Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

Exemplo de Configuração de L2TP sobre IPsec entre o Windows 2000/XP PC e o PIX/ASA 7.2 Usando uma Chave Pré-compartilhada

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (13 Setembro 2013) | Inglês (13 Outubro 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Produtos Relacionados
      Convenções
Informações de Apoio
Configuração
      Diagrama de Rede
      Configurações
      Configuração do Cliente L2TP/IPsec do Windows
      Configuração do Servidor L2TP no PIX
      Configuração do L2TP Usando o ASDM
      Configuração do Microsoft Windows 2003 Server com IAS
Verificação
Troubleshooting
      Comandos de Troubleshooting
      Exemplo de Saída de debug
      Troubleshooting Usando o ASDM
      Troubleshooting do Windows Vista
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento descreve como configurar o Layer 2 Tunneling Protocol (L2TP) sobre o IP Security (IPsec) de clientes remotos do Microsoft Windows 2000/2003 e XP para um PIX Security Appliance corporativo utilizando chaves pré-compartilhadas com o servidor RADIUS do Microsoft Windows 2003 Internet Authentication Service (IAS). Consulte Microsoft - Checklist: Configuring IAS for dial-up and VPN access leavingcisco.com para obter mais informações sobre o IAS.

O principal benefício da configuração do L2TP com IPsec em um cenário de acesso remoto é que os usuários remotos podem acessar uma VPN sobre uma rede IP pública sem um gateway ou uma linha dedicada. Isso permite o acesso remoto de virtualmente qualquer lugar com o uso da POTS. Um benefício adicional é que o único requisito do cliente para o acesso à VPN é o uso do Windows 2000 com o Microsoft Dial-Up Networking (DUN). Nenhum software cliente adicional, como o Cisco VPN Client, é necessário.

Este documento também descreve como utilizar o Cisco Adaptive Security Device Manager (ASDM) para configurar o PIX 500 Series Security Appliance para o L2TP sobre IPsec.

Nota:  O Layer 2 Tunneling Protocol (L2TP) sobre IPsec é compatível com o Cisco Secure PIX Firewall Software Release 6.x ou posterior.

Para configurar o L2TP sobre IPsec entre o PIX 6.x e o Windows 2000, consulte Configurando o L2TP sobre IPsec Entre o PIX Firewall e o Windows 2000 PC Usando Certificados.

Para configurar o L2TP sobre IPsec de clientes remotos do Microsoft Windows 2000 e XP para um site corporativo usando um método de criptografia, consulte Configurando o L2TP sobre IPsec de um Cliente Windows 2000 ou XP para um Cisco VPN 3000 Series Concentrator Usando Chaves Pré-compartilhadas.

Pré-requisitos

Requisitos

Antes do estabelecimento do túnel seguro, deve haver conectividade IP entre os peers.

Certifique-se que a porta UDP 1701 não esteja bloqueada em nenhum ponto no caminho da conexão.

Use somente o grupo de túneis padrão e a política de grupo padrão no Cisco PIX/ASA. As políticas e os grupos definidos pelo usuário não funcionam.

Nota: O Security Appliance não estabelecerá um túnel L2TP/IPsec com o Windows 2000 se o Cisco VPN Client 3.x ou Cisco VPN 3000 Client 2.5 estiver instalado. Desabilite o serviço Cisco VPN do Cisco VPN Client 3.x ou o serviço ANetIKE do Cisco VPN 3000 Client 2.5 no painel Services do Windows 2000. Para fazer isso, selecione Start > Programs > Administrative Tools > Services, reinicie o serviço IPsec Policy Agent no painel Services e reinicialize o computador.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • PIX Security Appliance 515E com software versão 7.2(1) ou posterior

  • Adaptive Security Device Manager 5.2(1) ou posterior

  • Microsoft Windows 2000 Server

  • Microsoft Windows XP Professional com SP2

  • Windows 2003 Server com IAS

Nota: Se você atualizar o PIX 6.3 para a versão 7.x, certifique-se de instalar o SP2 no Windows XP (cliente L2TP).

Nota: As informações no documento também são válidas para o ASA Security Appliance.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração também pode ser usada com o ASA 5500 Series Security Appliance 7.2(1) ou posterior.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Execute estes passos para configurar o L2TP sobre IPsec.

  1. Configure o modo de transporte IPsec para habilitar o IPsec com L2TP.

    O cliente L2TP/IPsec do Windows 2000 usa o modo de transporte IPsec. Somente a carga IP é criptografada, e os cabeçalhos de IP originais são mantidos intactos. As vantagens desse modo são que ele adiciona somente poucos bytes a cada pacote e permite que dispositivos na rede pública vejam a origem e o destino final do pacote. Dessa forma, para que os clientes L2TP/IPsec do Windows 2000 se conectem ao Security Appliance, você deverá configurar o modo de transporte IPsec para uma transformada (consulte o passo 2 na Configuração do SDM). Com essa capacidade (transporte), você poderá habilitar processamentos especiais (por exemplo, QoS) na rede intermediária com base nas informações do cabeçalho de IP. Entretanto, o cabeçalho da Camada 4 é criptografado, o que limita o exame do pacote. Infelizmente, com a transmissão do cabeçalho de IP em texto não criptografado, o modo de transporte permite que um atacante efetue algumas análises de tráfego.

  2. Configure o L2TP com um grupo de rede virtual privada de discagem (VPDN).

A configuração do L2TP com IPsec oferece suporte a certificados que utilizam métodos de chaves pré-compartilhadas ou assinatura de RSA e o uso de mapas de criptografia dinâmicos (em oposição aos estáticos). A chave pré-compartilhada é utilizada como uma autenticação para o estabelecimento do túnel L2TP sobre IPsec.

Configuração

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados neste documento.

Nota: Os esquemas de endereçamento IP utilizados nesta configuração não são legalmente roteáveis na Internet. Eles são endereços da RFC 1918 que foram usados em um ambiente de laboratório.

Diagrama de Rede

Este documento usa esta configuração de rede:

l2tp-w2kxp-pix72-pre-16-new.gif

Configurações

Este documento utiliza estas configurações:

Configuração do Cliente L2TP/IPsec do Windows

Execute estes passos para configurar o L2TP sobre IPsec no Windows 2000. Para o Windows XP, pule os passos 1 e 2 e comece no passo 3:

  1. Adicione esse valor ao Registro dos seus computadores Windows 2000 ou XP:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
  2. Adicione este valor do Registro a esta chave:

    Value Name: ProhibitIpSec
    Data Type: REG_DWORD
    Value: 1

    Nota: Em alguns casos, a adição dessa chave (Value: 1) parece interromper a conexão, pois faz com que o XP negocie somente o L2TP em vez de uma conexão L2TP sobre IPsec. É obrigatória a adição de uma política de IPsec em conjunto com essa chave de registro. Se você receber um error 800 ao tentar estabelecer uma conexão, remova a chave (Value: 1) para que a conexão funcione.

    Nota: Você deverá reiniciar o computador Windows 2000/2003 ou XP para que as alterações tenham efeito. Por padrão, o cliente Windows tenta usar o IPsec com uma Autoridade de Certificação (CA). A configuração dessa chave do Registro impede que isso ocorra. Agora você pode configurar uma política de IPsec na estação Windows que corresponda aos parâmetros desejados no PIX/ASA. Consulte Como Configurar uma Conexão L2TP/IPSec Usando a Autenticação de Chave Pré-Compartilhada (Q240262) leavingcisco.com para obter uma configuração passo a passo da política de IPsec do Windows.

    Consulte Configuração de uma Chave Pré-Compartilhada para Uso com Conexões do Layer 2 Tunneling Protocol no Windows XP (Q281555)\ leavingcisco.com para obter mais informações.

  3. Crie sua conexão.

  4. Em Network and Dial-up Connections, clique com o botão direito na conexão e selecione Properties.

    Vá até a guia Security e clique em Advanced. Selecione os protocolos conforme mostrado nesta imagem.

    l2tp-w2kxp-pix72-pre-2.gif

  5. Nota: Este passo se aplica somente ao Windows XP.

    Clique em IPSec Settings, marque Use pre-shared key for authentication e insira a chave pré-compartilhada para configurar a chave pré-compartilhada.

    Neste exemplo, test é usado como a chave pré-compartilhada.

    l2tp-w2kxp-pix72-pre-3.gif

Configuração do Servidor L2TP no PIX

PIX 7.2

pixfirewall#show run

PIX Version 7.2(1)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!

!--- Configura as interfaces externa e interna.

interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.4.4.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid


access-list nonat extended permit ip 10.4.4.0 255.255.255.0 10.4.5.0 255.255.255.0
nat (inside) 0 access-list nonat

pager lines 24
logging console debugging
mtu outside 1500
mtu inside 1500


!--- Cria um pool de endereços do qual os endereços IP são atribuídos
!--- dinamicamente aos clientes VPN remotos.

ip local pool clientVPNpool 10.4.4.10-10.4.4.20 mask 255.255.255.0

no failover
asdm image flash:/asdm-521.bin
no asdm history enable
arp timeout 14400


!--- Os comandos global e nat habilitam a
!--- Tradução de Endereço de Porta (PAT) usando um IP de interface externa
!--- para todo o tráfego de saída.

global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0


route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute


!--- Crie o grupo "vpn" do servidor AAA e especifique seu protocolo como RADIUS.
!--- Especifique o servidor IAS como membro do grupo "vpn" e forneça seu
!--- local e a chave.


aaa-server vpn protocol radius
aaa-server vpn host 10.4.4.2
 key radiuskey


!--- Identifica a política de grupo como interna.


group-policy DefaultRAGroup internal


!--- Instrui o Security Appliance a enviar os endereços IP
!--- dos servidores DNS e WINS para o cliente.


group-policy DefaultRAGroup attributes
 wins-server value 10.4.4.99
 dns-server value 10.4.4.99


!--- Configura o L2TP sobre IPsec como um protocolo de tunelamento de VTP válido para um grupo. 

 vpn-tunnel-protocol IPSec l2tp-ipsec
 default-domain value cisco.com

!--- Configura nomes de usuário e senhas no dispositivo
!--- além de usar o AAA.
!--- Se o usuário for um cliente L2TP que usa o Microsoft CHAP versão 1 ou
!--- versão 2 e o Security Appliance estiver configurado
!--- para se autenticar no banco de dados
!--- local, você deverá incluir a palavra-chave mschap.
!--- Por exemplo, nome de usuário <nome de usuário> senha <senha> mschap.


username test password DLaUiAX3l78qgoB5c7iVNw== nt-encrypted


 vpn-tunnel-protocol l2tp-ipsec

http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart



!--- Identifica os algoritmos de criptografia e hash de IPsec
!--- que serão usados no conjunto de transformação.


crypto ipsec transform-set TRANS_ESP_3DES_MD5 esp-3des esp-md5-hmac


!--- Como o cliente Windows 2000 L2TP/IPsec usa o modo de transporte de IPsec,
!--- defina o modo como transporte.
!--- O padrão é o modo de túnel.


crypto ipsec transform-set TRANS_ESP_3DES_MD5 mode transport





!--- Especifica os conjuntos de transformação que serão usados em uma entrada dinâmica do mapa de criptografia.


crypto dynamic-map outside_dyn_map 20 set transform-set TRANS_ESP_3DES_MD5


!--- Requer que uma determinada entrada do mapa de criptografia faça referência
!--- a um mapa de criptografia dinâmico existente.


crypto map outside_map 20 ipsec-isakmp dynamic outside_dyn_map


!--- Aplica um conjunto de mapa de criptografia previamente definido a uma interface externa.


crypto map outside_map interface outside

crypto isakmp enable outside
crypto isakmp nat-traversal 20


!--- Especifica os parâmetros da política da Fase 1 do IKE.


crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash md5
 group 2
 lifetime 86400


!--- Cria um grupo de túneis com o comando tunnel-group e especifica o nome do
!--- pool de endereços local usado para alocar o endereço IP para o cliente.
!--- Associe o grupo do servidor AAA (VPN) ao grupo de túneis.


tunnel-group DefaultRAGroup general-attributes
 address-pool clientVPNpool
 authentication-server-group vpn


!--- Vincule o nome da política de grupo ao grupo de túnel
!--- padrão do modo de atributos gerais do grupo de túnel.



 default-group-policy DefaultRAGroup


!--- Use o comando tunnel-group ipsec-attributes
!--- para entrar no modo de configuração de atributos do IPsec.
!--- Defina a chave pré-compartilhada.
!--- Esta chave deve ser a mesma chave configurada no computador Windows.


tunnel-group DefaultRAGroup ipsec-attributes
 pre-shared-key *


!--- Configura o protocolo de autenticação PPP com o comando authentication type
!--- do modo de atributos de PPP do grupo de túnel.


tunnel-group DefaultRAGroup ppp-attributes
 no authentication chap
 authentication ms-chap-v2

telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:e1e0730fa260244caa2e2784f632accd
: end

Configuração do L2TP Usando o ASDM

Execute estes passos para configurar o Security Appliance para aceitar conexões de L2TP sobre IPsec:

  1. Adicione um conjunto de transformação de IPsec e especifique para o IPsec usar o modo de transporte em vez do modo de túnel. Para fazer isso, selecione Configuration > VPN > IPSec > Transform Sets e clique em Add. O painel Transform Sets é exibido.

    l2tp-w2kxp-pix72-pre-4.gif

  2. Execute estes passos para adicionar um conjunto de transformação:

    1. Insira um nome para o conjunto de transformação.

    2. Selecione os métodos de criptografia ESP e autenticação ESP.

    3. Selecione o modo Transport.

    4. Clique em OK.

      l2tp-w2kxp-pix72-pre-5.gif

  3. Execute estes passos para configurar um método de atribuição de endereço. Este exemplo utiliza pools de endereços IP.

    1. Selecione Configuration > VPN > IP Address Management > IP Pools.

    2. Clique em Add. A caixa de diálogo Add IP Pool será exibida.

    3. Insira o nome do novo pool de endereços IP.

    4. Insira os endereços IP inicial e final.

    5. Insira a máscara de sub-rede e clique em OK.

      l2tp-w2kxp-pix72-pre-6.gif

  4. Selecione Configuration > VPN > General > Group Policy para configurar o L2TP sobre IPsec como um protocolo de tunelamento de VPN válido para a política de grupo. O painel Group Policy é exibido.

    l2tp-w2kxp-pix72-pre-7.gif

  5. Selecione uma política de grupo (DiffGrpPolicy) e clique em Edit.

    A caixa de diálogo Edit Group Policy é exibida. Marque L2TP over IPSec para habilitar o protocolo para a política de grupo e, em seguida, clique em OK.

    l2tp-w2kxp-pix72-pre-8.gif

  6. Execute estes passos para atribuir o pool de endereços IP a um grupo de túneis:

    1. Selecione Configuration > VPN > General > Tunnel Group.

    2. Após o painel Tunnel Group ser exibido, selecione um grupo de túneis (DefaultRAGroup) na tabela.

    3. Clique em Edit.

      l2tp-w2kxp-pix72-pre-9.gif

  7. Execute estes passos quando a janela Edit Tunnel Group for exibida:

    1. Na guia General, vá para a guia Client Address Assignment.

    2. Na área Address Pools, selecione um pool de endereços para atribuir ao grupo de túneis.

    3. Clique em Add. O pool de endereços é exibido na caixa Assigned Pools.

      l2tp-w2kxp-pix72-pre-10.gif

  8. Para definir a chave pré-compartilhada, vá para a guia IPSec, insira sua Pre-shared Key e clique em OK.

    l2tp-w2kxp-pix72-pre-11.gif

  9. O L2TP sobre IPsec usa protocolos de autenticação do PPP. Especifique os protocolos permitidos para conexões PPP na guia PPP do grupo de túneis. Selecione o protocolo MS-CHAP-V1 para autenticação.

    l2tp-w2kxp-pix72-pre-12.gif

  10. Especifique um método para autenticar os usuários que solicitam conexões de L2TP sobre IPsec.

    Você pode configurar o Security Appliance para usar um servidor de autenticação ou seu próprio banco de dados local. Para fazer isso, vá para a guia Authentication no grupo de túnel. Por padrão, o Security Appliance usa seu banco de dados local. A lista suspensa Authentication Server Group indica LOCAL. Para usar um servidor de autenticação, selecione-o na lista.

    Nota: O Security Appliance oferece suporte somente às autenticações do PPP PAP e Microsoft CHAP versões 1 e 2 no banco de dados local. O EAP e o CHAP são efetuados por servidores de autenticação proxy. Dessa forma, se um usuário remoto pertencer a um grupo de túneis configurado com EAP ou CHAP, e o Security Appliance estiver configurado para utilizar o banco de dados local, esse usuário não será capaz de se conectar.

    l2tp-w2kxp-pix72-pre-13.gif

    Nota: Selecione Configuration > VPN > General > Tunnel Group para retornar à configuração do grupo de túneis para que você possa vincular a política de grupo ao grupo de túneis e habilitar o switching de grupos de túneis (opcional). Quando o painel Tunnel Group for exibido, selecione o grupo de túneis e clique em Edit.

    Nota: O switching de grupo de túneis habilita o Security Appliance a associar usuários diferentes que estabelecem conexões L2TP sobre IPsec a diferentes grupos de túneis. Como cada grupo de túneis possui seus próprios grupo de servidor AAA e pools de endereços IP, os usuários podem se autenticar pelos métodos especificados em seus grupos de túneis. Com esse recurso, em vez de enviar apenas um nome de usuário, o usuário envia um nome de usuário e um nome de grupo no formato nome_de_usuário@nome_do_grupo, onde "@" representa um delimitador que você pode configurar, e o nome do grupo é o nome de um grupo de túneis configurado no Security Appliance.

    Nota: O switching de grupo de túneis é possibilitado pelo processamento de extração de grupo, que habilita o Security Appliance a selecionar o grupo de túneis para conexões dos usuários obtendo o nome do grupo a partir do nome do usuário fornecido ao cliente VPN. O Security Appliance em seguida envia somente a parte do usuário do nome do usuário para autorização e autenticação. Caso contrário (se desabilitado), o Security Appliance envia o nome do usuário completo, incluindo o realm. Para habilitar o switching de grupo de túneis, marque Strip the realm from username before passing it on to the AAA server e marque Strip the group from username before passing it on to the AAA server. Em seguida, clique em OK.

  11. Execute estes passos para criar um usuário no banco de dados local:

    1. Selecione Configuration >Properties > Device Administration > User Accounts.

    2. Clique em Add.

      Se o usuário for um cliente L2TP que utiliza o Microsoft CHAP versão 1 ou 2 e o Security Appliance estiver configurado para autenticar usando o banco de dados local, você deverá marcar User Authenticated using MSCHAP para habilitar o MSCHAP.

    3. Clique em OK.

      l2tp-w2kxp-pix72-pre-14.gif

  12. Selecione Configuration > VPN > IKE > Policies e clique em Add para criar uma política de IKE para a Fase I. Clique em OK para continuar.

    l2tp-w2kxp-pix72-pre-15.gif

  13. (Opcional) Se você esperar que diversos clientes L2TP atrás de um dispositivo NAT solicitem conexões de L2TP sobre IPsec ao Security Appliance, será necessário habilitar a passagem de NAT para que os pacotes ESP possam atravessar um ou mais dispositivos NAT. Execute estes passos para fazer isso:

    1. Selecione Configuration > VPN > IKE > Global Parameters.

    2. Certifique-se de que o ISAKMP esteja habilitado em uma interface.

    3. Marque Enable IPSec over NAT-T.

    4. Clique em OK.

Configuração do Microsoft Windows 2003 Server com IAS

Execute estes passos para configurar o Microsoft Windows 2003 Server com IAS.

Nota: Para estes passos, supõe-se que o IAS já tenha sido instalado no computador local. Caso contrário, adicione-o em Control Panel > Add/Remove Programs.

  1. Selecione Administrative Tools > Internet Authentication Service e clique com o botão direito em RADIUS Client para adicionar um novo cliente RADIUS. Após digitar as informações do cliente, clique em OK.

    Este exemplo mostra um cliente chamado "Pix" com endereço IP 10.4.4.1. O fornecedor do cliente é definido como RADIUS Standard e o segredo compartilhado é radiuskey.

    pix7x-vpn4x-w2k-ias-14.gif

  2. Selecione Remote Access Policies, clique com o botão direito em Connections to Other Access Servers e selecione Properties.

  3. Certifique-se que a opção Grant Remote Access Permissions esteja selecionada.

  4. Clique em Edit Profile e marque estas configurações:

    • Na guia Authentication, marque Unencrypted authentication (PAP, SPAP).

    • Na guia Encryption, certifique-se que a opção No Encryption esteja selecionada.

    Clique em OK quando tiver concluído.

    pix7x-vpn4x-w2k-ias-15.gif

  5. Selecione Administrative Tools > Computer Management > System Tools > Local Users and Groups, clique com o botão direito em Users e selecione New Users para adicionar um novo usuário à conta do computador local.

  6. Adicione um usuário com senha Cisco password1 e marque estas informações de perfil:

    • Na guia General, certifique-se que a opção Password Never Expires esteja selecionada em vez da opção User Must Change Password.

    • Na guia Dial-in, selecione a opção Allow access (ou mantenha a configuração padrão Control access through Remote Access Policy).

    Clique em OK quando tiver concluído.

    pix7x-vpn4x-w2k-ias-16.gif

Verificação

Esta seção fornece informações que você pode usar para confirmar se a configuração está funcionando corretamente.

Alguns comandos show são aceitos pela Output Interpreter Tool (somente clientes registrados), o que permite exibir uma análise da saída do comando show.

  • show crypto ipsec sa — Mostra todas as associações de segurança (SAs) atuais de IKE em um peer.

    pixfirewall#show crypto ipsec sa
    interface: outside
        Crypto map tag: outside_dyn_map, seq num: 20, local addr: 172.16.1.1
    
          access-list 105 permit ip host 172.16.1.1 host 192.168.0.2
          local ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/17/0)
          remote ident (addr/mask/prot/port): (192.168.0.2/255.255.255.255/17/1701)
          current_peer: 192.168.0.2, username: test
          dynamic allocated peer ip: 10.4.4.15
    
    #pkts encaps: 23, #pkts encrypt: 23, #pkts digest: 23
           #pkts decaps: 93, #pkts decrypt: 93, #pkts verify: 93
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 23, #pkts comp failed: 0, #pkts decomp failed: 0
          #post-frag successes: 0, #post-frag failures: 0, #fragments created: 0
          #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 172.16.1.1, remote crypto endpt.: 192.168.0.2
    
          path mtu 1500, ipsec overhead 58, media mtu 1500
          current outbound spi: C16F05B8
    
        inbound esp sas:
          spi: 0xEC06344D (3959829581)
             transform: esp-3des esp-md5-hmac
             in use settings ={RA, Transport, }
             slot: 0, conn_id: 3, crypto-map: outside_dyn_map
             sa timing: remaining key lifetime (sec): 3335
             IV size: 8 bytes
             replay detection support: Y
    
    				outbound esp sas:
          spi: 0xC16F05B8 (3245278648)
             transform: esp-3des esp-md5-hmac
             in use settings ={RA, Transport, }
             slot: 0, conn_id: 3, crypto-map: outside_dyn_map
             sa timing: remaining key lifetime (sec): 3335
             IV size: 8 bytes
             replay detection support: Y
  • show crypto isakmp sa — Mostra todas as SAs de IKE atuais em um peer.

    pixfirewall#show crypto isakmp sa
    
       Active SA: 1
        Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 192.168.0.2
        Type    : user            Role    : responder
        Rekey   : no              State   : MM_ACTIVE
  • show vpn-sessiondb — Inclui filtros de protocolo que você pode utilizar para exibir informações detalhadas sobre conexões de L2TP sobre IPsec. O comando completo do modo de configuração global é show vpn-sessoindb detailed remote filter protocol l2tpOverIpsec.

    Este exemplo mostra os detalhes de uma única conexão L2TP sobre IPsec:

    pixfirewall#show vpn-sessiondb detail remote filter protocol L2TPOverIPSec
    
    Session Type: Remote Detailed
    
    Username     : test
    Index        : 1
    Assigned IP  : 10.4.4.15              Public IP    : 192.168.0.2
    Protocol     : L2TPOverIPSec          Encryption   : 3DES
    Hashing      : MD5
    Bytes Tx     : 1336                   Bytes Rx     : 14605
    Client Type  :                        Client Ver   :
    Group Policy : DefaultRAGroup
    Tunnel Group : DefaultRAGroup
    Login Time   : 18:06:08 UTC Fri Jan 1 1993
    Duration     : 0h:04m:25s
    Filter Name  :
    NAC Result   : N/A
    Posture Token:
    
    IKE Sessions: 1
    IPSec Sessions: 1
    L2TPOverIPSec Sessions: 1
    
    
    IKE:
      Session ID   : 1
      UDP Src Port : 500                    UDP Dst Port : 500
      IKE Neg Mode : Main                   Auth Mode    : preSharedKeys
      Encryption   : 3DES                   Hashing      : MD5
      Rekey Int (T): 28800 Seconds          Rekey Left(T): 28536 Seconds
      D/H Group    : 2
    
    IPSec:
      Session ID   : 2
      Local Addr   : 172.16.1.1/255.255.255.255/17/1701
      Remote Addr  : 192.168.0.2/255.255.255.255/17/1701
      Encryption   : 3DES                   Hashing      : MD5
      Encapsulation: Transport
      Rekey Int (T): 3600 Seconds           Rekey Left(T): 3333 Seconds
      Idle Time Out: 30 Minutes             Idle TO Left : 30 Minutes
      Bytes Tx     : 1336                   Bytes Rx     : 14922
      Pkts Tx      : 25                     Pkts Rx      : 156
    
    
    L2TPOverIPSec:
      Session ID   : 3
      Username     : test
      Assigned IP  : 10.4.4.15
      Encryption   : none                   Auth Mode    : msCHAPV1
      Idle Time Out: 30 Minutes             Idle TO Left : 30 Minutes
      Bytes Tx     : 378                    Bytes Rx     : 13431
      Pkts Tx      : 16                     Pkts Rx      : 146

Troubleshooting

Esta seção fornece informações para o troubleshooting da sua configuração. Um exemplo de saída de debug também é mostrado.

Comandos de Troubleshooting

Alguns comandos são aceitos pela Output Interpreter Tool (somente clientes registrados), o que permite exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre os Comandos de Depuração e Troubleshooting de Segurança de IP - Entendendo e Utilizando os Comandos debug antes de utilizar os comandos debug.

  • debug crypto ipsec 7 — Exibe as negociações de IPSec da Fase 2.

  • debug crypto isakmp 7 — Exibe as negociações de ISAKMP da Fase 1.

Exemplo de Saída de debug

PIX Firewall

PIX#debug crypto isakmp 7
pixfirewall# Jan 02 18:26:44 [IKEv1]: IP = 192.168.0.2, IKE_DECODE RECEIVED Mess
age (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR
(13) + NONE (0) total length : 256
Jan 02 18:26:44 [IKEv1 DEBUG]: IP = 192.168.0.2, processing SA payload
Jan 02 18:26:44 [IKEv1 DEBUG]: IP = 192.168.0.2, Oakley proposal is acceptable
Jan 02 18:26:44 [IKEv1 DEBUG]: IP = 192.168.0.2, processing VID payload
Jan 02 18:26:44 [IKEv1 DEBUG]: IP = 192.168.0.2, processing VID payload
Jan 02 18:26:44 [IKEv1 DEBUG]: IP = 192.168.0.2, Received Fragmentation VID
Jan 02 18:26:44 [IKEv1 DEBUG]: IP = 192.168.0.2, processing VID payload
Jan 02 18:26:44 [IKEv1 DEBUG]: IP = 192.168.0.2, Received NAT-Traversal ver 02 V
ID
Jan 02 18:26:44 [IKEv1 DEBUG]: IP = 192.168.0.2, processing IKE SA payload
Jan 02 18:26:44 [IKEv1 DEBUG]: IP = 192.168.0.2, IKE SA Proposal # 1, Transform
# 2 acceptable  Matches global IKE entry # 2
Jan 02 18:26:44 [IKEv1 DEBUG]: IP = 192.168.0.2, constructing ISAKMP SA payload
Jan 02 18:26:44 [IKEv1 DEBUG]: IP = 192.168.0.2, constructing Fragmentation VID
+ extended capabilities payload
Jan 02 18:26:44 [IKEv1]: IP = 192.168.0.2, IKE_DECODE SENDING Message (msgid=0)
with payloads : HDR + SA (1) + VENDOR (13) + NONE (0) total length : 104
Jan 02 18:26:44 [IKEv1]: IP = 192.168.0.2, IKE_DECODE RECEIVED Message (msgid=0)
 with payloads : HDR + KE (4) + NONCE (10) + NONE (0) total length : 184
Jan 02 18:26:44 [IKEv1 DEBUG]: IP = 192.168.0.2, processing ke payload
Jan 02 18:26:44 [IKEv1 DEBUG]: IP = 192.168.0.2, processing ISA_KE payload
Jan 02 18:26:44 [IKEv1 DEBUG]: IP = 192.168.0.2, processing nonce payload
Jan 02 18:26:44 [IKEv1 DEBUG]: IP = 192.168.0.2, constructing ke payload
Jan 02 18:26:44 [IKEv1 DEBUG]: IP = 192.168.0.2, constructing nonce payload
Jan 02 18:26:44 [IKEv1 DEBUG]: IP = 192.168.0.2, constructing Cisco Unity VID pa
yload
Jan 02 18:26:44 [IKEv1 DEBUG]: IP = 192.168.0.2, constructing xauth V6 VID paylo
ad
Jan 02 18:26:44 [IKEv1 DEBUG]: IP = 192.168.0.2, Send IOS VID
Jan 02 18:26:44 [IKEv1 DEBUG]: IP = 192.168.0.2, Constructing ASA spoofing IOS V
endor ID payload (version: 1.0.0, capabilities: 20000001)
Jan 02 18:26:44 [IKEv1 DEBUG]: IP = 192.168.0.2, constructing VID payload
Jan 02 18:26:44 [IKEv1 DEBUG]: IP = 192.168.0.2, Send Altiga/Cisco VPN3000/Cisco
 ASA GW VID
Jan 02 18:26:44 [IKEv1]: IP = 192.168.0.2, Connection landed on tunnel_group Def
aultRAGroup
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, Generat
ing keys for Responder...
Jan 02 18:26:44 [IKEv1]: IP = 192.168.0.2, IKE_DECODE SENDING Message (msgid=0)
with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (
13) + VENDOR (13) + NONE (0) total length : 256
Jan 02 18:26:44 [IKEv1]: IP = 192.168.0.2, IKE_DECODE RECEIVED Message (msgid=0)
 with payloads : HDR + ID (5) + HASH (8) + NONE (0) total length : 60
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, process
ing ID payload
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, process
ing hash payload
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, Computi
ng hash for ISAKMP
Jan 02 18:26:44 [IKEv1]: IP = 192.168.0.2, Connection landed on tunnel_group Def
aultRAGroup
Jan 02 18:26:44 [IKEv1]: Group = DefaultRAGroup, IP = 192.168.0.2, Freeing previ
ously allocated memory for authorization-dn-attributes
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, constru
cting ID payload
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, constru
cting hash payload
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, Computi
ng hash for ISAKMP
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, constru
cting dpd vid payload
Jan 02 18:26:44 [IKEv1]: IP = 192.168.0.2, IKE_DECODE SENDING Message (msgid=0)
with payloads : HDR + ID (5) + HASH (8) + VENDOR (13) + NONE (0) total length :
80


!--- Fase 1 concluída com êxito.


Jan 02 18:26:44 [IKEv1]: Group = DefaultRAGroup, IP = 192.168.0.2, PHASE 1 COMPL
ETED
Jan 02 18:26:44 [IKEv1]: IP = 192.168.0.2, Keep-alive type for this connection:
None
Jan 02 18:26:44 [IKEv1]: IP = 192.168.0.2, Keep-alives configured on but peer do
es not support keep-alives (type = None)
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, Startin
g P1 rekey timer: 21600 seconds.
Jan 02 18:26:44 [IKEv1]: IP = 192.168.0.2, IKE_DECODE RECEIVED Message (msgid=e1
b84b0) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) +
NONE (0) total length : 164
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, process
ing hash payload
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, process
ing SA payload
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, process
ing nonce payload
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, process
ing ID payload
Jan 02 18:26:44 [IKEv1]: Group = DefaultRAGroup, IP = 192.168.0.2, Received remo
te Proxy Host data in ID Payload:  Address 192.168.0.2, Protocol 17, Port 1701
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, process
ing ID payload
Jan 02 18:26:44 [IKEv1]: Group = DefaultRAGroup, IP = 192.168.0.2, Received loca
l Proxy Host data in ID Payload:  Address 172.16.1.1, Protocol 17, Port 1701


!--- O PIX identifica a sessão de L2TP/IPsec.


Jan 02 18:26:44 [IKEv1]: Group = DefaultRAGroup, IP = 192.168.0.2, L2TP/IPSec se
ssion detected.
Jan 02 18:26:44 [IKEv1]: Group = DefaultRAGroup, IP = 192.168.0.2, QM IsRekeyed
old sa not found by addr
Jan 02 18:26:44 [IKEv1]: Group = DefaultRAGroup, IP = 192.168.0.2, IKE Remote Pe
er configured for crypto map: outside_dyn_map
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, process
ing IPSec SA payload
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, IPSec S
A Proposal # 1, Transform # 1 acceptable  Matches global IPSec SA entry # 20
Jan 02 18:26:44 [IKEv1]: Group = DefaultRAGroup, IP = 192.168.0.2, IKE: requesti
ng SPI!
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, IKE got
 SPI from key engine: SPI = 0xce9f6e19


!--- Constrói o modo Rápido na Fase 2.


Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, oakley
constucting quick mode
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, constru
cting blank hash payload
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, constru
cting IPSec SA payload
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, constru
cting IPSec nonce payload
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, constru
cting proxy ID
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, Transmi
tting Proxy Id:
  Remote host: 192.168.0.2  Protocol 17  Port 1701
  Local host:  172.16.1.1  Protocol 17  Port 1701
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, constru
cting qm hash payload
Jan 02 18:26:44 [IKEv1]: IP = 192.168.0.2, IKE_DECODE SENDING Message (msgid=e1b
84b0) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + N
ONE (0) total length : 144
Jan 02 18:26:44 [IKEv1]: IP = 192.168.0.2, IKE_DECODE RECEIVED Message (msgid=e1
b84b0) with payloads : HDR + HASH (8) + NONE (0) total length : 48
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, process
ing hash payload
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, loading
 all IPSEC SAs
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, Generat
ing Quick Mode Key!
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, Generat
ing Quick Mode Key!
Jan 02 18:26:44 [IKEv1]: Group = DefaultRAGroup, IP = 192.168.0.2, Security nego
tiation complete for User ()  Responder, Inbound SPI = 0xce9f6e19, Outbound SPI
= 0xd08f711b
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, IKE got
 a KEY_ADD msg for SA: SPI = 0xd08f711b
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, Pitcher
: received KEY_UPDATE, spi 0xce9f6e19
Jan 02 18:26:44 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 192.168.0.2, Startin
g P2 rekey timer: 3059 seconds.


!--- Fase 2 concluída com êxito.


Jan 02 18:26:44 [IKEv1]: Group = DefaultRAGroup, IP = 192.168.0.2, PHASE 2 COMPL
ETED (msgid=0e1b84b0)
Jan 02 18:26:44 [IKEv1]: IKEQM_Active() Add L2TP classification rules: ip <192.1
68.0.2> mask <0xFFFFFFFF> port <1701>


PIX#debug crypto ipsec 7
pixfirewall# IPSEC: Deleted inbound decrypt rule, SPI 0x71933D09
    Rule ID: 0x028D78D8
IPSEC: Deleted inbound permit rule, SPI 0x71933D09
    Rule ID: 0x02831838
IPSEC: Deleted inbound tunnel flow rule, SPI 0x71933D09
    Rule ID: 0x029134D8
IPSEC: Deleted inbound VPN context, SPI 0x71933D09
    VPN handle: 0x0048B284
IPSEC: Deleted outbound encrypt rule, SPI 0xAF4DA5FA
    Rule ID: 0x028DAC90
IPSEC: Deleted outbound permit rule, SPI 0xAF4DA5FA
    Rule ID: 0x02912AF8
IPSEC: Deleted outbound VPN context, SPI 0xAF4DA5FA
    VPN handle: 0x0048468C
IPSEC: New embryonic SA created @ 0x01BFCF80,
    SCB: 0x01C262D0,
    Direction: inbound
    SPI      : 0x45C3306F
    Session ID: 0x0000000C
    VPIF num  : 0x00000001
    Tunnel type: ra
    Protocol   : esp
    Lifetime   : 240 seconds
IPSEC: New embryonic SA created @ 0x0283A3A8,
    SCB: 0x028D1B38,
    Direction: outbound
    SPI      : 0x370E8DD1
    Session ID: 0x0000000C
    VPIF num  : 0x00000001
    Tunnel type: ra
    Protocol   : esp
    Lifetime   : 240 seconds
IPSEC: Completed host OBSA update, SPI 0x370E8DD1
IPSEC: Creating outbound VPN context, SPI 0x370E8DD1
    Flags: 0x00000205
    SA   : 0x0283A3A8
    SPI  : 0x370E8DD1
    MTU  : 1500 bytes
    VCID : 0x00000000
    Peer : 0x00000000
    SCB  : 0x028D1B38
    Channel: 0x01693F08
IPSEC: Completed outbound VPN context, SPI 0x370E8DD1
    VPN handle: 0x0048C164
IPSEC: New outbound encrypt rule, SPI 0x370E8DD1
    Src addr: 172.16.1.1
    Src mask: 255.255.255.255
    Dst addr: 192.168.0.2
    Dst mask: 255.255.255.255
    Src ports
      Upper: 1701
      Lower: 1701
      Op   : equal
    Dst ports
      Upper: 1701
      Lower: 1701
      Op   : equal
    Protocol: 17
    Use protocol: true
    SPI: 0x00000000
    Use SPI: false
IPSEC: Completed outbound encrypt rule, SPI 0x370E8DD1
    Rule ID: 0x02826540
IPSEC: New outbound permit rule, SPI 0x370E8DD1
    Src addr: 172.16.1.1
    Src mask: 255.255.255.255
    Dst addr: 192.168.0.2
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0x370E8DD1
    Use SPI: true
IPSEC: Completed outbound permit rule, SPI 0x370E8DD1
    Rule ID: 0x028D78D8
IPSEC: Completed host IBSA update, SPI 0x45C3306F
IPSEC: Creating inbound VPN context, SPI 0x45C3306F
    Flags: 0x00000206
    SA   : 0x01BFCF80
    SPI  : 0x45C3306F
    MTU  : 0 bytes
    VCID : 0x00000000
    Peer : 0x0048C164
    SCB  : 0x01C262D0
    Channel: 0x01693F08
IPSEC: Completed inbound VPN context, SPI 0x45C3306F
    VPN handle: 0x0049107C
IPSEC: Updating outbound VPN context 0x0048C164, SPI 0x370E8DD1
    Flags: 0x00000205
    SA   : 0x0283A3A8
    SPI  : 0x370E8DD1
    MTU  : 1500 bytes
    VCID : 0x00000000
    Peer : 0x0049107C
    SCB  : 0x028D1B38
    Channel: 0x01693F08
IPSEC: Completed outbound VPN context, SPI 0x370E8DD1
    VPN handle: 0x0048C164
IPSEC: Completed outbound inner rule, SPI 0x370E8DD1
    Rule ID: 0x02826540
IPSEC: Completed outbound outer SPD rule, SPI 0x370E8DD1
    Rule ID: 0x028D78D8
IPSEC: New inbound tunnel flow rule, SPI 0x45C3306F
    Src addr: 192.168.0.2
    Src mask: 255.255.255.255
    Dst addr: 172.16.1.1
    Dst mask: 255.255.255.255
    Src ports
      Upper: 1701
      Lower: 1701
      Op   : equal
    Dst ports
      Upper: 1701
      Lower: 1701
      Op   : equal
    Protocol: 17
    Use protocol: true
    SPI: 0x00000000
    Use SPI: false
IPSEC: Completed inbound tunnel flow rule, SPI 0x45C3306F
    Rule ID: 0x02831838
IPSEC: New inbound decrypt rule, SPI 0x45C3306F
    Src addr: 192.168.0.2
    Src mask: 255.255.255.255
    Dst addr: 172.16.1.1
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0x45C3306F
    Use SPI: true
IPSEC: Completed inbound decrypt rule, SPI 0x45C3306F
    Rule ID: 0x028DAC90
IPSEC: New inbound permit rule, SPI 0x45C3306F
    Src addr: 192.168.0.2
    Src mask: 255.255.255.255
    Dst addr: 172.16.1.1
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0x45C3306F
    Use SPI: true
IPSEC: Completed inbound permit rule, SPI 0x45C3306F
    Rule ID: 0x02912E50

Troubleshooting Usando o ASDM

Você pode utilizar o ASDM para habilitar o log e para exibir os logs.

  1. Selecione Configuration > Properties > Logging > Logging Setup, selecione Enable Logging e clique em Apply para habilitar o log.

  2. Selecione Monitoring > Logging > Log Buffer > On Logging Level, selecione Logging Buffer e clique em View para exibir os logs.

Troubleshooting do Windows Vista

O L2TP/IPsec do Windows Vista introduziu algumas alterações de arquitetura que proíbem que mais de um usuário se conecte simultaneamente a um PIX/ASA headend. Esse comportamento não ocorre no Windows 2K/XP. A Cisco implementou uma solução para essa alteração no release 7.2(3) ou posterior.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 71028