Descripción general del protocolo de administración de claves IKE
IKE es un protocolo de administración de claves que crea SAdinámicas; negocia SA para IPsec. Una configuración de IKE define los algoritmos y las claves utilizados para establecer una conexión segura con una puerta de enlace de seguridad del mismo nivel.
IKE hace lo siguiente:
Negocia y administra parámetros de IKE e IPsec
Autentica el intercambio seguro de claves
Proporciona autenticación mutua entre pares por medio de secretos compartidos (no contraseñas) y claves públicas
Proporciona protección de identidad (en modo principal)
IKE se desarrolla en dos fases. En la primera fase, negocia atributos de seguridad y establece secretos compartidos para formar la SA IKE bidireccional. En la segunda fase, se establecen las SA IPsec entrantes y salientes. La SA de IKE asegura los intercambios en la segunda fase. IKE también genera material de claves, proporciona Perfect Forward Secrecy e intercambia identidades.
A partir de Junos OS versión 14.2, cuando se realiza un recorrido SNMP del objeto jnxIkeTunnelEntry en la tabla jnxIkeTunnelTable, es posible que se genere el mensaje de Request failed: OID not increasing
error. Este problema sólo se produce cuando se crean asociaciones de seguridad de intercambio de claves por Internet (SA de IKE) simultáneas, que se produce cuando ambos extremos de la SA inician negociaciones de SA de IKE al mismo tiempo. Cuando se realiza un recorrido SNMP MIB para mostrar SA de IKE, la herramienta snmpwalk espera que los identificadores de objeto (OID) estén en orden creciente. Sin embargo, en el caso de SA de IKE simultáneas, es posible que los OID de la tabla SNMP no estén en orden creciente. Este comportamiento se produce porque los identificadores de túnel, que forman parte de los OID, se asignan en función del iniciador de la SA de IKE, que puede estar a ambos lados del túnel de IKE.
A continuación se muestra un ejemplo de un recorrido SNMP MIB que se realiza en SA simultáneas IKE:
jnxIkeTunLocalRole."ipsec_ss_cust554".ipv4."192.0.2.41".47885 = INTEGER: responder(2) >>> This is Initiator SA jnxIkeTunLocalRole."ipsec_ss_cust554".ipv4."192.0.2.41".47392 = INTEGER: initiator(1) >>> This is Responder's SA
La comparación del OID falla cuando el recorrido SNMP es el ID de túnel (47885 y 47392). Cuando se realiza una caminata SNMP, no se puede garantizar que los ID de túnel estén en orden creciente, ya que los túneles pueden iniciarse desde cualquier lado.
Para evitar este problema, el paseo SNMP MIB contiene una opción, -Cc, para deshabilitar la comprobación de OID crecientes. A continuación se muestra un ejemplo de la caminata MIB realizada en la tabla jnxIkeTunnelEntry con la opción -Cc:
snmpwalk -Os -Cc -c public -v 1 vira jnxIkeTunnelEntry
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.
Request failed: OID not increasing
error.