Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

Exemple de configuration d'un VPN Spoke à client + amélioré PIX/ASA 7.x avec authentification TACACS+

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document décrit comment configurer des sessions entre réseaux locaux entre les dispositifs de sécurité PIX, et tient compte également pour qu'un client vpn accède au réseau de rai (PIX3) par le hub (PIX1) avec le Cisco Secure ACS pour des fenêtres avec l'authentification TACACS+. En outre, ce document explique la configuration pour un tunnel entre réseaux locaux statique avec le client vpn à la Connectivité de rai par les dispositifs de sécurité de concentrateur PIX. La version de PIX 7.0 améliore le soutien des transmissions du spoke-to-spoke VPN. PIX 7.0 fournit la capacité pour que le trafic chiffré écrive et de laisse la même interface.

Les autorisations de commande du même-Sécurité-trafic trafiquent pour écrire et quitter la même interface une fois utilisées avec le mot clé intra-interface, qui active le support du spoke-to-spoke VPN. Référez-vous à la section intra-interface laissante du trafic dans le pour en savoir plus de guide de configuration de ligne de commande d'appareils de sécurité Cisco.

Remarque: Afin d'éviter superposer des adresses IP dans le réseau, affectez le groupe entièrement différent d'adresses IP au client vpn, par exemple, à 10.x.x.x, à 172.16.x.x, ou à 192.168.x.x. Ce schéma d'adressage IP aide à dépanner votre réseau.

Remarque: Dans la version de PIX 7.2 et plus tard, le mot clé intra-interface permet à tout le trafic pour écrire et quitter la mêmes interface et pas simplement trafic d'IPsec.

Remarque: Ce document est pour la configuration PIX/ASA 7.x. Référez-vous à la configuration d'IPSec entre le hub et le distant PIXes avec le client vpn et à l'authentification étendue afin de se renseigner plus sur la configuration PIX 6.x.

Référez-vous à PIX/ASA 7.x et client vpn pour l'Internet public VPN sur un exemple de configuration de bâton afin de se renseigner plus sur le scénario où le concentrateur PIX réoriente le trafic du client vpn à l'Internet.

Référez-vous au tunnel d'IPsec entre PIX 7.x et exemple de configuration de concentrateur VPN 3000 afin de se renseigner plus sur le scénario où le tunnel entre réseaux locaux entre PIX et le concentrateur de Cisco VPN.

Référez-vous aux dispositifs de sécurité PIX/ASA 7.x à un exemple de configuration de tunnel d'IPsec d'entre réseaux locaux de routeur IOS afin de se renseigner plus sur le scénario où le tunnel entre réseaux locaux entre PIX/ASA et un routeur de Ý de Cisco IOS.

Conditions préalables

Conditions requises

L'appliance de degré de sécurité de concentrateur PIX doit exécuter la version 7.0 ou ultérieures.

Remarque: Référez-vous au guide pour Cisco des utilisateurs PIX 6.2 et 6.3 améliorant à la version du logiciel PIX 7.0 de Cisco pour plus d'informations sur la façon améliorer l'appliance de Sécurité PIX à la version 7.0.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • PIX 515 version 7.0.1 (PIX1)

  • Version du client 4.6.02.0011 VPN

  • PIX 515 version 6.3.4 (PIX3)

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Mises en garde

  • Des attributs de configuration de mode de client vpn de l'ID de bogue Cisco CSCeh29328 (clients enregistrés seulement) — ne sont pas imposés quand vous désactivez le XAUTH.

  • Le tunnel partagé ACLs de l'ID de bogue Cisco CSCeh69389 (clients enregistrés seulement) — ne sont pas convertis en ACLs standard quand vous améliorez à PIX 7.0.

Configurez

Cette section vous présente avec les informations pour l'utiliser afin de configurer les caractéristiques que ce document décrit.

Remarque: Afin de trouver des informations complémentaires sur les commandes que ce document utilise, veuillez utiliser le Command Lookup Tool (clients enregistrés seulement).

Remarque: Pour une configuration du VPN de l'entre réseaux locaux des dispositifs de sécurité 7.x PIX (L2L), vous devez spécifier le <name> du groupe de tunnel comme l'adresse IP distante de pair dans la commande du type ipsec-l2l de <name> de groupe de tunnels pour créer et gérer la base de données des enregistrements de connexion-particularité pour IPsec.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

/image/gif/paws/64693/pix70-enh-spk-client-vpn-11.gif

Remarque: Les schémas d'adressage d'IP utilisés dans cette configuration ne sont pas légalement routables sur Internet. Ce sont des adresses RFC 1918 qui ont été utilisés dans un environnement de laboratoire.leavingcisco.com

Configurations

Ce document utilise les configurations suivantes :

PIX1
PIX Version 7.0(1) 
no names
!
interface Ethernet0
nameif outside
security-level 0
ip address 172.18.124.170 255.255.255.0 
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0 
!
interface Ethernet2
shutdown
nameif intf2
security-level 4
no ip address
!
interface Ethernet3
shutdown
nameif intf3
security-level 6
no ip address
!
interface Ethernet4
shutdown
nameif intf4
security-level 8
no ip address
!
interface Ethernet5
shutdown
nameif intf5
security-level 10
no ip address
!
enable password 9jNfZuG3TC5tCVH0 encrypted
passwd OnTrBUG1Tp0edmkr encrypted
hostname PIX1
domain-name cisco.com
boot system flash:/image.bin
ftp mode passive

!--- Command to permit IPsec traffic to enter and exit the same interface.

same-security-traffic permit intra-interface


!--- Access-list for interesting traffic to be encrypted between 
!--- the hub (PIX1) and spoke (PIX3) networks.

access-list 100 extended permit ip 10.10.10.0 255.255.255.0 10.11.10.0 255.255.255.0


!--- Access-list for interesting traffic to be encrypted 
!--- between the VPN Client networks and spoke (PIX3) networks. 

access-list 100 extended permit ip 192.168.10.0 255.255.255.0 10.11.10.0 255.255.255.0


!--- Access-list for interesting traffic to bypass the 
!--- Network Address Translation (NAT) process.

access-list nonat extended permit ip 10.10.10.0 255.255.255.0 10.11.10.0 255.255.255.0 
access-list nonat extended permit ip 10.10.10.0 255.255.255.0 192.168.10.0 255.255.255.0


!--- Standard access-list to allow split-tunnel for the VPN Clients.
 
access-list splittunnel standard permit 10.10.10.0 255.255.255.0 
access-list splittunnel standard permit 10.11.10.0 255.255.255.0 
pager lines 24
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500


!--- Address pool for the VPN Clients.

ip local pool vpnpool 192.168.10.1-192.168.10.254
no failover
monitor-interface outside
monitor-interface inside
monitor-interface intf2
monitor-interface intf3
monitor-interface intf4
monitor-interface intf5
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface


!--- Bypass NAT process for IPsec traffic.

nat (inside) 0 access-list nonat
nat (inside) 1 10.10.10.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius


!--- Configuration of TACACS+ server on the inside interface with server 
!--- tag name as mytacacs 

aaa-server mytacacs protocol tacacs+
aaa-server mytacacs (inside) host 10.10.10.100 key123 timeout 5



!--- Configuration of group-policy for VPN Clients.

group-policy clientgroup internal
group-policy clientgroup attributes
vpn-idle-timeout 20

!--- See Note 2.



!--- Enable and bind split-tunnel parameters to the group-policy.

split-tunnel-policy tunnelspecified
split-tunnel-network-list value splittunnel
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp


!--- Configuration of IPsec Phase 2.

crypto ipsec transform-set myset esp-3des esp-sha-hmac 


!--- Crypto map configuration for VPN Clients that connect to this PIX.

crypto dynamic-map rtpdynmap 20 set transform-set myset


!--- Crypto map configuration for a static LAN-to-LAN tunnel.

crypto map mymap 10 match address 100
crypto map mymap 10 set peer 172.20.77.10 
crypto map mymap 10 set transform-set myset


!--- Binding the dynamic map to the crypto map process.

crypto map mymap 20 ipsec-isakmp dynamic rtpdynmap


!--- Crypto map applied to the outside interface.

crypto map mymap interface outside
isakmp identity address 
isakmp enable outside


!--- Configuration of Internet Security Association and Key Management 
!--- Protocol (ISAKMP) policy.

isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
isakmp disconnect-notify
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 1
console timeout 0
tunnel-group DefaultRAGroup type ipsec-ra
tunnel-group DefaultRAGroup general-attributes
authentication-server-group none
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *


!--- Configuration of tunnel-group for the static LAN-to-LAN tunnel.
!--- See the second note in the Configure section
!--- of this document in order to configure tunnel-group.
!--- The tunnel group name must be the IP address of the remote peer.

tunnel-group 172.20.77.10 type ipsec-l2l
tunnel-group 172.20.77.10 ipsec-attributes


!--- Configuraiton of a pre-shared key for the static LAN-to-LAN tunnel.

pre-shared-key *


!--- Configuration of tunnel-group with group information for VPN Clients.

tunnel-group rtptacvpn type ipsec-ra


!--- Configuration of group parameters for the VPN Clients.

tunnel-group rtptacvpn general-attributes
address-pool vpnpool


!--- Enable user authentication.

authentication-server-group mytacacs
authorization-server-group LOCAL


!--- Bind group-policy parameters to the tunnel-group for VPN Clients.

default-group-policy clientgroup
tunnel-group rtptacvpn ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512 
inspect ftp 
inspect h323 h225 
inspect h323 ras 
inspect http 
inspect netbios 
inspect rsh 
inspect rtsp 
inspect skinny 
inspect esmtp 
inspect sqlnet 
inspect sunrpc 
inspect tftp 
inspect sip 
inspect xdmcp 
!
service-policy global_policy global
Cryptochecksum:646541da0da9a4c764effd2e05633018
: end

Note 1 : La commande d'autorisation-ipsec de connexion de sysopt doit être configurée pour permettre toutes les sessions de chiffrement authentifiées par IPsec d'arrivée. Dans PIX 7.0, les commandes de sysopt n'apparaissent pas en configuration en cours. Afin de vérifier si la commande d'autorisation-ipsec de connexion de sysopt est activée, exécutez la commande de sysopt de show running-config. Note 2 : Pour que les clients vpn connectent par IPsec au-dessus de protocole de données d'utilisateur (UDP), configurez cette sortie dans la section de stratégie de groupe de l'appliance PIX.
group-policy clientgroup attributes
vpn-idle-timeout 20
ipsec-udp enable
ipsec-udp-port 10000
split-tunnel-policy tunnelspecified
split-tunnel-network-list value splittunnel
Note 3 : Pour que les clients vpn connectent par IPsec au-dessus de TCP, configurez cette commande en configuration globale de l'appliance PIX.
 
isakmp ipsec-over-tcp port 10000

PIX3
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security4
nameif ethernet3 intf3 security6
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PIX3
domain-name cisco.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names

!--- Access-list for the encryption of traffic 
!--- between PIX3 and PIX1 networks.

access-list 100 permit ip 10.11.10.0 255.255.255.0 10.10.10.0 255.255.255.0


!--- Access-list for the encryption of traffic 
!--- between the PIX3 network and the VPN Client address pool.

access-list 100 permit ip 
-
10.11.10.0 255.255.255.0 192.168.10.0 255.255.255.0 


!--- Access-list used to bypass the NAT process.

access-list nonat permit ip 10.11.10.0 255.255.255.0 10.10.10.0 255.255.255.0 
access-list nonat permit ip 10.11.10.0 255.255.255.0 192.168.10.0 255.255.255.0 
pager lines 24
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 172.20.77.10 255.255.0.0
ip address inside 10.11.10.1 255.255.255.0
no ip address intf2
no ip address intf3
no ip address intf4
no ip address intf5
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address intf2
no failover ip address intf3
no failover ip address intf4
no failover ip address intf5
pdm history enable
arp timeout 14400
global (outside) 1 interface


!--- Bind ACL nonat to the NAT statement 
!--- in order to avoid NAT on the IPsec packets.

nat (inside) 0 access-list nonat
nat (inside) 1 10.11.10.0 255.255.255.0 0 0
route outside 0.0.0.0 0.0.0.0 172.20.77.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server TACACS+ max-failed-attempts 3 
aaa-server TACACS+ deadtime 10 
aaa-server RADIUS protocol radius 
aaa-server RADIUS max-failed-attempts 3 
aaa-server RADIUS deadtime 10 
aaa-server LOCAL protocol local 
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable


!--- Permits all inbound IPsec authenticated cipher sessions.

sysopt connection permit-ipsec


!--- Defines IPsec encryption and authentication algorithms.

crypto ipsec transform-set myset esp-3des esp-sha-hmac


!--- Defines crypto map.
 
crypto map mymap 10 ipsec-isakmp
crypto map mymap 10 match address 100
crypto map mymap 10 set peer 172.18.124.170
crypto map mymap 10 set transform-set myset


!--- Apply crypto map on the outside interface.

crypto map mymap interface outside
isakmp enable outside


!--- Defines the pre-shared secret key used for Internet Key Exchange (IKE) authentication.

isakmp key ******** address 172.18.124.170 netmask 255.255.255.0 no-xauth 
isakmp identity address


!--- Defines the ISAKMP policy. 

isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:cb5c245112db607e3a9a85328d1295db
: end

Configuration du client VPN

Terminez-vous ces étapes afin de créer une nouvelle entrée de connexion sur le client vpn.

  1. Écrivez l'adresse IP d'hôte (adresse IP PIX1 externe).

  2. Sous l'onglet d'authentification, écrivez les attributs de groupe (nom et mot de passe de groupe comme configuré sur l'appliance PIX).

    /image/gif/paws/64693/pix70-enh-spk-client-vpn-2.gif

  3. Sous le guide du transport, choisissez la méthode de Tunnellisation que vous voulez utiliser pour la connexion de clients vpn. Dans cette configuration, le Tunnellisation de transport d'enable est désactivé pour la Connectivité droite d'IPsec.

    /image/gif/paws/64693/pix70-enh-spk-client-vpn-2.gif

  4. Sauvegarde de clic afin de sauvegarder le profil de connexion configuré sur le client vpn.

    pix70-enh-spk-client-vpn-4.gif

Serveur TACACS+

Afin de configurer le serveur TACACS+, terminez-vous ces étapes :

  1. Cliquez sur Add l'entrée afin d'ajouter une entrée pour le PIX dans la base de données du serveur TACACS+.

    pix70-enh-spk-client-vpn-7.gif

  2. À la page de client d'AAA d'ajouter, écrivez les informations PIX suivant les indications de cette image :

    /image/gif/paws/64693/pix70-enh-spk-client-vpn-8.gif

    • Dans le domaine d'adresse Internet de client d'AAA, écrivez un nom pour le PIX.

    • Dans le champ IP Address de client d'AAA, entrez dans 10.10.10.1.

    • Dans la zone de tri, écrivez key123 comme clé secrète partagée.

    • De l'authentifier utilisant la liste déroulante, choisissez TACACS+ (Cisco IOS), et cliquez sur Submit.

  3. Dans le domaine d'utilisateur, écrivez le nom d'utilisateur pour l'utilisateur VPN dans la base de données Cisco Secure, et cliquez sur Add/l'éditez.

    Dans cet exemple, le nom d'utilisateur est Cisco.

    /image/gif/paws/64693/pix70-enh-spk-client-vpn-9.gif

  4. Sur la page suivante, entrez et confirmez le mot de passe pour l'utilisateur Cisco.

    Dans cet exemple, le mot de passe est également Cisco.

    /image/gif/paws/64693/pix70-enh-spk-client-vpn-10.gif

  5. Si vous voulez tracer le compte utilisateur à un groupe, complet qui font un pas maintenant. Quand vous terminez, cliquez sur Submit.

Hairpinning ou demi-tour

Cette fonctionnalité est utile pour le trafic VPN qui entre dans interface, mais qui est ensuite routé hors de cette même interface. Par exemple, si vous avez un réseau VPN de hub and spoke, où les dispositifs de sécurité sont le hub, et les réseaux VPN distants sont les rais, le trafic doit entrer dans les dispositifs de sécurité et alors de nouveau à l'autre rai afin d'un a parlé pour communiquer avec un autre rai.

Utilisez la configuration same-security-traffic pour laisser le trafic entrer et sortir de la même interface.

securityappliance(config)# same-security-traffic permit intra-interface

Vérifiez

Cette section fournit des informations qui vous permettront de vérifier que votre configuration fonctionne correctement.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

  • show crypto isakmp sa - Affiche toutes les associations de sécurité actuelles d'IKE (SA) sur un pair.

  • show crypto ipsec sa — Affiche tout le courant SAS.

Afin de tester la transmission entre les deux réseaux privés entre PIX3 et PIX1, initiez un ping d'un des réseaux privés.

Dans cette configuration :

  • Pour l'entre réseaux locaux statique, un ping est envoyé par derrière le réseau PIX3 (10.11.10.x) au réseau PIX1 (10.10.10.x).

  • Pour que les clients vpn accèdent aux réseaux derrière PIX3, une association de sécurité doit être établie du PIX3 à PIX1 pour des réseaux de client vpn.

Vérification PIX1
show crypto isakmp sa

 Active SA: 2
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 2

1 IKE Peer: 172.18.173.77
Type : user Role : responder 
Rekey : no State : AM_ACTIVE 
2 IKE Peer: 172.20.77.10
Type : L2L Role : responder 
Rekey : no State : MM_ACTIVE 



PIX1(config)#show crypto ipsec sa
interface: outside
Crypto map tag: rtpdynmap, local addr: 172.18.124.170

!--- IPsec SA for the connection between VPN Clients and the PIX1 network.

local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.10.1/255.255.255.255/0/0)
current_peer: 172.18.173.77
dynamic allocated peer ip: 192.168.10.1

#pkts encaps: 12, #pkts encrypt: 12, #pkts digest: 12
#pkts decaps: 12, #pkts decrypt: 12, #pkts verify: 12
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 12, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.18.124.170, remote crypto endpt.: 172.18.173.77

path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 1ECCB41D

inbound esp sas:
spi: 0x6C1615A7 (1813386663)
transform: esp-3des esp-sha-hmac 
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 5, crypto-map: rtpdynmap
sa timing: remaining key lifetime (sec): 28761
IV size: 8 bytes
replay detection support: Y


outbound esp sas:
spi: 0x1ECCB41D (516731933)
transform: esp-3des esp-sha-hmac 
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 5, crypto-map: rtpdynmap
sa timing: remaining key lifetime (sec): 28760
IV size: 8 bytes
replay detection support: Y

Crypto map tag: mymap, local addr: 172.18.124.170

!--- IPsec SA for connection between the VPN Clients network and PIX3 network.

local ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.11.10.0/255.255.255.0/0/0)
current_peer: 172.20.77.10

#pkts encaps: 8, #pkts encrypt: 8, #pkts digest: 8
#pkts decaps: 8, #pkts decrypt: 8, #pkts verify: 8
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 8, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.18.124.170, remote crypto endpt.: 172.20.77.10

path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 9EF2885C

inbound esp sas:
spi: 0x82E9BF07 (2196356871)
transform: esp-3des esp-sha-hmac 
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 4, crypto-map: mymap
sa timing: remaining key lifetime (kB/sec): (4274999/28786)
IV size: 8 bytes
replay detection support: Y
 

outbound esp sas:
spi: 0x9EF2885C (2666694748)
transform: esp-3des esp-sha-hmac 
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 4, crypto-map: mymap
sa timing: remaining key lifetime (kB/sec): (4274999/28786)
IV size: 8 bytes
replay detection support: Y

Crypto map tag: mymap, local addr: 172.18.124.170

!--- IPsec security association for a connection between 
!--- the PIX1 and PIX3 networks.

local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.11.10.0/255.255.255.0/0/0)
current_peer: 172.20.77.10

#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.18.124.170, remote crypto endpt.: 172.20.77.10

path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: C86585AB

inbound esp sas:
spi: 0x95604966 (2506115430)
transform: esp-3des esp-sha-hmac 
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 4, crypto-map: mymap
sa timing: remaining key lifetime (kB/sec): (4274999/28653)
IV size: 8 bytes
replay detection support: Y
 

outbound esp sas:
spi: 0xC86585AB (3362096555)
transform: esp-3des esp-sha-hmac 
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 4, crypto-map: mymap
sa timing: remaining key lifetime (kB/sec): (4274999/28652)
IV size: 8 bytes
replay detection support: Y

Vérification PIX3
PIX3(config)#show crypto isakmp sa
Total : 1
Embryonic : 0
dst                         src                    state     pending     created
172.18.124.170 172.20.77.10 QM_IDLE         0             2
PIX3(config)#show crypto ipsec sa


interface: outside
Crypto map tag: mymap, local addr. 172.20.77.10

!--- IPsec security association for a connection between 
!--- the PIX3 and PIX1 networks.

local ident (addr/mask/prot/port): (10.11.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
current_peer: 172.18.124.170:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0

local crypto endpt.: 172.20.77.10, remote crypto endpt.: 172.18.124.170
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: 95604966

inbound esp sas:
spi: 0xc86585ab(3362096555)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 4, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28213)
IV size: 8 bytes
replay detection support: Y


inbound ah sas:


inbound pcp sas:


outbound esp sas:
spi: 0x95604966(2506115430)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 3, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28213)
IV size: 8 bytes
replay detection support: Y


outbound ah sas:


outbound pcp sas:



!--- IPsec security association for the connection between the VPN Client 
!--- network and PIX3 networks.

local ident (addr/mask/prot/port): (10.11.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0)
current_peer: 172.18.124.170:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 8, #pkts encrypt: 8, #pkts digest 8
#pkts decaps: 8, #pkts decrypt: 8, #pkts verify 8
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0

local crypto endpt.: 172.20.77.10, remote crypto endpt.: 172.18.124.170
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: 82e9bf07

inbound esp sas:
spi: 0x9ef2885c(2666694748)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28295)
IV size: 8 bytes
replay detection support: Y


inbound ah sas:


inbound pcp sas:


outbound esp sas:
spi: 0x82e9bf07(2196356871)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 1, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28295)
IV size: 8 bytes
replay detection support: Y


outbound ah sas:


outbound pcp sas:

Vérification de client vpn

Terminez-vous ces étapes afin de vérifier le client vpn :

  1. Cliquez avec le bouton droit sur l'icône de verrouillage de client vpn actuelle à la barre d'état système après la connexion réussie et choisissez l'option pour des statistiques.

    Vous pouvez visualiser des détails au sujet de la connexion client VPN et le cryptage et le déchiffrement des informations de paquet.

    pix70-enh-spk-client-vpn-5.gif

  2. Cliquez sur en fonction l'onglet de détails d'artère afin de vérifier la liste de tunnel partagé passée vers le bas des dispositifs de sécurité PIX.

    pix70-enh-spk-client-vpn-6.gif

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Dépannage des commandes

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Remarque: Référez-vous aux informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage.

  • clear crypto isakmp SA — Autorise les associations de sécurité de la phase 1 (SAS).

  • clear crypto ipsec sa — Efface la phase 2 SAS

  • debug crypto isakmp SA — Négociations de SA ISAKMP de debugs.

  • debug crypto ipsec SA — Négociations d'IPsec SA de debugs.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 64693