Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de una política de IPsec

Configuración de la política de IPsec para una PIC ES

Una política de IPsec define una combinación de parámetros de seguridad (propuestas de IPsec) que se utilizan durante la negociación de IPsec. Define la confidencialidad directa perfecta (PFS) y las propuestas necesarias para la conexión. Durante la negociación de IPsec, IPsec busca una propuesta de IPsec que sea la misma en ambos pares. El par que inicia la negociación envía todas sus políticas al par remoto y el par remoto intenta encontrar una coincidencia.

Se hace una coincidencia cuando ambas políticas de los dos pares tienen una propuesta que contiene los mismos atributos configurados. Si las vidas no son idénticas, se utiliza la vida útil más corta entre las dos políticas (del host y del par).

Puede crear varias propuestas de IPsec priorizadas en cada par para asegurarse de que al menos una propuesta coincida con la propuesta de un par remoto.

En primer lugar, configure una o más propuestas de IPsec; luego, asocia estas propuestas con una política IPsec. Puede priorizar las propuestas de la lista enumerarlas en el orden en que la política IPsec las usa (del primero al último).

Para configurar una política IPsec, incluya la policy instrucción en el [edit security ipsec] nivel de jerarquía, especificando el nombre de la política y una o más propuestas que desea asociar con esta política:

Configurar la confidencialidad directa perfecta

PFS proporciona seguridad adicional mediante un valor secreto compartido de intercambio de claves Diffie-Hellman . Con PFS, si una clave está en peligro, las claves anteriores y posteriores son seguras, ya que no se derivan de claves anteriores. Esta instrucción es opcional.

Para configurar PFS, incluya la perfect-forward-secrecy instrucción y especifique un grupo Diffie-Hellman en el [edit security ipsec policy ipsec-policy-name] nivel de jerarquía:

La clave puede ser una de las siguientes:

  • group1— Especifica que IKE utilice el grupo de 768 bits Diffie-Hellman prime modulus cuando realice el nuevo intercambio Diffie-Hellman.

  • group2: especifica que IKE use el grupo de 1024 bits Diffie-Hellman prime modulus cuando realice el nuevo intercambio Diffie-Hellman.

group2 ofrece más seguridad que group1, pero requiere más tiempo de procesamiento.

Ejemplo: Configurar una política de IPsec

En el siguiente ejemplo, se muestra cómo configurar una política IPsec:

Nota:

Las actualizaciones de la propuesta de IPsec y la configuración de política actuales no se aplican a la SA de IPsec actual; las actualizaciones se aplican a las nuevas SA de IPsec.

Si desea que las nuevas actualizaciones tengan efecto inmediato, debe borrar las asociaciones de seguridad IPsec existentes para que se restablezcan con la configuración cambiada. Para obtener más información acerca de cómo borrar la asociación de seguridad IPsec actual, consulte el Explorador de CLI.