Ejemplo: Configuración manual de SA de AS PIC

Figura 1: Diagrama AS PIC Manual SA Topology Diagram

de topología SA manual de AS PIC

La figura 1 muestra una topología IPSec similar a la utilizada en el ejemplo de SA manual de ES PIC. La diferencia es que los enrutadores 2 y 3 establecen un túnel IPSec utilizando una PIC de AS y utilizan configuraciones de SA manuales ligeramente modificadas. Los enrutadores 1 y 4 también proporcionan conectividad básica y se utilizan para verificar que el túnel IPSec esté operativo.

En el enrutador 1, proporcione conectividad OSPF básica al enrutador 2.

Enrutador 1

En el enrutador 2, habilite OSPF como protocolo de enrutamiento subyacente para conectarse a los enrutadores 1 y 3. Configure una SA manual bidireccional en una regla denominada rule-manual-SA-BiEspshades en el nivel jerárquico [edit ipsec-vpn rule] . Haga referencia a esta regla en un conjunto de servicios denominado service-set-manual-BiEspshades en el nivel jerárquico [edit services service-set] .

Configure todas las especificaciones para su SA manual. Utilice ESP para el protocolo, 261 para el SPI, HMAC-SHA1-96 para la autenticación, DES-CBC para el cifrado, una clave de autenticación ASCII de 20 bits para la clave de autenticación SHA-1 y una clave de cifrado ASCII de 8 bits para la clave de autenticación DES-CBC. (Para obtener más información acerca de las longitudes de clave, consulte Longitudes de clave de autenticación y cifrado).

Para dirigir el tráfico hacia la PIC del AS y el túnel IPSec, configure un conjunto de servicios de estilo de salto siguiente y agregue la interfaz lógica de servicios adaptables utilizada como interfaz interna IPSec a la configuración de OSPF.

Enrutador 2

En el enrutador 3, habilite OSPF como protocolo de enrutamiento subyacente para conectarse a los enrutadores 2 y 4. Configure una SA manual bidireccional en una regla denominada rule-manual-SA-BiEspshades en el nivel jerárquico [edit ipsec-vpn rule] . Haga referencia a esta regla en un conjunto de servicios denominado service-set-manual-BiEspshades en el nivel jerárquico [edit services service-set] .

Configure las mismas especificaciones para su SA manual que especificó en el enrutador 2. Utilice ESP para el protocolo, 261 para el SPI, HMAC-SHA1-96 para la autenticación, DES-CBC para el cifrado, una clave de autenticación ASCII de 20 bits para la clave de autenticación SHA-1 y una clave de cifrado ASCII de 8 bits para la clave de autenticación DES-CBC. (Para obtener más información acerca de las longitudes de clave, consulte Longitudes de clave de autenticación y cifrado).

Enrutador 3

En el enrutador 4, proporcione conectividad OSPF básica al enrutador 3.

Enrutador 4

Verificación de su trabajo

Para comprobar el correcto funcionamiento de una SA IPSec manual en la PIC AS, utilice los siguientes comandos:

Señal
show services ipsec-vpn ipsec security-associations (detalle)
show services ipsec-vpn ipsec statistics

En las secciones siguientes se muestra el resultado de estos comandos utilizados con el ejemplo de configuración:

Enrutador 1
Enrutador 2
Enrutador 3

Enrutador 1

En el enrutador 1, emita un ping comando a la interfaz lo0 del enrutador 4 para enviar tráfico a través del túnel IPsec.

Enrutador 2

Para comprobar que la asociación de seguridad IPSec está activa, ejecute el comando show services ipsec-vpn ipsec security-associations . Observe que la SA contiene la configuración especificada, como ESP para el protocolo y HMAC-SHA1-96 para el algoritmo de autenticación.

Para comprobar que el tráfico viaja a través del túnel IPsec bidireccional, emita el show services ipsec-vpn statistics comando:

Enrutador 3

Para comprobar que la asociación de seguridad IPsec está activa, ejecute el show services ipsec-vpn ipsec security-associations detail comando. Para que se realice correctamente, la SA del enrutador 3 debe contener la misma configuración que especificó en el enrutador 2.

Para comprobar que el tráfico viaja a través del túnel IPsec bidireccional, emita el show services ipsec-vpn statistics comando: