Tabla de contenido
Publicidad
27.9. EXIT
Use este comando para volver al prompt anterior.
IPSec Quick config> EXIT
Quick config>
27.10. EJEMPLO DE GENERACIÓN DE LA CONFIGURACIÓN
REAL DE IPSEC A PARTIR DE LA CONFIGURACIÓN RÁPIDA
Al efectuar la operación MAKE para que a partir de la configuración introducida a través del menú
rápido se genere la configuración real del equipo, en el caso de IPSec estos son los pasos a seguir:
•
Debe borrarse la configuración existente en los registros de SRAM correspondientes a IPSec.
•
Con la información que contenga la variable global para habilitar/deshabilitar IPSec se
procede a inicializar la variable utilizada con este fin en la configuración real de IPSec.
•
QOS Preclassify deshabilitado por defecto.
•
Por cada una de las entradas existentes en la tabla de definición de túneles se crean dos
templates o túneles IPSec: uno de tipo isakmp (para la fase I) y otro dinámico (para la fase II).
En los dos casos se utilizará cifrado 3DES y autenticación MD5, anti-replay habilitado, grupo
Oakey 1, PFS deshabilitado, modo agresivo con identificación por Fully-Qualified Domain
Name (ID_FQDN) si el extremo local actúa como cliente, utilizando su hostname como
identificador, y si es servidor se identificará a través de su dirección IP. El tiempo de vida de
la fase I será el configurado en la correspondiente entrada de la tabla, y el de la fase II, el
resultante tras multiplicar ese valor por el factor 3300/3600. Como dirección origen de los
templates se coge la correspondiente a la conexión IP indicada en la entrada de la tabla de
definición de túneles a partir de la cual se crean los dos templates IPSec, y también se sacan de
ahí la dirección principal y las de backup del extremo remoto del túnel. Para los templates
dinámicos, si se trata de un Teldat C3, y alguna de las direcciones configuradas en los perfiles
TRMTP o TCP corresponde a una subred definida por alguno de los controles de acceso
asociados a ese template, se debe habilitar el KeepAlive. Los valores para el KeepAlive (a
nivel global) se determinan de la siguiente forma: se van revisando todas las direcciones
configuradas en los perfiles TCP (en primer lugar), y se escoge el mayor valor del parámetro
que indica el timeout configurado para aquellas direcciones pertenecientes a alguna subred
definida por alguno de los controles de acceso como número máximo de segundos sin
respuesta, y como número máximo de paquetes sin respuesta se coge el valor 10.
Solamente en el caso de que no se haya encontrado ninguna dirección de esas subredes en los
perfiles TCP, se pasa a buscar entre las direcciones configuradas en perfiles TRMTP aquellas
que pertenezcan a las subredes destino de los controles de acceso, escogiendo como valor del
número máximo de segundos sin respuesta el mayor de los productos T1*N2, y como número
máximo de paquetes sin respuesta, 2. Si no se encuentra ninguna dirección de las subredes
destino de los controles de acceso ni en los perfiles TCP ni en los TRMTP se cogen los valores
por defecto:
o Número máximo de paquetes sin respuesta 2.
o Número máximo de segundos sin respuesta 20.
o Si el equipo no es un Teldat C3, KeepAlive (a nivel global) deshabilitado.
•
Por cada uno de los selectores de tráfico configurados se creará un control de acceso IPSec por
cada conexión IP, con dirección origen la subred definida por dicha conexión IP, y la
– Menú rápido
TELDAT C
Configuración línea de comandos
61
II -
Doc.DM211
Rev.6.0
Publicidad
Tabla de contenido
