Segurança : Dispositivos de segurança Cisco PIX 500 Series

Exemplo de Configuração do PIX/ASA 7.x Enhanced Spoke-to-Client VPN

2 Abril 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (14 Outubro 2009) | Feedback


Índice

Introdução
Pré-requisitos
     Requisitos
     Componentes Usados
     Convenções
Interrupções
Configuração
     Diagrama de Rede
     Configurações
     Configuração de VPN Client
Verificação
     Verificação do VPN Client
Solução de Problemas
     Comandos de Solução de Problemas
Discussões relacionadas da comunidade de suporte da Cisco
Informações Relacionadas

Introdução

Este documento descreve como configurar sessões LAN-to-LAN entre as ferramentas PIX Security Appliances e permite que um VPN Client acesse a rede spoke (PIX3) por meio do hub (PIX1). Além disso, este documento demonstra a configuração de um túnel LAN-to-LAN com o VPN Client para conectividade spoke por meio do PIX Security Appliance do hub. O PIX version 7.0 melhora o suporte para comunicações VPN Spoke-to-Spoke. O PIX 7.0 oferece a capacidade de entrada e saída de tráfego criptografado na mesma interface.

O comando same-security-traffic permite a entrada e saída de tráfego da mesma interface quando utilizado com a palavra-chave intra-interface que ativa o suporte à VPN Spoke-to-Spoke. Consulte a seção Permitindo Tráfego Intra-Interface no Guia de Configuração da Linha de Comandos do Cisco Security Appliance, para obter informações adicionais.

Observação: No PIX version 7.2 e posterior, a palavra-chave intra-interface autoriza todo tráfego, não apenas o tráfego IPsec, a entrar e sair da mesma interface.

Pré-requisitos

Requisitos

O PIX Security Appliance do hub deve estar na versão 7.0 ou posterior.

Observação: Consulte o Guia de Atualização dos Usuários do Cisco PIX 6.2 e 6.3 para o Cisco PIX Software Version 7.0 para obter mais informações sobre como atualizar o PIX Security Appliance para a versão 7.0.

Componentes Usados

As informações neste documento são baseadas nestas versões de hardware e software:

  • PIX - 515 versão 7.0.1 (PIX1)

  • VPN Client versão 4.6.02.0011

  • PIX - 515 versão 6.3.4 (PIX3)

As informações apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento foram iniciados com uma configuração vazia (padrão). Se a sua rede estiver ativa, certifique-se de entender o impacto potencial de todos os comandos.

Convenções

Consulte Convenções de Dicas Técnicas da Cisco para obter mais informações sobre as convenções de documentos.

Interrupções

  • Erro ID CSCeh29328 (clientes registrados somente) da Cisco – os atributos de configuração de modo do VPN Client não são aplicáveis ao desativar a XAUTH.

  • Erro ID CSCeh69389 (clientes registrados somente) da Cisco – as ACLs de túnel em divisão não são convertidas em ACLs padrão durante a atualização para o PIX 7.0.

Configuração

Esta seção apresenta as informações a serem utilizadas para configurar os recursos descritos neste documento.

Observação: Para obter informações adicionais sobre os comandos utilizados neste documento, use a Ferramenta de Consulta de Comando (clientes registrados somente) .

Observação: Para a configuração do PIX Security Appliance 7.x LAN-to-LAN (L2L) VPN, especifique o <nome> do grupo de túneis como oEndereço IP de Correspondente Remoto no comando tunnel-group <name> type ipsec-l2l para criar e gerenciar o banco de dados dos registros específicos da conexão para IPsec.

Diagrama de Rede

Este documento utiliza esta configuração de rede:

pix70-enh-spk-client-vpn-1.gif

Observação: Os esquemas de endereçamento utilizados nesta configuração não são legalmente roteáveis na Internet. São endereços do RFC 1918 leavingcisco.com que foram utilizados em um ambiente de laboratório.

Configurações

Este documento utiliza estas configurações:

PIX1

PIX Version 7.0(1)
no names
!
interface Ethernet0
nameif outside
security-level 0
ip address 172.18.124.170 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!
interface Ethernet2
shutdown
nameif intf2
security-level 4
no ip address
!
interface Ethernet3
shutdown
nameif intf3
security-level 6
no ip address
!
interface Ethernet4
shutdown
nameif intf4
security-level 8
no ip address
!
interface Ethernet5
shutdown
nameif intf5
security-level 10
no ip address
!
enable password 9jNfZuG3TC5tCVH0 encrypted
passwd OnTrBUG1Tp0edmkr encrypted
hostname PIX1
domain-name cisco.com
boot system flash:/image.bin
ftp mode passive

                     !--- Comando que permite a entrada e saída de tráfego IPsec na mesma interface.
                  
                  same-security-traffic permit intra-interface

                  
                     !--- Lista de acesso para tráfego de interesse a ser criptografado entre
!--- as redes de hub (PIX1) e spoke (PIX3).
                  
                  access-list 100 extended permit ip 10.10.10.0 255.255.255.0 10.11.10.0 255.255.255.0

                  
                     !--- Lista de acesso de tráfego interessante a ser criptografado
!--- entre as redes de VPN Client e de spoke (PIX3). 
                  
                  access-list 100 extended permit ip 192.168.10.0 255.255.255.0 10.11.10.0 255.255.255.0

                  
                     !--- Lista de acesso de tráfego interessante para contornar o
!--- processo Network Address Translation (NAT).
                  
                  access-list nonat extended permit ip 10.10.10.0 255.255.255.0 10.11.10.0 255.255.255.0
access-list nonat extended permit ip 10.10.10.0 255.255.255.0 192.168.10.0 255.255.255.0

                  
                     !--- Lista de acesso padrão para permissão de túnel em divisão de VPN Clients.
                  
                  access-list splittunnel standard permit 10.10.10.0 255.255.255.0
access-list splittunnel standard permit 10.11.10.0 255.255.255.0 
pager lines 24
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500


                     !--- Conjunto de endereços para VPN Clients.
                  
                  ip local pool vpnpool 192.168.10.1-192.168.10.254
no failover
monitor-interface outside
monitor-interface inside
monitor-interface intf2
monitor-interface intf3
monitor-interface intf4
monitor-interface intf5
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface


                     !--- Contorno de processo NAT para tráfego de IPsec.
                  
                  nat (inside) 0 access-list nonat
nat (inside) 1 10.10.10.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius


                     !--- Configuração de política de grupo para VPN Clients.
                  
                  group-policy clientgroup internal
group-policy clientgroup attributes
vpn-idle-timeout 20
                  
                     !--- Veja a Nota 2.
                  

                  
                     !--- Ativação e ligação de parâmetros de túnel em divisão para a política de grupo.
                  
                  split-tunnel-policy tunnelspecified
split-tunnel-network-list value splittunnel
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp


                     !--- Configuração da IPsec Fase 2.
                  
                  crypto ipsec transform-set myset esp-3des esp-sha-hmac 

                  
                     !--- Configuração do mapa de criptografia dos VPN Clients que se conectam com este PIX.
                  
                  crypto dynamic-map rtpdynmap 20 set transform-set myset

                  
                     !--- Configuração do mapa de criptografia para um túnel LAN-to-LAN estático.
                  
                  crypto map mymap 10 match address 100
crypto map mymap 10 set peer 172.20.77.10
crypto map mymap 10 set transform-set myset

                  
                     !--- Ligação do mapa dinâmico ao processo do mapa de criptografia.
                  
                  crypto map mymap 20 ipsec-isakmp dynamic rtpdynmap

                  
                     !--- Mapa de criptografia aplicado à interface externa.
                  
                  crypto map mymap interface outside
isakmp identity address
isakmp enable outside

                  
                     !--- Política do Internet Security Association and Key Management
!--- Protocol (ISAKMP).
                  
                  isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
isakmp disconnect-notify
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 1
console timeout 0
tunnel-group DefaultRAGroup type ipsec-ra
tunnel-group DefaultRAGroup general-attributes
authentication-server-group none
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *


                     !--- Configuração do tunnel-group de túnel LAN-to-LAN estático.
!--- Veja a segunda nota na seção Configuração
!--- deste documento a fim de configurar o tunnel-group.
!--- O nome do grupo de túneis deve ser o endereço IP do par remoto.
                  
                  tunnel-group 172.20.77.10 type ipsec-l2l
tunnel-group 172.20.77.10 ipsec-attributes

                  
                     !--- Configuração de uma chave pré-compartilhada de túnel LAN-to-LAN.
                  
                  pre-shared-key *

                  
                     !--- Configuração do tunnel-group com as informações do grupo para VPN Clients.
                  
                  tunnel-group rtptacvpn type ipsec-ra

                  
                     !--- Configuração dos parâmetros do grupo dos VPN Clients.
                  
                  tunnel-group rtptacvpn general-attributes
address-pool vpnpool

                  
                     !--- Desativação da autenticação do usuário.
                  
                  authentication-server-group none
authorization-server-group LOCAL

                  
                     !--- Ligação dos parâmetros group-policy ao tunnel-group dos VPN Clients.
                  
                  default-group-policy clientgroup
tunnel-group rtptacvpn ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect http
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:646541da0da9a4c764effd2e05633018
: end

Nota 1: O comando sysopt connection permit-ipsec deve ser configurado de modo a permitir todas as sessões criptografadas autenticadas de IPsec de entrada. No PIX 7.0, os comandos sysopt não figuram na configuração em execução. Para verificar se o comando sysopt connection permit-ipsec está ativado, execute o comando show running-config sysopt.

Nota 2: Para que os VPN Clients se conectem via IPsec sobre UDP (User Data Protocol), configure a saída na seção group-policy do PIX Appliance.

group-policy clientgroup attributes
vpn-idle-timeout 20
ipsec-udp enable
ipsec-udp-port 10000
split-tunnel-policy tunnelspecified
split-tunnel-network-list value splittunnel

Nota 3: Para que os VPN Clients se conectem via IPsec sobre TCP, configure esse comando no group-policy do PIX Appliance.

                  isakmp ipsec-over-tcp port 10000
               

PIX3

PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security4
nameif ethernet3 intf3 security6
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PIX3
domain-name cisco.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names

                     !--- Lista de acesso para a criptografia do tráfego
!--- entre as redes PIX3 e PIX1.
                  
                  access-list 100 permit ip 10.11.10.0 255.255.255.0 10.10.10.0 255.255.255.0

                  
                     !--- Lista de acesso para a criptografia do tráfego
!--- entre a rede PIX3 e o conjunto de endereços do VPN Client.
                  
                  access-list 100 permit ip -10.11.10.0 255.255.255.0 192.168.10.0 255.255.255.0

                  
                     !--- Lista de acesso utilizada para contornar o processo NAT.
                  
                  access-list nonat permit ip 10.11.10.0 255.255.255.0 10.10.10.0 255.255.255.0
access-list nonat permit ip 10.11.10.0 255.255.255.0 192.168.10.0 255.255.255.0 
pager lines 24
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 172.20.77.10 255.255.0.0
ip address inside 10.11.10.1 255.255.255.0
no ip address intf2
no ip address intf3
no ip address intf4
no ip address intf5
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address intf2
no failover ip address intf3
no failover ip address intf4
no failover ip address intf5
pdm history enable
arp timeout 14400
global (outside) 1 interface


                     !--- Ligação da ACL nonat à instrução do NAT
!--- para impedir o NAT nos pacotes IPsec.
                  
                  nat (inside) 0 access-list nonat
nat (inside) 1 310.11.10.0 255.255.255.0 0 0
route outside 0.0.0.0 0.0.0.0 14.38.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable


                     !--- Permite todas sessões criptografadas autenticadas de IPsec de entrada.
                  
                  sysopt connection permit-ipsec

                  
                     !--- Define algoritmos de autenticação e de criptografia do IPsec.
                  
                  crypto ipsec transform-set myset esp-3des esp-sha-hmac

                  
                     !--- Define o mapa de criptografia.
                  
                  crypto map mymap 10 ipsec-isakmp
crypto map mymap 10 match address 100
crypto map mymap 10 set peer 172.18.124.170
crypto map mymap 10 set transform-set myset

                  
                     !--- Aplicação do mapa de criptografia na interface externa.
                  
                  crypto map mymap interface outside
isakmp enable outside

                  
                     !--- Define a chave de segredo pré-compartilhada utilizada para autenticação do Internet Key Exchange (IKE).
                  
                  isakmp key ******** address 172.18.124.170 netmask 255.255.255.0 no-xauth
isakmp identity address


                     !--- Define a política ISAKMP. 
                  
                  isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:cb5c245112db607e3a9a85328d1295db
: end

Configuração de VPN Client

Execute estas etapas para criar uma nova entrada de conexão no VPN Client.

  1. Digite o endereço IP do host (endereço IP externo do PIX1).

  2. Na guia Authentication (Autenticação), digite os atributos do grupo (nome e senha do grupo, conforme configurado no PIX Appliance).

    pix70-enh-spk-client-vpn-2.gif

  3. Na guia Transport (Transporte), escolha o método de tunelamento a ser utilizado para a conexão dos VPN Clients. Nesta configuração, Ativar o Tunelamento de Transporte está desativado quanto à conectividade direta do IPsec.

    pix70-enh-spk-client-vpn-2.gif

  4. Clique em Save (Salvar) para gravar o perfil de conexão configurado no VPN Client.

    pix70-enh-spk-client-vpn-4.gif

Verificação

Esta seção fornece informações que você pode usar para confirmar se a configuração funciona corretamente.

A Ferramenta Output Interpreter (clientes registrados somente) (OIT) é compatível com alguns comandos show. Use a OIT para visualizar uma análise da saída do comando show.

  • show crypto isakmp sa – Exibe todas as associações de segurança (SAs) atuais do IKE atuais em um par.

  • show crypto ipsec sa – Exibe todas as SAs atuais.

Para testar a comunicação entre duas redes privadas, PIX3 e PIX1, inicie um ping a partir de uma das redes privadas.

Nesta configuração:

  • Para uma conexão LAN-to-LAN estática, um ping é enviado de trás da rede PIX3 (10.11.10.x) para a rede PIX1 (10.10.10.x).

  • Para que os VPN Clients acessem as redes atrás da PIX3, é necessário construir uma associação de segurança PIX3 a PIX1 para as redes do VPN Client.

Verificação de PIX1

                  show crypto isakmp sa

                   Active SA: 2
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 2

1 IKE Peer: 172.18.173.77
Type : user Role : responder 
Rekey : no State : AM_ACTIVE
                  2 IKE Peer: 172.20.77.10
Type : L2L Role : responder
Rekey : no State : MM_ACTIVE



PIX1(config)#show crypto ipsec sa
interface: outside
Crypto map tag: rtpdynmap, local addr: 172.18.124.170

                     !--- SA da IPSec da conexão entre os VPN Clients e a rede PIX1.
                  
                  local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.10.1/255.255.255.255/0/0)
current_peer: 172.18.173.77
dynamic allocated peer ip: 192.168.10.1

#pkts encaps: 12, #pkts encrypt: 12, #pkts digest: 12
#pkts decaps: 12, #pkts decrypt: 12, #pkts verify: 12
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 12, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.18.124.170, remote crypto endpt.: 172.18.173.77

path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 1ECCB41D

inbound esp sas:
spi: 0x6C1615A7 (1813386663)
transform: esp-3des esp-sha-hmac 
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 5, crypto-map: rtpdynmap
sa timing: remaining key lifetime (sec): 28761
IV size: 8 bytes
replay detection support: Y


outbound esp sas:
spi: 0x1ECCB41D (516731933)
transform: esp-3des esp-sha-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 5, crypto-map: rtpdynmap
sa timing: remaining key lifetime (sec): 28760
IV size: 8 bytes
replay detection support: Y

Crypto map tag: mymap, local addr: 172.18.124.170

                     !--- SA da IPSec da conexão entre a rede dos VPN Clients e a rede PIX3.
                  
                  local ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.11.10.0/255.255.255.0/0/0)
current_peer: 172.20.77.10

#pkts encaps: 8, #pkts encrypt: 8, #pkts digest: 8
#pkts decaps: 8, #pkts decrypt: 8, #pkts verify: 8
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 8, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.18.124.170, remote crypto endpt.: 172.20.77.10

path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 9EF2885C

inbound esp sas:
spi: 0x82E9BF07 (2196356871)
transform: esp-3des esp-sha-hmac
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 4, crypto-map: mymap
sa timing: remaining key lifetime (kB/sec): (4274999/28786)
IV size: 8 bytes
replay detection support: Y


outbound esp sas:
spi: 0x9EF2885C (2666694748)
transform: esp-3des esp-sha-hmac
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 4, crypto-map: mymap
sa timing: remaining key lifetime (kB/sec): (4274999/28786)
IV size: 8 bytes
replay detection support: Y

Crypto map tag: mymap, local addr: 172.18.124.170

                     !--- Associação de segurança IPSec de uma conexão entre
!--- as redes PIX1 e PIX3.
                  
                  local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.11.10.0/255.255.255.0/0/0)
current_peer: 172.20.77.10

                  #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.18.124.170, remote crypto endpt.: 172.20.77.10

path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: C86585AB

inbound esp sas:
spi: 0x95604966 (2506115430)
transform: esp-3des esp-sha-hmac
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 4, crypto-map: mymap
sa timing: remaining key lifetime (kB/sec): (4274999/28653)
IV size: 8 bytes
replay detection support: Y


outbound esp sas:
spi: 0xC86585AB (3362096555)
transform: esp-3des esp-sha-hmac
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 4, crypto-map: mymap
sa timing: remaining key lifetime (kB/sec): (4274999/28652)
IV size: 8 bytes
replay detection support: Y

Verificação de PIX3

PIX3(config)#show crypto isakmp sa
Total : 1
Embryonic : 0
dst                         src                    state     pending     created
172.18.124.170 172.20.77.10 QM_IDLE         0             2
PIX3(config)#show crypto ipsec sa


interface: outside
Crypto map tag: mymap, local addr. 172.20.77.10

                     !--- Associação de segurança IPSec de uma conexão entre
!--- as redes PIX3 e PIX1.
                  
                  local ident (addr/mask/prot/port): (10.11.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
current_peer: 172.18.124.170:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0

local crypto endpt.: 172.20.77.10, remote crypto endpt.: 172.18.124.170
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: 95604966

inbound esp sas:
spi: 0xc86585ab(3362096555)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 4, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28213)
IV size: 8 bytes
replay detection support: Y


inbound ah sas:


inbound pcp sas:


outbound esp sas:
spi: 0x95604966(2506115430)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 3, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28213)
IV size: 8 bytes
replay detection support: Y


outbound ah sas:


outbound pcp sas:



                     !--- Associação de segurança IPSec da conexão entre a rede VPN Client
!--- e as redes PIX3.
                  
                  local ident (addr/mask/prot/port): (10.11.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0)
current_peer: 172.18.124.170:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 8, #pkts encrypt: 8, #pkts digest 8
#pkts decaps: 8, #pkts decrypt: 8, #pkts verify 8
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0

local crypto endpt.: 172.20.77.10, remote crypto endpt.: 172.18.124.170
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: 82e9bf07

inbound esp sas:
spi: 0x9ef2885c(2666694748)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28295)
IV size: 8 bytes
replay detection support: Y


inbound ah sas:


inbound pcp sas:


outbound esp sas:
spi: 0x82e9bf07(2196356871)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 1, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28295)
IV size: 8 bytes
replay detection support: Y


outbound ah sas:


outbound pcp sas:

Verificação do VPN Client

Execute estas etapas para verificar o VPN Client:

  1. Clique com o botão direito do mouse no ícone de cadeado do VPN Client, na bandeja do sistema, depois de uma conexão bem-sucedida, e escolha a opção para as estatísticas.

    Você pode conhecer os detalhes sobre a conexão do VPN Client e a criptografia e descriptografia das informações do pacote.

    pix70-enh-spk-client-vpn-5.gif

  2. Clique na guia Route Details (Detalhes da Rota) para ver a lista de divisão de túnel enviada da PIX Security Appliance.

    pix70-enh-spk-client-vpn-6.gif

Solução de Problemas

Esta seção fornece informações que podem ser usadas para solucionar problemas da configuração.

Comandos de Solução de Problemas

A Ferramenta Output Interpreter (clientes registrados somente) (OIT) é compatível com alguns comandos show. Use a OIT para ver uma análise da saída do comando show.

Observação: Consulte Informações Importantes sobre Comandos de Depuração antes de utilizar os comandos debug.

  • clear crypto isakmp sa – Limpa as associações de segurança (SAs) da fase 1.

  • clear crypto ipsec sa – Limpa as SAs da fase 2.

  • debug crypto isakmp sa – Depura as negociações da SA ISAKMP.

  • debug crypto ipsec sa – Depura as negociações da SA IPsec.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 64693