Hướng Dẫn Cấu Hình RFC 430x IPsec Support Trên Router Cisco

RFC 430x IPsec SUPPORT TRÊN ROUTER CISCO LÀ GÌ?

Hỗ trợ RFC 430x IPsec trên thiết bị Router Cisco bao gồm: Hỗ trợ RFC 430x IPsec giai đoạn 1 và Hỗ trợ RFC 430x IPsec giai đoạn 2 thực hiện hành vi Internet Key Exchange (IKE) và IPsec như được chỉ định trong RFC 4301.

RFC 430x IPsec Support Trên Router Cisco Giai Đoạn 1

Tính năng Hỗ trợ RFC 430x IPsec giai đoạn 1 triển khai hành vi IKE và IPsec như được chỉ định trong RFC 4301. RFC 4301 chỉ định kiến ​​trúc cơ sở cho các hệ thống tuân thủ IPsec. RFC 4301 mô tả cách cung cấp một tập hợp các dịch vụ bảo mật cho lưu lượng ở lớp IP, trong cả môi trường IPv4 và IPv6. Tính năng Hỗ trợ RFC 430x IPsec Giai đoạn 1 cung cấp hỗ trợ cho các triển khai RFC 4301 sau đây trên phần mềm Cisco IOS.

  • Thời gian tồn tại của Security Association (SA): Thời gian tồn tại của liên kết bảo mật giữa IPsec và Internet Key Exchange (IKE) hoặc Internet Key Exchange Phiên bản 2 (IKEv2) không được vượt quá thời gian tồn tại của chứng chỉ xác thực.
  • Bộ chọn OPAQUE: OPAQUE cho biết rằng trường bộ chọn tương ứng không khả dụng để xác minh. Khi IKEv2 gặp bộ chọn OPAQUE, IKEv2 sẽ bỏ qua, không xử lý bộ chọn OPAQUE và chuyển sang bộ chọn tiếp theo để xác minh chính sách.
  • Hỗ trợ Explicit Congestion Notification (ECN): ECN được lan truyền khi giải mã gói IPsec, do đó đảm bảo nguồn và đích của gói biết được tắc nghẽn xảy ra trong mạng.
  • Xử lý Fragment: Peer không được gửi các Fragment ban đầu và không phải ban đầu trong cùng một tunnel. Phải có một SA chế độ tunnel riêng biệt để mang các đoạn ban đầu và không phải ban đầu và SA chế độ tunnel riêng biệt cho các đoạn không phải ban đầu. IPsec ngang hàng phải hỗ trợ loại bỏ các gói và kiểm tra phân đoạn trạng thái để phù hợp với lưu lượng bỏ qua.
  • Xử lý Do not fragment-(DF) bit: Quá trình DF-bit phải được đặt trên cơ sở mỗi SA
  • Hỗ trợ tạo gói giả: Có thể gửi các gói giả qua IPsec SA để đóng gói các gói khi lưu lượng truy cập qua đường hầm IPsec SA.

RFC 430x IPsec Support Trên Router Cisco Giai Đoạn 2

Tính năng Hỗ trợ RFC 430x IPsec giai đoạn 2 cung cấp hỗ trợ cho việc triển khai mã hóa và giải mã RFC 4301 của các gói Internet Control Message Protocol (ICMP) trên phần mềm Cisco IOS.

Thông báo lỗi ICMP được gửi khi xảy ra lỗi ICMP. Ví dụ: Khi không thể truy cập máy chủ, thiết bị trung gian sẽ gửi một thông báo tới người khởi tạo yêu cầu ICMP rằng máy chủ không thể truy cập được. Khi thông báo lỗi ICMP đạt đến chính sách mã hóa IPsec, nó có thể không được phân loại để khớp với SA hiện có. Vì vậy, các gói được phân loại dựa trên dữ liệu bên trong thông báo lỗi ICMP. Dữ liệu này chứa địa chỉ nguồn và đích của thông báo ICMP gốc. Nếu một SA được tìm thấy dựa trên địa chỉ trong thông báo lỗi ICMP, SA đó sẽ được sử dụng. Nếu không có SA, SA sẽ được tạo nếu chính sách cho phép. Để giải mã, quá trình kiểm tra sau giải mã được thực hiện trên dữ liệu bên trong thông báo lỗi ICMP nếu không tìm thấy SA hợp lệ.

Việc mã hóa và giải mã các thông báo lỗi ICMP có thể được xác minh thông qua bộ đếm mã hóa và giải mã được hiển thị trong đầu ra của lệnh show crypto ipsec sa.

Sử dụng các lệnh gỡ lỗi có điều kiện debug platform condition feature ipsec dataplane submode feature level infodebug platform condition both, và debug platform condition start để xem phân loại thông báo lỗi ICMP.


CÁC BƯỚC CẤU HÌNH RFC 430x IPsec SUPPORT TRÊN ROUTER CISCO

Hướng Dẫn Cấu Hình RFC 430x IPsec Support Trên Router Cisco
Hướng Dẫn Cấu Hình RFC 430x IPsec Support Trên Router Cisco

Cấu Hình Hỗ Trợ RFC 430x IPsec Trên Toàn Hệ Thống

  Lệnh hoặc Hành động Mục đích
Bước 1 enable

Ví dụ:

Device> enable

 

Bật chế độ đặc quyền EXEC

  • Nhập mật khẩu của bạn nếu được nhắc

 

Bước 2 configure terminal

Ví dụ:

Device# configure terminal

 

Vào chế độ cấu hình chung

 

Bước 3 crypto ipsec security-association dummy {pps rate | seconds seconds}

Ví dụ:

Device(config)# crypto ipsec security-association dummy seconds 5

 

Cho phép tạo và truyền các gói lưu lượng giả trong luồng lưu lượng IPsec
Bước 4 crypto ipsec security-association ecn {discard | propogate}

Ví dụ:

Device(config)# crypto ipsec security-association ecn discard

 

Bật cài đặt Explicit Congestion Notification (ECN) trong luồng lưu lượng IPsec.  
Bước 5 exit

Ví dụ:

Device(config-crypto-map)# exit

 

Thoát khỏi chế độ cấu hình chung và quay lại chế độ EXEC đặc quyền

Cấu Hình Hỗ Trợ RFC 430x IPsec Trên Mỗi Crypto Map

  Lệnh hoặc Hành động Mục đích
Bước 1 enable

Ví dụ:

Device> enable

 

Bật chế độ EXEC đặc quyền

  • Nhập mật khẩu của bạn nếu được nhắc

 

Bước 2 configure terminal

Ví dụ:

Device# configure terminal

 

Vào chế độ cấu hình chung

 

Bước 3 crypto map map-name seq-num ipsec-isakmp

Ví dụ:

Device(config)# crypto map cmap 1 ipsec-isakmp

 

Chỉ định mục nhập sẽ được tạo hoặc sửa đổi và vào chế độ cấu hình crypto map.

 

Bước 4 set ipsec security-association dfbit {clear | copy | set}

Ví dụ:

Device(config-crypto-map)# set ipsec security-association dfbit set

 

Cho phép xử lý do not fragment (DF)-bit trên mỗi security association (SA) cho luồng lưu lượng IPsec trong crypto map.
Bước 5 set ipsec security-association dummy {pps rate | seconds seconds}

Ví dụ:

Device(config-crypto-map)# set ipsec security-association dummy seconds 5

 

Cho phép tạo và truyền các gói giả cho luồng lưu lượng IPsec trong crypto map.  
Bước 6 set ipsec security-association ecn {discard | propogate}

Ví dụ:

Device(config-crypto-map)# set ipsec security-association ecn propogate

 

Bật cài đặt Explicit Congestion Notification (ECN) trên mỗi SA cho luồng lưu lượng IPsec trong crypto map.  
Bước 7 end

Ví dụ:

Device(config-crypto-map)# end

 

Thoát khỏi chế độ cấu hình crypto map và quay lại chế độ đặc quyền EXEC.

 

Bước 8 show crypto map ipsec sa

Ví dụ:

Device# show crypto map ipsec sa

 

Hiển thị các cài đặt được sử dụng bởi IPsec SAs.

 

Sau đây là kết quả mẫu từ lệnh show crypto map ipsec sa:

Device# show crypto map ipsec sa

interface: Tunnel0
 Crypto map tag: Tunnel0-head-0, local addr 3FFE:2002::32F7:DFF:FE54:7FD1
protected vrf: (none)
local ident (addr/mask/prot/port): (3FFE:2002::32F7:DFF:FE54:7FD1/128/47/0)
remote ident (addr/mask/prot/port): (3FFE:2002::C671:FEFF:FE88:EB82/128/47/0)
current_peer 3FFE:2002::C671:FEFF:FE88:EB82 port 500
 PERMIT, flags={origin_is_acl,}
#pkts encaps: 36, #pkts encrypt: 36, #pkts digest: 36
#pkts decaps: 28, #pkts decrypt: 28, #pkts verify: 28
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
#send dummy packets 852600, #recv dummy packets 424905

local crypto endpt.: 3FFE:2002::32F7:DFF:FE54:7FD1,
remote crypto endpt.: 3FFE:2002::C671:FEFF:FE88:EB82
plaintext mtu 1430, path mtu 1500, ipv6 mtu 1500, ipv6 mtu idb GigabitEthernet0/0/1
current outbound spi: 0xE963D1EC(3915633132)
PFS (Y/N): N, DH group: none
Dummy packet: Initializing

inbound esp sas:
spi: 0xF4E01B9A(4108327834)
 transform: esp-3des esp-md5-hmac,
 in use settings ={Tunnel, }
 conn id: 2053, flow_id: ESG:53, sibling_flags FFFFFFFF80000049, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4608000/2343)
 IV size: 8 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

inbound ah sas:

inbound pcp sas:

outbound esp sas:
spi: 0xE963D1EC(3915633132)
 transform: esp-3des esp-md5-hmac,
 in use settings ={Tunnel, }
 conn id: 2054, flow_id: ESG:54, sibling_flags FFFFFFFF80000049, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4608000/2343)
 IV size: 8 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

outbound ah sas:

outbound pcp sas:

ĐỊA CHỈ PHÂN PHỐI ROUTER CISCO CHÍNH HÃNG GIÁ TỐT NHẤT

ANBINHNET ™ là nhà phân phối Cisco chính hãng, uy tín hàng đầu tại Việt Nam. Đến với chúng tôi, quý khách hàng sẽ nhận được những thông tin chính xác về nguồn gốc xuất xứ, giấy tờ, chứng chỉ, với mức giá Discount theo quy định của Cisco, đặc biệt hơn là hàng luôn sẵn kho số lượng lớn để đáp ứng nhu cầu của khách hàng.

ANBINHNET ™ có văn phòng giao dịch tại 2 thành phố lớn nhất là Hà Nội và Hồ Chí Minh (Sài Gòn), giúp mang lại sự thuận tiện cho khách hàng có nhu cầu mua thiết bị Router Cisco Chính Hãng có thể đến trực tiếp văn phòng của chúng tôi, cũng như rút ngắn thời gian giao hàng các sản phẩm Cisco Router Giá Tốt đến với khách hàng.

Để Nhận Thông Tin Hỗ Trợ Báo Giá Dự Án, Đặt Hàng, Giao Hàng, Bảo Hành, Khuyến Mại, Hỗ Trợ Kỹ Thuật của các sản phẩm Router CiscoHãy Chát Ngay với chúng tôi ở khung bên dưới hoặc gọi điện tới số hotline hỗ trợ 24/7 của ANBINHNET ™. Hoặc quý khách có thể liên hệ tới văn phòng của chúng tôi tại theo thông tin sau:

Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Hà Nội

Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Sài Gòn

Bài viết liên quan

Nhập Email để nhận ngay báo giá sản phẩm

    • Kết Nối Với Chúng Tôi