Segurança : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA: Exemplo de Configuração de Easy VPN com um PIX 515E como o Servidor e o ASA 5505 como o Cliente (NEM)

17 Julho 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (2 Outubro 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Informações de Apoio
Configuração
      Diagrama de Rede
      Configurações
Verificação
      Saída de Exemplo e Comandos show do PIX Easy VPN Server
      Saída de Exemplo e Comandos show do PIX Easy VPN Remote Hardware Client
Troubleshooting
      Comandos do Easy VPN Server
      Comandos do Easy VPN Remote Hardware Client
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento fornece um exemplo de configuração para o IPsec entre um Cisco PIX 515E e o Cisco Adaptive Security Appliance (ASA) 5505 que usa Easy VPN com Network Extension Mode (NEM). Uma solução Cisco Easy VPN consiste em um servidor Easy VPN no site principal e os clientes de hardware Easy VPN nos escritórios remotos. O Cisco ASA 5505 pode funcionar como um cliente de hardware Cisco Easy VPN ou como um servidor Cisco Easy VPN, o qual algumas vezes é chamado de dispositivo de headend, mas não ambos ao mesmo tempo. Aqui, em nossa topologia, o Cisco PIX 515E age como o servidor Easy VPN e o ASA 5505 age como o cliente remoto Easy VPN (Hardware Client).

O cliente de hardware Easy VPN oferece suporte a um dos dois modos de operação: Client Mode ou Network Extension Mode (NEM). O modo de operação determina se os hosts atrás do cliente de hardware Easy VPN estarão acessíveis da rede corporativa através do túnel.

O Client Mode, também chamado de modo Port Address Translation (PAT), isola todos os dispositivos na rede privada do cliente Easy VPN da rede corporativa. O cliente Easy VPN executa PAT para todo o tráfego de VPN para seus hosts internos. O gerenciamento de endereços IP não é necessário para os hosts internos ou a interface interna do cliente Easy VPN.

O NEM torna a interface interna e todos os hosts internos roteáveis através da rede corporativa pelo túnel. Os hosts na rede interna obtêm seus endereços IP da sub-rede acessível (estaticamente ou com DHCP) que é pré-configurada com endereços IP estáticos. O PAT não é aplicável ao tráfego VPN no NEM. Este modo não requer uma configuração VPN para cada cliente. O ASA 5505 configurado para o modo NEM oferece suporte à iniciação de túnel automática. A configuração deve armazenar o nome do grupo, o nome de usuário e a senha.

A iniciação de túnel automática será desativada se a autenticação de unidade protegida estiver ativada. A rede e os endereços no lado privado do cliente Easy VPN permanecem ocultos e não podem ser acessados diretamente.

O cliente de hardware Easy VPN não possui um modo padrão. Entretanto, se você não especificar o modo no Adaptive Security Device Manager (ASDM), o ASDM selecionará automaticamente o modo cliente. Quando você configura o cliente de hardware Easy VPN com o uso da CLI, é necessário especificar o modo.

Consulte Exemplo de Configuração do PIX/ASA 7.x Easy VPN com um ASA 5500 como o Servidor e o Cisco 871 como Easy VPN Remote para obter mais informações sobre um cenário semelhante onde o Cisco 871 Router age como o Easy VPN Remote.

Pré-requisitos

Requisitos

Verifique se você atende a estes requisitos antes de tentar esta configuração:

  • Conhecimentos básicos sobre

    • IPsec

    • Easy VPN

    • ASA/PIX Security Appliances

Componentes Utilizados

As informações deste documento baseiam-se nestas versões de software e hardware:

  • O Easy VPN Remote Hardware Client é um ASA 5505 que executa a versão 7.2(1) ou posterior.

  • O Easy VPN Server é um PIX 515E que executa a versão 7.x ou posterior.

Nota: A configuração do Easy VPN Server neste documento é aplicável a ambos PIX/ASA que executam a versão 7.x ou posterior.

As informações deste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Se você usar uma solução Easy VPN, isso simplificará a implementação e o gerenciamento de uma VPN destas formas:

Neste exemplo de configuração, um túnel IPSec é configurado com estes elementos:

  • Os hosts nos sites remotos não precisam mais executar o software de cliente VPN.

  • As políticas de segurança residem em um servidor central e são enviadas por push aos clientes de hardware remoto quando uma conexão VPN é estabelecida.

  • Menos parâmetros de configuração precisam ser definidos localmente, o que minimiza a necessidade de administração on-site.

Quando usado como um cliente de hardware Easy VPN, o ASA 5505 também pode ser configurado para executar serviços de firewall básicos, como proteger dispositivos em uma DMZ contra acesso não autorizado. Entretanto, se o ASA 5505 estiver configurado para funcionar como um cliente de hardware Easy VPN, ele não poderá estabelecer outros tipos de túnel. Por exemplo, o ASA 5505 não pode funcionar simultaneamente como um cliente de hardware Easy VPN e uma extremidade de uma implementação VPN peer-a-peer.

Configuração

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Quando configurado no Easy VPN Network Extension Mode, o ASA 5505 não oculta os endereços IP dos hosts locais pela substituição de um endereço IP público. Portanto, os hosts do outro lado da conexão VPN podem se comunicar diretamente com os hosts na rede local. Quando você configura o NEM, a rede atrás do cliente Easy VPN não deve sobrepor a sua rede atrás do servidor Easy VPN. A figura mostra um exemplo de topologia de rede com o ASA 5505 executado no Network Extension Mode.

ezvpn-asa5505-515e-1.gif

Configurações

Este documento utiliza as seguintes configurações:

Easy VPN Server (PIX 515E)

pixfirewall#write terminal
PIX Version 8.0(2)
!
hostname pixfirewall
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!

!--- Configura as interfaces externa e interna.

interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.20.20.1 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 172.22.1.1 255.255.255.0
!

!--- Saída suprimida.

!
interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive


!--- Esta lista de acesso é usada com o comando nat zero que bloqueia
!--- o tráfego que corresponde à lista de acesso. Assim,
!--- ele não passa pelo NAT.


access-list no-nat extended permit ip 172.22.1.0 255.255.255.0 172.16.1.0 255.255.255.0

!--- Esta lista de acesso é usada para definir o tráfego que
!--- deve passar pelo túnel.
!--- Vinculado à política de grupo, a qual define um
!--- mapa de criptografia dinâmico.

access-list ezvpn1 extended permit ip 172.22.1.0 255.255.255.0 172.16.1.0 255.255.255.0

pager lines 24
mtu outside 1500
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm-602.bin
no asdm history enable
arp timeout 14400



!--- Especifica a configuração de NAT.
!--- NAT 0 impede o NAT para a ACL definida nesta configuração.
!--- O comando nat 1 especifica o NAT para o resto do tráfego.

global (outside) 1 interface
nat (inside) 0 access-list no-nat
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 10.20.20.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart




!--- CONFIGURAÇÃO DA FASE 2 ---!
!--- Os tipos de criptografia da Fase 2 são definidos aqui.
!--- Uma criptografia DES simples com o
!--- algoritmo de hash MD5 é usada.

crypto ipsec transform-set mySET esp-des esp-md5-hmac


!--- Este comando define um mapa de criptografia dinâmico
!--- com as configurações de criptografia especificadas.

crypto dynamic-map myDYN-MAP 5 set transform-set mySET


!--- Este comando vincula o mapa dinâmico ao
!--- processo de IPsec/ISAKMP.

crypto map myMAP 60 ipsec-isakmp dynamic myDYN-MAP


!--- Este comando especifica a interface que será usada
!--- com as opções definidas nesta configuração.

crypto map myMAP interface outside


!--- CONFIGURAÇÃO DA FASE 1 ---!

!--- Esta configuração usa a política 1 de isakmp.
!--- A política 65535 está incluída na configuração
!--- padrão. Estes comandos de configuração
!--- definem as políticas da Fase 1 que serão usadas.

crypto isakmp enable outside
crypto isakmp policy 1
 authentication pre-share
 encryption des
 hash md5
 group 2
 lifetime 86400
crypto isakmp policy 65535
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global


!--- Define a política de grupo que será usada com o Easy VPN.
!--- Especifica as redes que devem passar pelo
!--- túnel e que você deseja usar
!--- o modo de extensão de rede.

group-policy myGROUP internal
group-policy myGROUP attributes
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value ezvpn1
 nem enable


!--- O nome de usuário e a senha associados a
!--- esta conexão VPN são definidos aqui.  Você
!--- também pode usar AAA para esta função.

username cisco password 3USUcOPFUiMCO4Jk encrypted

!--- Os comandos tunnel-group vinculam as configurações
!--- definidas nesta configuração para o túnel que é
!--- usado para o Easy VPN.  O nome deste túnel é o
!--- especificado no lado remoto.

tunnel-group mytunnel type ipsec-ra
tunnel-group mytunnel general-attributes
 default-group-policy myGROUP
tunnel-group mytunnel ipsec-attributes

!--- A chave pré-compartilhada usada é "cisco".

 pre-shared-key *
prompt hostname context
Cryptochecksum:a16e3c19d5b2ab400151e0c13d26b074
: end

ASA 5505 - Easy VPN Remote Hardware Client

ciscoasa#write terminal
:
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 172.16.1.1 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 10.10.10.1 255.255.255.0
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/1
!


!--- Saída suprimida.

!
interface Ethernet0/7
 shutdown
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400

!--- Especifica a configuração de NAT padrão.
!--- O Easy VPN fornece as exceções de NAT necessárias.

global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 10.10.10.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0


!--- Configuração do cliente Easy VPN ---!
!--- Especifica o endereço IP do servidor VPN.

vpnclient server 10.20.20.1

!--- Este exemplo usa o modo de extensão de rede.

vpnclient mode network-extension-mode

!--- Especifica o nome do grupo e a chave pré-compartilhada.

vpnclient vpngroup mytunnel password ********

!--- Especifica o nome de usuário e a senha de autenticação.

vpnclient username cisco password ********

!--- Para ativar o dispositivo como cliente VPN de hardware, use este comando.

vpnclient enable

threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!

!--- Saída suprimida.

!
service-policy global_policy global
prompt hostname context
Cryptochecksum:dfcc004fbc2988e4370226f8d592b205
: end

Verificação

Utilize esta seção para confirmar se a sua configuração está funcionando corretamente.

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Saída de Exemplo e Comandos show do PIX Easy VPN Server

  • show crypto isakmp sa — Este comando exibe todas as associações de segurança (SA) Internet Key Exchange (IKE) atuais em um peer.

    pixfirewall#show crypto isakmp sa
    
       Active SA: 1
        Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 10.10.10.1
        Type    : user            Role    : responder
        Rekey   : no              State   : AM_ACTIVE
    
  • show crypto ipsec sa — Este comando exibe SAs IPsec criadas entre peers.

    pixfirewall#show crypto ipsec sa
    interface: outside
       Crypto map tag: myDYN-MAP, seq num: 5, local addr: 10.20.20.1
    
         local ident (addr/mask/prot/port): (172.22.1.0/255.255.255.0/0/0)
         remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
         current_peer: 10.10.10.1, username: cisco
         dynamic allocated peer ip: 0.0.0.0
    
         #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
         #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
         #pkts compressed: 0, #pkts decompressed: 0
         #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
         #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
         #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
         #send errors: 0, #recv errors: 0
    
         local crypto endpt.: 10.20.20.1, remote crypto endpt.: 10.10.10.1
    
         path mtu 1500, ipsec overhead 58, media mtu 1500
         current outbound spi: 4DC131C7
    
       inbound esp sas:
         spi: 0x6F48BB47 (1867037511)
            transform: esp-des esp-md5-hmac none
            in use settings ={RA, Tunnel, }
            slot: 0, conn_id: 4096, crypto-map: myDYN-MAP
            sa timing: remaining key lifetime (sec): 28656
            IV size: 8 bytes
            replay detection support: Y
       outbound esp sas:
         spi: 0x4DC131C7 (1304506823)
            transform: esp-des esp-md5-hmac none
            in use settings ={RA, Tunnel, }
            slot: 0, conn_id: 4096, crypto-map: myDYN-MAP
            sa timing: remaining key lifetime (sec): 28656
            IV size: 8 bytes
            replay detection support: Y
    
       Crypto map tag: myDYN-MAP, seq num: 5, local addr: 10.20.20.1
    
         local ident (addr/mask/prot/port): (172.22.1.0/255.255.255.0/0/0)
         remote ident (addr/mask/prot/port): (10.10.10.1/255.255.255.255/0/0)
         current_peer: 10.10.10.1, username: cisco
         dynamic allocated peer ip: 0.0.0.0
    
         #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
         #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
         #pkts compressed: 0, #pkts decompressed: 0
         #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
         #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
         #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
         #send errors: 0, #recv errors: 0
    
         local crypto endpt.: 10.20.20.1, remote crypto endpt.: 10.10.10.1
    
         path mtu 1500, ipsec overhead 58, media mtu 1500
         current outbound spi: DC1F63B2
    
       inbound esp sas:
         spi: 0x5288CD4D (1384697165)
            transform: esp-des esp-md5-hmac none
            in use settings ={RA, Tunnel, }
            slot: 0, conn_id: 4096, crypto-map: myDYN-MAP
            sa timing: remaining key lifetime (sec): 28634
            IV size: 8 bytes
            replay detection support: Y
       outbound esp sas:
         spi: 0xDC1F63B2 (3693044658)
            transform: esp-des esp-md5-hmac none
            in use settings ={RA, Tunnel, }
            slot: 0, conn_id: 4096, crypto-map: myDYN-MAP
            sa timing: remaining key lifetime (sec): 28634
            IV size: 8 bytes
            replay detection support: Y
    
       Crypto map tag: myDYN-MAP, seq num: 5, local addr: 10.20.20.1
    
         local ident (addr/mask/prot/port): (10.20.20.1/255.255.255.255/0/0)
         remote ident (addr/mask/prot/port): (10.10.10.1/255.255.255.255/0/0)
         current_peer: 10.10.10.1, username: cisco
         dynamic allocated peer ip: 0.0.0.0
    
         #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
         #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
         #pkts compressed: 0, #pkts decompressed: 0
         #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
         #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
         #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
         #send errors: 0, #recv errors: 0
    
         local crypto endpt.: 10.20.20.1, remote crypto endpt.: 10.10.10.1
    
         path mtu 1500, ipsec overhead 58, media mtu 1500
         current outbound spi: CADED9A2
    
       inbound esp sas:
         spi: 0xD04E7073 (3494801523)
            transform: esp-des esp-md5-hmac none
            in use settings ={RA, Tunnel, }
            slot: 0, conn_id: 4096, crypto-map: myDYN-MAP
            sa timing: remaining key lifetime (sec): 28628
            IV size: 8 bytes
            replay detection support: Y
       outbound esp sas:
         spi: 0xCADED9A2 (3403602338)
            transform: esp-des esp-md5-hmac none
            in use settings ={RA, Tunnel, }
            slot: 0, conn_id: 4096, crypto-map: myDYN-MAP
            sa timing: remaining key lifetime (sec): 28628
            IV size: 8 bytes
            replay detection support: Y
    

Saída de Exemplo e Comandos show do PIX Easy VPN Remote Hardware Client

  • vpnclient enable — Este comando ativa uma conexão remota Easy VPN. No Network Extension Mode (NEM), o túnel é ativado mesmo quando não há nenhum tráfego interessante a ser trocado com o servidor Easy VPN headend.

    ciscoasa(config)#vpnclient enable
    
  • show crypto isakmp sa — Este comando exibe todas as SAs IKE em um peer.

    ciscoasa#show crypto isakmp sa
       Active SA: 1
        Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 10.20.20.1
        Type    : user            Role    : initiator
        Rekey   : no              State   : AM_ACTIVE
    
  • show crypto ipsec sa — Este comando exibe SAs IPsec criadas entre peers.

    ciscoasa#show crypto ipsec sa
    interface: outside
        Crypto map tag: _vpnc_cm, seq num: 10, local addr: 10.10.10.1
    
          access-list _vpnc_acl permit ip 172.16.1.0 255.255.255.0 172.22.1.0 255.25
    5.255.0
          local ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
          remote ident (addr/mask/prot/port): (172.22.1.0/255.255.255.0/0/0)
          current_peer: 10.20.20.1, username: 10.20.20.1
          dynamic allocated peer ip: 0.0.0.0
    
          #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
          #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
          #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
          #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 10.10.10.1, remote crypto endpt.: 10.20.20.1
    
          path mtu 1500, ipsec overhead 58, media mtu 1500
          current outbound spi: 6F48BB47
    
        inbound esp sas:
          spi: 0x4DC131C7 (1304506823)
             transform: esp-des esp-md5-hmac none
             in use settings ={RA, Tunnel, }
             slot: 0, conn_id: 4096, crypto-map: _vpnc_cm
             sa timing: remaining key lifetime (sec): 28786
             IV size: 8 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0x6F48BB47 (1867037511)
             transform: esp-des esp-md5-hmac none
             in use settings ={RA, Tunnel, }
             slot: 0, conn_id: 4096, crypto-map: _vpnc_cm
             sa timing: remaining key lifetime (sec): 28786
             IV size: 8 bytes
             replay detection support: Y
    
        Crypto map tag: _vpnc_cm, seq num: 10, local addr: 10.10.10.1
    
          access-list _vpnc_acl permit ip host 10.10.10.1 172.22.1.0 255.255.255.0
          local ident (addr/mask/prot/port): (10.10.10.1/255.255.255.255/0/0)
          remote ident (addr/mask/prot/port): (172.22.1.0/255.255.255.0/0/0)
          current_peer: 10.20.20.1, username: 10.20.20.1
          dynamic allocated peer ip: 0.0.0.0
    
          #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
          #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
          #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
          #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 10.10.10.1, remote crypto endpt.: 10.20.20.1
    
          path mtu 1500, ipsec overhead 58, media mtu 1500
          current outbound spi: 5288CD4D
    
        inbound esp sas:
          spi: 0xDC1F63B2 (3693044658)
             transform: esp-des esp-md5-hmac none
             in use settings ={RA, Tunnel, }
             slot: 0, conn_id: 4096, crypto-map: _vpnc_cm
             sa timing: remaining key lifetime (sec): 28759
             IV size: 8 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0x5288CD4D (1384697165)
             transform: esp-des esp-md5-hmac none
             in use settings ={RA, Tunnel, }
             slot: 0, conn_id: 4096, crypto-map: _vpnc_cm
             sa timing: remaining key lifetime (sec): 28759
             IV size: 8 bytes
             replay detection support: Y
    
        Crypto map tag: _vpnc_cm, seq num: 10, local addr: 10.10.10.1
    
          access-list _vpnc_acl permit ip host 10.10.10.1 host 10.20.20.1
          local ident (addr/mask/prot/port): (10.10.10.1/255.255.255.255/0/0)
          remote ident (addr/mask/prot/port): (10.20.20.1/255.255.255.255/0/0)
          current_peer: 10.20.20.1, username: 10.20.20.1
          dynamic allocated peer ip: 0.0.0.0
    
          #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
          #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
          #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
          #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 10.10.10.1, remote crypto endpt.: 10.20.20.1
    
          path mtu 1500, ipsec overhead 58, media mtu 1500
          current outbound spi: D04E7073
    
        inbound esp sas:
          spi: 0xCADED9A2 (3403602338)
             transform: esp-des esp-md5-hmac none
             in use settings ={RA, Tunnel, }
             slot: 0, conn_id: 4096, crypto-map: _vpnc_cm
             sa timing: remaining key lifetime (sec): 28752
             IV size: 8 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0xD04E7073 (3494801523)
             transform: esp-des esp-md5-hmac none
             in use settings ={RA, Tunnel, }
             slot: 0, conn_id: 4096, crypto-map: _vpnc_cm
             sa timing: remaining key lifetime (sec): 28752
             IV size: 8 bytes
             replay detection support: Y
    
  • show vpnclient — Este comando exibe as informações de configuração do dispositivo remoto Easy VPN ou cliente VPN.

    ciscoasa#show vpnclient
    
    LOCAL CONFIGURATION
    vpnclient server 10.20.20.1
    vpnclient mode network-extension-mode
    vpnclient vpngroup mytunnel password ********
    vpnclient username cisco password ********
    vpnclient enable
    
    DOWNLOADED DYNAMIC POLICY
    Current Server                     : 10.20.20.1
    PFS Enabled                        : No
    Secure Unit Authentication Enabled : No
    User Authentication Enabled        : No
    Split Tunnel Networks              : 172.22.1.0/255.255.255.0
    Backup Servers                     : None
    

Troubleshooting

Esta seção fornece informações que você pode usar no troubleshooting de sua configuração.

Se você tiver configurado o Easy VPN Remote Hardware Client e o Easy VPN Server como este documento descreve e ainda assim enfrentar problemas, obtenha a saída de debug de cada PIX e a saída dos comandos show para análise pelo Suporte Técnico da Cisco. Consulte também Troubleshooting de PIX para Passar Tráfego de Dados em um Túnel IPSec Estabelecido e Troubleshooting de Segurança IP – Entendendo e Utilizando os Comandos de Depuração para obter mais informações. Ative a depuração de IPSec no PIX.

Estas seções exibem a saída de exemplo e os comandos debug do PIX.

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota:  Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug .

Comandos do Easy VPN Server

  • debug crypto ipsec — Este comando exibe as negociações de IPSec da Fase 2.

  • debug crypto ipsec — Este comando exibe as negociações de ISAKMP da Fase 1.

Exemplo da saída:

pixfirewall#debug crypto isakmp 2
Aug 08 03:26:09 [IKEv1]: IP = 10.10.10.1, Connection lan
ded on tunnel_group mytunnel
Aug 08 03:26:09 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, Us
er (cisco) authenticated.
Aug 08 03:26:09 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, PH
ASE 1 COMPLETED
Aug 08 03:26:09 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, IK
E: requesting SPI!
Aug 08 03:26:09 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, Se
curity negotiation complete for User (cisco)  Responder, Inbound SPI = 0xe6b089b
7, Outbound SPI = 0xcb705206

Comandos do Easy VPN Remote Hardware Client

  • debug crypto ipsec — Este comando exibe as negociações de IPSec da Fase 2.

  • debug crypto ipsec — Este comando exibe as negociações de ISAKMP da Fase 1.

    ciscoasa#debug crypto isakmp 2
    
    Aug 08 14:16:09 [IKEv1]: IP = 10.20.20.1, Connection landed
     on tunnel_group 10.20.20.1
    Aug 08 14:16:09 [IKEv1]: IP = 10.20.20.1, Received encrypted packet with no matc
    hing SA, dropping
    Aug 08 14:16:09 [IKEv1]: IP = 10.20.20.1, Received encrypted packet with no matc
    hing SA, dropping
    Aug 08 14:16:09 [IKEv1]: IP = 10.20.20.1, Received encrypted packet with no matc
    hing SA, dropping
    Aug 08 14:16:10 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, PHASE 1 COMPLETED
    Aug 08 14:16:10 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, Security negotiati
    on complete for peer (10.20.20.1)  Initiator, Inbound SPI = 0xcb705206, Outbound
     SPI = 0xe6b089b7
    Aug 08 14:16:10 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, PHASE 2 COMPLETED
    (msgid=670ff816)
    Aug 08 14:16:10 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, IKE Initiator: New
     Phase 2, Intf inside, IKE Peer 10.20.20.1  local Proxy Address 172.16.1.0, remo
    te Proxy Address 172.22.1.0,  Crypto map (_vpnc_cm)
    Aug 08 14:16:10 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, Security negotiati
    on complete for peer (10.20.20.1)  Initiator, Inbound SPI = 0x3bfa93fb, Outbound
     SPI = 0x3b11bf8b
    Aug 08 14:16:10 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, PHASE 2 COMPLETED
    (msgid=29791739)
    Aug 08 14:16:13 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, IKE Initiator: New
     Phase 2, Intf NP Identity Ifc, IKE Peer 10.20.20.1  local Proxy Address 10.10.1
    0.1, remote Proxy Address 172.22.1.0,  Crypto map (_vpnc_cm)
    Aug 08 14:16:13 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, Security negotiati
    on complete for peer (10.20.20.1)  Initiator, Inbound SPI = 0xd329cacc, Outbound
     SPI = 0xdec3c1b6
    Aug 08 14:16:13 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, PHASE 2 COMPLETED
    (msgid=b303dbac)
    
    Aug 08 03:26:09 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, PH
    ASE 2 COMPLETED (msgid=670ff816)
    Aug 08 03:26:10 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, IK
    E: requesting SPI!
    Aug 08 03:26:10 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, Se
    curity negotiation complete for User (cisco)  Responder, Inbound SPI = 0x3b11bf8
    b, Outbound SPI = 0x3bfa93fb
    Aug 08 03:26:10 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, PH
    ASE 2 COMPLETED (msgid=29791739)
    Aug 08 03:26:12 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, IK
    E: requesting SPI!
    Aug 08 03:26:12 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, Se
    curity negotiation complete for User (cisco)  Responder, Inbound SPI = 0xdec3c1b
    6, Outbound SPI = 0xd329cacc
    Aug 08 03:26:12 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, PH
    ASE 2 COMPLETED (msgid=b303dbac)
    

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 98528