TelePresence : Dispositivos de segurança Cisco PIX 500 Series

Configurando um PIX para PIX VPN Simples Usando IPSec

2 Abril 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (26 Setembro 2008) | Feedback

Interativo: Este documento oferece uma análise personalizada do seu dispositivo Cisco.


Índice

Introdução
Pré-requisitos
     Requisitos
     Componentes Usados
     Convenções
Informações Complementares
Configurar
     Diagrama de Rede
     Configuração de IKE e IPsec
     Configurações
Verificação
     Comandos Maui-PIX-01 show
     Comandos Maui-PIX-02 show
Solução de Problemas
     Comandos de Solução de Problemas
Discussões relacionadas da comunidade de suporte da Cisco
Informações Relacionadas

Introdução

Esta configuração permite que dois Cisco Secure PIX Firewalls executem um túnel de Virtual Private Network (VPN) simples de PIX para PIX pela Internet ou por qualquer rede pública que use segurança IP (IPsec). O IPsec consiste em uma combinação de padrões abertos que fornecem autenticação da confidencialidade de dados, integridade de dados e origem de dados entre correspondentes IPsec.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Usados

As informações neste documento são baseadas nestas versões de hardware e software:

  • Cisco Secure PIX 515 Firewall com software versão 5.1(1).

  • Cisco Secure PIX 520 Firewall com software versão 5.1(1).

Convenções

Consulte Convenções de Dicas Técnicas da Cisco para obter mais informações sobre as convenções de documentos.

Informações Complementares

A negociação IPsec pode ser dividida em cinco etapas, incluindo duas fases de Internet Key Exchange (IKE).

  1. Um túnel IPsec é iniciado por um tráfego interessante. O tráfego é considerado interessante quando transmitido entre os correspondentes IPsec.

  2. Na Fase 1 da IKE, os correspondentes IPsec negociam a política Security Association (SA) da IKE estabelecida. Quando os correspondentes forem autenticados, um túnel de segurança é criado usando o Internet Security Association and Key Management Protocol (ISAKMP).

  3. Na Fase 2 da IKE, os correspondentes IPsec usam o túnel autenticado seguro para negociar transformações de SA IPsec. A negociação da política compartilhada determina como o túnel IPsec é estabelecido.

  4. O túnel IPsec é criado e os dados são transferidos entre os correspondentes IPsec com base nos parâmetros IPsec configurados nos conjuntos de transformação IPsec.

  5. O túnel IPsec termina quando as SAs IPsec são excluídas ou quando o tempo de vida expira.

Observação: A negociação IPsec entre os dois PIXs falhará se as SAs em ambas as fases de IKE não forem compatíveis com seus correspondentes.

Configurar

Nesta seção, você vai conhecer informações para configurar os recursos descritos neste documento.

Observação: Use a Ferramenta de Consulta de Comandos (clientes registrados somente) para obter mais informações sobre os comandos utilizados neste documento.

Diagrama de Rede

Este documento usa este diagrama de rede.

38a.gif

Configuração de IKE e IPsec

A configuração IPSec em cada PIX só varia durante a inserção das informações do correspondente e da convenção de nomeação escolhidos nos mapas de criptografia e nos conjuntos de transformação. A configuração pode ser verificada com os comandos write terminal ou show. Os comandos relevantes são show isakmp, show isakmp policy, show access-list, show crypto ipsec transform-set e show crypto map. Consulte as Referências de Comandos do Cisco Secure PIX Firewall para obter mais informações sobre esses comandos.

Conclua estas etapas para configurar o IPsec:

  1. Configurar a IKE para Chaves Pré-Compartilhadas

  2. Configurar o IPsec

  3. Configurar a Network Address Translation (NAT)

  4. Configurar as Opções do Sistema PIX

Configurar a IKE para Chaves Pré-Compartilhadas

Execute o comando isakmp enable para habilitar a IKE nas interfaces de terminação IPsec. Neste cenário, a interface externa é a interface de término IPsec nos dois PIXs. IKE está configurado em ambos os PIXs. Estes comandos só exibem Maui-PIX-01.

            isakmp enable outside
         

Defina também as políticas de IKE utilizadas durante as negociações de IKE. Execute o comando isakmp policy para fazer isso. Ao emitir esse comando, atribua um nível de prioridade para que as políticas sejam identificadas com exclusividade. Nesse caso, a prioridade mais alta de 1 é atribuída à política. A política também é configurada para usar uma chave pré-compartilhada, um algoritmo de hash MD5 para autenticação de dados, um DES para Encapsulating Security Payload (ESP) e um Diffie-Hellman group1. Ela também está configurada para utilizar o tempo de vida da SA.

            isakmp policy 1 authentication pre-share
            isakmp policy 1 encryption des
            isakmp policy 1 hash md5
            isakmp policy 1 group 1
            isakmp policy 1 lifetime 1000
         

A configuração de IKE pode ser verificada com o comando show isakmp policy:

Maui-PIX-01#show isakmp policy
Protection suite of priority 1
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Message Digest 5
authentication method: Pre-Shared Key
            Diffie-Hellman group: #1 (768 bit)
lifetime: 1000 seconds, no volume limit
Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit

Por fim, configure a chave pré-compartilhada e atribua um endereço de correspondente, emitindo o comando isakmp key. A mesma chave previamente compartilhada deve ser compatível nos correspondentes IPSec durante o uso de chaves pré-compartilhadas. O endereço pode ser diferente, dependendo do endereço IP do correspondente remoto.

            isakmp key ********** address 172.22.112.12 netmask 255.255.255.255
Maui-PIX-01#

A política pode ser verificada com o comando write terminal ou show isakmp:

Maui-PIX-01#show isakmp
isakmp enable outside
isakmp key ********** address 172.22.112.12 netmask 255.255.255.255
isakmp identity address
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption des
isakmp policy 1 hash md5
isakmp policy 1 group 1
isakmp policy 1 lifetime 1000

Configurar o IPsec

O IPSec é iniciado quando um dos PIXs recebe tráfego destinado a outra rede interna do PIX. Este tráfego é considerado um tráfego interessante que deve ser protegido por IPsec. Uma lista de acesso é usada para determinar qual tráfego inicia as negociações de IKE e IPsec. Essa lista de acesso permite que o tráfego seja enviado da rede 10.1.1.x, através do túnel IPsec, para a rede 172.16.1.x. A lista de acesso na configuração do PIX oposto espelha essa lista de acesso. Isso é adequado para Maui-PIX-01.

            access-list 101 permit ip 10.1.1.0 255.255.255.0 172.16.1.0 255.255.255.0
         

O conjunto de transformação IPsec define a política de segurança que os correspondentes utilizam para proteger o fluxo de dados. A transformação IPsec é definida usando o comando crypto ipsec transform-set. Deve ser escolhido um nome exclusivo para o grupo de transformação e até três transformações podem ser selecionadas para definir os protocolos de segurança IPsec. Esta configuração usa apenas duas transformações: esp-hmac-md5 e esp-des.

            crypto ipsec transform-set chevelle esp-des esp-md5-hmac
         

Os mapas de criptografia configuram SAs do IPsec para tráfego criptografado. Atribua um nome de mapa e um número seqüencial para criar um mapa de criptografia. Em seguida, defina os parâmetros do mapa de criptografia. O mapa de criptografia transam exibido a seguir utiliza a IKE para estabelecer SAs IPSec, criptografa qualquer coisa que combine com a lista de acesso 101, tem um correspondente definido e utiliza o conjunto de transformação chevelle para estabelecer sua política de segurança para tráfego.

            crypto map transam 1 ipsec-isakmp
            crypto map transam 1 match address 101
            crypto map transam 1 set peer 172.22.112.12
            crypto map transam 1 set transform-set chevelle
         

Depois de definir o mapa de criptografia, aplique-o a uma interface. A interface escolhida deve ser a interface de terminação IPsec.

            crypto map transam interface outside
         

Execute o comando show crypto map para verificar os atributos do mapa de criptografia.

Maui-PIX-01#show crypto map

Crypto Map: "transam" interfaces: { outside }

Crypto Map "transam" 1 ipsec-isakmp
Peer = 172.22.112.12
access-list 101 permit ip 10.1.1.0 255.255.255.0 172.16.1.0 255.255.255
Current peer: 172.22.112.12
Security association lifetime: 4608000 kilobytes/28800 seconds
PFS (Y/N): N
Transform sets={ chevelle, }

Configure NAT

Este comando instrui o PIX a não realizar NAT em nenhum tráfego considerado interessante para IPsec. Dessa forma, todo o tráfego que corresponder às instruções do comando access-list ficará isento dos serviços NAT.

            nat (inside) 0 access-list 101
         

Configurar as Opções do Sistema PIX

Como todas as sessões de entrada devem ser explicitamente autorizadas por uma lista de acesso ou por uma canalização, o comando sysopt connection permit-ipsec é usado para autorizar todas as sessões de cifra autenticada IPsec de entrada. Com o tráfego IPsec protegido, a verificação da canalização secundária pode ser redundante e gerar uma falha na criação do túnel. O comando sysopt ajusta diversos recursos de configuração e segurança de firewall PIX.

            sysopt connection permit-ipsec
         

Configurações

Se você obtiver a saída de um comando write terminal do seu dispositivo Cisco, poderá usar o Output Interpreter (clientes registrados somente) para exibir os possíveis problemas e respectivas correções. Você deve estar conectado e com o JavaScript habilitado para usar o Output Interpreter (clientes registrados somente) .

Maui-PIX-01 a 192.68.1.52

PIX Version 5.1(5)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password <snipped>
passwd <snipped>  encrypted
hostname Maui-PIX-01
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
names

                     !--- Define o tráfego interessante, protegido pelo túnel IPsec.
                  
                  
access-list 101 permit ip 10.1.1.0 255.255.255.0 172.16.1.0 255.255.255.0
pager lines 24
logging on
no logging timestamp
no logging standby
no logging consoleno logging monitor
no logging bufferedno logging trap
no logging history
logging facility 20
logging queue 512
interface ethernet0 auto
interface ethernet1 auto
mtu outside 1500
mtu inside 1500


                     !--- Define o endereço externo no PIX Firewall.
                  
                  ip address outside 192.168.1.52 255.255.255.0

                  
                     !--- Define o endereço interno no PIX Firewall.
                  
                  ip address inside 10.1.1.1 255.255.255.0
no failover
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
arp timeout 14400


                     !--- Este comando instrui o PIX a não realizar NAT em qualquer tráfego
!--- considerado interessante para IPsec.
                  
                  nat (inside) 0 access-list 101

                  
                     !--- Define a rota padrão para o gateway padrão.
                  
                  route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
AAA-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable


                     !--- Permite que o tráfego IPsec passe pelo PIX Firewall
!--- e não exige qualquer canalização adicional
!--- ou instruções de lista de acesso para permitir o tráfego IPsec.
                  
                  sysopt connection permit-ipsec
no sysopt route dnat


                     !--- Fase 2 de IKE:
!--- O conjunto de transformação IPsec "chevelle" usa esp-md5-hmac para fornecer
!--- autenticação de dados.
                  
esp-des provides 56-bit encryption.
crypto ipsec transform-set chevelle esp-des esp-md5-hmac 

                  
                     !--- Mapas de criptografia configuram as SAs para tráfego IPsec.
!--- Indica que a IKE é usada para estabelecer SAs IPsec.
                  
                  crypto map transam 1 ipsec-isakmp

                  
                     !--- Atribui um tráfego interessante ao correspondente 172.22.112.12.
                  
                  crypto map transam 1 match address 101

                  
                     !--- Define o correspondente IPsec.
                  
                  crypto map transam 1 set peer 172.22.112.12

                  
                     !--- Configura o conjunto de transformação IPsec "chevelle"
!--- para ser usado com a entrada de mapa de criptografia "transam".
                  
                  crypto map transam 1 set transform-set chevelle

                  
                     !--- Atribui o mapa de criptografia transam à interface.
                  
                  crypto map transam interface outside

                  
                     !--- Fase 1 de IKE: 
!--- Habilita a IKE na interface usada para terminar o túnel IPsec.
                  
                  isakmp enable outside

                  
                     !--- Define a identidade ISAKMP do correspondente e
!--- define a chave pré-compartilhada entre os correspondentes IPsec.
!--- A mesma chave pré-compartilhada deve ser configurada nos
!--- correspondentes IPsec para a autenticação de IKE.
                  
                  isakmp key ********** address 172.22.112.12 netmask 255.255.255.255

                  
                     !--- O PIX usa o método de endereço IP, por padrão
!--- para a identidade IKE em negociações IKE.
                  
                  
isakmp identity address

                  
                     !--- A política ISAKMP define o conjunto de parâmetros
!--- usados para negociações IKE.
!--- Se esses parâmetros não estiverem configurados, serão usados os parâmetros padrão.
!--- O comando show isakmp policy exibe as diferenças na
!--- política padrão e na configurada.
                  
                  isakmp policy 1 authentication pre-share
                  isakmp policy 1 encryption des
                  isakmp policy 1 hash md5
                  isakmp policy 1 group 1
                  isakmp policy 1 lifetime 1000
telnet timeout 5
terminal width 80
Cryptochecksum:<snipped>
: end
[OK]

Maui-PIX-02 a 172.22.112.12

PIX Version 5.1(5)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
enable password <snipped> encrypted
passwd <snipped> encrypted
hostname Maui-PIX-02
fixup protocol ftp 21fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514fixup protocol rtsp 554
fixup protocol smtp 25fixup protocol sqlnet 1521
names


                     !--- Define o tráfego interessante, protegido pelo túnel IPsec.
                  
access-list 101 permit ip 172.16.1.0 255.255.255.0 10.1.1.0 255.255.255.0
pager lines 24logging on
no logging timestamp
no logging standby
no logging console
no logging monitor
no logging buffered
no logging trap
no logging history
logging facility 20
logging queue 512
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
mtu outside 1500
mtu inside 1500
mtu intf2 1500

                     
!--- Define o endereço externo no PIX Firewall.
                  
                  ip address outside 172.22.112.12 255.255.0.0

                  
                     !--- Define o endereço interno no PIX Firewall.
                  
                  ip address inside 172.16.1.1 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
no failover
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0failover ip address intf2 0.0.0.0
arp timeout 14400


                     !--- Este comando instrui o PIX a não realizar NAT em qualquer tráfego
!--- considerado interessante para IPsec.
                  
nat (inside) 0 access-list 101


                     !--- Define a rota padrão para o gateway padrão.
                  
                  route outside 0.0.0.0 0.0.0.0 172.22.112.1 1
timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable


                     !--- Permite que o tráfego IPsec passe pelo PIX Firewall
!--- e não exige qualquer canalização adicional
!--- ou instruções de lista de acesso para permitir o tráfego IPsec.
                  
                  sysopt connection permit-ipsec
no sysopt route dnat


                     !--- Fase 2 de IKE:
!--- O conjunto de transformação IPsec define a política de segurança negociada
!--- que os correspondentes utilizam para proteger o fluxo de dados.
!--- O conjunto de transformação IPsec "toyota" usa o cabeçalho hmac-md5
!--- e faz o encapsulamento da carga útil com des.
                  
                  crypto ipsec transform-set toyota esp-des esp-md5-hmac

                  
                     !--- Mapas de criptografia configuram as SAs para tráfego IPsec.
!--- Indica que a IKE é usada para estabelecer SAs IPsec.
                  
                  crypto map bmw 1 ipsec-isakmp

                  
                     !--- Atribui um tráfego interessante ao correspondente 192.168.1.52.
                  
                  crypto map bmw 1 match address 101

                  
                     !--- Define o correspondente IPsec.
                  
                  crypto map bmw 1 set peer 192.168.1.52

                  
                     !--- Define o conjunto de transformação IPsec "toyota"
!--- para ser usado com a entrada de mapa de criptografia "bmw".
                  
                  crypto map bmw 1 set transform-set toyota

                  
                     !--- Atribui o mapa de criptografia bmw à interface.
                  
                  crypto map bmw interface outside

                  
                     !--- Fase 1 de IKE:
!--- Habilita a IKE na interface usada para terminar o túnel IPsec.
                  
                  isakmp enable outside

                  
                     !--- Define a identidade ISAKMP do correspondente e
!--- define a chave pré-compartilhada entre os correspondentes IPsec.
!--- A mesma chave pré-compartilhada deve ser configurada nos
!--- correspondentes IPsec para a autenticação de IKE.
                  
                  isakmp key ********** address 192.168.1.52 netmask 255.255.255.255

                  
                     !--- O PIX usa o método de endereço IP, por padrão
!--- para a identidade IKE em negociações IKE.
                  
                  isakmp identity address

                  
                     !--- A política ISAKMP define o conjunto de parâmetros
!--- usados para negociações IKE.
!--- Se esses parâmetros não estiverem configurados, serão utilizados os parâmetros padrão.
                  
                  isakmp policy 1 authentication pre-share
                  isakmp policy 1 encryption des
                  isakmp policy 1 hash md5
                  isakmp policy 1 group 1
                  isakmp policy 1 lifetime 1000
telnet timeout 5
terminal width 80
Cryptochecksum:<snipped>
: end
[OK]

Verificação

Esta seção fornece informações que você pode usar para confirmar se a configuração está funcionando corretamente.

Alguns comandos show têm suporte da Output Interpreter Tool (clientes registrados somente) , que permite que você veja uma análise da saída do comando show.

  • show crypto ipsec sa — Este comando exibe o status atual das SAs IPsec e é útil para determinar se o tráfego está sendo criptografado.

  • show crypto isakmp sa — Este comando exibe o estado atual das SAs IKE.

Comandos Maui-PIX-01 show

Comandos Maui-PIX-01 show

Maui-PIX-01#show crypto ipsec sa
interface: outside
Crypto map tag: transam, local addr. 192.168.1.52

local ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
current_peer: 172.22.112.12
PERMIT, flags={origin_is_acl,}

                     !--- Isso verifica se os pacotes criptografados estão sedo enviados
!--- e recebidos sem erros.
                  
                  #pkts encaps: 3, #pkts encrypt: 3, #pkts digest 3
#pkts decaps: 3, #pkts decrypt: 3, #pkts verify 3
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 2, #recv errors 0

local crypto endpt.: 192.168.1.52, remote crypto endpt.: 172.22.112.12
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: 6f09cbf1

                     !--- Mostra as SAs de entrada estabelecidas.
                  
                  inbound esp sas:
spi: 0x70be0c04(1891503108)
transform: esp-des esp-md5-hmac
in use settings ={Tunnel, }
slot: 0, conn id: 1, crypto map: transam
sa timing: remaining key lifetime (k/sec): (4607999/28430)
IV size: 8 bytes
replay detection support: Y

inbound ah sas:

inbound pcp sas:

                     !--- Exibe as SAs de saída estabelecidas.
                  
                  outbound ESP sas:
spi: 0x6f09cbf1(1862913009)
transform: esp-des esp-md5-hmac
in use settings ={Tunnel, }
slot: 0, conn id: 2, crypto map: transam
sa timing: remaining key lifetime (k/sec): (4607999/28430)
IV size: 8 bytes
replay detection support: Y

outbound ah sas:

outbound PCP sas:


                     
!--- A SA ISAKMP ficará no estado inativo (QM_IDLE), quando ela existir.
!--- A SA ISAKMP está inativa. A SA ISAKMP permanece autenticada com seu
!--- correspondente e pode ser usada para intercâmbios subseqüentes de Quick Mode. 
                  
Maui-PIX-01#show crypto isakmp sa
                       dst             src          state      pending        created
                  172.22.112.12    192.168.1.52    QM_IDLE        0        1Maui-PIX-01#
               

Comandos Maui-PIX-02 show

Comandos Maui-PIX-02 show

Maui-PIX-02#show crypto ipsec sa

interface: outside
Crypto map tag: bmw, local addr. 172.22.112.12

local ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
current_peer: 192.168.1.52
PERMIT, flags={origin_is_acl,}

                     !--- Isso verifica se os pacotes criptografados estão
!--- sendo enviados e recebidos sem erros.
                  
                  #pkts encaps: 3, #pkts encrypt: 3, #pkts digest 3
#pkts decaps: 3, #pkts decrypt: 3, #pkts verify 3
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. Failed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 172.22.112.12, remote crypto endpt.: 192.168.1.52
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: 70be0c04

                     !--- Mostra as SAs de entrada estabelecidas.
                  
                  Inbound ESP sas:
spi: 0x6f09cbf1(1862913009)
transform: esp-des esp-md5-hmac
in use settings ={Tunnel, }
slot: 0, conn id: 1, crypto map: bmw
sa timing: remaining key lifetime (k/sec): (4607999/28097)
IV size: 8 bytes
replay detection support: Y

inbound ah sas:

inbound PCP sas:

                     !--- Exibe as SAs de saída estabelecidas.
                  
                  Outbound ESP sas:
spi: 0x70be0c04(1891503108)
transform: esp-des esp-md5-hmac
in use settings ={Tunnel, }
slot: 0, conn id: 2, crypto map: bmw
sa timing: remaining key lifetime (k/sec): (4607999/28097)
IV size: 8 bytes
replay detection support: Y

outbound ah sas:

outbound PCP sas:


                     
!--- A SA ISAKMP ficará no estado inativo (QM_IDLE), quando ela existir.
!--- A SA ISAKMP está inativa. A SA ISAKMP permanece autenticada com seu
!--- correspondente e pode ser usada para intercâmbios subseqüentes de Quick Mode. 
                  
Maui-PIX-02#show crypto isakmp sa
                       dst             src          state      pending       created
                  172.22.112.12    192.168.1.52    QM_IDLE        0       1Maui-PIX-02#
               

A interface interna do PIX não pode sofrer ping para a formação do túnel, a menos que o comando management-access esteja configurado no modo de configuração global.

PIX-02(config)#management-access inside
PIX-02(config)#show management-access
management-access inside

Solução de Problemas

Esta seção fornece informações que podem ser utilizadas para solucionar problemas de configuração.

Comandos de Solução de Problemas

Observação: Os comandos clear devem ser executados no modo de configuração.

  • clear crypto ipsec sa — Este comando redefine as SAs IPsec após falhas em tentativas para negociar um túnel VPN.

  • clear crypto isakmp sa — Este comando redefine as SAs ISAKMP após falhas em tentativas para negociar um túnel VPN.

Observação: Consulte Informações Importantes sobre Comandos de Depuração antes de emitir os comandos debug.

  • debug crypto ipsec — Este comando indica se um cliente está negociando a parte IPsec da conexão VPN.

  • debug crypto isakmp — Este comando mostra se os correspondentes estão negociando a parte ISAKMP da conexão VPN.

Após a sua conclusão, a conexão pode ser verificada por meio dos comandosshow.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 6211