Sem fio : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA 7.x ou superior: Exemplo de Configuração de VPN IpSec Ponto a Ponto Avançada

8 Junho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (16 Outubro 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Configuração
      Diagrama de Rede
      Configurações
      Hairpinning ou Inversão de Sentido
Verificação
Troubleshooting
      Comandos de Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento descreve como configurar sessões LAN a LAN entre PIX Firewalls. Ele demonstra uma configuração para túneis LAN a LAN dinâmicos e estáticos com conectividade ponto a ponto através do PIX Firewall do hub. A versão PIX 7.0 aprimora o suporte a comunicações VPN ponto a ponto ao permitir que tráfego criptografado entre e saia da mesma interface.

O comando same-security-traffic permite que tráfego entre e saia da mesma interface ao usá-lo com a palavra-chave intra-interface que habilita o suporte à VPN ponto a ponto. Consulte a seção "Permitindo Tráfego Intra-Interface" no Guia de Configuração de Linha de Comandos do Cisco Security Appliance para obter mais informações.

Este documento fornece uma configuração de exemplo demonstrando como permitir que o PIX (PIX1) Security Appliance do hub aceite conexões IPsec dinâmicas do PIX2 e estabeleça conexão IPsec estática com o PIX3. O PIX1 ou o PIX3 não estabelecerão conexão IPSec com o PIX2 até que o PIX2 inicie a conexão com o PIX1.

Nota: No PIX 7.2 e versões posteriores, a palavra-chave intra-interface permite que todo tráfego entre e saia da mesma interface, e não apenas o tráfego de IPsec.

Pré-requisitos

Requisitos

O PIX Firewall do hub deve estar executando a versão 7.0 ou posterior do código.

Nota: Consulte o Guia para Usuários Atualizando do Cisco PIX 6.2 e 6.3 para o Cisco PIX Software Versão 7.0 para obter mais informações sobre como atualizar para o PIX Firewall versão 7.0.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • PIX - 515 versão 7.0.1 e posterior (PIX1)

    Nota: A configuração do PIX (PIX1) do hub também pode ser usada com o Cisco ASA 5500 Series Security Appliance.

  • PIX - 501 versão 6.3.4 (PIX2)

  • PIX - 515 versão 6.3.4 (PIX3)

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte Convenções de Dicas Técnicas da Cisco para obter mais informações sobre as convenções de documentos.

Configuração

Esta seção apresenta informações que você pode usar para configurar os recursos descritos neste documento.

Nota:  Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Nota: Para uma configuração de VPN LAN a LAN (L2L) do PIX Security Appliance 7.x, você deve especificar o <nome> do grupo de túneis como o Endereço IP do ponto remoto no comando tunnel-group <nome> type ipsec-l2l para criar e gerenciar o banco de dados de registros de conexões específicas para IPsec.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

enhance-vpn-pix70-1.gif

Nota: Os esquemas de endereçamento IP utilizados nesta configuração não são legalmente roteáveis na Internet. Eles são endereços RFC 1918 leavingcisco.com que foram usados em um ambiente de laboratório.

Configurações

Este documento utiliza as seguintes configurações:

PIX1

PIX Version 7.0(1)
no names
!
interface Ethernet0
nameif outside
security-level 0
ip address 172.18.124.170 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!

!--- Saída suprimida

enable password 9jNfZuG3TC5tCVH0 encrypted
passwd OnTrBUG1Tp0edmkr encrypted
hostname PIX1
domain-name cisco.com
boot system flash:/image.bin
ftp mode passive

!--- Use este comando para permitir que o tráfego entre e saia da
!--- mesma interface para o tráfego IPsec.

same-security-traffic permit intra-interface

!--- Lista de acesso de tráfego interessante a ser
!--- criptografado entre as redes hub e spoke (PIX3).

access-list 100 extended permit ip 10.10.10.0 255.255.255.0 10.30.30.0 255.255.255.0

!--- Lista de acesso de tráfego interessante a ser
!--- criptografado entre as redes spoke (PIX2) e spoke (PIX3).

access-list 100 extended permit ip 10.20.20.0 255.255.255.0 10.30.30.0 255.255.255.0

!--- Lista de acesso para o tráfego que desviará do processo de NAT (Network Address Translation)

access-list nonat extended permit ip 10.10.10.0 255.255.255.0 10.30.30.0 255.255.255.0
access-list nonat extended permit ip 10.10.10.0 255.255.255.0 10.20.20.0 255.255.255.0
access-list nonat extended permit ip 10.20.20.0 255.255.255.0 10.30.30.0 255.255.255.0


!--- Saída suprimida


nat-control
global (outside) 1 interface

!--- Desvio do processo de NAT para tráfego IPsec.

nat (inside) 0 access-list nonat
nat (inside) 1 10.10.10.0 255.255.255.0

!--- O gateway padrão para a Internet.

route outside 0.0.0.0 0.0.0.0 172.18.124.1 1


!--- Saída suprimida



!--- Configuração do IPsec Fase 2.

crypto ipsec transform-set myset esp-3des esp-sha-hmac

!--- Configuração de IPsec para o túnel LAN a LAN dinâmico.

crypto dynamic-map cisco 20 set transform-set myset

!--- Configuração de IPsec que mapeia o mapa dinâmico ao mapa de criptografia.

crypto map mymap 20 ipsec-isakmp dynamic cisco


!--- Configuração de IPsec para o túnel LAN a LAN estático.

crypto map mymap 10 match address 100
crypto map mymap 10 set peer 172.16.77.10
crypto map mymap 10 set transform-set myset


!--- Mapa de criptografia aplicado à interface externa do PIX.

crypto map mymap interface outside
isakmp identity address

!--- Configuração do IPsec Fase 1.

isakmp enable outside

!--- Configuração da política de ISAKMP.

isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 1
console timeout 0

!--- Configuração da política de grupo de túnel para túneis
!--- de acesso remoto (túneis dinâmicos).

tunnel-group DefaultRAGroup type ipsec-ra
tunnel-group DefaultRAGroup general-attributes

!--- Desabilita a autenticação de grupo para túneis de acesso remoto dinâmico.

authentication-server-group none
tunnel-group DefaultRAGroup ipsec-attributes

!--- Define o segredo pré-compartilhado usado para
!--- a autenticação IKE no túnel dinâmico.

pre-shared-key *

!--- Configuração do grupo de túnel para o de túnel LAN a LAN estático.
!--- O nome do grupo de túnel DEVE ser o endereço IP do peer remoto.
!--- O túnel falhará se o nome do grupo de túnel for outro.

tunnel-group 172.16.77.10 type ipsec-l2l
tunnel-group 172.16.77.10 ipsec-attributes

!--- Define o segredo pré-compartilhado usado para
!--- a autenticação IKE no túnel estático.

pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect http
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:7167c0647778b77f8d1d2400d943b825

Nota: Você precisa configurar o comando sysopt connection permit-ipsec para permitir todas as sessões de criptografia autenticadas IPSec de entrada. No PIX 7.0, a versão do código de comandos sysopt não é exibida na configuração de execução. Para verificar se sysopt connection permit-ipsec está habilitado, execute o comando show running-config sysopt.

PIX2

PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PIX2
domain-name cisco.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names

!--- A lista de acesso para criptografar o tráfego entre as redes PIX2 e PIX1.

access-list 100 permit ip 10.20.20.0 255.255.255.0 10.10.10.0 255.255.255.0

!--- A lista de acesso para criptografar o tráfego entre as redes PIX2 e PIX3.

access-list 100 permit ip 10.20.20.0 255.255.255.0 10.30.30.0 255.255.255.0

!--- Lista de acesso utilizada para desviar do processo de NAT.

access-list nonat permit ip 10.20.20.0 255.255.255.0 10.10.10.0 255.255.255.0
access-list nonat permit ip 10.20.20.0 255.255.255.0 10.30.30.0 255.255.255.0
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 172.18.124.172 255.255.255.0
ip address inside 10.20.20.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface

!--- Desvio do processo de NAT para tráfego IPsec.

nat (inside) 0 access-list nonat
nat (inside) 1 10.20.20.0 255.255.255.0 0 0
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1



!--- Saída suprimida


!--- Permite todas sessões criptografadas autenticadas de IPsec de entrada.

sysopt connection permit-ipsec

!--- Define algoritmos de autenticação e de criptografia de IPsec.

crypto ipsec transform-set myset esp-3des esp-sha-hmac

!--- Define o mapa de criptografia.

crypto map mymap 10 ipsec-isakmp
crypto map mymap 10 match address 100
crypto map mymap 10 set peer 172.18.124.170
crypto map mymap 10 set transform-set myset

!--- Aplica o mapa de criptografia à interface externa.

crypto map mymap interface outside
isakmp enable outside

!--- Define o segredo pré-compartilhado usado para a autenticação IKE.

isakmp key ******** address 172.18.124.170 netmask 255.255.255.255 no-xauth
isakmp identity address

!--- A configuração da política de ISAKMP.

isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:fb2e89ab9da0ae93d69e345a4675ff38

PIX3

PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security4
nameif ethernet3 intf3 security6
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PIX3
domain-name cisco.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names

!--- A lista de acesso para criptografar o tráfego entre as redes PIX3 e PIX1.

access-list 100 permit ip 10.30.30.0 255.255.255.0 10.10.10.0 255.255.255.0

!--- A lista de acesso para criptografar o tráfego entre as redes PIX3 e PIX2.

access-list 100 permit ip 10.30.30.0 255.255.255.0 10.20.20.0 255.255.255.0

!--- Lista de acesso utilizada para desviar do processo de NAT.

access-list nonat permit ip 10.30.30.0 255.255.255.0 10.10.10.0 255.255.255.0
access-list nonat permit ip 10.30.30.0 255.255.255.0 10.20.20.0 255.255.255.0
pager lines 24
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 172.16.77.10 255.255.-255.0
ip address inside 10.30.30.1 255.255.255.0


!--- Saída suprimida

global (outside) 1 interface


!--- Liga ACL nonat à instrução NAT para
!--- evitar o NAT nos pacotes IPsec.

nat (inside) 0 access-list nonat
nat (inside) 1 10.30.30.0 255.255.255.0 0 0
route outside 0.0.0.0 0.0.0.0 172.16.77.1 1



!--- Saída suprimida


!--- Permite todas sessões criptografadas autenticadas de IPsec de entrada.

sysopt connection permit-ipsec

!--- Define algoritmos de autenticação e de criptografia de IPsec.

crypto ipsec transform-set myset esp-3des esp-sha-hmac

!--- Define o mapa de criptografia.

crypto map mymap 10 ipsec-isakmp
crypto map mymap 10 match address 100
crypto map mymap 10 set peer 172.18.124.170
crypto map mymap 10 set transform-set myset

!--- Aplica o mapa de criptografia à interface externa.

crypto map mymap interface outside
isakmp enable outside

!--- Define a chave do segredo pré-compartilhado usado para a autenticação IKE.

isakmp key ******** address 172.18.124.170 netmask 255.255.255.0 no-xauth
isakmp identity address

!--- Define a política de ISAKMP. 

isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:cb5c245112db607e3a9a85328d1295db

Hairpinning ou Inversão de Sentido

Este recurso é útil para o tráfego de VPN que entra em uma interface e é roteado para fora pela mesma interface. Por exemplo, se você possuir uma rede VPN com hub e pontos, onde o Security Appliance é o hub e as redes VPN remotas são os pontos, para que um ponto se comunique com outro, o tráfego deverá ser enviado primeiro para o Security Applicance e, em seguida, reenviado para outro ponto externo.

Use o comando same-security-traffic para permitir que o tráfego entre e saia da mesma interface.

securityappliance(config)#same-security-traffic permit intra-interface

Verificação

Esta seção fornece informações que você pode usar para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Para testar a comunicação entre duas redes privadas, PIX3 e PIX1, inicie um ping a partir de uma das redes privadas.

Nesta configuração:

  • Para uma conexão LAN a LAN estática, um ping é enviado de trás da rede PIX3 (10.30.30.x) para a rede PIX1 (10.10.10.x).

  • Para um túnel LAN a LAN dinâmico, um ping é enviado da rede PIX2 (10.20.20.x) para a rede PIX1 (10.10.10.x).

  • show crypto isakmp sa — Exibe todas as associações de segurança atuais (SAs) de IKE em um peer.

  • show crypto ipsec sa — Exibe todas as SAs atuais.

Esta seção mostra configurações de verificação de exemplo para:

PIX1

show crypto isakmp sa

Active SA: 2
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 2

!--- Estabelecimento de túnel LAN a LAN estático.

1 IKE Peer: 172.16.77.10
Type: L2L Role : responder
Rekey : no State: MM_ACTIVE

!--- Estabelecimento de túnel LAN a LAN dinâmico.

2 IKE Peer: 172.18.124.172
Type: user Role: responder
Rekey : no State: MM_ACTIVE




PIX1(config)#show crypto ipsec sa
interface: outside
Crypto map tag: cisco, local addr: 172.18.124.170

!--- SA IPsec para redes entre PIX2 e PIX1.

local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
current_peer: 172.18.124.172
dynamic allocated peer ip: 0.0.0.0

#pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9
#pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 9, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.18.124.170, remote crypto endpt.: 172.18.124.172

path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 2C4400C7

inbound esp sas:
spi: 0x6D29993F (1831442751)
transform: esp-3des esp-sha-hmac 
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 7, crypto-map: cisco
sa timing: remaining key lifetime (sec): 28413
IV size: 8 bytes
replay detection support: Y


outbound esp sas:
spi: 0x2C4400C7 (742654151)
transform: esp-3des esp-sha-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 7, crypto-map: cisco
sa timing: remaining key lifetime (sec): 28411
IV size: 8 bytes
replay detection support: Y


!--- SA IPsec para redes entre PIX2 e PIX3.

Crypto map tag: cisco, local addr: 172.18.124.170

local ident (addr/mask/prot/port): (10.30.30.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
current_peer: 172.18.124.172
dynamic allocated peer ip: 0.0.0.0

#pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9
#pkts decaps: 13, #pkts decrypt: 13, #pkts verify: 13
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 9, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.18.124.170, remote crypto endpt.: 172.18.124.172

path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 9D40B1DC

inbound esp sas:
spi: 0xEE6F6479 (4000277625)
transform: esp-3des esp-sha-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 7, crypto-map: cisco
sa timing: remaining key lifetime (sec): 28777
IV size: 8 bytes
replay detection support: Y


outbound esp sas:
spi: 0x9D40B1DC (2638262748)
transform: esp-3des esp-sha-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 7, crypto-map: cisco
sa timing: remaining key lifetime (sec): 28777
IV size: 8 bytes
replay detection support: Y

Crypto map tag: mymap, local addr: 172.18.124.170

!--- SA IPsec para redes entre PIX3 e PIX1.

local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.30.30.0/255.255.255.0/0/0)
current_peer: 172.16.77.10

#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.18.124.170, remote crypto endpt.: 172.16.77.10

path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: BE57D878

inbound esp sas:
spi: 0xAF25D7DB (2938492891)
transform: esp-3des esp-sha-hmac
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 6, crypto-map: mymap
sa timing: remaining key lifetime (kB/sec): (4274999/27145)
IV size: 8 bytes
replay detection support: Y


outbound esp sas:
spi: 0xBE57D878 (3193428088)
transform: esp-3des esp-sha-hmac
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 6, crypto-map: mymap
sa timing: remaining key lifetime (kB/sec): (4274999/27144)
IV size: 8 bytes
replay detection support: Y

Crypto map tag: cisco, local addr: 172.18.124.170

!--- SA IPsec para redes entre PIX2 e PIX3.

local ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.30.30.0/255.255.255.0/0/0)
current_peer: 172.16.77.10

#pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9
#pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 9, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.18.124.170, remote crypto endpt.: 172.16.77.10

path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 963766A1

inbound esp sas:
spi: 0x1CD1B5B7 (483505591)
transform: esp-3des esp-sha-hmac
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 6, crypto-map: cisco
sa timing: remaining key lifetime (kB/sec): (4274999/28780)
IV size: 8 bytes
replay detection support: Y


outbound esp sas:
spi: 0x963766A1 (2520213153)
transform: esp-3des esp-sha-hmac
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 6, crypto-map: cisco
sa timing: remaining key lifetime (kB/sec): (4274999/28780)
IV size: 8 bytes
replay detection support: Y

PIX2

PIX2(config)#show crypto isakmp sa
Total : 1
Embryonic : 0
dst              src          state     pending created
172.18.124.170 172.18.124.172 QM_IDLE     0        2




PIX2(config)#show crypto ipsec sa


interface: outside
Crypto map tag: mymap, local addr. 172.18.124.172

!--- SA IPsec criado entre as redes PIX2 e PIX3.

local ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.30.30.0/255.255.255.0/0/0)
current_peer: 172.18.124.170:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0

local crypto endpt.: 172.18.124.172, remote crypto endpt.: 172.18.124.170
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: 38cf2399

inbound esp sas:
spi: 0xb37404c2(3010725058)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 4, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28765)
IV size: 8 bytes
replay detection support: Y


inbound ah sas:


inbound pcp sas:


outbound esp sas:
spi: 0x38cf2399(953099161)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 3, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28765)
IV size: 8 bytes
replay detection support: Y


outbound ah sas:


outbound pcp sas:



!--- SA IPsec criado entre as redes PIX1 e PIX2.

local ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
current_peer: 172.18.124.170:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0

local crypto endpt.: 172.18.124.172, remote crypto endpt.: 172.18.124.170
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: fffd0c20

inbound esp sas:
spi: 0x1a2a994b(438999371)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 1, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28717)
IV size: 8 bytes
replay detection support: Y


inbound ah sas:


inbound pcp sas:


outbound esp sas:
spi: 0xfffd0c20(4294773792)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28717)
IV size: 8 bytes
replay detection support: Y


outbound ah sas:


outbound pcp sas:

PIX3

PIX3(config)#show crypto isakmp sa
Total : 1
Embryonic : 0
dst                src       state        pending     created
172.18.124.170 172.16.77.10  QM_IDLE         0             2




PIX3(config)#show crypto ipsec sa


interface: outside
Crypto map tag: mymap, local addr. 172.16.77.10

!--- SA IPsec criado entre as redes PIX3 e PIX2.

local ident (addr/mask/prot/port): (10.30.30.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
current_peer: 172.18.124.170:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 9, #pkts encrypt: 9, #pkts digest 9
#pkts decaps: 9, #pkts decrypt: 9, #pkts verify 9
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0

local crypto endpt.: 172.16.77.10, remote crypto endpt.: 172.18.124.170
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: 8282748

inbound esp sas:
spi: 0x28c9b70a(684308234)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 1, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607998/28775)
IV size: 8 bytes
replay detection support: Y


inbound ah sas:


inbound pcp sas:


outbound esp sas:
spi: 0x8282748(136849224)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28775)
IV size: 8 bytes
replay detection support: Y


outbound ah sas:


outbound pcp sas:



!--- SA IPsec criado entre as redes PIX3 e PIX1.

local ident (addr/mask/prot/port): (10.30.30.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
current_peer: 172.18.124.170:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0

local crypto endpt.: 172.16.77.10, remote crypto endpt.: 172.18.124.170
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: f415cec9

inbound esp sas:
spi: 0x12c5caf1(314952433)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 3, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28763)
IV size: 8 bytes
replay detection support: Y


inbound ah sas:


inbound pcp sas:


outbound esp sas:
spi: 0xf415cec9(4095069897)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 4, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28763)
IV size: 8 bytes
replay detection support: Y


outbound ah sas:


outbound pcp sas:

Troubleshooting

Esta seção fornece informações que podem ser usadas no troubleshooting da sua configuração.

Comandos de Troubleshooting

Alguns comandos show são aceitos pela Output Interpreter Tool (somente clientes registrados), o que permite exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar os comandos debug.

Execute comandos do PIX no modo config.

  • clear crypto isakmp sa — Limpa as SAs de Fase 1

  • clear crypto ipsec sa — Limpa as SAs de Fase 2

Os comandos debug para túneis de VPN:

  • debug crypto isakmp sa — Depura negociações de SA ISAKMP

  • debug crypto ipsec sa — Depura negociações de SA IPSec.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 64692