Segurança : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA 7.x e mais tarde: VPN/IPsec com exemplo da configuração de OSPF

29 Julho 2013 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (1 Julho 2009) | Inglês (14 Outubro 2008) | Feedback


Índice


Introdução

Este documento fornece uma configuração de exemplo para uma VPN/IPsec com Open Shortest Path First (OSPF) no Cisco PIX Security Appliance Software Version 7.x ou no Cisco Adaptive Security Appliance (ASA). O PIX/ASA 7.x permite que o unicast de OSPF execute em uma conexão de VPN existente. Não há mais a necessidade de configurar um túnel de Generic Routing Encapsulation (GRE).

Pré-requisitos

Requisitos

Assegure-se de que você possa estabelecer a conexão de VPN antes que você tente esta configuração.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco2500 que executa o Software Release 12.1 e Mais Recente de Cisco IOS®

  • Cisco2500 que executa o Cisco IOS Software Release 12.0 e Mais Recente

  • Versão de software running 7.x da ferramenta de segurança ASA 5500 e mais tarde

    Nota: PIX 500 o Series Version 7.x/8.x executa o mesmo software considerado na versão 7.x/8.x ASA 5500. As configurações neste documento são aplicáveis a ambas as linhas de produto.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

/image/gif/paws/63882/gre-ipsec-ospf-1.gif

Configurações

Este documento utiliza as seguintes configurações:

Roteador deixado
version 12.1
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Left
!
!
!
!
!
!
ip subnet-zero
ip tcp synwait-time 5
no ip domain-lookup
!
!
!
!
interface Loopback11
 ip address 11.11.11.11 255.255.255.0
!
interface Ethernet0
 ip address 10.10.10.2 255.255.255.0
 no keepalive
!
interface Serial0
 no ip address
 no keepalive
 no fair-queue
 ignore-dcd
!
interface Serial1
 no ip address
 shutdown
 ignore-dcd
!
interface BRI0
 no ip address
 shutdown
!
router ospf 11
 log-adjacency-changes
 network 10.10.10.0 0.0.0.255 area 0
 network 11.11.11.0 0.0.0.255 area 0
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.10.10.1
ip http server
!
logging trap debugging
logging 20.20.20.2
access-list 100 permit ip any any
access-list 101 permit ip any any
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 privilege level 15
 no login
!
end

Companhia do Roteador
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Right
!
aaa new-model
aaa authentication login default group tacacs+ none
aaa authorization exec default group tacacs+ none
!
!
!
!
!
ip subnet-zero
no ip domain-lookup
!
cns event-service server
!
!
!
!
!
interface Loopback22
 ip address 22.22.22.22 255.255.255.0
 no ip directed-broadcast
!
interface Tunnel0
 no ip address
 no ip directed-broadcast
!
interface Ethernet0
 ip address 20.20.20.2 255.255.255.0
 no ip directed-broadcast
!
interface Serial0
 no ip address
 no ip directed-broadcast
 no ip mroute-cache
 shutdown
 no fair-queue
!
interface Serial1
 no ip address
 no ip directed-broadcast
 shutdown
!
interface Async1
 no ip address
 no ip directed-broadcast
 encapsulation ppp
!
router ospf 22
 log-adjacency-changes
 network 20.20.20.0 0.0.0.255 area 0
 network 22.22.22.0 0.0.0.255 area 0
!
ip classless
ip route 0.0.0.0 0.0.0.0 20.20.20.1
ip http server
!
!
!
line con 0
 transport input none
line 1 8
line aux 0
line vty 0 4
!
end

Configurar a versão 7.x da ferramenta de segurança PIX/ASA

Você pode usar o gerenciador de dispositivo da segurança avançada (ASDM) a fim configurar a ferramenta de segurança PIX/ASA pelo comando line interface(cli) ou pelo GUI. A configuração nesta seção é para o ASA “Local”. Você configura o ASA “telecontrole” da mesma forma e ajusta-o somente para as diferenças no endereçamento de IP.

Console no PIX/ASA para configurar a versão 7.x da ferramenta de segurança PIX/ASA. De uma configuração esclarecida, use as alertas interativas a fim permitir o ASDM GUI para o Gerenciamento do PIX/ASA da estação de trabalho 10.10.10.3.

Nota: Se o vizinho de OSPF não vem acima, considere a opção reduzir o tamanho da unidade de transmissão máxima (MTU).

Tira de bota PIX/ASA-ASDM
Pre-configure Firewall now through interactive prompts [yes]? 
Firewall Mode [Routed]: 
Enable password [<use current password>]: cisco
Allow password recovery [yes]? 
Clock (UTC):
  Year [2006]: 
  Month [May]: 
  Day [25]: 
  Time [06:00:44]: 
Inside IP address: 10.10.10.1
Inside network mask: 255.255.255.0
Host name: Local
Domain name: cisco.com
IP address of host running Device Manager: 10.10.10.3

The following configuration will be used:
Enable password: cisco
Allow password recovery: yes
Clock (UTC): 06:00:44 May 25 2006
Firewall Mode: Routed
Inside IP address: 10.10.10.1
Inside network mask: 255.255.255.0
Host name: Local
Domain name: cisco.com
IP address of host running Device Manager: 10.10.10.3

Use this configuration and write to flash? yes
INFO: Security level for "inside" set to 100 by default.
Cryptochecksum: 34f55366 a32e232d ebc32ac1 3bfa201a 

969 bytes copied in 0.880 secs

Use o ASDM

Termine estas etapas a fim configurar através do ASDM GUI:

  1. Da estação de trabalho 10.10.10.3, abra um navegador e use o ASDM.

    Neste exemplo, você usa https://10.10.10.1.

  2. Clique sim nas alertas do certificado.

  3. Início de uma sessão com a senha da possibilidade.

    Este início de uma sessão aparece na configuração da tira de bota PIX/ASA-ASDM.

  4. Faça uma seleção na alerta para usar a launcher ASDM ou o ASDM como uma Java App.

    Esta alerta aparece somente se esta é a primeira vez que você executou o ASDM no PC. Este exemplo selecionou e instalou a launcher ASDM.

  5. Vá à janela ASDM Home e clique o guia de configuração.

    /image/gif/paws/63882/gre-ipsec-ospf-2.gif

  6. Escolha a relação > editam a fim configurar a interface externa.

    gre-ipsec-ospf-3.gif

  7. Clique em OK.

    gre-ipsec-ospf-4.gif

  8. Incorpore os detalhes da relação e clique a APROVAÇÃO quando completo.

    /image/gif/paws/63882/gre-ipsec-ospf-5.gif

  9. APROVAÇÃO do clique na caixa de diálogo da mudança do nível de segurança.

    /image/gif/paws/63882/gre-ipsec-ospf-6.gif

  10. O clique aplica-se a fim aceitar a configuração da interface.

    gre-ipsec-ospf-7.gif

    A configuração igualmente obtem empurrada no PIX.

    Nota: Este exemplo usa rotas estáticas.

  11. Escolha características > roteamento > rota estática e o clique adiciona.

    gre-ipsec-ospf-8.gif

  12. Configurar o gateway padrão e clique a APROVAÇÃO.

    /image/gif/paws/63882/gre-ipsec-ospf-9.gif

  13. Configurar uma estática baseada host para o peer remoto a fim evitar o roteamento recursivo possível quando o OSPF vem acima e clica então a APROVAÇÃO.

    gre-ipsec-ospf-10.gif

  14. O clique aplica-se a fim aceitar a configuração de roteamento.

    gre-ipsec-ospf-11.gif

    A configuração igualmente obtem empurrada no PIX.

  15. Escolha assistentes > wizard VPN a fim usar o wizard VPN e criar a conexão de LAN para LAN.

    gre-ipsec-ospf-12.gif

  16. No indicador do wizard VPN, clique em seguida onde a site para site é a seleção da opção.

    gre-ipsec-ospf-13.gif

  17. Adicionar a informação do endereço IP do peer, de nome de grupo de túneis (que é o endereço IP de Um ou Mais Servidores Cisco ICM NT), e de chave pré-compartilhada, e clique-a em seguida.

    /image/gif/paws/63882/gre-ipsec-ospf-14.gif

  18. Adicionar o tipo de criptografia, tipo do autenticação, informação do grupo DH, e clique-o em seguida.

    gre-ipsec-ospf-15.gif

  19. Adicionar os parâmetros IPSec, tipo de criptografia, informação do tipo do autenticação, e clique-os em seguida.

    gre-ipsec-ospf-16.gif

  20. Configurar a rede do host interno. O clique adiciona a fim mover o endereço para o campo selecionado dos /Networks do host dentro deste indicador. Clique em seguida quando completo.

    gre-ipsec-ospf-17.gif

  21. Configurar a rede do host exterior. O clique adiciona a fim mover o endereço para o campo selecionado dos /Networks do host dentro deste indicador. Clique em seguida quando completo.

    gre-ipsec-ospf-18.gif

  22. Reveja o sumário quanto à precisão, a seguir clique-o em seguida.

    /image/gif/paws/63882/gre-ipsec-ospf-19.gif

  23. Escolha a configuração > o VPN a fim verificar as configurações de túnel de Rede-para-Rede que o wizard VPN criou.

    /image/gif/paws/63882/gre-ipsec-ospf-20.gif

  24. Crie uma lista de acessos a fim permitir que o tráfego OSPF vá através do VPN.

    Esta lista de acessos VPN é para as rotas de OSPF que são instruídas. Escolha a configuração > o VPN.

    gre-ipsec-ospf-21.gif

  25. Escolha o IPsec > as regras do IPsec e o clique adiciona.

    gre-ipsec-ospf-22.gif

  26. Adicionar os dados do vizinho de OSPF (endereço IP de Um ou Mais Servidores Cisco ICM NT) neste indicador e clique a APROVAÇÃO.

    Nota: Seja certo que você trabalha na interface externa.

    /image/gif/paws/63882/gre-ipsec-ospf-23.gif

  27. Verifique que a informação está correta e clique aplicam-se.

    gre-ipsec-ospf-24.gif

  28. Escolha a configuração > o NAT e clique regras da isenção da tradução a fim verificar as configurações do Network Address Translation (NAT) que o wizard VPN criou.

    /image/gif/paws/63882/gre-ipsec-ospf-25.gif

  29. Porque este exemplo usa o NAT, desmarcar a caixa de verificação para o tráfego Enable com o Firewall sem tradução de endereços, a seguir clique-a adicionam. Esta etapa configura a regra NAT.

    /image/gif/paws/63882/gre-ipsec-ospf-26.gif

  30. Configurar a rede da fonte. O clique consulta a fim definir os endereços do conjunto NAT para o interior. Selecione então a parte externa para o endereço Translate na relação e o clique controla associações.

    gre-ipsec-ospf-27.gif

  31. Selecione a interface externa e o clique adiciona.

    gre-ipsec-ospf-28.gif

  32. Porque a tradução de endereço de porta (PAT) usa o endereço IP de Um ou Mais Servidores Cisco ICM NT da relação neste exemplo, clique a tradução de endereço de porta (PAT) usando o endereço IP de Um ou Mais Servidores Cisco ICM NT da relação.

    gre-ipsec-ospf-29.gif

  33. APROVAÇÃO do clique depois que você configura as associações da PANCADINHA.

    /image/gif/paws/63882/gre-ipsec-ospf-30.gif

  34. No indicador da regra de tradução de endereço adicionar, selecione o conjunto de endereços que a rede da fonte configurada é se usar.

    gre-ipsec-ospf-31.gif

  35. Clique em OK. Este indicador mostra a saída da configuração de NAT.

    gre-ipsec-ospf-32.gif

  36. O clique aplica-se a fim salvar a configuração.

    /image/gif/paws/63882/gre-ipsec-ospf-33.gif

  37. Escolha a configuração > o roteamento > o OSPF > Setup, vá aos exemplos aba do processo e a verificação permite este processo de OSPF a fim estabelecer o OSPF no PIX.

    /image/gif/paws/63882/gre-ipsec-ospf-34.gif

  38. Escolha /Networks da área e o clique adiciona.

    gre-ipsec-ospf-35.gif

  39. Inscreva o endereço IP de Um ou Mais Servidores Cisco ICM NT e a Máscara de rede de uma rede no campo do processo de OSPF e clique a APROVAÇÃO (o MD5 foi escolhido a mostrar como um elemento opcional, mas não é exigido).

    gre-ipsec-ospf-36.gif

  40. Verifique que a informação está correta e clique editam.

    gre-ipsec-ospf-37.gif

  41. Inscreva o endereço IP de Um ou Mais Servidores Cisco ICM NT e a Máscara de rede do segundo peer remoto da rede e da parte externa no campo do processo de OSPF e clique a APROVAÇÃO.

    /image/gif/paws/63882/gre-ipsec-ospf-38.gif

  42. Verifique que a informação está correta e clique aplicam-se.

    gre-ipsec-ospf-39.gif

  43. Escolha OSPF > relação > propriedades > fora e o clique edita.

    gre-ipsec-ospf-40.gif

  44. Desmarcar a transmissão na interface externa.

    Nota: Este deve ser unicast.

    /image/gif/paws/63882/gre-ipsec-ospf-41.gif

  45. Verifique a coluna da transmissão para ver se há a interface externa a fim verificar que a seleção é nenhuma e o clique se aplica.

    /image/gif/paws/63882/gre-ipsec-ospf-42.gif

  46. Escolha OSPF > vizinho estático e o clique adiciona.

    gre-ipsec-ospf-43.gif

  47. Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT ao campo vizinho e selecione a parte externa para a relação. Clique em OK.

    /image/gif/paws/63882/gre-ipsec-ospf-44.gif

  48. Verifique que a informação está correta e clique aplicam-se. Esta ação termina a configuração.

    /image/gif/paws/63882/gre-ipsec-ospf-45.gif

Escolha o arquivo > configuração running da mostra na nova janela a fim ver a configuração de CLI.

/image/gif/paws/63882/gre-ipsec-ospf-46.gif

Local ASA
ASA Version 7.X
no names
!
interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 30.30.30.1 255.255.255.0

!--- This line allows the unicast of OSPF over the IPsec tunnel.

 ospf network point-to-point non-broadcast

!--- This line is optional and not required for OSPF to work.
!--- Enable this option only if you want to enable MD5 digest for OSPF.

 ospf message-digest-key 10 md5 cisco
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 10.10.10.1 255.255.255.0
!
interface GigabitEthernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
enable password cisco encrypted
passwd cisco encrypted
hostname Local
ftp mode passive


!--- These access control list (ACL) entries define 
!--- interesting traffic for IPsec encryption and allow
!--- the traffic to bypass NAT. Note that OSPF is permitted and only 
!--- in the crypto ACL. 


same-security-traffic permit intra-interface
access-list nonat extended permit ip 10.10.10.0 255.255.255.0 20.20.20.0 255.255.255.0
access-list outside_cryptomap_10 extended permit ip 10.10.10.0 255.255.255.0 20.20.20.0 255.255.255.0
access-list outside_cryptomap_10 extended permit ospf interface outside host 40.40.40.2
pager lines 24
mtu outside 1500
mtu inside 1500
no failover
icmp permit any echo outside
icmp permit any echo-reply outside
icmp permit any echo inside
icmp permit any echo-reply inside
asdm image disk0:/asdm-502.bin
no asdm history enable
arp timeout 14400
global (outside) 10 interface



!--- Do not translate traffic with NAT.


nat (inside) 0 access-list nonat
nat (inside) 10 10.10.10.0 255.255.255.0
!


!--- This is OSPF. 
!--- Note: You must define the outside network of the remote peer.


router ospf 100
 network 10.10.10.0 255.255.255.0 area 0
 network 30.30.30.0 255.255.255.0 area 0
 network 40.40.40.0 255.255.255.0 area 0


!--- This is where OSPF is told where the 
!--- PEER is located.



 neighbor 40.40.40.2 interface outside
 log-adj-changes
!


!--- This is a host based static. This is not always 
!--- necessary, but recommended to prevent recursive routing loops when 
!--- OSPF comes up over the IPsec tunnel. 





route outside 40.40.40.2 255.255.255.255 30.30.30.2 1
route outside 0.0.0.0 0.0.0.0 30.30.30.2 1

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00
h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.4.50 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp         


!--- This is the IPsec and IKE/ISAKMP configuration. 
!--- Make sure basic IPsec connectivity is present
!--- before you add in OSPF. 


crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto map outside_map 10 match address outside_cryptomap_10
crypto map outside_map 10 set peer 40.40.40.2
crypto map outside_map 10 set transform-set myset
crypto map outside_map 10 set security-association lifetime seconds 86400
crypto map outside_map interface outside
isakmp identity address
isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400

telnet timeout 5
ssh timeout 5
console timeout 0



tunnel-group 40.40.40.2 type ipsec-l2l
tunnel-group 40.40.40.2 ipsec-attributes
 pre-shared-key cisco

class-map inspection_default
match default-inspection-traffic

policy-map asa_global_fw_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy asa_global_fw_policy global
Cryptochecksum:3d5f16a67ec0fa20aa3882acaa348e28
: end

Telecontrole ASA
ASA Version 7.X
no names
!
interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 40.40.40.2 255.255.255.0

!--- This line allows the unicast of OSPF over to
!--- the IPsec tunnel.

 ospf network point-to-point non-broadcast

!--- This line is optional and not required for OSPF to work.
!--- Enable this option only if you want to enable MD5 digest for OSPF.

 ospf message-digest-key 10 md5 cisco


!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 20.20.20.1 255.255.255.0
!
interface GigabitEthernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
enable password cisco encrypted
passwd cisco encrypted
hostname Remote
ftp mode passive


!--- These ACL entries define interesting traffic for IPsec encryption and allow
!--- the traffic to bypass NAT. Note that OSPF is permitted and only in the crypto ACL.


same-security-traffic permit intra-interface
access-list nonat extended permit ip 20.20.20.0 255.255.255.0 10.10.10.0 255.255.255.0
access-list crypto extended permit ip 20.20.20.0 255.255.255.0 10.10.10.0 255.255.255.0
access-list crypto extended permit ospf interface outside host 30.30.30.1


pager lines 24
mtu outside 1500
mtu inside 1500
no failover
icmp permit any echo outside
icmp permit any echo-reply outside
icmp permit any echo inside
icmp permit any echo-reply inside
asdm image disk0:/asdm-502.bin
no asdm history enable
arp timeout 14400
global (outside) 20 interface



!--- Do not translate traffic with NAT.

nat (inside) 0 access-list nonat
nat (inside) 20 20.20.20.0 255.255.255.0
!


!--- This is OSPF. 
!--- Note: You must define the remote peer's outside network.


router ospf 100
 network 20.20.20.0 255.255.255.0 area 0
 network 30.30.30.0 255.255.255.0 area 0
 network 40.40.40.0 255.255.255.0 area 0


!--- This is where the OSPF is told where the PEER is located.



 neighbor 30.30.30.1 interface outside
 log-adj-changes
!


!--- This is a host based static. This is not always necessary, but recommended to
prevent recursive routing loops when OSPF comes up over the IPsec tunnel.


route outside 0.0.0.0 0.0.0.0 40.40.40.1 1
route outside 30.30.30.1 255.255.255.255 40.40.40.1 1

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00
h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.4.50 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp         


!--- This is the IPsec configuration. Make sure basic IPsec connectivity is present
before you add in OSPF. 


crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto map vpn 10 match address crypto
crypto map vpn 10 set peer 30.30.30.1
crypto map vpn 10 set transform-set myset
crypto map vpn interface outside

isakmp identity address
isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400

isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400


telnet timeout 5
ssh timeout 5
console timeout 0




tunnel-group 30.30.30.1 type ipsec-l2l
tunnel-group 30.30.30.1 ipsec-attributes
 pre-shared-key cisco

class-map inspection_default
match default-inspection-traffic

policy-map asa_global_fw_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy asa_global_fw_policy global
Cryptochecksum:3d5f16a67ec0fa20aa3882acaa348e28
: end

Permita o Reverse Route Injection (RRI)

A fim injetar a informação das redes VPN remotas do LAN para LAN na rede running OSPF, consulte para verificar que distribuir está correta para a configuração de CLI e a rede de LAN RRI do ² LAN para a configuração ASDM.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • eliminação de erros do logging buffer — Mostra o estabelecimento de conexões e a negação de conexões aos anfitriões que atravessam o PIX. As lojas de buffer de registro PIX a informação. Você pode ver a saída se você usa o comando show log.

Você pode usar o ASDM a fim permitir o registo e ver os registros:

  • mostre isakmp cripto sa — Mostra a associação de segurança do Internet Security Association and Key Management Protocol (ISAKMP) (SA) que é construída entre pares.

    Local#show crypto isakmp sa
    
    Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 40.40.40.2
        Type    : L2L             Role    : initiator
        Rekey   : no              State   : MM_ACTIVE
    
    
    Remote#show crypto isa sa
    
    Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 30.30.30.1
        Type    : L2L             Role    : responder
        Rekey   : no              State   : MM_ACTIVE
  • mostre IPsec cripto sa — Mostra cada fase 2 SA que é construída e a quantidade de tráfego que é enviada.

    Local#show crypto ipsec sa
    interface: outside
        Crypto map tag: vpn, local addr: 30.30.30.1
    
          local ident (addr/mask/prot/port): (30.30.30.1/255.255.255.255/89/0)
          remote ident (addr/mask/prot/port): (40.40.40.2/255.255.255.255/89/0)
          current_peer: 40.40.40.2
    
          #pkts encaps: 355, #pkts encrypt: 355, #pkts digest: 355
          #pkts decaps: 355, #pkts decrypt: 355, #pkts verify: 355
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 355, #pkts comp failed: 0, #pkts decomp failed: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 30.30.30.1, remote crypto endpt.: 40.40.40.2
    
          path mtu 1500, ipsec overhead 60, media mtu 1500
          current outbound spi: 83444440
    
        inbound esp sas:
          spi: 0xAE9AB30C (2929373964)
             transform: esp-3des esp-sha-hmac
             in use settings ={L2L, Tunnel, }
             slot: 0, conn_id: 1, crypto-map: vpn
             sa timing: remaining key lifetime (kB/sec): (3824976/25399)
             IV size: 8 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0x83444440 (2202289216)
             transform: esp-3des esp-sha-hmac
             in use settings ={L2L, Tunnel, }
             slot: 0, conn_id: 1, crypto-map: vpn
             sa timing: remaining key lifetime (kB/sec): (3824975/25396)
             IV size: 8 bytes
             replay detection support: Y
    
    
    Remote#show crypto ipsec sa
    interface: outside
        Crypto map tag: vpn, local addr: 40.40.40.2
    
          local ident (addr/mask/prot/port): (40.40.40.2/255.255.255.255/89/0)
          remote ident (addr/mask/prot/port): (30.30.30.1/255.255.255.255/89/0)
          current_peer: 30.30.30.1
    
          #pkts encaps: 364, #pkts encrypt: 364, #pkts digest: 364
          #pkts decaps: 364, #pkts decrypt: 364, #pkts verify: 364
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 364, #pkts comp failed: 0, #pkts decomp failed: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 40.40.40.2, remote crypto endpt.: 30.30.30.1
    
          path mtu 1500, ipsec overhead 60, media mtu 1500
          current outbound spi: AE9AB30C
    
        inbound esp sas:
          spi: 0x83444440 (2202289216)
             transform: esp-3des esp-sha-hmac
             in use settings ={L2L, Tunnel, }
             slot: 0, conn_id: 1, crypto-map: vpn
             sa timing: remaining key lifetime (kB/sec): (4274975/25301)
             IV size: 8 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0xAE9AB30C (2929373964)
             transform: esp-3des esp-sha-hmac
             in use settings ={L2L, Tunnel, }
             slot: 0, conn_id: 1, crypto-map: vpn
             sa timing: remaining key lifetime (kB/sec): (4274975/25300)
             IV size: 8 bytes
             replay detection support: Y
  • mostre o vizinho OSPF — Os relacionamentos do vizinho de OSPF das mostras formaram.

    Local#show ospf neighbor
    Neighbor ID     Pri   State           Dead Time   Address         Interface
    40.40.40.2        1   FULL/  -        0:00:38     40.40.40.2      outside
    11.11.11.11       1   FULL/DR         0:00:33     10.10.10.2      inside
    
    Remote#show ospf neighbor
    Neighbor ID     Pri   State           Dead Time   Address         Interface
    30.30.30.1        1   FULL/  -        0:00:38     30.30.30.1      outside
    22.22.22.22       1   FULL/DR         0:00:38     20.20.20.2      inside
  • a mostra debuga — Indica o resultado do debug.

    Local(config)#show debug
    debug crypto ipsec enabled at level 1
    debug crypto engine enabled at level 1
    debug crypto isakmp enabled at level 1
    
    May 25 12:49:21 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    IKE SA MM:ec9c234a rcv'd Terminate: state MM_ACTIVE  flags 0x0021c042, 
    ref2cnt 1, tuncnt 1
    May 25 12:49:21 [IKEv1 DEBUG]: sending delete/delete with reason message
    May 25 12:49:21 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing blank hash
    May 25 12:49:21 [IKEv1 DEBUG]: constructing IPSec delete payload
    May 25 12:49:21 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing qm hash
    May 25 12:49:21 [IKEv1]: IP = 40.40.40.2, IKE DECODE SENDING Message 
    (msgid=df6487d8) with payloads : HDR + HASH (8) + DELETE (12) + NONE 
    (0) total length : 64
    May 25 12:49:21 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Active unit receives a delete event for remote peer 40.40.40.2.
    
    May 25 12:49:21 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    IKE Deleting SA: Remote Proxy 40.40.40.2, Local Proxy 30.30.30.1
    May 25 12:49:21 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    IKE SA MM:ec9c234a terminating:  flags 0x0121c002, refcnt 0, tuncnt 0
    May 25 12:49:21 [IKEv1 DEBUG]: sending delete/delete with reason message
    May 25 12:49:21 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing blank hash
    May 25 12:49:21 [IKEv1 DEBUG]: constructing IKE delete payload
    May 25 12:49:21 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing qm hash
    May 25 12:49:21 [IKEv1]: IP = 40.40.40.2, IKE DECODE SENDING Message 
    (msgid=ec167928) with payloads : HDR + HASH (8) + DELETE (12) + NONE 
    (0) total length : 76
    May 25 12:49:21 [IKEv1 DEBUG]: pitcher: received key delete msg, spi 0x504ea964
    May 25 12:49:21 [IKEv1 DEBUG]: pitcher: received key delete msg, spi 0x79fbcb2d
    28-05-05-ASA5520-2(config)# May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, 
    processing SA payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Oakley proposal is acceptable
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, processing VID payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Received Fragmentation VID
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, IKE Peer included IKE 
    fragmentation capability flags:  Main Mode:        True  Aggressive Mode:  True
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, processing IKE SA
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, IKE SA Proposal # 1, 
    Transform # 1 acceptable  Matches global IKE entry # 3
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, constructing ISA_SA for isakmp
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, constructing Fragmentation 
    VID + extended capabilities payload
    May 25 12:49:39 [IKEv1]: IP = 40.40.40.2, IKE DECODE SENDING Message 
    (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + NONE (0) total 
    length : 108
    May 25 12:49:39 [IKEv1]: IP = 40.40.40.2, IKE DECODE RECEIVED Message 
    (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR 
    (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 256
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, processing ke payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, processing ISA_KE
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, processing nonce payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, processing VID payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Received Cisco Unity client VID
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, processing VID payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Received xauth V6 VID
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, processing VID payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Processing VPN3000/ASA 
    spoofing IOS Vendor ID payload (version: 1.0.0, capabilities: 20000001)
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, processing VID payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Received Altiga/Cisco 
    VPN3000/Cisco ASA GW VID
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, constructing ke payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, constructing nonce payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, constructing Cisco Unity 
    VID payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, constructing xauth V6 VID payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Send IOS VID
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Constructing ASA spoofing IOS 
    Vendor ID payload (version: 1.0.0, capabilities: 20000001)
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, constructing VID payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Send Altiga/Cisco 
    VPN3000/Cisco ASA GW VID
    May 25 12:49:39 [IKEv1]: IP = 40.40.40.2, Connection landed on tunnel_group 
    40.40.40.2
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Generating keys for Responder...
    May 25 12:49:39 [IKEv1]: IP = 40.40.40.2, IKE DECODE SENDING Message 
    (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + 
    VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 256
    May 25 12:49:39 [IKEv1]: IP = 40.40.40.2, IKE DECODE RECEIVED Message 
    (msgid=0) with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (14) 
    + VENDOR (13) + NONE (0) total length : 92
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Processing ID
    May 25 12:49:39 [IKEv1 DECODE]: ID_IPV4_ADDR ID received
    40.40.40.2
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    processing hash
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    computing hash
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Processing IOS keep 
    alive payload: proposal=32767/32767 sec.
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    processing VID payload
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Received DPD VID
    May 25 12:49:39 [IKEv1]: IP = 40.40.40.2, Connection landed on 
    tunnel_group 40.40.40.2
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing ID
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    construct hash payload
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    computing hash
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Constructing IOS 
    keep alive payload: proposal=32767/32767 sec.
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing dpd vid payload
    May 25 12:49:39 [IKEv1]: IP = 40.40.40.2, IKE DECODE SENDING 
    Message (msgid=0) with payloads : HDR + ID (5) + HASH (8) + 
    IOS KEEPALIVE (14) + VENDOR (13) + NONE (0) total length : 92
    May 25 12:49:39 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    PHASE 1 COMPLETED
    May 25 12:49:39 [IKEv1]: IP = 40.40.40.2, Keep-alive type for 
    this connection: DPD
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Starting phase 1 rekey timer: 73440000 (ms)
    May 25 12:49:39 [IKEv1 DECODE]: IP = 40.40.40.2, IKE Responder starting 
    QM: msg id = 0529ac6b
    May 25 12:49:39 [IKEv1]: IP = 40.40.40.2, IKE DECODE RECEIVED Message 
    (msgid=529ac6b) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) 
    + ID (5) + ID (5) + NOTIFY (11) + NONE (0) total length : 184
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    processing hash
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    processing SA payload
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    processing nonce payload
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Processing ID
    May 25 12:49:39 [IKEv1 DECODE]: ID_IPV4_ADDR ID received
    40.40.40.2
    May 25 12:49:39 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Received remote Proxy Host data in ID Payload:  Address 40.40.40.2, 
    Protocol 89, Port 0
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Processing ID
    May 25 12:49:39 [IKEv1 DECODE]: ID_IPV4_ADDR ID received
    30.30.30.1
    May 25 12:49:39 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Received local Proxy Host data in ID Payload:  Address 30.30.30.1, 
    Protocol 89, Port 0
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Processing Notify payload
    May 25 12:49:39 [IKEv1]: QM IsRekeyed old sa not found by addr
    May 25 12:49:39 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Static Crypto Map check, checking map = vpn, seq = 10...
    May 25 12:49:39 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Static Crypto Map check, map vpn, seq = 10 is a successful match
    May 25 12:49:39 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    IKE Remote Peer configured for SA: vpn
    May 25 12:49:39 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    processing IPSEC SA
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    IPSec SA Proposal # 1, Transform # 1 acceptable  Matches global 
    IPSec SA entry # 10
    May 25 12:49:39 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    IKE: requesting SPI!
    May 25 12:49:39 [IKEv1]: Received unexpected event 
    EV_ACTIVATE_NEW_SA in state MM_ACTIVE
    May 25 12:49:40 [IKEv1 DEBUG]: IKE got SPI from key engine: SPI = 0xf629186e
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    oakley constucting quick mode
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing blank hash
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing ISA_SA for ipsec
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing ipsec nonce payload
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing proxy ID
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Transmitting Proxy Id:
      Remote host: 40.40.40.2  Protocol 89  Port 0
      Local host:  30.30.30.1  Protocol 89  Port 0
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing qm hash
    May 25 12:49:40 [IKEv1 DECODE]: IKE Responder sending 2nd QM pkt: 
    msg id = 0529ac6b
    May 25 12:49:40 [IKEv1]: IP = 40.40.40.2, IKE DECODE SENDING Message 
    (msgid=529ac6b) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) 
    + ID (5) + ID (5) + NONE (0) total length : 156
    May 25 12:49:40 [IKEv1]: IP = 40.40.40.2, IKE DECODE RECEIVED Message 
    (msgid=529ac6b) with payloads : HDR + HASH (8) + NONE (0) total length : 48
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    processing hash
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    loading all IPSEC SAs
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Generating Quick Mode Key!
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Generating Quick Mode Key!
    May 25 12:49:40 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Security negotiation complete for LAN-to-LAN Group (40.40.40.2)  
    Responder, Inbound SPI = 0xf629186e, Outbound SPI = 0x524e01e4
    May 25 12:49:40 [IKEv1 DEBUG]: IKE got a KEY_ADD msg for SA: SPI = 0x524e01e4
    May 25 12:49:40 [IKEv1 DEBUG]: pitcher: rcv KEY_UPDATE, spi 0xf629186e
    May 25 12:49:40 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Starting P2 Rekey timer to expire in 24480 seconds
    May 25 12:49:40 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    PHASE 2 COMPLETED (msgid=0529ac6b)

Verifique que a conexão de LAN para LAN passa o tráfego do roteamento verificando o Roteadores:

  • show ip route - Exibe entradas de tabela de IP Routing.

    Left#show ip route
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route
    
    Gateway of last resort is 10.10.10.1 to network 0.0.0.0
    
         20.0.0.0/24 is subnetted, 1 subnets
    O       20.20.20.0 [110/30] via 10.10.10.1, 00:59:37, Ethernet0
         22.0.0.0/32 is subnetted, 1 subnets
    O       22.22.22.22 [110/31] via 10.10.10.1, 00:59:37, Ethernet0
         40.0.0.0/24 is subnetted, 1 subnets
    O       40.40.40.0 [110/30] via 10.10.10.1, 00:59:37, Ethernet0
         10.0.0.0/24 is subnetted, 1 subnets
    C       10.10.10.0 is directly connected, Ethernet0
         11.0.0.0/24 is subnetted, 1 subnets
    C       11.11.11.0 is directly connected, Loopback11
         30.0.0.0/24 is subnetted, 1 subnets
    O       30.30.30.0 [110/20] via 10.10.10.1, 00:59:38, Ethernet0
    S*   0.0.0.0/0 [1/0] via 10.10.10.1
    
    
    Left#ping 20.20.20.2
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 20.20.20.2, timeout is 2 seconds:
    !!!!!
    
    Right#show ip route
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route
    
    Gateway of last resort is 20.20.20.1 to network 0.0.0.0
    
         20.0.0.0/24 is subnetted, 1 subnets
    C       20.20.20.0 is directly connected, Ethernet0
         22.0.0.0/24 is subnetted, 1 subnets
    C       22.22.22.0 is directly connected, Loopback22
         40.0.0.0/24 is subnetted, 1 subnets
    O       40.40.40.0 [110/20] via 20.20.20.1, 01:01:45, Ethernet0
         10.0.0.0/24 is subnetted, 1 subnets
    O       10.10.10.0 [110/30] via 20.20.20.1, 01:01:45, Ethernet0
         11.0.0.0/32 is subnetted, 1 subnets
    O       11.11.11.11 [110/31] via 20.20.20.1, 01:01:45, Ethernet0
         30.0.0.0/24 is subnetted, 1 subnets
    O       30.30.30.0 [110/30] via 20.20.20.1, 01:01:46, Ethernet0
    S*   0.0.0.0/0 [1/0] via 20.20.20.1
    
    
    Right#ping 10.10.10.2
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 10.10.10.2, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 12/12/12 ms

Veja os registros

Termine estas etapas a fim ver os registros:

  1. Escolha a configuração > as propriedades > instalação de registo > de registo, verifique Enable que registra, e o clique aplica-se.

    gre-ipsec-ospf-47.gif

  2. Escolha a monitoração > registrando > buffer de registro > nível de registro, logging buffer seleto do menu suspenso, e opinião do clique.

    gre-ipsec-ospf-48.gif

    Está aqui um exemplo do buffer de registro:

    gre-ipsec-ospf-49.gif

    A fim ver gráficos relacionados, escolha a monitoração > o VPN > os túneis de IPsec. Então, os túneis ativo do IPsec do movimento e os túneis ativo IKE aos gráficos selecionados, e escolhem gráficos da mostra.

    /image/gif/paws/63882/gre-ipsec-ospf-50.gif

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 63882