA/support/index.html

RFC •

IPPCP: RFC 2393, 2395

•

IPSec/IKE: RFCs 2401-2411, 2451

Prerrequisitos Usted debe configurar el IPSec y el IKE en el router y una correspondencia de criptografía a todas las interfaces que requieran el servicio de encripción del VAM. Vea la sección de los “ejemplos de configuración” para los Procedimientos de configuración.

Tareas de Configuración En el poder para arriba si el LED habilitado está prendido, el VAM está completamente - funcional y no requiere ningunos comandos configuration. Sin embargo, para que el VAM proporcione los servicios de encripción, usted debe completar las tareas siguientes: •

Configurando una política IKE (requerida)

•

Configurando el IPSec (requerido)

Configurar una política IKE Si usted no especifica un valor para un parámetro, se asigna el valor predeterminado. Para la información sobre los valores predeterminados, refiera al capítulo de la “seguridad IP y del cifrado” de la publicación de la referencia del comando security. Para configurar una política IKE, utilice los siguientes comandos que comienzan en el modo de configuración global:

Comando

Propósito

Paso Router(config)# crypto isakmp policy priority 1

Define una política IKE y ingresa el modo de la configuración de la política del protocolo internet security association key management (ISAKMP) (config-ISAKMP).

Paso Router(config-isakmp)# encryption {des | 3des | 2

Especifica el algoritmo de encripción dentro de una política IKE.

aes | aes 192 | aes 256}

• DES — Especifica 56-bit DES como el algoritmo de encripción. • 3des — Especifica el 168-bit DES como el algoritmo de encripción. • aes — Especifica el 128-bit AES como el algoritmo de encripción. • aes 192 — Especifica el 192-bit AES como el algoritmo de encripción. • aes 256 — Especifica el 256-bit AES como el algoritmo de encripción.

Paso Router(config-isakmp)# (Opcional) especifica el método de autentificación authentication {rsa-sig | dentro de una política IKE. 3 rsa-encr | pre-share}

• rsa-sig — Especifica las firmas del Rivest, del Shamir, y del Adelman (RSA) como el método de autentificación. • rsa-encr — Especifica los nonces encriptados RSA como el método de autentificación.

Observe empezando por el Cisco IOS Release 12.3(10), RSA-encr ahora se habilita para los indicadores luminosos LED amarillo de la placa muestra gravedad menor crypto VAM. • pre-share — Especifica las claves del preshared como el método de autentificación. Observesi este comando no se habilita, el valor predeterminado (rsa-sig) es utilizado. Paso Router(config-isakmp)# lifetime seconds 4

(Opcional) especifica el curso de la vida de una asociación de seguridad IKE (SA). segundos — Número de segundos que cada SA debe existir antes de expirar. Utilice un número entero a partir del 60 a 86.400 segundos. Observesi este comando no se habilita, el valor predeterminado (86.400 [one day] de los segundos) es utilizado.

Paso Router(config-isakmp)# hash {sha | md5} 5

(Opcional) especifica el algoritmo de troceo dentro de una política IKE. • sha — Especifica SHA-1 (variante HMAC) como el algoritmo de troceo. • md5 — Especifica MD5 (variante HMAC) como el algoritmo de troceo. Observesi este comando no se habilita, el valor predeterminado (sha) es utilizado.

Paso Router(config-isakmp)# group {1 | 2 | 5} 6

(Opcional) especifica el identificador del grupo del Diffie-Hellman (DH) dentro de una política IKE. 1 — Especifica al grupo del 768-bit DH. 2 — Especifica al grupo 1024-bit DH. 5 — Especifica al grupo 1536-bit DH. Observesi este comando no se habilita, el valor predeterminado (768-bit) es utilizado.

Para información detallada sobre crear las políticas IKE, refiera “configurando el intercambio de claves de Internet para al módulo del IPSec VPN” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura.

Configuración del IPSec Después de que usted haya completado la configuración IKE, configure el IPSec en cada peer IPSec participante. Esta sección contiene los pasos básicos para configurar el IPSec e incluye las tareas discutidas en las secciones siguientes: •

Creación de Listas de Acceso Crypto

•

Definición de Conjuntos de Transformación

Creación de Listas de Acceso Crypto Para crear las Listas de acceso crypto, utilice los siguientes comandos en el modo de configuración global:

Comando

Propósito

Paso Access-list-number de la lista de acceso 1 de Router(config)# {niegue | destinocomodín del destino del source comodín de la fuente del protocolo del permiso} [log]

Especifica las condiciones para determinar que los paquetes IP son protected.1 (habilite o inhabilite el cifrado para el tráfico que corresponde con estas condiciones.)

o nombre extendido de la lista de acceso del IP

Recomendamos que usted configura las Listas de acceso crypto de la “imagen espejo” para uso del IPSec y que usted evita usar la cualquier palabra clave.

Paso Router(config-if)# Add permit and deny statements as appropriate. 2

Agrega las declaraciones del permit or deny a las Listas de acceso.

Paso Router(config-if)# end 3

Da salida al modo de comando configuration.

1 usted especifica las condiciones usando una lista de IP Access señalada por un número o un nombre. El comando access-list señala una

lista de acceso ampliada numerada; el comando ampliado lista de acceso del IP señala una lista de acceso denominada.

Para información detallada sobre configurar las Listas de acceso, refiera al mapa de ruta de las características de la lista de IP Access.

Definición de Conjuntos de Transformación Para definir un conjunto de la transformación, utilice los siguientes comandos, comenzando en el modo de configuración global:

Comando

Propósito

Router# crypto ipsec transform-set transformset-name transform1 [ transform2 [transform3]]

Define un conjunto de transformaciones e ingresa en el modo de configuración de transformaciones criptográficas.

Router# mode [tunnel | transport]

Cambia el modo asociado al conjunto de la transformación. La configuración del modo sólo se aplica al tráfico cuyas direcciones de origen y destino son las direcciones de peer IPSec; se ignora para el resto del tráfico. (El resto del tráfico está solamente en modo túnel.)

Router# end

Sale el crypto transforman al modo de configuración al modo habilitado.

Router- clear crypto sa o clear crypto sa peer {IP address | par-nombre}

Borra a las asociaciones de seguridad IPSec existentes de modo que cualquier cambio a una transformación determinada tome el efecto sobre las asociaciones de seguridad posteriormente establecidas (SA). (Los SA manualmente establecidos se restablecen inmediatamente.)

o

Usando clear crypto sa el comando sin los parámetros vacia la clear crypto sa map nombre de base de datos completa SA, que vacia las sesiones de la seguridad activa. Usted puede ser que también especifique peer map, o asignación entry las palabras claves para vaciar solamente un subconjunto de o la base de datos SA. clear crypto sa spi destination-address protocol spi

Para crear las entradas de correspondencia de criptografía que utilizan el IKE para establecer a las asociaciones de seguridad, utilice los siguientes comandos, comenzando en el modo de configuración global:

Comando

Propósito

Router# crypto map map-name seq-num ipsec-isakmp

Crea la correspondencia de criptografía y ingresa al modo de configuración de la correspondencia de criptografía.

Router# match address accesslist-id

Especifica una lista de acceso ampliada. Esta lista de acceso determina qué tráfico es protegido por el IPSec y cuál no es.

Router# set peer {hostname | ip-address}

Especifica a un peer IPSec remoto. Éste es el par a quien el tráfico protegido por IPSec puede ser remitido. Repetir para varios peers remotos.

Router# set transform-set transform-set-name1 [ transform-set-name2... transform-set-name6]

Especifica qué conjuntos de transformación se permiten para esta entrada de crypto map. Lista varios conjuntos de transformaciones en orden de prioridad (la prioridad más alta primero).

Router# end

Sale del modo de configuración del crypto map.

Relance estos pasos para crear las entradas de correspondencia de criptografía adicionales como sea necesario. Para información detallada sobre configurar las correspondencias de criptografía, refiera “configurando al capítulo del IPSec Network Security” en la publicación de la guía de configuración de seguridad.

Verificar la configuración Los pasos siguientes proporcionan la información sobre verificar sus configuraciones: Paso 1 Ingrese el comando show crypto ipsec transform-set de ver su transforman la configuración determinada:

Router# show crypto ipsec transform-set Transform set combined-des-md5: {esp-des esp-md5-hmac} will negotiate = {Tunnel,}, Transform set t1: {esp-des esp-md5-hmac} will negotiate = {Tunnel,}, Transform set t100: {ah-sha-hmac} will negotiate = {Transport,}, Transform set t2: {ah-sha-hmac} will negotiate = {Tunnel,}, {esp-des} will negotiate = {Tunnel,},

Paso 2 Ingrese show crypto map [interface interfaz | tag comando del nombre de asignación] de ver su configuración de la correspondencia de criptografía:

outer# show crypto map Crypto Map: "router-alice" idb: Ethernet0 local address: 172.21.114.123 Crypto Map "router-alice" 10 ipsec-isakmp Peer = 172.21.114.67 Extended IP access list 141 access-list 141 permit ip source: addr = 172.21.114.123/0.0.0.0 dest:

addr = 172.21.114.67/0.0.0.0

Current peer: 172.21.114.67 Security-association lifetime: 4608000 kilobytes/120 seconds PFS (Y/N): N Transform sets={t1,}

Paso 3 Ingrese el show crypto ipsec sa [map nombre de asignación | address | identity | detail | interface] comando de ver la información sobre las asociaciones de seguridad IPSec. Router# show crypto ipsec sa interface: Ethernet0 Crypto map tag: router-alice, local addr. 172.21.114.123 local ident (addr/mask/prot/port): (172.21.114.123/255.255.255.255/0/0) remote ident (addr/mask/prot/port): (172.21.114.67/255.255.255.255/0/0) current_peer: 172.21.114.67 PERMIT, flags={origin_is_acl,} #pkts encaps: 10, #pkts encrypt: 10, #pkts digest 10 #pkts decaps: 10, #pkts decrypt: 10, #pkts verify 10 #send errors 10, #recv errors 0 local crypto endpt.: 172.21.114.123, remote crypto endpt.: 172.21.114.67 path mtu 1500, media mtu 1500 current outbound spi: 20890A6F inbound esp sas: spi: 0x257A1039(628756537) transform: esp-des esp-md5-hmac, in use settings ={Tunnel,} slot: 0, conn id: 26, crypto map: router-alice sa timing: remaining key lifetime (k/sec): (4607999/90) IV size: 8 bytes replay detection support: Y inbound ah sas: outbound esp sas: spi: 0x20890A6F(545852015)

transform: esp-des esp-md5-hmac, in use settings ={Tunnel,} slot: 0, conn id: 27, crypto map: router-alice sa timing: remaining key lifetime (k/sec): (4607999/90) IV size: 8 bytes replay detection support: Y outbound ah sas: interface: Tunnel0 Crypto map tag: router-alice, local addr. 172.21.114.123 local ident (addr/mask/prot/port): (172.21.114.123/255.255.255.255/0/0) remote ident (addr/mask/prot/port): (172.21.114.67/255.255.255.255/0/0) current_peer: 172.21.114.67 PERMIT, flags={origin_is_acl,} #pkts encaps: 10, #pkts encrypt: 10, #pkts digest 10 #pkts decaps: 10, #pkts decrypt: 10, #pkts verify 10 #send errors 10, #recv errors 0 local crypto endpt.: 172.21.114.123, remote crypto endpt.: 172.21.114.67 path mtu 1500, media mtu 1500 current outbound spi: 20890A6F inbound esp sas: spi: 0x257A1039(628756537) transform: esp-des esp-md5-hmac, in use settings ={Tunnel,} slot: 0, conn id: 26, crypto map: router-alice sa timing: remaining key lifetime (k/sec): (4607999/90) IV size: 8 bytes replay detection support: Y inbound ah sas: outbound esp sas: spi: 0x20890A6F(545852015) transform: esp-des esp-md5-hmac, in use settings ={Tunnel,} slot: 0, conn id: 27, crypto map: router-alice sa timing: remaining key lifetime (k/sec): (4607999/90) IV size: 8 bytes replay detection support: Y outbound ah sas:

Consejos de Troubleshooting Para verificar que el Cisco IOS Software haya reconocido el VAM, ingrese show diag el comando y marque la salida. Por ejemplo, cuando el router tiene el VAM en el slot1, el producto siguiente aparece: Router# show diag 1 Slot 1: VAM Encryption/Compression engine. Port adapter Port adapter is analyzed Port adapter insertion time 00:04:45 ago EEPROM contents at hardware discovery: Hardware Revision

:1.0

PCB Serial Number

:15485660

Part Number

:73-5953-04

Board Revision

:

RMA Test History

:00

RMA Number

:0-0-0-0

RMA History

:00

Deviation Number

:0-0

Product Number

:CLEO

Top Assy. Part Number

:800-10496-04

CLEI Code

:

EEPROM format version 4 EEPROM contents (hex): 0x00:04 FF 40 02 8A 41 01 00 C1 8B 31 35 34 38 35 36 0x10:36 30 00 00 00 82 49 17 41 04 42 FF FF 03 00 81 0x20:00 00 00 00 04 00 80 00 00 00 00 CB 94 43 4C 45 0x30:4F 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 0x40:20 C0 46 03 20 00 29 00 04 C6 8A FF FF FF FF FF 0x50:FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 0x60:FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 0x70:FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF

Para ver si el VAM está procesando actualmente los paquetes crypto, ingrese show pas vam interface el comando. Lo que sigue es salida de muestra: Router# show pas vam interface Interface VAM 1/1 : ds:0x632770C8

idb:0x62813728

Statistics of packets and bytes that through this interface: 18 packets in

18 packets out

2268 bytes in

2268 bytes out

0 paks/sec in

0 paks/sec out

0 Kbits/sec in

0 Kbits/sec out

83 commands out

83 commands acknowledged

ppq_full_err

:0

ppq_rx_err

:0

cmdq_full_err

:0

cmdq_rx_err

:0

no_buffer

:0

fallback

:0

dst_overflow

:0

nr_overflow

:0

sess_expired

:0

pkt_fragmented

:0

out_of_mem

:0

access_denied

invalid_fc

:0

invalid_param

:0

invalid_handle :0

output_overrun

:0

input_underrun :0

input_overrun

:0

key_invalid

packet_invalid

:0

decrypt_failed :0

verify_failed

:0

attr_invalid

:0

attr_val_invalid :0

attr_missing

:0

obj_not_wrap

:0

bad_imp_hash

:0

cant_fragment

:0

out_of_handles :0

compr_cancelled

:0

rng_st_fail

other_errors

:0

:0

:0

:0

633 seconds since last clear of counters

Cuando el VAM procesa los paquetes, el “paquete en” y del “paquete los contadores hacia fuera” cambian. El contador “paquetes hacia fuera” representa el número de paquetes dirigidos al VAM. El contador “paquetes en” representa el número de paquetes recibidos del VAM.

Observeen las versiones antes del Cisco IOS Release 12.2(5)T y del Cisco IOS Release 12.1(10)E, sobre las configuraciones del desvío de la reinicialización se pierden y necesitan ser entrados de nuevo.

Monitoreo y Mantenimiento del VPN Acceleration Module Utilice los comandos abajo de monitorear y de mantener el módulo vpn acceleration:

Comando

Propósito

Router# show pas isa interface

Visualiza la configuración de la interfaz ISA.

Router# show pas isa controller

Visualiza la configuración de controlador ISA.

Router# show pas vam interface

Verifica el VAM está procesando actualmente los paquetes crypto.

Router# show pas vam controller

Visualiza la configuración de controlador VAM.

Router# Show version

Visualiza el Integrated Service Adapter como parte de las interfaces.

Ejemplos de Configuración Esta sección proporciona los siguientes ejemplos de configuración: •

Ejemplo de Configuración de Políticas IKE

•

Ejemplo de Configuración de IPSec

Ejemplo de Configuración de Políticas IKE En el siguiente ejemplo, dos políticas IKE se crean, con la directiva 15 como la prioridad más alta, la directiva 20 como la prioridad siguiente, y la prioridad predeterminada existente como la prioridad más baja. También crea una llave precompartida que se utilizará con la política 20 con el peer remoto cuya dirección IP sea 192.168.224.33. crypto isakmp policy 15 encryption 3des hash md5 authentication rsa-sig group 2 lifetime 5000 crypto isakmp policy 20 authentication pre-share lifetime 10000 crypto isakmp key 1234567890 address 192.168.224.33

Ejemplo de Configuración de IPSec El siguiente ejemplo muestra a configuración IPSec mínima donde establecerán a las asociaciones de seguridad vía el IKE: Una lista de acceso del IPSec define qué tráfico a proteger: access-list 101 permit ip 10.0.0.0 0.0.0.255 10.2.2.0 0.0.0.255

Un conjunto de la transformación define cómo el tráfico será protegido. En este ejemplo, transforme la encripción de DES de las aplicaciones del conjunto el "myset1" y el SHA para la autenticación del paquete de datos: crypto ipsec transform-set myset1 esp-des esp-sha

Otros transforman el ejemplo determinado son los "myset2," que utiliza el cifrado y MD5 (variante del DES triple HMAC) para la autenticación del paquete de datos: crypto ipsec transform-set myset2 esp-3des esp-md5-hmac

Una correspondencia de criptografía se une a junta la lista de acceso del IPSec y transforma el conjunto y especifica adonde se envía el tráfico protegido (el peer IPSec remoto): crypto map toRemoteSite 10 ipsec-isakmp match address 101 set transform-set myset2 set peer 10.2.2.5

La correspondencia de criptografía se aplica a una interfaz: interface Serial0 ip address 10.0.0.2 crypto map toRemoteSite

Observeen este ejemplo, IKE debe ser habilitado.

Referencia de Comandos Los siguientes comandos se introducen o se modifican en la función o en las funciones

•

show pas vam interface

•

show pas vam controller

•

crypto engine sw ipsec

Para obtener información sobre estos comandos, vea la Referencia de Comandos de Seguridad de Cisco IOS en http://www.cisco.com/en/US/docs/ios/security/command/reference/sec_book.html. Para ver información sobre todos los comandos de Cisco IOS, vea la herramienta de búsqueda de comandos en http://tools.cisco.com/Support/CLILookup o la lista de comandos principal.

Glosario VAM — Módulo vpn acceleration. IKE — Intercambio de claves de Internet. IKE establece una política de seguridad compartida y autentica llaves para los servicios (tales como IPSec) que las requieren. Antes de que cualquier tráfico IPSec pueda ser pasado, cada router/Firewall/host deben verificar la identidad de su par. Esto puede ser hecha manualmente ingresando las claves del preshared en ambos hosts o por un servicio CA. IPSec — Seguridad IP. Un marco de los estándares abiertos que proporciona la confidencialidad de los datos, la integridad de los datos, y la autenticación de datos entre los peeres participantes. El IPSec proporciona estos Servicios de seguridad en la capa IP. IPSec utiliza IKE para gestionar la negociación de protocolos y algoritmos basada en la política local y para generar las llaves de encripción y de autenticación que utilizará IPSec. IPsec puede proteger uno o varios flujos de datos entre un par de hosts, entre un par de gateways de seguridad, o entre un gateway de seguridad y un host. CCDE, CCENT, CCSI, Cisco Eos, Cisco Explorer, Cisco HealthPresence, Cisco IronPort, the Cisco logo, Cisco Nurse Connect, Cisco Pulse, Cisco SensorBase, Cisco StackPower, Cisco StadiumVision, Cisco TelePresence, Cisco TrustSec, Cisco Unified Computing System, Cisco WebEx, DCE, Flip Channels, Flip for Good, Flip Mino, Flipshare (Design), Flip Ultra, Flip Video, Flip Video (Design), Instant Broadband, and Welcome to the Human Network are trademarks; Changing the Way We Work, Live, Play, and Learn, Cisco Capital, Cisco Capital (Design), Cisco:Financed (Stylized), Cisco Store, Flip Gift Card, and One Million Acts of Green are service marks; and Access Registrar, Aironet, AllTouch, AsyncOS, Bringing the Meeting To You, Catalyst, CCDA, CCDP, CCIE, CCIP, CCNA, CCNP, CCSP, CCVP, Cisco, the Cisco Certified Internetwork Expert logo, Cisco IOS, Cisco Lumin, Cisco Nexus, Cisco Press, Cisco Systems, Cisco Systems Capital, the Cisco Systems logo, Cisco Unity, Collaboration Without Limitation, Continuum, EtherFast, EtherSwitch, Event Center, Explorer, Follow Me Browsing, GainMaker, iLYNX, IOS, iPhone, IronPort, the IronPort logo, Laser Link, LightStream, Linksys, MeetingPlace, MeetingPlace Chime Sound, MGX, Networkers, Networking Academy, PCNow, PIX, PowerKEY, PowerPanels, PowerTV, PowerTV (Design), PowerVu, Prisma, ProConnect, ROSA, SenderBase, SMARTnet, Spectrum Expert, StackWise, WebEx, and the WebEx logo are registered trademarks of Cisco and/or its affiliates in the United States and certain other countries. All other trademarks mentioned in this document or website are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1002R) Any Internet Protocol (IP) addresses and phone numbers used in this document are not intended to be actual addresses and phone numbers. Any examples, command display output, network topology diagrams, and other figures included in the document are shown for illustrative purposes only. Any use of actual IP addresses or phone numbers in illustrative content is unintentional and coincidental. © 2007-2010 Cisco Systems, Inc. All rights reserved.

© 1992-2013 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 2 Agosto 2013 http://www.cisco.com/cisco/web/support/LA/107/1074/1074064_sec_vam_ps6922_TSD_Products_Configuration_Guide_Chapter.html