Respuesta a: Mantener permanentemente túnel IPsec levantado

NUESTROS CURSOS Foros CCNP 350-401 ENCOR Mantener permanentemente túnel IPsec levantado Respuesta a: Mantener permanentemente túnel IPsec levantado

#38428
AlvaroM
Superadministrador

Hola Geovanny.

Hay varios timers a considerar, en primer lugar, las llaves de IPSEC deben reiniciarse cada cierto tiempo para evitar problemas de seguridad, si nunca expiran y alguien logra descifrar las llaves que encriptan tu información, entonces todos tus datos estarían expuestos, es por ello que las llaves se van generando ya sea cada cierto tiempo, o de acuerdo al tráfico que se genere por el túnel, esto puede ser configurado. Por otro lado, está el tema de inactividad, si no existe tráfico interesante durante cierto tiempo, el túnel se va abajo, esto es por temas de escalabilidad, crear túneles IPSEC no es algo que NO consuma recursos, de hecho los dispositivos tienen limitantes de acuerdo a la cantidad de túneles que se pueden crear, es por ello que cuando un túnel no tiene tráfico, lo recomendable es que ese túnel no funcione; hay un comando «crypto ipsec security-association idle-time», donde le das la cantidad de segundos que se puede mantener el túnel sin tráfico sin que sea dado de baja, puedes configurar hasta 86400 segundos, lo he probado en GNS3 en el 7200, y va bien… puedes probarlo con timers de inactividad bajos para comprobar su funcionamiento, de todas formas en ambos casos el máximo valor posible de configuración son los 86400 segundos para que se forme nuevamente un túnel. Si esos timers no te son suficientes, hasta hace algunos años, no había, o por lo menos no conozco ningún comando que te permita mantener el túnel arriba en el IOS, solo quedaría utilizar un generador de ICMP que genere tráfico interesante por el túnel cada cierto tiempo (IP SLA). En los ASA si existe un comando para mantenerlos siempre activos con vpn-session-timeout none.

Saludos! =)

  • Esta respuesta fue modificada hace 9 meses, 3 semanas por AlvaroM.
  • Esta respuesta fue modificada hace 9 meses, 3 semanas por AlvaroM.
  • Esta respuesta fue modificada hace 9 meses, 3 semanas por AlvaroM.