Segurança : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA 7.x ou Superior: Exemplo de Configuração de Túnel VPN PIX a PIX Simples

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (21 Outubro 2009) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Diagrama de Rede
      Convenções
Informações de Apoio
Configuração
      Configuração com o ASDM
      Configuração com a CLI do PIX
      Túnel Site a Site de Backup
Limpeza de Associações de Segurança (SAs)
Verificação
Troubleshooting
      PFS
      Acesso de Gerenciamento
      Comandos de Depuração
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento descreve o procedimento de configuração de túneis VPN entre dois PIX Firewalls usando o Cisco Adaptive Security Device Manager (ASDM). O ASDM é uma ferramenta de configuração baseada em aplicativos desenvolvida para ajudá-lo a instalar, configurar e monitorar seu PIX Firewall com uma interface gráfica. Os PIX Firewalls são colocados em dois locais diferentes.

Um túnel é formado com o uso do IPsec. O IPsec é uma combinação de padrões abertos que fornece confidencialidade, integridade e autenticação da origem de dados entre peers IPsec.

Nota: No PIX 7.1 ou posterior, o comando sysopt connection permit-ipsec é alterado para sysopt connection permit-vpn. Esse comando permite que o tráfego que entra no Security Appliance por meio de um túnel VPN e é descriptografado ignore as listas de acesso da interface. A política de grupo e as listas de acesso de autorização por usuário ainda se aplicam ao tráfego. Para desabilitar este recurso, use a forma no do comando. Esse comando não é visível na configuração da interface de linha de comando.

Consulte PIX 6.x: Exemplo de Configuração de Túnel VPN PIX a PIX Simples para saber mais sobre o mesmo cenário em casos em que o Cisco PIX Security Appliance executa o software versão 6.x.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento especificam que este peer inicia o primeiro intercâmbio proprietário para determinar o peer apropriado com o qual a conexão será feita.

  • Cisco PIX 500 Series Security Appliance versão 7.x ou posterior

  • ASDM versão 5.x ou posterior

Nota: Consulte Permitindo o Acesso HTTPS para o ASDM para permitir que o ASA seja configurado pelo ASDM.

Nota: O ASA 5500 Series versão 7.x/8.x executa o mesmo software do PIX versão 7.x/8.x. As configurações neste documento se aplicam a ambas as linhas de produtos.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Diagrama de Rede

Este documento usa a seguinte configuração de rede:

pix2pix-vpn-pix70-asdm-1.gif

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

A negociação de IPsec pode ser dividida em cinco passos, incluindo duas fases de Internet Key Exchange (IKE).

  1. Um túnel IPsec é iniciado por tráfego de interesse. O tráfego é considerado de interesse ao ser transmitido entre os peers IPsec.

  2. Na Fase 1 da IKE, os peers IPsec negociam a política Security Association (SA) da IKE estabelecida. Quando os peers são autenticados, um túnel protegido é criado usando o Internet Security Association and Key Management Protocol (ISAKMP).

  3. Na Fase 2 da IKE, os peers IPsec usam o túnel autenticado protegido para negociar transformações de SA IPsec. A negociação da política compartilhada determina como o túnel IPsec é estabelecido.

  4. O túnel IPsec é criado e os dados são transferidos entre os peers IPsec com base nos parâmetros de IPsec configurados nos conjuntos de transformação de IPsec.

  5. O túnel IPsec termina quando as SAs IPsec são excluídas ou quando o tempo de vida expira.

    Nota: A negociação de IPsec entre os dois PIXs falhará se as SAs em ambas as fases de IKE não forem compatíveis com seus peers.

Configuração

Configuração com o ASDM

Execute estes passos:

  1. Abra seu navegador e digite https://<Endereço_IP_Interno_do_PIX> para acessar o ASDM no PIX.

    Certifique-se de autorizar qualquer aviso fornecido pelo seu navegador relacionado à autoridade de certificação do SSL. O nome de usuário e a senha padrão estão ambos em branco.

    O PIX apresenta esta janela para permitir o download do aplicativo ASDM. Este exemplo carrega o aplicativo no computador local e não pode ser executado em um applet Java.

    pix2pix-vpn-pix70-asdm-2.gif

  2. Clique em Download ASDM Launcher and Start ASDM para baixar o instalador do aplicativo ASDM.

  3. Quando o ASDM Launcher for iniciado, siga os prompts para instalar o software e executar o Cisco ASDM Launcher.

  4. Insira o endereço IP da interface que você configurou com o comando http - e um nome de usuário e uma senha, caso os tenha especificado.

    Este exemplo utiliza o nome de usuário e a senha padrão em branco.

    pix2pix-vpn-pix70-asdm-3.gif

  5. Execute o VPN Wizard assim que o aplicativo ASDM se conectar ao PIX.

    pix2pix-vpn-pix70-asdm-4.gif

  6. Selecione o tipo de túnel VPN Site-to-Site.

    pix2pix-vpn-pix70-asdm-5.gif

  7. Especifique o endereço IP externo do peer remoto. Insira as informações de autenticação a serem usadas (chave pré-compartilhada neste exemplo).

    pix2pix-vpn-pix70-asdm-6.gif

  8. Especifique os atributos a serem usados para a IKE, também conhecida como "Fase 1". Esses atributos devem ser os mesmos em ambos os lados do túnel.

    pix2pix-vpn-pix70-asdm-7.gif

  9. Especifique os atributos a serem usados para o IPsec, também conhecido como "Fase 2". Esses atributos devem coincidir em ambos os lados.

    pix2pix-vpn-pix70-asdm-8.gif

  10. Especifique os hosts cujo tráfego deve receber permissão para passar pelo túnel VPN. Neste passo, os hosts locais para o pix515-704 são especificados.

    pix2pix-vpn-pix70-asdm-9.gif

  11. Os hosts e as redes no lado remoto do túnel são especificados.

    pix2pix-vpn-pix70-asdm-10.gif

  12. Os atributos definidos pelo VPN Wizard são exibidos nesse resumo. Verifique novamente a configuração e clique em Finish quando estiver satisfeito com as configurações.

    pix2pix-vpn-pix70-asdm-11.gif

Configuração com a CLI do PIX

pix515-704

pixfirewall#show run
: Saved
PIX Version 7.1(1)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names

!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.10.10.1 255.255.255.0

!--- Configura a interface externa.
!

interface Ethernet1
 nameif inside
 security-level 100
 ip address 172.22.1.163 255.255.255.0

!--- Configura a interface interna.
!




!--- Saída suprimida
!

passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid



access-list inside_nat0_outbound extended permit ip 172.22.1.0 255.255.255.0 172
.16.1.0 255.255.255.0

!--- Esta lista de acesso (inside_nat0_outbound) é usada com o comando nat zero.
!--- Isso impede que o tráfego com correspondência à lista de acesso passe
!--- pelo processo de Tradução de Endereço de Rede (NAT).  O tráfego especificado por essa ACL é o
!--- tráfego que deve ser criptografado e
!--- enviado pelo túnel VPN.  Esta ACL é intencionalmente
!--- a mesma que (outside_cryptomap_20).
!--- Duas listas de acesso separadas devem sempre ser usadas nesta configuração.

access-list outside_cryptomap_20 extended permit ip 172.22.1.0 255.255.255.0 172
.16.1.0 255.255.255.0

!--- Esta lista de acesso (outside_cryptomap_20) é usada com o mapa de criptografia
!--- outside_map para determinar qual tráfego deve ser criptografado e enviado
!--- pelo túnel.
!--- Esta ACL é intencionalmente a mesma que (inside_nat0_outbound).
!--- Duas listas de acesso separadas devem sempre ser usadas nesta configuração.

pager lines 24
mtu inside 1500
mtu outside 1500
no failover

asdm image flash:/asdm-511.bin

!--- Execute este comando para especificar o local da imagem do ASDM.

asdm history enable
arp timeout 14400


nat (inside) 0 access-list inside_nat0_outbound

!--- NAT 0 exclui do NAT as redes especificadas na ACL inside_nat0_outbound.


route outside 0.0.0.0 0.0.0.0 10.10.10.2 1

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute


http server enable

!--- Execute este comando para habilitar o servidor HTTPS para ASDM.


http 172.22.1.1 255.255.255.255 inside

!--- Identifique os endereços IP dos quais o Security Appliance
!--- aceita conexões de HTTPS.


no snmp-server location
no snmp-server contact


!--- CONFIGURAÇÃO DA FASE 2 ---!
!--- Os tipos de criptografia da Fase 2 são definidos aqui.


crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac

!--- Define o conjunto de transformação da Fase 2.



crypto map outside_map 20 match address outside_cryptomap_20

!--- Define o tráfego que será enviado para o peer IPsec.


crypto map outside_map 20 set peer 10.20.20.1

!--- Define o peer IPsec.


crypto map outside_map 20 set transform-set ESP-AES-256-SHA

!--- Define o conjunto de transformação de IPsec "ESP-AES-256-SHA"
!--- para ser usado com a entrada de mapa de criptografia "outside_map".


crypto map outside_map interface outside

!--- Especifica a interface que será usada com
!--- as opções definidas nesta configuração.


!--- CONFIGURAÇÃO DA FASE 1 ---!

!--- Esta configuração usa a política de ISAKMP 10.
!--- A política 65535 está incluída na configuração por padrão.
!--- Os comandos de configuração aqui definem os parâmetros
!--- da política da Fase 1 que são usados.


isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption aes-256
isakmp policy 10 hash sha
isakmp policy 10 group 5
isakmp policy 10 lifetime 86400

isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400



tunnel-group 10.20.20.1 type ipsec-l2l

!--- Para criar e gerenciar o banco de dados de registros específicos de conexão
!--- para túneis ipsec-l2l-IPsec (LAN para LAN), use o comando tunnel-group
!--- no modo de configuração global.
!--- Nas conexões L2L, o nome do grupo de túnel DEVE ser o
!--- endereço IP do peer IPsec.



tunnel-group 10.20.20.1 ipsec-attributes
 pre-shared-key *

!--- Insira a chave pré-compartilhada para configurar o método de autenticação.


telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:ecb58c5d8ce805b3610b198c73a3d0cf
: end

PIX-02

PIX Version 7.1(1)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.20.20.1 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 172.16.1.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid

access-list inside_nat0_outbound extended permit ip 172.16.1.0 255.255.255.0 172
.22.1.0 255.255.255.0

!--- Observe que esta ACL é um espelho da ACL inside_nat0_outbound
!--- em pix515-704.

access-list outside_cryptomap_20 extended permit ip 172.16.1.0 255.255.255.0 172
.22.1.0 255.255.255.0

!--- Observe que esta ACL é um espelho da ACL outside_cryptomap_20
!--- em pix515-704.

pager lines 24
mtu inside 1500
mtu outside 1500
no failover
asdm image flash:/asdm-511.bin
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list inside_nat0_outbound
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set peer 10.10.10.1
crypto map outside_map 20 set transform-set ESP-AES-256-SHA
crypto map outside_map interface outside
isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption aes-256
isakmp policy 10 hash sha
isakmp policy 10 group 5
isakmp policy 10 lifetime 86400
tunnel-group 10.10.10.1 type ipsec-l2l
tunnel-group 10.10.10.1 ipsec-attributes
 pre-shared-key *
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:6774691244870705f858ad4e9b810874
: end
pixfirewall#

Túnel Site a Site de Backup

Para especificar o tipo de conexão para o recurso site a site de backup para esta entrada de mapa de criptografia, use o comando crypto map set connection-type no modo de configuração global. Use a forma no desse comando para retornar à configuração padrão.

Sintaxe:

crypto map map-name seq-num set connection-type {answer-only | originate-only | bidirectional}

  • answer-only — Especifica que este peer somente responde às conexões de IKE recebidas durante o intercâmbio proprietário inicial para determinar o peer apropriado com o qual a conexão será feita.

  • bidirectional — Especifica que este peer pode aceitar e originar conexões com base na entrada deste mapa de criptografia. Este é o tipo de conexão padrão para todas as conexões site a site.

  • originate-only — Especifica que este peer inicia o primeiro intercâmbio proprietário para determinar o peer apropriado com o qual a conexão será feita.

O comando crypto map set connection-type especifica os tipos de conexão para o recurso de LAN a LAN de Backup. Ele permite que vários peers de backup sejam especificados em uma extremidade da conexão. Este recurso funciona somente entre estas plataformas:

  • Dois Cisco ASA 5500 Series Security Appliances

  • Um Cisco ASA 5500 Series Security Appliance e um Cisco VPN 3000 Concentrator

  • Um Cisco ASA 5500 Series Security Appliance e um Security Appliance que executa o Cisco PIX Security Appliance Software versão 7.0 ou posterior

Para configurar uma conexão LAN a LAN de backup, a Cisco recomenda definir uma extremidade da conexão como originate-only usando a palavra chave originate-only e a extremidade com vários peers de backup como answer-only (palavra-chave answer-only) Na extremidade originate-only, use o comando crypto map set peer para ordenar a prioridade dos peers. O Security Appliance originate-only tenta negociar com o primeiro peer na lista. Se esse peer não responder, o Security Appliance percorrerá a lista até um peer responder ou até não haver mais peers na lista.

Quando configurado dessa forma, o peer originate-only tenta inicialmente estabelecer um túnel proprietário e negociar com um peer. Desse ponto em diante, qualquer um dos peers pode estabelecer uma conexão LAN a LAN normal e os dados de qualquer uma das extremidades podem iniciar a conexão do túnel.

Tipos de Conexão LAN a LAN de Backup com Suporte

Lado remoto

Lado central

Originate-Only
Answer-Only
Bi-Directional
Answer-Only
Bi-Directional
Bi-Directional

Exemplo

Este exemplo, usado no modo de configuração global, configura o crypto map mymap e define o tipo de conexão como originate-only.

hostname(config)#crypto map outside_map 20 connection-type originate-only

Limpeza de Associações de Segurança (SAs)

No modo privilegiado do PIX, use os seguintes comandos:

  • clear [crypto] ipsec sa — Exclui as associações de segurança ativas do IPsec. A palavra-chave crypto é opcional.

  • clear [crypto] isakmp sa — Exclui as associações de segurança de IKE ativas. A palavra-chave crypto é opcional.

Verificação

Use esta seção para verificar se a sua configuração funciona corretamente.

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Se houver tráfego de interesse para o peer, o túnel será estabelecido entre o pix515-704 e o PIX-02.

  1. Exiba o status da VPN em Home no ASDM para verificar a formação do túnel.

    pix2pix-vpn-pix70-asdm-12.gif

  2. Escolha Monitoring > VPN > VPN Connection Graphs > IPSec Tunnels para verificar os detalhes do estabelecimento do túnel.

    pix2pix-vpn-pix70-asdm-13.gif

  3. Clique em Add para selecionar os gráficos disponíveis a fim de exibi-los na janela de gráficos.

    pix2pix-vpn-pix70-asdm-14.gif

  4. Clique em Show Graphs para exibir os gráficos dos túneis ativos IKE e IPsec.

    pix2pix-vpn-pix70-asdm-15.gif

  5. Escolha Monitoring > VPN > VPN Statistics > Global IKE/IPSec Statistics para obter informações estatísticas sobre o túnel VPN.

    pix2pix-vpn-pix70-asdm-16.gif

Você também pode verificar a formação dos túneis usando a interface de linha de comando. Execute o comando show crypto isakmp sa para verificar a formação dos túneis e execute o comando show crypto ipsec sa para observar o número de pacotes encapsulados, criptografados e assim por diante.

pix515-704

pixfirewall(config)#show crypto isakmp sa

   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 10.20.20.1
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE

pix515-704

pixfirewall(config)#show crypto ipsec sa
interface: outside
    Crypto map tag: outside_map, seq num: 20, local addr: 10.10.10.1

     access-list outside_cryptomap_20 permit ip 172.22.1.0
       255.255.255.0 172.16.1.0 255.255.255.0
     local ident (addr/mask/prot/port): (172.22.1.0/255.255.255.0/0/0)
     remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
     current_peer: 10.20.20.1

      #pkts encaps: 20, #pkts encrypt: 20, #pkts digest: 20
      #pkts decaps: 20, #pkts decrypt: 20, #pkts verify: 20
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 20, #pkts comp failed: 0, #pkts decomp failed: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 10.10.10.1, remote crypto endpt.: 10.20.20.1

      path mtu 1500, ipsec overhead 76, media mtu 1500
      current outbound spi: 44532974

    inbound esp sas:
      spi: 0xA87AD6FA (2826622714)
         transform: esp-aes-256 esp-sha-hmac
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: outside_map
         sa timing: remaining key lifetime (kB/sec): (3824998/28246)
         IV size: 16 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x44532974 (1146300788)
         transform: esp-aes-256 esp-sha-hmac
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: outside_map
         sa timing: remaining key lifetime (kB/sec): (3824998/28245)
         IV size: 16 bytes
         replay detection support: Y

Troubleshooting

PFS

Nas negociações de IPsec, o Perfect Forward Secrecy (PFS) garante que cada nova chave criptográfica não tenha relação com nenhuma chave anterior. Habilite ou desabilite o PFS em ambos os peers do túnel, caso contrário, o túnel IPsec LAN a LAN (L2L) não será estabelecido no PIX/ASA.

O PFS é desabilitado por padrão. Para habilitá-lo, utilize o comando pfs com a palavra-chave enable no modo de configuração de política de grupo. Para desabilitar o PFS, digite a palavra-chave disable.

hostname(config-group-policy)#pfs {enable | disable}

Para remover o atributo de PFS da configuração em execução, insira a forma no desse comando. Uma política de grupo pode herdar um valor para o PFS de outra política de grupo. Insira a forma no desse comando para evitar que um valor seja herdado.

hostname(config-group-policy)#no pfs 

Acesso de Gerenciamento

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

A interface interna do PIX não poderá responder a pings enviados pela outra extremidade do túnel a menos que o comando management-access seja configurado no modo de configuração global.

PIX-02(config)#management-access inside
PIX-02(config)#show management-access
management-access inside

Comandos de Depuração

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar os comandos debug.

debug crypto isakmp — Exibe informações de depuração sobre conexões de IPSec e mostra o primeiro conjunto de atributos negados devido a incompatibilidades em ambas as extremidades.

debug crypto isakmp

pixfirewall(config)#debug crypto isakmp 7
Nov 27 12:01:59 [IKEv1 DEBUG]: Pitcher: received a key acquire message,
spi 0x0
Nov 27 12:01:59 [IKEv1]: IP = 10.20.20.1, IKE Initiator: New Phase 1,
Intf 2, IKE Peer 10.20.20.1  local Proxy Address 172.22.1.0, remote
Proxy Address 172.16.1.0,  Crypto map (outside_map)
Nov 27 12:01:59 [IKEv1 DEBUG]: IP = 10.20.20.1, constructing ISAKMP SA payload
Nov 27 12:01:59 [IKEv1 DEBUG]: IP = 10.20.20.1, constructing Fragmentation
VID + extended capabilities payload
Nov 27 12:01:59 [IKEv1]: IP = 10.20.20.1, IKE_DECODE SENDING Message
(msgid=0) with payloads : HDR +
 SA (1) + VENDOR (13) + NONE (0) total length : 148
Nov 27 12:01:59 [IKEv1]: IP = 10.20.20.1, IKE_DECODE RECEIVED Message (msgid=0)
with payloads : HDR + SA (1) + VENDOR (13) + NONE (0) total length : 112
Nov 27 12:01:59 [IKEv1 DEBUG]: IP = 10.20.20.1, processing SA payload
Nov 27 12:01:59 [IKEv1 DEBUG]: IP = 10.20.20.1, Oakley proposal is acceptable
Nov 27 12:01:59 [IKEv1 DEBUG]: IP = 10.20.20.1, processing VID payload
Nov 27 12:01:59 [IKEv1 DEBUG]: IP = 10.20.20.1, Received Fragmentation VID
Nov 27 12:01:59 [IKEv1 DEBUG]: IP = 10.20.20.1, IKE Peer included
IKE fragmentation capability flags
:  Main Mode:        True  Aggressive Mode:  True
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, constructing ke payload
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, constructing nonce payload
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, constructing Cisco Unity VID payload
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, constructing xauth V6 VID payload
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, Send IOS VID
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, Constructing ASA spoofing IOS
Vendor ID payload (version: 1.0.0, capabilities: 20000001)
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, constructing VID payload
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, Send Altiga/
Cisco VPN3000/Cisco ASA GW VID
Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, IKE_DECODE SENDING Message (msgid=0)
with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13)
+ VENDOR (13) + NONE (0) total length
 : 320
Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, IKE_DECODE RECEIVED Message
(msgid=0) with payloads : HDR
+ KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) +
NONE (0) total length : 320
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, processing ke payload
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, processing ISA_KE payload
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, processing nonce payload
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, processing VID payload
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, Received Cisco Unity client VID
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, processing VID payload
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, Received xauth V6 VID
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, processing VID payload
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, Processing VPN3000/ASA
spoofing IOS Vendor ID payload (version: 1.0.0, capabilities: 20000001)
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, processing VID payload
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, Received Altiga/Cisco VPN3000/Cisco ASA
GW VID
Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, Connection landed on tunnel_group 10.20.20.1
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, Generating keys
for Initiator...
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
constructing ID payload
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
constructing hash payload
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
Computing hash for ISAKMP
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1,
Constructing IOS keep alive payload: proposal=32767/32767 sec.
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
constructing dpd vid payload
Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, IKE_DECODE SENDING Message (msgid=0)
with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (14) + VENDOR (13) +
NONE (0) total length : 119
Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, IKE_DECODE RECEIVED Message (msgid=0)
with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (14) + VENDOR (13) +
NONE (0) total length : 96
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
processing ID payload
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
processing hash payload
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
Computing hash for ISAKMP
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1,
Processing IOS keep alive payload: proposal=32767/32767 sec.
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
processing VID payload
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
Received DPD VID
Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, Connection landed on tunnel_group 10.20.20.1
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
Oakley begin quick mode
Nov 27 12:02:00 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, PHASE 1 COMPLETED
Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, Keep-alive type for this connection: DPD
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
Starting phase 1 rekey timer: 73440000 (ms)
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, IKE got
SPI from key engine: SPI = 0x44ae0956
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
oakley constucting quick mode
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
constructing blank hash payload
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
constructing IPSec SA payload
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
constructing IPSec nonce payload
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
constructing proxy ID
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
Transmitting Proxy Id:
  Local subnet:  172.22.1.0  mask 255.255.255.0 Protocol 0  Port 0
  Remote subnet: 172.16.1.0  Mask 255.255.255.0 Protocol 0  Port 0
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
constructing qm hash payload
Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, IKE_DECODE SENDING Message
(msgid=d723766b) with payloads
: HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NOTIFY (11) +
NONE (0) total length : 200
Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, IKE_DECODE RECEIVED Message
(msgid=d723766b) with payloads
 : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0)
 total length : 172
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
processing hash payload
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
processing SA payload
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
processing nonce payload
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
processing ID payload
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
processing ID payload
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
loading all IPSEC SAs
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
Generating Quick Mode Key!
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
Generating Quick Mode Key!
Nov 27 12:02:00 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1,
Security negotiation complete for LAN-to-LAN Group (10.20.20.1)
Initiator, Inbound SPI = 0x44ae0956, Outbound SPI = 0x4a6429ba
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
oakley constructing final quick mode
Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, IKE_DECODE SENDING Message
(msgid=d723766b) with payloads
: HDR + HASH (8) + NONE (0) total length : 76
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
IKE got a KEY_ADD msg for SA: SPI = 0x4a6429ba
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1,
Pitcher: received KEY_UPDATE, spi 0x44ae0956
Nov 27 12:02:00 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1,
 Starting P2 Rekey timer to expire in 24480 seconds
Nov 27 12:02:00 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1,
PHASE 2 COMPLETED (msgid=d723766b)

debug crypto ipsec — Exibe informações de depuração sobre conexões de IPSec.

debug crypto ipsec

pix1(config)#debug crypto ipsec 7

exec mode commands/options:
  <1-255>  Specify an optional debug level (default is 1)
  <cr>
pix1(config)# debug crypto ipsec 7
pix1(config)# IPSEC: New embryonic SA created @ 0x024211B0,
    SCB: 0x0240AEB0,
    Direction: inbound
    SPI      : 0x2A3E12BE
    Session ID: 0x00000001
    VPIF num  : 0x00000001
    Tunnel type: l2l
    Protocol   : esp
    Lifetime   : 240 seconds
IPSEC: New embryonic SA created @ 0x0240B7A0,
    SCB: 0x0240B710,
    Direction: outbound
    SPI      : 0xB283D32F
    Session ID: 0x00000001
    VPIF num  : 0x00000001
    Tunnel type: l2l
    Protocol   : esp
    Lifetime   : 240 seconds
IPSEC: Completed host OBSA update, SPI 0xB283D32F
IPSEC: Updating outbound VPN context 0x02422618, SPI 0xB283D32F
    Flags: 0x00000005
    SA   : 0x0240B7A0
    SPI  : 0xB283D32F
    MTU  : 1500 bytes
    VCID : 0x00000000
    Peer : 0x00000000
    SCB  : 0x0240B710
    Channel: 0x014A45B0
IPSEC: Completed outbound VPN context, SPI 0xB283D32F
    VPN handle: 0x02422618
IPSEC: Completed outbound inner rule, SPI 0xB283D32F
    Rule ID: 0x01FA0290
IPSEC: New outbound permit rule, SPI 0xB283D32F
    Src addr: 10.10.10.1
    Src mask: 255.255.255.255
    Dst addr: 10.20.20.1
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0xB283D32F
    Use SPI: true
IPSEC: Completed outbound permit rule, SPI 0xB283D32F
    Rule ID: 0x0240AF40
IPSEC: Completed host IBSA update, SPI 0x2A3E12BE
IPSEC: Creating inbound VPN context, SPI 0x2A3E12BE
    Flags: 0x00000006
    SA   : 0x024211B0
    SPI  : 0x2A3E12BE
    MTU  : 0 bytes
    VCID : 0x00000000
    Peer : 0x02422618
    SCB  : 0x0240AEB0
    Channel: 0x014A45B0
IPSEC: Completed inbound VPN context, SPI 0x2A3E12BE
    VPN handle: 0x0240BF80
IPSEC: Updating outbound VPN context 0x02422618, SPI 0xB283D32F
    Flags: 0x00000005
    SA   : 0x0240B7A0
    SPI  : 0xB283D32F
    MTU  : 1500 bytes
    VCID : 0x00000000
    Peer : 0x0240BF80
    SCB  : 0x0240B710
    Channel: 0x014A45B0
IPSEC: Completed outbound VPN context, SPI 0xB283D32F
    VPN handle: 0x02422618
IPSEC: Completed outbound inner rule, SPI 0xB283D32F
    Rule ID: 0x01FA0290
IPSEC: Completed outbound outer SPD rule, SPI 0xB283D32F
    Rule ID: 0x0240AF40
IPSEC: New inbound tunnel flow rule, SPI 0x2A3E12BE
    Src addr: 172.16.1.0
    Src mask: 255.255.255.0
    Dst addr: 172.22.1.0
    Dst mask: 255.255.255.0
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 0
    Use protocol: false
    SPI: 0x00000000
    Use SPI: false
IPSEC: Completed inbound tunnel flow rule, SPI 0x2A3E12BE
    Rule ID: 0x0240B108
IPSEC: New inbound decrypt rule, SPI 0x2A3E12BE
    Src addr: 10.20.20.1
    Src mask: 255.255.255.255
    Dst addr: 10.10.10.1
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0x2A3E12BE
    Use SPI: true
IPSEC: Completed inbound decrypt rule, SPI 0x2A3E12BE
    Rule ID: 0x02406E98
IPSEC: New inbound permit rule, SPI 0x2A3E12BE
    Src addr: 10.20.20.1
    Src mask: 255.255.255.255
    Dst addr: 10.10.10.1
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0x2A3E12BE
    Use SPI: true
IPSEC: Completed inbound permit rule, SPI 0x2A3E12BE
    Rule ID: 0x02422C78


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 67912