Segurança : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA: VPN fácil com um PIX 515E como o server e o ASA 5505 como o exemplo de configuração do cliente (NEM)

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (17 Julho 2008) | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento fornece uma configuração de exemplo do IPsec entre o Cisco PIX 515E e o Cisco Adaptive Security Appliance (ASA) 5505 que usa Easy VPN com Network Extension Mode (NEM). A solução Cisco Easy VPN compreende um servidor Easy VPN no local principal e clientes de hardware Easy VPN nos escritórios remotos. O Cisco ASA 5505 pode funcionar como um cliente de hardware Cisco Easy VPN ou como um servidor Cisco Easy VPN, que às vezes é chamado de dispositivo headend, mas não ambos ao mesmo tempo. Aqui, em nossa topologia, o Cisco PIX 515E funciona como servidor Easy VPN e o ASA 5505 funciona como cliente remoto Easy VPN Remote (cliente de hardware).

O cliente da ferragem fácil VPN apoia um do modo dois de operação: Modo de cliente ou modo de extensão de rede (NEM). O modo de operação determina se os anfitriões atrás do cliente da ferragem fácil VPN são acessíveis da rede de empreendimento sobre o túnel.

O modo de cliente, igualmente chamado modo da tradução de endereço de porta (PAT), isola todos os dispositivos na rede privada fácil do cliente VPN daqueles na rede de empreendimento. O cliente VPN fácil executa a PANCADINHA para todo o tráfego VPN para seus host internos. O gerenciamento de endereços IP não é nenhum exigido para a interface interna fácil do cliente VPN ou os host internos.

O NEM faz interface interna e todo o roteável dos host internos através da rede de empreendimento sobre o túnel. Os anfitriões na rede interna obtêm seus endereços IP de Um ou Mais Servidores Cisco ICM NT de uma sub-rede acessível (estaticamente ou com DHCP) que preconfigured com endereços IP estáticos. A PANCADINHA não se aplica ao tráfego VPN no NEM. Este modo não exige uma configuração de VPN para cada cliente. O ASA 5505 configurado para o modo NEM apoia a iniciação do túnel automático. A configuração deve armazenar o nome do grupo, o username, e a senha.

A iniciação do túnel automático é desabilitada se a autenticação segura da unidade é permitida. A rede e os endereços no lado privado do cliente VPN fácil são hidden, e não podem ser alcançados diretamente.

O cliente da ferragem fácil VPN não tem um modo padrão. Mas, se você não especifica o modo no Security Device Manager adaptável (ASDM), o ASDM seleciona automaticamente o modo de cliente. Quando você configura o cliente da ferragem fácil VPN com o uso do CLI, você deve especificar um modo.

Refira PIX/ASA 7.x VPN fácil com um ASA 5500 como o server e Cisco 871 como o exemplo de configuração do Easy VPN Remote para obter mais informações sobre de uma encenação similar onde o Cisco 871 Router atue como o Easy VPN Remote.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Uma compreensão básica de

    • IPsec

    • VPN fácil

    • Ferramentas de segurança ASA/PIX

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • O cliente da ferragem do Easy VPN Remote é um ASA 5505 que execute a versão 7.2(1) e mais recente.

  • O Easy VPN Server é um PIX 515E que execute a versão 7.x e mais recente.

Nota: A configuração do Easy VPN Server neste documento é aplicável a ambas as corridas PIX/ASA com versão 7.x e mais recente.

Nota: A configuração de cliente VPN fácil é apoiada somente em ASA 5505.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Se você usa uma solução de VPN fácil, esta simplifica o desenvolvimento e o Gerenciamento de um VPN nestas maneiras:

Neste exemplo de configuração, um túnel de IPsec é configurado com estes elementos:

  • Os anfitriões em locais remotos já não têm que executar o software do cliente VPN.

  • As políticas de segurança residem em um servidor central e estão empurradas para os clientes do hardware remoto quando uma conexão de VPN é estabelecida.

  • Poucos parâmetros de configuração precisam de ser ajustados localmente, que minimiza a necessidade para a administração no local.

Quando usado como um cliente da ferragem fácil VPN, o ASA 5505 pode igualmente ser configurado para executar serviços de firewall básicos, como para proteger dispositivos em um DMZ do acesso não autorizado. Mas, se o ASA 5505 é configurado para funcionar como um cliente da ferragem fácil VPN, não pode estabelecer outros tipos de túneis. Por exemplo, o ASA 5505 não pode funcionar simultaneamente como um cliente da ferragem fácil VPN e como um fim de uma distribuição VPN peer-to-peer padrão

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Quando configurado no Modo de extensão fácil da rede VPN, o ASA 5505 não esconde os endereços IP de Um ou Mais Servidores Cisco ICM NT dos host locais pela substituição de um endereço IP público. Consequentemente, os anfitriões no outro lado da conexão de VPN podem comunicar-se diretamente com os anfitriões na rede local. Quando você configura o NEM, a rede atrás do cliente VPN fácil não deve sobrepor seu a rede atrás do Easy VPN Server. A figura mostra um exemplo de topologia de rede com o ASA 5505 que é executado no modo da extensão de rede.

/image/gif/paws/98528/ezvpn-asa5505-515e-1.gif

Configurações

Este documento utiliza as seguintes configurações:

Easy VPN Server (PIX 515E)
pixfirewall#write terminal
PIX Version 8.0(2)
!
hostname pixfirewall
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!

!--- Configure the outside and inside interfaces.

interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.20.20.1 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 172.22.1.1 255.255.255.0
!

!--- Output Suppressed

!
interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive


!--- This access list is used for a nat zero command that prevents 
!--- traffic, which matches the access list, so it does  
!--- not undergo network address translation (NAT).


access-list no-nat extended permit ip 172.22.1.0 255.255.255.0 172.16.1.0 255.255.255.0

!--- This access list is used to define the traffic 
!--- that should pass through the tunnel.
!--- It is bound to the group policy, which defines 
!--- a dynamic crypto map.

access-list ezvpn1 extended permit ip 172.22.1.0 255.255.255.0 172.16.1.0 255.255.255.0

pager lines 24
mtu outside 1500
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm-602.bin
no asdm history enable
arp timeout 14400



!--- Specify the NAT configuration.  
!--- NAT 0 prevents NAT for the ACL defined in this configuration.
!--- The nat 1 command specifies NAT for all other traffic.

global (outside) 1 interface
nat (inside) 0 access-list no-nat
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 10.20.20.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart




!--- PHASE 2 CONFIGURATION ---!
!--- The encryption types for Phase 2 are defined here.  
!--- A single DES encryption with
!--- the md5 hash algorithm is used.

crypto ipsec transform-set mySET esp-des esp-md5-hmac


!--- This command defines a dynamic crypto map 
!--- with the specified encryption settings.

crypto dynamic-map myDYN-MAP 5 set transform-set mySET


!--- This command binds the dynamic map to 
!--- the IPsec/ISAKMP process.

crypto map myMAP 60 ipsec-isakmp dynamic myDYN-MAP


!--- This command specifies the interface to be used  
!--- with the settings defined in this configuration.

crypto map myMAP interface outside


!--- PHASE 1 CONFIGURATION ---!

!--- This configuration uses isakmp policy 1.   
!--- Policy 65535 is included in the default
!--- configuration. These configuration commands  
!--- define the Phase 1 policies that are used.

crypto isakmp enable outside
crypto isakmp policy 1
 authentication pre-share
 encryption des
 hash md5
 group 2
 lifetime 86400
crypto isakmp policy 65535
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global


!--- This defines the group policy you use with Easy VPN.  
!--- Specify the networks that should pass through
!--- the tunnel and that you want to 
!--- use network extension mode.

group-policy myGROUP internal
group-policy myGROUP attributes
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value ezvpn1
 nem enable
 

!--- The username and password associated with 
!--- this VPN connection are defined here.  You
!--- can also use AAA for this function.

username cisco password 3USUcOPFUiMCO4Jk encrypted

!--- The tunnel-group commands bind the configurations 
!--- defined in this configuration to the tunnel that is
!--- used for Easy VPN.  This tunnel name is the one 
!--- specified on the remote side.

tunnel-group mytunnel type ipsec-ra
tunnel-group mytunnel general-attributes
 default-group-policy myGROUP
tunnel-group mytunnel ipsec-attributes

!--- The pre-shared-key used is "cisco".

 pre-shared-key *
prompt hostname context
Cryptochecksum:a16e3c19d5b2ab400151e0c13d26b074
: end

ASA 5505 - Cliente da ferragem do Easy VPN Remote
ciscoasa#write terminal
:
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 172.16.1.1 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 10.10.10.1 255.255.255.0
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/1
!


!--- Output Suppressed

!
interface Ethernet0/7
 shutdown
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400

!--- Set the standard NAT configuration.  
!--- Easy VPN provides the NAT exceptions needed.

global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 10.10.10.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0


!--- Easy VPN Client Configuration ---!
!--- Specify the IP address of the VPN server.

vpnclient server 10.20.20.1

!--- This example uses network extension mode.

vpnclient mode network-extension-mode

!--- Specify the group name and the pre-shared key.

vpnclient vpngroup mytunnel password ********

!--- Specify the authentication username and password.

vpnclient username cisco password ********

!--- In order to enable the device as hardware vpnclient, use this command.

vpnclient enable

threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!

!--- Output suppressed

!
service-policy global_policy global
prompt hostname context
Cryptochecksum:dfcc004fbc2988e4370226f8d592b205
: end

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use o OIT a fim ver uma análise do emissor de comando de execução.

Comandos show e exemplo de saída do Easy VPN Server PIX

  • mostre isakmp cripto sa — Este comando indica todas as associações de segurança atuais do Internet Key Exchange (IKE) (SA) em um par.

    pixfirewall#show crypto isakmp sa
    
       Active SA: 1
        Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 10.10.10.1
        Type    : user            Role    : responder
        Rekey   : no              State   : AM_ACTIVE
  • mostre IPsec cripto sa — Este comando indica o sas de IPSec construído entre pares.

    pixfirewall#show crypto ipsec sa
    interface: outside
       Crypto map tag: myDYN-MAP, seq num: 5, local addr: 10.20.20.1
    
         local ident (addr/mask/prot/port): (172.22.1.0/255.255.255.0/0/0)
         remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
         current_peer: 10.10.10.1, username: cisco
         dynamic allocated peer ip: 0.0.0.0
    
         #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
         #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
         #pkts compressed: 0, #pkts decompressed: 0
         #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
         #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
         #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
         #send errors: 0, #recv errors: 0
    
         local crypto endpt.: 10.20.20.1, remote crypto endpt.: 10.10.10.1
    
         path mtu 1500, ipsec overhead 58, media mtu 1500
         current outbound spi: 4DC131C7
    
       inbound esp sas:
         spi: 0x6F48BB47 (1867037511)
            transform: esp-des esp-md5-hmac none
            in use settings ={RA, Tunnel, }
            slot: 0, conn_id: 4096, crypto-map: myDYN-MAP
            sa timing: remaining key lifetime (sec): 28656
            IV size: 8 bytes
            replay detection support: Y
       outbound esp sas:
         spi: 0x4DC131C7 (1304506823)
            transform: esp-des esp-md5-hmac none
            in use settings ={RA, Tunnel, }
            slot: 0, conn_id: 4096, crypto-map: myDYN-MAP
            sa timing: remaining key lifetime (sec): 28656
            IV size: 8 bytes
            replay detection support: Y
    
       Crypto map tag: myDYN-MAP, seq num: 5, local addr: 10.20.20.1
    
         local ident (addr/mask/prot/port): (172.22.1.0/255.255.255.0/0/0)
         remote ident (addr/mask/prot/port): (10.10.10.1/255.255.255.255/0/0)
         current_peer: 10.10.10.1, username: cisco
         dynamic allocated peer ip: 0.0.0.0
    
         #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
         #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
         #pkts compressed: 0, #pkts decompressed: 0
         #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
         #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
         #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
         #send errors: 0, #recv errors: 0
    
         local crypto endpt.: 10.20.20.1, remote crypto endpt.: 10.10.10.1
    
         path mtu 1500, ipsec overhead 58, media mtu 1500
         current outbound spi: DC1F63B2
    
       inbound esp sas:
         spi: 0x5288CD4D (1384697165)
            transform: esp-des esp-md5-hmac none
            in use settings ={RA, Tunnel, }
            slot: 0, conn_id: 4096, crypto-map: myDYN-MAP
            sa timing: remaining key lifetime (sec): 28634
            IV size: 8 bytes
            replay detection support: Y
       outbound esp sas:
         spi: 0xDC1F63B2 (3693044658)
            transform: esp-des esp-md5-hmac none
            in use settings ={RA, Tunnel, }
            slot: 0, conn_id: 4096, crypto-map: myDYN-MAP
            sa timing: remaining key lifetime (sec): 28634
            IV size: 8 bytes
            replay detection support: Y
    
       Crypto map tag: myDYN-MAP, seq num: 5, local addr: 10.20.20.1
    
         local ident (addr/mask/prot/port): (10.20.20.1/255.255.255.255/0/0)
         remote ident (addr/mask/prot/port): (10.10.10.1/255.255.255.255/0/0)
         current_peer: 10.10.10.1, username: cisco
         dynamic allocated peer ip: 0.0.0.0
    
         #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
         #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
         #pkts compressed: 0, #pkts decompressed: 0
         #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
         #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
         #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
         #send errors: 0, #recv errors: 0
    
         local crypto endpt.: 10.20.20.1, remote crypto endpt.: 10.10.10.1
    
         path mtu 1500, ipsec overhead 58, media mtu 1500
         current outbound spi: CADED9A2
    
       inbound esp sas:
         spi: 0xD04E7073 (3494801523)
            transform: esp-des esp-md5-hmac none
            in use settings ={RA, Tunnel, }
            slot: 0, conn_id: 4096, crypto-map: myDYN-MAP
            sa timing: remaining key lifetime (sec): 28628
            IV size: 8 bytes
            replay detection support: Y
       outbound esp sas:
         spi: 0xCADED9A2 (3403602338)
            transform: esp-des esp-md5-hmac none
            in use settings ={RA, Tunnel, }
            slot: 0, conn_id: 4096, crypto-map: myDYN-MAP
            sa timing: remaining key lifetime (sec): 28628
            IV size: 8 bytes
            replay detection support: Y

Comandos show e exemplo de saída do cliente da ferragem do Easy VPN Remote PIX

  • vpnclient permita — Este comando permite uma conexão do Easy VPN Remote. No modo de extensão de rede (NEM), o túnel está acima mesmo quando não há nenhum tráfego interessante a ser trocado com o Easy VPN Server do final do cabeçalho.

    ciscoasa(config)#vpnclient enable
    
  • mostre isakmp cripto sa — Este comando indica todo o IKE atual SA em um par.

    ciscoasa#show crypto isakmp sa
       Active SA: 1
        Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 10.20.20.1
        Type    : user            Role    : initiator
        Rekey   : no              State   : AM_ACTIVE
  • mostre IPsec cripto sa — Este comando indica o sas de IPSec construído entre pares.

    ciscoasa#show crypto ipsec sa
    interface: outside
        Crypto map tag: _vpnc_cm, seq num: 10, local addr: 10.10.10.1
    
          access-list _vpnc_acl permit ip 172.16.1.0 255.255.255.0 172.22.1.0 255.25
    5.255.0
          local ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
          remote ident (addr/mask/prot/port): (172.22.1.0/255.255.255.0/0/0)
          current_peer: 10.20.20.1, username: 10.20.20.1
          dynamic allocated peer ip: 0.0.0.0
    
          #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
          #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
          #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
          #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 10.10.10.1, remote crypto endpt.: 10.20.20.1
    
          path mtu 1500, ipsec overhead 58, media mtu 1500
          current outbound spi: 6F48BB47
    
        inbound esp sas:
          spi: 0x4DC131C7 (1304506823)
             transform: esp-des esp-md5-hmac none
             in use settings ={RA, Tunnel, }
             slot: 0, conn_id: 4096, crypto-map: _vpnc_cm
             sa timing: remaining key lifetime (sec): 28786
             IV size: 8 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0x6F48BB47 (1867037511)
             transform: esp-des esp-md5-hmac none
             in use settings ={RA, Tunnel, }
             slot: 0, conn_id: 4096, crypto-map: _vpnc_cm
             sa timing: remaining key lifetime (sec): 28786
             IV size: 8 bytes
             replay detection support: Y
    
        Crypto map tag: _vpnc_cm, seq num: 10, local addr: 10.10.10.1
    
          access-list _vpnc_acl permit ip host 10.10.10.1 172.22.1.0 255.255.255.0
          local ident (addr/mask/prot/port): (10.10.10.1/255.255.255.255/0/0)
          remote ident (addr/mask/prot/port): (172.22.1.0/255.255.255.0/0/0)
          current_peer: 10.20.20.1, username: 10.20.20.1
          dynamic allocated peer ip: 0.0.0.0
    
          #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
          #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
          #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
          #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 10.10.10.1, remote crypto endpt.: 10.20.20.1
    
          path mtu 1500, ipsec overhead 58, media mtu 1500
          current outbound spi: 5288CD4D
    
        inbound esp sas:
          spi: 0xDC1F63B2 (3693044658)
             transform: esp-des esp-md5-hmac none
             in use settings ={RA, Tunnel, }
             slot: 0, conn_id: 4096, crypto-map: _vpnc_cm
             sa timing: remaining key lifetime (sec): 28759
             IV size: 8 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0x5288CD4D (1384697165)
             transform: esp-des esp-md5-hmac none
             in use settings ={RA, Tunnel, }
             slot: 0, conn_id: 4096, crypto-map: _vpnc_cm
             sa timing: remaining key lifetime (sec): 28759
             IV size: 8 bytes
             replay detection support: Y
    
        Crypto map tag: _vpnc_cm, seq num: 10, local addr: 10.10.10.1
    
          access-list _vpnc_acl permit ip host 10.10.10.1 host 10.20.20.1
          local ident (addr/mask/prot/port): (10.10.10.1/255.255.255.255/0/0)
          remote ident (addr/mask/prot/port): (10.20.20.1/255.255.255.255/0/0)
          current_peer: 10.20.20.1, username: 10.20.20.1
          dynamic allocated peer ip: 0.0.0.0
    
          #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
          #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
          #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
          #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 10.10.10.1, remote crypto endpt.: 10.20.20.1
    
          path mtu 1500, ipsec overhead 58, media mtu 1500
          current outbound spi: D04E7073
    
        inbound esp sas:
          spi: 0xCADED9A2 (3403602338)
             transform: esp-des esp-md5-hmac none
             in use settings ={RA, Tunnel, }
             slot: 0, conn_id: 4096, crypto-map: _vpnc_cm
             sa timing: remaining key lifetime (sec): 28752
             IV size: 8 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0xD04E7073 (3494801523)
             transform: esp-des esp-md5-hmac none
             in use settings ={RA, Tunnel, }
             slot: 0, conn_id: 4096, crypto-map: _vpnc_cm
             sa timing: remaining key lifetime (sec): 28752
             IV size: 8 bytes
             replay detection support: Y
  • show vpnclient — Este comando indica a informação de configuração de dispositivo do cliente VPN ou do Easy VPN Remote.

    ciscoasa#show vpnclient
    
    LOCAL CONFIGURATION
    vpnclient server 10.20.20.1
    vpnclient mode network-extension-mode
    vpnclient vpngroup mytunnel password ********
    vpnclient username cisco password ********
    vpnclient enable
    
    DOWNLOADED DYNAMIC POLICY
    Current Server                     : 10.20.20.1
    PFS Enabled                        : No
    Secure Unit Authentication Enabled : No
    User Authentication Enabled        : No
    Split Tunnel Networks              : 172.22.1.0/255.255.255.0
    Backup Servers                     : None

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Se você estabeleceu o cliente da ferragem e o Easy VPN Server do Easy VPN Remote como este documento descreve e você ainda experimenta problemas, recolha o resultado do debug de cada PIX e a saída dos comandos show para a análise pelo Suporte técnico de Cisco. Refira a pesquisa de defeitos do PIX para passar o tráfego de dados em um túnel IPSec estabelecido e no Troubleshooting de Segurança IP - compreendendo e usando comandos debug para mais informação. Permita o ipsec debugging no PIX.

Estas seções indicam comandos e exemplo de saída do PIX debug.

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use o OIT a fim ver uma análise do emissor de comando de execução.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

Comandos do Easy VPN Server

  • IPsec do debug crypto — Este comando indica as negociações de IPSEC de fase 2.

  • isakmp do debug crypto — Este comando indica as negociações de ISAKMP de fase 1.

Esta é uma amostra da saída:

pixfirewall#debug crypto isakmp 2
Aug 08 03:26:09 [IKEv1]: IP = 10.10.10.1, Connection lan
ded on tunnel_group mytunnel
Aug 08 03:26:09 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, Us
er (cisco) authenticated.
Aug 08 03:26:09 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, PH
ASE 1 COMPLETED
Aug 08 03:26:09 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, IK
E: requesting SPI!
Aug 08 03:26:09 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, Se
curity negotiation complete for User (cisco)  Responder, Inbound SPI = 0xe6b089b
7, Outbound SPI = 0xcb705206

Comandos do cliente da ferragem do Easy VPN Remote

  • IPsec do debug crypto — Este comando indica as negociações de IPSEC de fase 2.

  • isakmp do debug crypto — Este comando indica as negociações de ISAKMP de fase 1.

    ciscoasa#debug crypto isakmp 2
    
    Aug 08 14:16:09 [IKEv1]: IP = 10.20.20.1, Connection landed
     on tunnel_group 10.20.20.1
    Aug 08 14:16:09 [IKEv1]: IP = 10.20.20.1, Received encrypted packet with no matc
    hing SA, dropping
    Aug 08 14:16:09 [IKEv1]: IP = 10.20.20.1, Received encrypted packet with no matc
    hing SA, dropping
    Aug 08 14:16:09 [IKEv1]: IP = 10.20.20.1, Received encrypted packet with no matc
    hing SA, dropping
    Aug 08 14:16:10 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, PHASE 1 COMPLETED
    Aug 08 14:16:10 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, Security negotiati
    on complete for peer (10.20.20.1)  Initiator, Inbound SPI = 0xcb705206, Outbound
     SPI = 0xe6b089b7
    Aug 08 14:16:10 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, PHASE 2 COMPLETED
    (msgid=670ff816)
    Aug 08 14:16:10 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, IKE Initiator: New
     Phase 2, Intf inside, IKE Peer 10.20.20.1  local Proxy Address 172.16.1.0, remo
    te Proxy Address 172.22.1.0,  Crypto map (_vpnc_cm)
    Aug 08 14:16:10 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, Security negotiati
    on complete for peer (10.20.20.1)  Initiator, Inbound SPI = 0x3bfa93fb, Outbound
     SPI = 0x3b11bf8b
    Aug 08 14:16:10 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, PHASE 2 COMPLETED
    (msgid=29791739)
    Aug 08 14:16:13 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, IKE Initiator: New
     Phase 2, Intf NP Identity Ifc, IKE Peer 10.20.20.1  local Proxy Address 10.10.1
    0.1, remote Proxy Address 172.22.1.0,  Crypto map (_vpnc_cm)
    Aug 08 14:16:13 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, Security negotiati
    on complete for peer (10.20.20.1)  Initiator, Inbound SPI = 0xd329cacc, Outbound
     SPI = 0xdec3c1b6
    Aug 08 14:16:13 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, PHASE 2 COMPLETED
    (msgid=b303dbac)
    
    Aug 08 03:26:09 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, PH
    ASE 2 COMPLETED (msgid=670ff816)
    Aug 08 03:26:10 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, IK
    E: requesting SPI!
    Aug 08 03:26:10 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, Se
    curity negotiation complete for User (cisco)  Responder, Inbound SPI = 0x3b11bf8
    b, Outbound SPI = 0x3bfa93fb
    Aug 08 03:26:10 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, PH
    ASE 2 COMPLETED (msgid=29791739)
    Aug 08 03:26:12 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, IK
    E: requesting SPI!
    Aug 08 03:26:12 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, Se
    curity negotiation complete for User (cisco)  Responder, Inbound SPI = 0xdec3c1b
    6, Outbound SPI = 0xd329cacc
    Aug 08 03:26:12 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, PH
    ASE 2 COMPLETED (msgid=b303dbac)

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 98528