Asynchronous Transfer Mode (ATM) : Dispositivos de segurança Cisco PIX 500 Series

Exemplo de Configuração do PIX/ASA 7.x e Cisco VPN Client 4.x com Windows 2003 IAS com Autenticação RADIUS (com Active Directory)

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (13 Setembro 2013) | Inglês (13 Outubro 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Produtos Relacionados
      Convenções
Informação de Apoio
Configuração
      Diagrama de Rede
      Configurações
      Configuração do VPN Client 4.8
      Configuração do Microsoft Windows 2003 Server com IAS
Verificação
      Autenticação AAA
      Comandos show
Troubleshooting
      Limpeza de Associações de Segurança
      Comandos de Troubleshooting
      Exemplo de Saída de debug
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este exemplo de configuração mostra como configurar a conexão de VPN de acesso remoto entre um Cisco VPN Client (4.x for Windows) e o PIX 500 Series Security Appliance 7.x. O cliente VPN remoto se autentica com o Active Directory utilizando um servidor RADIUS do Microsoft Windows 2003 Internet Authentication Service (IAS).

Consulte Cisco Secure PIX Firewall 6.x e Cisco VPN Client 3.5 for Windows com Autenticação RADIUS do Microsoft Windows 2000 e 2003 IAS para aprender mais sobre o mesmo cenário no PIX 6.x com Cisco VPN Client 3.5.

Consulte Exemplo de Configuração de IPsec entre um VPN 3000 Concentrator e um VPN Client 4.x for Windows Usando RADIUS para Autenticação e Contabilidade de Usuários para estabelecer um túnel IPsec entre um Cisco VPN 3000 Concentrator e um Cisco VPN Client 4.x for Windows usando RADIUS para autenticação e contabilidade de usuários.

Consulte Configurando o IPsec entre um Cisco IOS Router e um Cisco VPN Client 4.x for Windows Usando RADIUS para Autenticação de Usuários para configurar uma conexão entre um roteador e o Cisco VPN Client 4.x usando RADIUS para autenticação de usuários.

Nota: No PIX/ASA, o CHAP, o MS-CHAP-v1 e o MS-CHAP-v2 podem ser utilizados para autenticação RADIUS com um servidor IAS como PAP. Para fazer uso desses protocolos, você precisa utilizar o comando password-management para configurar a expiração de senha no modo de atributos gerais do grupo de túnel conforme mostrado.

Pré-requisitos

Requisitos

Certifique-se de que este requisito seja atendido antes de tentar esta configuração:

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • PIX 515E Series Security Appliance Software Release 7.1(1)

  • Cisco VPN Client versão 4.8 para Windows

  • Windows 2003 Server com IAS

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração também pode ser utilizada com o Cisco ASA 5500 Series Security Appliance.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

As VPNs de acesso remoto atendem às necessidades de conexão com segurança à rede da organização por parte da força de trabalho móvel. Os usuários móveis são capazes de estabelecer uma conexão segura usando o software VPN Client instalado em seus PCs. O VPN Client inicia uma conexão a um dispositivo em um site central configurado para aceitar essas solicitações. Neste exemplo, o dispositivo de site central é um PIX 500 Series Security Appliance que utiliza mapas dinâmicos de criptografia.

Neste exemplo de configuração, um túnel IPSec é configurado com estes elementos:

  • Mapas de criptografia aplicados às interfaces externas do PIX.

  • Autenticação estendida (xauth) dos VPN Clients com um banco de dados RADIUS.

  • Atribuição dinâmica de um endereço IP privado a partir de um pool para VPN Clients.

  • A funcionalidade do comando nat 0 access-list, que permite que os hosts de uma LAN usem endereços IP particulares com um usuário remoto e ainda recebam um endereço NAT do PIX para visitar uma rede não confiável.

Configuração

Nesta seção, você encontrará as informações necessárias para configurar a conexão de VPN de acesso remoto com xauth utilizando o servidor Windows 2003 IAS.

Nota:  Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento usa esta configuração de rede:

pix7x-vpn4x-w2k-ias-1.gif

Configurações

Este documento utiliza estas configurações:

Configuração do PIX 515E Security Appliance

PIX Version 7.1(1)
!
hostname PIX

!--- Especifique o nome de domínio do Security Appliance.

domain-name cisco.com
enable password 9jNfZuG3TC5tCVH0 encrypted
names


!--- Configura as interfaces externa e interna.

!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.10.1.2 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.11.1.1 255.255.255.0
!

!--- Saída suprimida.

!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive


!--- Especifique a interface que aponta para o servidor DNS
!--- para permitir que o PIX use o DNS.

dns domain-lookup inside
dns server-group DefaultDNS
 timeout 30


!--- Especifique o local do servidor DNS no grupo DefaultDNS.


 name-server 172.16.1.1

 domain-name cisco.com


!--- Esta lista de acesso é usada com o comando nat zero que impede
!--- que o tráfego correspondente à lista de acesso passe pelo processo de NAT.


access-list 101 extended permit ip 172.16.0.0 255.255.0.0 10.16.20.0 255.255.255.00

pager lines 24
logging buffer-size 500000
logging console debugging
logging monitor errors
mtu outside 1500
mtu inside 1500

!--- Crie um pool de endereços do qual os endereços IP são atribuídos
!--- dinamicamente aos clientes VPN remotos.


ip local pool vpnclient 10.16.20.1-10.16.20.5

no failover
icmp permit any outside
icmp permit any inside
no asdm history enable
arp timeout 14400


!--- NAT 0 impede a aplicação do NAT para as redes especificadas na ACL 101
!--- O comando nat 1 especifica a Tradução de Endereço de Porta (PAT)
!--- e usa 10.10.1.5 para os outros tipos de tráfego.


global (outside) 1 10.10.1.5
nat (inside) 0 access-list 101
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 10.10.0.0 255.255.255.0 10.10.1.1 1
route outside 0.0.0.0 0.0.0.0 10.11.1.1 1
route inside 172.16.0.0 255.255.0.0 10.11.1.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute


!--- Crie o grupo "vpn" do servidor AAA e especifique o protocolo como RADIUS.
!--- Especifique o servidor IAS como membro do grupo "vpn" e forneça o
!--- local e a chave.


aaa-server vpn protocol radius
aaa-server vpn host 10.11.1.2
 key cisco123


!--- Crie a política de grupo de usuários da VPN e especifique o endereço IP do servidor DNS
!--- e o nome do domínio na política de grupo.

group-policy vpn3000 internal
group-policy vpn3000 attributes
 dns-server value 172.16.1.1
 default-domain value cisco.com


!--- Para identificar os usuários de acesso remoto no Security Appliance,
!--- você também pode configurar nomes de usuários e senhas no dispositivo,
!--- além de usar o AAA. 


username vpn3000 password nPtKy7KDCerzhKeX encrypted
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart


!--- CONFIGURAÇÃO DA FASE 2 ---!
!--- Os tipos de criptografia da Fase 2 são definidos aqui.
!--- Uma criptografia DES simples com o
!--- algoritmo de hash MD5 é usada.


crypto ipsec transform-set my-set esp-des esp-md5-hmac


!--- Define um mapa de criptografia dinâmico
!--- com as configurações de criptografia especificadas.


crypto dynamic-map dynmap 10 set transform-set my-set


!--- Habilita a Injeção de Rota Reversa (RRI), a qual permite que o Security Appliance
!--- aprenda informações de roteamento para os clientes conectados.


crypto dynamic-map dynmap 10 set reverse-route


!--- Liga o mapa dinâmico ao processo de IPsec/ISAKMP.


crypto map mymap 10 ipsec-isakmp dynamic dynmap


!--- Especifica a interface que será usada com
!--- as opções definidas nesta configuração.


crypto map mymap interface outside


!--- CONFIGURAÇÃO DA FASE 1 ---!

!--- Esta configuração usa a política de ISAKMP 10.
!--- A política 65535 está incluída na configuração por padrão.
!--- Os comandos de configuração aqui definem os parâmetros
!--- da política da Fase 1 que são usados.


isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 1000

isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400


!--- O Security Appliance fornece os grupos de túneis padrão
!--- para acesso remoto (DefaultRAGroup). 


tunnel-group DefaultRAGroup general-attributes
 authentication-server-group (outside) vpn


!--- Crie um novo grupo de túneis e defina o tipo de conexão
!--- como acesso remoto via IPsec (ipsec-ra).


tunnel-group vpn3000 type ipsec-ra


!--- Associe o pool vpnclient ao grupo de túneis usando o pool de endereços.
!--- Associe o grupo do servidor AAA (VPN) ao grupo de túneis.


tunnel-group vpn3000 general-attributes
 address-pool vpnclient
 authentication-server-group vpn
 default-group-policy vpn3000


!--- Insira a chave pré-compartilhada para configurar o método de autenticação.


tunnel-group vpn3000 ipsec-attributes
 pre-shared-key *

telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:ecb58c5d8ce805b3610b198c73a3d0cf
: end

Configuração do VPN Client 4.8

Execute estes passos para configurar o VPN Client 4.8.

  1. Selecione Start > Programs > Cisco Systems VPN Client > VPN Client.

  2. Clique em New para exibir a janela Create New VPN Connection Entry.

    pix7x-vpn4x-w2k-ias-2.gif

  3. Insira o nome da entrada de conexão junto com uma descrição. Digite o endereço IP externo do PIX Firewall na caixa Host. Em seguida, digite o nome e a senha do grupo de VPN e clique em Save.

    pix7x-vpn4x-w2k-ias-3.gif

  4. Clique na conexão que você deseja utilizar e clique em Connect na janela principal do VPN Client.

    pix7x-vpn4x-w2k-ias-4.gif

  5. Quando solicitado, insira o nome de usuário e a senha para o xauth e clique em OK para se conectar à rede remota.

    pix7x-vpn4x-w2k-ias-5.gif

  6. O VPN Client conecta-se ao PIX no site central.

    pix7x-vpn4x-w2k-ias-6.gif

  7. Selecione Status > Statistics para verificar as estatísticas de túnel do VPN Client.

    pix7x-vpn4x-w2k-ias-7.gif

Configuração do Microsoft Windows 2003 Server com IAS

Execute estes passos para configurar o Microsoft Windows 2003 Server com IAS.

Nota: Para estes passos, supõe-se que o IAS já tenha sido instalado no computador local. Caso contrário, adicione-o em Control Panel > Add/Remove Programs.

  1. Selecione Administrative Tools > Internet Authentication Service e clique com o botão direito em RADIUS Client para adicionar um novo cliente RADIUS. Após digitar as informações do cliente, clique em OK.

    Este exemplo mostra um cliente chamado Pix com endereço IP 10.11.1.1. O fornecedor do cliente é definido como RADIUS Standard e o segredo compartilhado é cisco123.

    pix7x-vpn4x-w2k-ias-14.gif

  2. Vá para Remote Access Policies, clique com o botão direito em Connections to Other Access Servers e selecione Properties.

  3. Certifique-se de que a opção Grant Remote Access Permissions esteja selecionada.

  4. Clique em Edit Profile e marque estas configurações:

    • Na guia Authentication, marque Unencrypted authentication (PAP, SPAP), MS-CHAP, and MS-CHAP-v2.

    • Na guia Encryption, certifique-se de que a opção No Encryption esteja selecionada.

    Clique em OK quando tiver concluído.

    pix7x-vpn4x-w2k-ias-15.gif

  5. Selecione Administrative Tools > Computer Management > System Tools > Local Users and Groups, clique com o botão direito em Users e selecione New Users para adicionar um novo usuário na conta do computador local.

  6. Adicione um usuário com senha Cisco password1 e marque estas informações de perfil:

    • Na guia General, certifique-se que a opção Password Never Expired esteja selecionada ao invés da opção User Must Change Password.

    • Na guia Dial-in, selecione a opção Allow access (ou mantenha a configuração padrão Control access through Remote Access Policy).

    Clique em OK quando tiver concluído.

    pix7x-vpn4x-w2k-ias-16.gif

Verificação

Autenticação AAA

No PIX, use a palavra-chave Test com o comando aaa authentication no modo de configuração global para verificar a autenticação de usuário com o servidor AAA. Após o comando ser inserido, o PIX solicita que você digite o nome do usuário e a senha para validar. Quando as credenciais de usuário forem verificadas e validadas, você receberá a mensagem Authentication Successful.

pix(config-aaa-server-host)#test aaa authentication radius host 10.11.1.2

Username: administrator
Password: *****

INFO: Attempting Authentication test to IP address <10.11.1.2> (timeout: 12 sec
onds)
INFO: Authentication Successful

Comandos show

Use esta seção para verificar se a sua configuração funciona corretamente.

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • show crypto isakmp sa — Mostra todas as associações de segurança (SAs) atuais de IKE em um peer.

  • show crypto ipsec sa — Mostra as configurações usadas pelas associações de segurança atuais.

PIX#show crypto ipsec sa
				interface: outside
    Crypto map tag: dynmap, seq num: 10, local addr: 10.10.1.2

      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (10.16.20.1/255.255.255.255/0/0)
      current_peer: 10.0.0.1, username: administrator
      dynamic allocated peer ip: 10.16.20.1

      #pkts encaps: 33, #pkts encrypt: 33, #pkts digest: 33
      #pkts decaps: 33, #pkts decrypt: 33, #pkts verify: 33
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 10.10.1.2, remote crypto endpt.: 10.0.0.1

      path mtu 1500, ipsec overhead 60, media mtu 1500
      current outbound spi: CA8BF3BC

    inbound esp sas:
      spi: 0xE4F08D9F (3840970143)
         transform: esp-des esp-md5-hmac
         in use settings ={RA, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: dynmap
         sa timing: remaining key lifetime (sec): 28689
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0xCA8BF3BC (3398169532)
         transform: esp-des esp-md5-hmac
         in use settings ={RA, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: dynmap
         sa timing: remaining key lifetime (sec): 28687
         IV size: 8 bytes
         replay detection support: Y

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração. Um exemplo de saída de debug também é mostrado.

Limpeza de Associações de Segurança

Ao fazer o troubleshooting, certifique-se de limpar as associações de segurança existentes após efetuar uma alteração. No modo privilegiado do PIX, use os seguintes comandos:

  • clear [crypto] ipsec sa — Exclui as associações de segurança ativas do IPsec. A palavra-chave crypto é opcional.

  • clear [crypto] isakmp sa — Exclui as associações de segurança de IKE ativas. A palavra-chave crypto é opcional.

Comandos de Troubleshooting

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

  • debug crypto ipsec — Exibe as negociações de IPsec da fase 2.

  • debug crypto isakmp — Exibe as negociações de ISAKMP da fase 1.

Exemplo de Saída de debug

PIX Firewall

PIX#debug crypto isakmp 7
PIX# May 22 22:32:25 [IKEv1]: IP = 10.0.0.1, IKE_DECODE RECEIVED Message (msgid=
9117fc3d) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length :
 80
May 22 22:32:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing hash payload
May 22 22:32:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing notify payload
May 22 22:32:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1


!--- Intercâmbio de Dead-Peer-Detection

0.0.0.1, Received keep-alive of type DPD R-U-THERE (seq number 0x36a6342)
May 22 22:32:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x36a6342)
May 22 22:32:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing blank hash payload
May 22 22:32:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing qm hash payload
May 22 22:32:25 [IKEv1]: IP = 10.0.0.1, IKE_DECODE SENDING Message (msgid=4c047e
39) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:32:36 [IKEv1]: IP = 10.0.0.1, IKE_DECODE RECEIVED Message (msgid=a1063
306) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:32:36 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing hash payload
May 22 22:32:36 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing notify payload
May 22 22:32:36 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Received keep-alive of type DPD R-U-THERE (seq number 0x36a6343)
May 22 22:32:36 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x36a6343)
May 22 22:32:36 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing blank hash payload
May 22 22:32:36 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing qm hash payload
May 22 22:32:36 [IKEv1]: IP = 10.0.0.1, IKE_DECODE SENDING Message (msgid=ceada9
19) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:32:47 [IKEv1]: IP = 10.0.0.1, IKE_DECODE RECEIVED Message (msgid=ab66b
5e2) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:32:47 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing hash payload
May 22 22:32:47 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing notify payload
May 22 22:32:47 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Received keep-alive of type DPD R-U-THERE (seq number 0x36a6344)
May 22 22:32:47 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x36a6344)
May 22 22:32:47 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing blank hash payload
May 22 22:32:47 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing qm hash payload
May 22 22:32:47 [IKEv1]: IP = 10.0.0.1, IKE_DECODE SENDING Message (msgid=b5341b
a5) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:32:58 [IKEv1]: IP = 10.0.0.1, IKE_DECODE RECEIVED Message (msgid=22d77
ee7) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:32:58 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing hash payload
May 22 22:32:58 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing notify payload
May 22 22:32:58 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Received keep-alive of type DPD R-U-THERE (seq number 0x36a6345)
May 22 22:32:58 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x36a6345)
May 22 22:32:58 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing blank hash payload
May 22 22:32:58 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing qm hash payload
May 22 22:32:58 [IKEv1]: IP = 10.0.0.1, IKE_DECODE SENDING Message (msgid=8d688b
d2) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:33:14 [IKEv1]: IP = 10.0.0.1, IKE_DECODE RECEIVED Message (msgid=f949a
e6) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:33:14 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing hash payload
May 22 22:33:14 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing notify payload
May 22 22:33:14 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Received keep-alive of type DPD R-U-THERE (seq number 0x36a6346)
May 22 22:33:14 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x36a6346)
May 22 22:33:14 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing blank hash payload
May 22 22:33:14 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing qm hash payload
May 22 22:33:14 [IKEv1]: IP = 10.0.0.1, IKE_DECODE SENDING Message (msgid=fd9fef
25) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:33:25 [IKEv1]: IP = 10.0.0.1, IKE_DECODE RECEIVED Message (msgid=54d3b
543) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:33:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing hash payload
May 22 22:33:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing notify payload
May 22 22:33:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Received keep-alive of type DPD R-U-THERE (seq number 0x36a6347)
May 22 22:33:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x36a6347)
May 22 22:33:26 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing blank hash payload
May 22 22:33:26 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing qm hash payload
May 22 22:33:26 [IKEv1]: IP = 10.0.0.1, IKE_DECODE SENDING Message (msgid=4d4102
0b) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:33:37 [IKEv1]: IP = 10.0.0.1, IKE_DECODE RECEIVED Message (msgid=af7ad
910) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:33:37 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing hash payload
May 22 22:33:37 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing notify payload
May 22 22:33:37 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Received keep-alive of type DPD R-U-THERE (seq number 0x36a6348)
May 22 22:33:37 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x36a6348)
May 22 22:33:37 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing blank hash payload
May 22 22:33:37 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing qm hash payload
May 22 22:33:37 [IKEv1]: IP = 10.0.0.1, IKE_DECODE SENDING Message (msgid=84cd22
35) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80

PIX#debug crypto ipsec 7


!--- Exclui os SAs antigos.

PIX# IPSEC: Deleted inbound decrypt rule, SPI 0xA7E3E225
    Rule ID: 0x0243DD38
IPSEC: Deleted inbound permit rule, SPI 0xA7E3E225
    Rule ID: 0x024BA720
IPSEC: Deleted inbound tunnel flow rule, SPI 0xA7E3E225
    Rule ID: 0x02445A48
IPSEC: Deleted inbound VPN context, SPI 0xA7E3E225
    VPN handle: 0x018F68A8
IPSEC: Deleted outbound encrypt rule, SPI 0xB9C97D06
    Rule ID: 0x024479B0
IPSEC: Deleted outbound permit rule, SPI 0xB9C97D06
    Rule ID: 0x0243E9E0
IPSEC: Deleted outbound VPN context, SPI 0xB9C97D06
    VPN handle: 0x0224F490


!--- Cria novos SAs.

IPSEC: New embryonic SA created @ 0x02448B38,
    SCB: 0x024487E0,
    Direction: inbound
    SPI      : 0xE4F08D9F
    Session ID: 0x00000001
    VPIF num  : 0x00000001
    Tunnel type: ra
    Protocol   : esp
    Lifetime   : 240 seconds
IPSEC: New embryonic SA created @ 0x02446750,
    SCB: 0x02511DD8,
    Direction: outbound
    SPI      : 0xCA8BF3BC
    Session ID: 0x00000001
    VPIF num  : 0x00000001
    Tunnel type: ra
    Protocol   : esp
    Lifetime   : 240 seconds
IPSEC: Completed host OBSA update, SPI 0xCA8BF3BC
IPSEC: Creating outbound VPN context, SPI 0xCA8BF3BC
    Flags: 0x00000005
    SA   : 0x02446750
    SPI  : 0xCA8BF3BC
    MTU  : 1500 bytes
    VCID : 0x00000000
    Peer : 0x00000000
    SCB  : 0x02511DD8
    Channel: 0x014A42F0
IPSEC: Completed outbound VPN context, SPI 0xCA8BF3BC
    VPN handle: 0x024B9868
IPSEC: New outbound encrypt rule, SPI 0xCA8BF3BC
    Src addr: 0.0.0.0
    Src mask: 0.0.0.0
    Dst addr: 10.16.20.1
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 0
    Use protocol: false
    SPI: 0x00000000
    Use SPI: false
IPSEC: Completed outbound encrypt rule, SPI 0xCA8BF3BC
    Rule ID: 0x024B9B58
IPSEC: New outbound permit rule, SPI 0xCA8BF3BC
    Src addr: 10.10.1.2
    Src mask: 255.255.255.255
    Dst addr: 10.0.0.1
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0xCA8BF3BC
    Use SPI: true
IPSEC: Completed outbound permit rule, SPI 0xCA8BF3BC
    Rule ID: 0x024E7D18
IPSEC: Completed host IBSA update, SPI 0xE4F08D9F
IPSEC: Creating inbound VPN context, SPI 0xE4F08D9F
    Flags: 0x00000006
    SA   : 0x02448B38
    SPI  : 0xE4F08D9F
    MTU  : 0 bytes
    VCID : 0x00000000
    Peer : 0x024B9868
    SCB  : 0x024487E0
    Channel: 0x014A42F0
IPSEC: Completed inbound VPN context, SPI 0xE4F08D9F
    VPN handle: 0x024D90A8
IPSEC: Updating outbound VPN context 0x024B9868, SPI 0xCA8BF3BC
    Flags: 0x00000005
    SA   : 0x02446750
    SPI  : 0xCA8BF3BC
    MTU  : 1500 bytes
    VCID : 0x00000000
    Peer : 0x024D90A8
    SCB  : 0x02511DD8
    Channel: 0x014A42F0
IPSEC: Completed outbound VPN context, SPI 0xCA8BF3BC
    VPN handle: 0x024B9868
IPSEC: Completed outbound inner rule, SPI 0xCA8BF3BC
    Rule ID: 0x024B9B58
IPSEC: Completed outbound outer SPD rule, SPI 0xCA8BF3BC
    Rule ID: 0x024E7D18
IPSEC: New inbound tunnel flow rule, SPI 0xE4F08D9F
    Src addr: 10.16.20.1
    Src mask: 255.255.255.255
    Dst addr: 0.0.0.0
    Dst mask: 0.0.0.0
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 0
    Use protocol: false
    SPI: 0x00000000
    Use SPI: false
IPSEC: Completed inbound tunnel flow rule, SPI 0xE4F08D9F
    Rule ID: 0x0243DD38
IPSEC: New inbound decrypt rule, SPI 0xE4F08D9F
    Src addr: 10.0.0.1
    Src mask: 255.255.255.255
    Dst addr: 10.10.1.2
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0xE4F08D9F
    Use SPI: true
IPSEC: Completed inbound decrypt rule, SPI 0xE4F08D9F
    Rule ID: 0x02440628
IPSEC: New inbound permit rule, SPI 0xE4F08D9F
    Src addr: 10.0.0.1
    Src mask: 255.255.255.255
    Dst addr: 10.10.1.2
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0xE4F08D9F
    Use SPI: true
IPSEC: Completed inbound permit rule, SPI 0xE4F08D9F
    Rule ID: 0x0251A970

VPN Client 4.8 para Windows

Selecione Log > Log settings para ativar os níveis de log no VPN Client.

pix7x-vpn4x-w2k-ias-12.gif

Selecione Log > Log Window para exibir as entradas de log no VPN Client.

pix7x-vpn4x-w2k-ias-13.gif


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 70330