تكوين مفاتيح التشفير المشتركة مسبقا في موجه

المقدمة

يوضح هذا المستند كيفية إعداد تشفير لكل من المفاتيح المشتركة مسبقا الحالية والجديدة في موجه.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

أسست المعلومة في هذا وثيقة على هذا برمجية صيغة:

• برنامج Cisco IOS XE® الإصدار 16.9

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

معلومات أساسية

يقدم برنامج Cisco IOS الإصدار 12.3(2)T code الوظيفة التي تسمح للموجه بتشفير اقتران أمان الإنترنت ومفتاح بروتوكول إدارة المفاتيح (ISAKMP) المشترك مسبقا في تنسيق النوع 6 الآمن في ذاكرة الوصول العشوائي غير المتطايرة، ذاكرة الوصول العشوائي غير المتطايرة (NVRAM). يمكن تكوين المفتاح المشترك مسبقا المراد تشفيره إما كمعيار، أو تحت حلقة مفاتيح ISAKMP، في الوضع المتميز، أو ككلمة مرور مجموعة تحت خادم (EzVPN) سهل أو إعداد عميل. 

التكوين

يقدم لك هذا القسم المعلومات التي يمكنك إستخدامها لتكوين الميزات التي يصفها هذا المستند.

ملاحظة: أستخدم أداة بحث الأوامر للحصول على مزيد من المعلومات حول الأوامر المستخدمة في هذا القسم.

ملاحظة: يمكن فقط لمستخدمي Cisco المسجلين الوصول إلى أداة Cisco ومعلومات داخلية.

تم إدخال هذين الأمرين لتمكين تشفير المفاتيح المشترك مسبقا:

• مفتاح config-key password-encryption [المفتاح الأساسي]

• AES لتشفير كلمة المرور

[المفتاح الأساسي] هو كلمة المرور/المفتاح المستخدم لتشفير جميع المفاتيح الأخرى في تكوين الموجه باستخدام تشفير متماثل لمعيار التشفير المتقدم (AES). لا يتم تخزين المفتاح الأساسي في تكوين الموجه ولا يمكن رؤيته أو الحصول عليه بأي طريقة أثناء إتصاله بالموجه.

وبمجرد تكوينها، يتم إستخدام المفتاح الأساسي لتشفير أي مفاتيح حالية أو جديدة في تكوين الموجه. إذا لم يتم تحديد [المفتاح الرئيسي] في سطر الأوامر، فإن الموجه يطلب من المستخدم إدخال المفتاح وإعادة إدخاله للتحقق. في حالة وجود مفتاح بالفعل، تتم مطالبة المستخدم بإدخال المفتاح القديم أولا. لا يتم تشفير المفاتيح حتى تقوم بإصدار الأمر تشفير كلمة المرور.

يمكن تغيير المفتاح الأساسي (على الرغم من أنه ليس ضروريا ما لم يتم أختراق المفتاح بطريقة ما) باستخدام المفتاح config-key... الأمر مرة أخرى مع [المفتاح الأساسي] الجديد.  تتم إعادة تشفير أي مفاتيح مشفرة حالية في تكوين الموجه باستخدام المفتاح الجديد.

يمكنك حذف المفتاح الأساسي عند إصدار الأمر no key config-key....  ومع ذلك، يؤدي هذا إلى جعل جميع المفاتيح التي تم تكوينها حاليا في تكوين الموجه غير مفيدة (تعرض رسالة تحذير يوضح هذا الأمر ويؤكد حذف المفتاح الأساسي). نظرا لأن المفتاح الأساسي لم يعد موجودا، لا يمكن فك تشفير كلمات المرور من النوع 6 واستخدامها بواسطة الموجه.

ملاحظة: لأسباب أمنية، لا تقوم إزالة المفتاح الأساسي أو إزالة aes أمر تشفير كلمة المرور بفك تشفير كلمات المرور في تكوين الموجه. وبمجرد تشفير كلمات المرور، لا يتم فك تشفيرها. لا يزال من الممكن فك تشفير المفاتيح المشفرة الحالية في التكوين شريطة عدم إزالة المفتاح الأساسي.

Router#show running-config 
Building configuration...
.
.crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco123 address 10.1.1.1
.
.
endRouter#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#key config-key password-encrypt testkey123
Router(config)#password encryption aes
Router(config)#^Z
Router#
Router#show running-config 
Building configuration...
.
.
password encryption aes
.
.
crypto isakmp policy 10
 authentication pre-share
crypto isakmp key 6 FLgBaJHXdYY_AcHZZMgQ_RhTDJXHUBAAB address 10.1.1.1
.
.
end

Router(config)#key config-key password-encrypt 
New key: <enter key>
Confirm key: <confirm key>
Router(config)#

Router(config)#key config-key password-encrypt
 Old key: <enter current key>
New key: <enter new key>
Confirm key: <confirm new key>
Router(config)#
*Jan  7 01:42:12.299: TYPE6_PASS: Master key change heralded, 
re-encrypting the keys with the new primary key

Router(config)#no key config-key password-encrypt 
WARNING: All type 6 encrypted keys will become unusable
Continue with primary key deletion ? [yes/no]: yes
Router(config)#