Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

PIX/ASA 7.x : Exemple de configuration de la partie interface DMZ du trafic intéressant du tunnel IPsec

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Cette configuration permet à deux pare-feu Cisco Secure PIX avec PIX 7.x pour exécuter un tunnel VPN simple des interfaces de la zone intérieure et démilitarisée (DMZ) d'un PIX à l'autre PIX au-dessus de l'Internet ou de n'importe quel réseau public qui utilise IPsec.

IPsec est une combinaison des standards ouverts qui fournit la confidentialité des données, l'intégrité des données et l'authentification de l'origine des données entre les pairs d'IPsec.

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

Composants utilisés

Les informations dans ce document sont basées sur le Pare-feu Cisco Secure PIX 515E avec la version de logiciel d'appareils de Sécurité de Cisco PIX 7.2(1) avec des interfaces DMZ.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

La négociation IPSec peut être décomposée en cinq étapes et inclut deux phases d'Échange de clés Internet (IKE).

  1. Un tunnel IPSec est lancé par un trafic intéressant. Le trafic est considéré intéressant quand il voyage entre les pairs d'IPsec.

  2. Dans la phase 1 d'IKE, les homologues IPSec négocient la stratégie d'association de sécurité IKE. Une fois que les pairs sont authentifiés, un tunnel sécurisé est créé utilisant l'ISAKMP.

  3. Dans la phase 2 d'IKE, les homologues IPSec utilisent le tunnel authentifié et sécurisé pour négocier des transformations d'association de sécurité IPSec. La négociation de la stratégie partagée détermine comment le tunnel IPSec est établi.

  4. Le tunnel d'IPsec est créé et des données sont transférées entre les pairs d'IPsec basés sur les paramètres d'IPsec configurés dans les jeux de transformations d'IPsec.

  5. Le tunnel IPSec se termine quand les associations de sécurité IPSec sont supprimées ou quand leur durée de vie expire.

    Remarque: La négociation IPSec entre les deux PIX échoue si les associations de sécurité sur les deux phases d'IKE ne correspondent pas sur les homologues.

Configurez

Dans cette section, vous êtes présenté avec les informations pour configurer le tunnel d'IPsec entre l'interface interne et l'interface DMZ sur un PIX à l'autre PIX.

Cette configuration suppose que la configuration de base de routage est déjà en place et que les périphériques sont de bout en bout accessible. Dans tout ce document, vous pouvez vérifier la configuration avec ces commandes show.

Référez-vous aux références de commandes de pare-feu Cisco Secure PIX pour plus d'informations sur ces commandes show.

La formation d'un tunnel sécurisé d'IPsec se produit dans le Phase 1 d'IKE et le Phase 2 d'IKE.

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

/image/gif/paws/69385/pix-asa-7x-dmz-ipsec-tunnel-1.gif

Configurations

Ce document utilise les configurations suivantes :

IKE pour la configuration de clés pré-partagées

IKE d'enable sur l'IPsec terminant des interfaces à l'aide de la commande d'enable d'ISAKMP. Dans ce scénario, l'interface extérieure est l'IPsec terminant l'interface sur des les deux PIXes. L'IKE est configuré sur des les deux PIXes. Utilisez l'enable d'ISAKMP en dehors de la commande sur des les deux PIXes.

Utilisez la commande de stratégie d'ISAKMP de définir les stratégies IKE qui sont utilisées pendant les négociations d'IKE. Quand vous utilisez cette commande, vous devez assigner un niveau de priorité de sorte que les stratégies soient seulement identifiées. Dans ce cas, la priorité de 10 est assignée à la stratégie.

PIX1(config)#isakmp policy 10 authentication pre-share
PIX1(config)#isakmp policy 10 encryption des
PIX1(config)#isakmp policy 10 hash md5
PIX1(config)#isakmp policy 10 group 1
PIX1(config)#isakmp policy 10 lifetime 1000

Cette stratégie est également placée à :

  • Utilisez une clé pré-partagée

  • Algorithme de hachage de MD5 d'utilisation pour l'authentification des données

  • DES d'utilisation pour le Protocole ESP (Encapsulating Security Payload)

  • Utilisation Diffie-Hellman group1

  • Placez la vie SA

Utilisez la commande de stratégie d'ISAKMP d'exposition de vérifier si la stratégie est configurée réellement avec tous les paramètres de votre choix.

Afin de créer et gérer la base de données des enregistrements de connexion-particularité pour des tunnels d'IPsec, utilisez l'ordre de groupe de tunnels en mode de configuration globale. Le nom du groupe de tunnel doit être l'adresse IP du pair. Le type devrait être entre réseaux locaux d'IPsec. Sous le mode de configuration de tunnel d'IPsec, émettez le <Password > la commande de pre-shared-key comme affichée :

PIX1(config)#tunnel-group 172.16.2.5 type ipsec-l2l
PIX1(config)#tunnel-group 172.16.2.5 ipsec-attributes
PIX1(config-tunnel-ipsec)#pre-shared-key cisco

Configuration de Traduction d'adresses de réseau (NAT)

Cette installation utilise le nat exemption pour que le trafic soit percé un tunnel. Ceci signifie que le trafic intéressant disparaît l'ONU-NATed. Tout autre trafic emploie la translation d'adresses d'adresse du port (PAT) pour changer l'adresse IP source du paquet à l'adresse IP de l'interface extérieure.

PIX1(config)#access-list NoNAT extended permit ip 10.2.2.0 255.255.255.0 10.6.6.0 255.255.255.0
PIX1(config)#access-list NoNAT extended permit ip 10.3.3.0 255.255.255.0 10.6.6.0 255.255.255.0
PIX1(config)#access-list PAT permit ip 10.2.2.0 255.255.255.0 any
PIX1(config)#access-list PAT permit ip 10.3.3.0 255.255.255.0 any
PIX1(config)#nat (inside) 0 access-list NoNAT
PIX1(config)#nat (inside) 1 access-list PAT
PIX1(config)#nat (DMZ) 0 access-list NoNAT
PIX1(config)#nat (DMZ) 1 access-list PAT 
PIX1(config)#global (outside) 1 interface

De même, sur PIX2, l'identité NAT configurée pour que le trafic soit percé un tunnel et tout autre trafic est est envoyé utilisant PAT.

PIX2(config)#access-list NoNAT extended permit ip 10.6.6.0 255.255.255.0 10.2.2.0 255.255.255.0
PIX2(config)#access-list NoNAT extended permit ip 10.6.6.0 255.255.255.0 10.3.3.0 255.255.255.0
PIX2(config)#nat (inside) 0 access-list NoNAT
PIX2(config)#nat (inside) 1 10.6.6.0 255.255.255.0
PIX2(config)#global (outside) 1 interface

Configuration d'IPsec

IPsec est initié quand un du PIXes reçoit le trafic qui est destiné au réseau intérieur de l'autre PIX. Ce trafic est le trafic intéressant considéré qui doit être protégé par IPsec. Une liste d'accès est utilisée pour déterminer quel trafic entame l'IKE et les négociations IPSecs. La liste d'accès nommée INTERESTING permet le trafic à envoyer des réseaux de 10.2.2.0 et de 10.3.3.0 sur le Pare-feu PIX1 au réseau de 10.6.6.0 sur le Pare-feu PIX2.

PIX1(config)#access-list INTERESTING extended permit ip 10.2.2.0 255.255.255.0 10.6.6.0 255.255.255.0
PIX1(config)#access-list INTERESTING extended permit ip 10.3.3.0 255.255.255.0 10.6.6.0 255.255.255.0

Le jeu de transformations d'IPsec définit la stratégie de sécurité que les pairs les utilisent pour protéger le flux de données. L'IPsec transforment est défini à l'aide de la commande de crypto ipsec transform-set. Un nom unique doit être choisi pour le jeu de transformations et jusqu'à trois transforme peuvent être sélectionnés pour définir les protocoles de Sécurité d'IPsec. Cette configuration utilise seulement deux transformations :

  • esp-md5-hmac

  • ESP-DES

PIX1(config)#crypto ipsec transform-set my-set esp-des esp-md5-hmac

Installation de crypto map IPsec SAS pour le trafic chiffré. Vous devez assigner un map name et un numéro de séquence, et définissez les paramètres de crypto map pour créer un crypto map. Le crypto map « mymap » emploie l'IKE pour établir IPsec SAS, chiffre tout ce qui apparie la liste d'accès INTÉRESSANTE, a un pair de positionnement, et emploie le transform-set de mon-positionnement pour décréter sa stratégie de sécurité pour le trafic.

PIX1(config)#crypto map mymap 20 match address INTERESTING
PIX1(config)#crypto map mymap 20 set peer 172.16.2.5
PIX1(config)#crypto map mymap 20 set transform-set my-set

Après que vous définissiez le crypto map, utilisez l'interface de mymap de crypto map en dehors de la commande d'appliquer le crypto map à une interface. L'interface que vous choisissez devrait être l'IPsec terminant l'interface.

PIX1(config)#crypto map mymap interface outside

Configuration PIX1

PIX1

!--- Output is suppressed.


interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.16.1.2 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.2.2.2 255.255.255.0
!
interface Ethernet2
 nameif DMZ1
 security-level 50
 ip address 10.3.3.2 255.255.255.0


!--- Output is suppressed.



!--- This access control list (ACL) is for NAT 0.

access-list NoNAT extended permit ip 10.2.2.0 255.255.255.0 10.6.6.0 255.255.255.0
access-list NoNAT extended permit ip 10.3.3.0 255.255.255.0 10.6.6.0 255.255.255.0


!--- This ACL defines the interesting traffic.

access-list INTERESTING extended permit ip 10.2.2.0 255.255.255.0 10.6.6.0 255.255.255.0
access-list INTERESTING extended permit ip 10.3.3.0 255.255.255.0 10.6.6.0 255.255.255.0


!--- This ACL is for PAT.

access-list PAT permit ip 10.2.2.0 255.255.255.0 any
access-list PAT permit ip 10.3.3.0 255.255.255.0 any


!--- Output is suppressed.



!--- NAT control requires NAT for inside or DMZ hosts 
!--- when they access the outside.

nat-control




!--- This is the global statement for PAT.

global (outside) 1 interface


!--- This command is for the NAT 0 entry on the inside interface.

nat (inside) 0 access-list NoNAT


!--- This command is for the PAT entry on the inside interface.

nat (inside) 1 access-list PAT 


!--- This command is for the NAT 0 entry on the DMZ interface.

nat (DMZ) 0 access-list NoNAT


!--- This command is for the PAT entry on the DMZ interface.

nat (DMZ) 1 access-list PAT


route outside 0.0.0.0 0.0.0.0 172.16.1.4 1



!--- Output is suppressed.




!--- This command defines the IPsec transform set with the 
!--- security policy that the peers use to protect the data flow.

crypto ipsec transform-set my-set esp-des esp-md5-hmac


!--- These commands allow crypto map to set up IPsec SAs
!--- for the encrypted traffic.

crypto map mymap 20 match address INTERESTING
crypto map mymap 20 set peer 172.16.2.5
crypto map mymap 20 set transform-set my-set


!--- This command applies the crypto map to the outside interface.

crypto map mymap interface outside


!--- This command applies the crypto map to the outside interface.

isakmp enable outside


!--- These commands apply the crypto map to the outside interface.

isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 1
isakmp policy 10 lifetime 1000


!--- Output is suppressed.




!--- These commands create and manage the database of connection-specific 
!--- records for IPsec tunnels. Issue a preshared key, which should be the same as 
!--- that on the peer.

tunnel-group 172.16.2.5 type ipsec-l2l
tunnel-group 172.16.2.5 ipsec-attributes
 pre-shared-key *


!--- Output is suppressed.

Configuration PIX2

Configuration sur PIX2

!--- Output is suppressed.


interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.16.2.5 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.6.6.5 255.255.255.0


!--- Output is suppressed.


access-list NoNAT extended permit ip 10.6.6.0 255.255.255.0 10.2.2.0 255.255.255.0
access-list NoNAT extended permit ip 10.6.6.0 255.255.255.0 10.3.3.0 255.255.255.0
access-list INTERESTING extended permit ip 10.6.6.0 255.255.255.0 10.2.2.0 255.255.255.0
access-list INTERESTING extended permit ip 10.6.6.0 255.255.255.0 10.3.3.0 255.255.255.0


!--- Output is suppressed.



global (outside) 1 interface
nat (inside) 0 access-list NoNAT
nat (inside) 1 10.6.6.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 172.16.2.4 1


!--- Output is suppressed.


crypto ipsec transform-set my-set esp-des esp-md5-hmac
crypto map mymap 20 match address INTERESTING
crypto map mymap 20 set peer 172.16.1.2
crypto map mymap 20 set transform-set my-set
crypto map mymap interface outside
isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 1
isakmp policy 10 lifetime 1000


!--- Output is suppressed.


tunnel-group 172.16.1.2 type ipsec-l2l
tunnel-group 172.16.1.2 ipsec-attributes
 pre-shared-key *
telnet timeout 5


!--- Output is suppressed.

Vérifiez

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

  • show crypto isakmp sa — Affiche l'IKE en cours SAS.

    PIX1#show crypto isakmp sa
    
       Active SA: 1
        Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 172.16.2.5
        Type    : L2L             Role    : initiator
        Rekey   : no              State   : MM_ACTIVE
  • show crypto ipsec sa—Affiche les paramètres utilisés par les SA.

    Une fois que vous envoyez le trafic entre les réseaux définis comme trafic intéressant, le tunnel d'IPsec est déclenché. Un ping entre deux hôtes peut être utilisé pour tester la formation du tunnel.


!--- This is show crypto ipsec sa command output on PIX1.

PIX1#show crypto ipsec sa
interface: outside
    Crypto map tag: mymap, seq num: 20, local addr: 172.16.1.2

      access-list INTERESTING permit ip 10.2.2.0 255.255.255.0 10.6.6.0 255.255.255.0
      local ident (addr/mask/prot/port): (10.2.2.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (10.6.6.0/255.255.255.0/0/0)
      current_peer: 172.16.2.5


!--- This verifies that encrypted packets are 
!--- sent and recede without any errors.


      #pkts encaps: 199, #pkts encrypt: 199, #pkts digest: 199
      #pkts decaps: 199, #pkts decrypt: 199, #pkts verify: 199
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 199, #pkts comp failed: 0, #pkts decomp failed: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.16.1.2, remote crypto endpt.: 172.16.2.5

      path mtu 1500, ipsec overhead 60, media mtu 1500
      current outbound spi: 80A00578

    inbound esp sas:
      spi: 0xD92F129E (3643740830)
         transform: esp-des esp-md5-hmac
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: mymap
         sa timing: remaining key lifetime (kB/sec): (3824980/28593)
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x80A00578 (2157970808)
         transform: esp-des esp-md5-hmac
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: mymap
         sa timing: remaining key lifetime (kB/sec): (3824980/28591)
         IV size: 8 bytes
         replay detection support: Y

    Crypto map tag: mymap, seq num: 20, local addr: 172.16.1.2

      access-list INTERESTING permit ip 10.3.3.0 255.255.255.0 10.6.6.0 255.255.255.0
      local ident (addr/mask/prot/port): (10.3.3.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (10.6.6.0/255.255.255.0/0/0)
      current_peer: 172.16.2.5

      #pkts encaps: 199, #pkts encrypt: 199, #pkts digest: 199
      #pkts decaps: 199, #pkts decrypt: 199, #pkts verify: 199
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 199, #pkts comp failed: 0, #pkts decomp failed: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.16.1.2, remote crypto endpt.: 172.16.2.5

      path mtu 1500, ipsec overhead 60, media mtu 1500
      current outbound spi: 3D0C2074

    inbound esp sas:
      spi: 0x5B64B9D6 (1533327830)
         transform: esp-des esp-md5-hmac
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: mymap
         sa timing: remaining key lifetime (kB/sec): (3824980/28658)
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x3D0C2074 (1024204916)
         transform: esp-des esp-md5-hmac
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: mymap
         sa timing: remaining key lifetime (kB/sec): (3824980/28658)
         IV size: 8 bytes
         replay detection support: Y




!--- This is show crypto ipsec sa command output on PIX2.


PIX2#show crypto ipsec sa
interface: outside
    Crypto map tag: mymap, seq num: 20, local addr: 172.16.2.5

      access-list INTERESTING permit ip 10.6.6.0 255.255.255.0 10.3.3.0 255.255.255.0
      local ident (addr/mask/prot/port): (10.6.6.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (10.3.3.0/255.255.255.0/0/0)
      current_peer: 172.16.1.2

      #pkts encaps: 199, #pkts encrypt: 199, #pkts digest: 199
      #pkts decaps: 199, #pkts decrypt: 199, #pkts verify: 199
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 199, #pkts comp failed: 0, #pkts decomp failed: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.16.2.5, remote crypto endpt.: 172.16.1.2

      path mtu 1500, ipsec overhead 60, media mtu 1500
      current outbound spi: 5B64B9D6

    inbound esp sas:
      spi: 0x3D0C2074 (1024204916)
         transform: esp-des esp-md5-hmac
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: mymap
         sa timing: remaining key lifetime (kB/sec): (4274980/28465)
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x5B64B9D6 (1533327830)
         transform: esp-des esp-md5-hmac
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: mymap
         sa timing: remaining key lifetime (kB/sec): (4274980/28463)
         IV size: 8 bytes
         replay detection support: Y

    Crypto map tag: mymap, seq num: 20, local addr: 172.16.2.5

      access-list INTERESTING permit ip 10.6.6.0 255.255.255.0 10.2.2.0 255.255.255.0
      local ident (addr/mask/prot/port): (10.6.6.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (10.2.2.0/255.255.255.0/0/0)
      current_peer: 172.16.1.2

      #pkts encaps: 199, #pkts encrypt: 199, #pkts digest: 199
      #pkts decaps: 199, #pkts decrypt: 199, #pkts verify: 199
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 199, #pkts comp failed: 0, #pkts decomp failed: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.16.2.5, remote crypto endpt.: 172.16.1.2

      path mtu 1500, ipsec overhead 60, media mtu 1500
      current outbound spi: D92F129E

    inbound esp sas:
      spi: 0x80A00578 (2157970808)
         transform: esp-des esp-md5-hmac
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: mymap
         sa timing: remaining key lifetime (kB/sec): (4274980/28393)
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0xD92F129E (3643740830)
         transform: esp-des esp-md5-hmac
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: mymap
         sa timing: remaining key lifetime (kB/sec): (4274980/28393)
         IV size: 8 bytes
         replay detection support: Y

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Certaines commandes show sont prises en charge par l'Output Interpreter Tool (clients enregistrés uniquement), qui vous permet de voir une analyse de la sortie de la commande show.

Remarque: Reportez-vous à Informations importantes sur les commandes de débogage avant d'émettre des commandes debug.

debug crypto isakmp — Les affichages mettent au point des informations sur des connexions d'IPsec.

debug crypto isakmp
pix3#debug crypto isakmp 7

Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Oakley proposal is acceptable
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, processing VID payload
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Received Fragmentation VID
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, IKE Peer included 
IKE fragmentation capability flags:  Main Mode:        True  Aggressive Mode:  True
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, constructing ke payload
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, constructing nonce payload
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, constructing Cisco Unity VID payload
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, constructing xauth V6 VID payload
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Send IOS VID
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Constructing ASA spoofing 
IOS Vendor ID payload (version: 1.0.0, capabilities: 20000001)
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, constructing VID payload
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Send Altiga/Cisco VPN3000/Cisco ASA GW VID
Jan 01 04:34:49 [IKEv1]: IP = 172.16.2.5, IKE_DECODE SENDING Message 
(msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + 
VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 224
Jan 01 04:34:49 [IKEv1]: IP = 172.16.2.5, IKE_DECODE RECEIVED Message 
(msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + 
VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 224
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, processing ke payload
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, processing ISA_KE payload
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, processing nonce payload
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, processing VID payload
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Received Cisco Unity client VID
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, processing VID payload
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Received xauth V6 VID
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, processing VID payload
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Processing VPN3000/ASA 
spoofing IOS Vendor ID payload (version: 1.0.0, capabilities: 20000001)
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, processing VID payload
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Received Altiga/Cisco 
VPN3000/Cisco ASA GW VID
Jan 01 04:34:49 [IKEv1]: IP = 172.16.2.5, Connection landed on tunnel_group 172.16.2.5
Jan 01 04:34:49 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Generating keys for Initiator...
Jan 01 04:34:49 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
constructing ID payload
Jan 01 04:34:49 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
constructing hash payload
Jan 01 04:34:49 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Computing hash for ISAKMP
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Constructing IOS keep 
alive payload: proposal=32767/32767 sec.
Jan 01 04:34:49 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
constructing dpd vid payload
Jan 01 04:34:49 [IKEv1]: IP = 172.16.2.5, IKE_DECODE SENDING Message (msgid=0) 
with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) + VENDOR (13)
 + NONE (0) total length : 92
Jan 01 04:34:50 [IKEv1]: IP = 172.16.2.5, IKE_DECODE RECEIVED Message 
(msgid=0) with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) 
+ VENDOR (13) + NONE (0) total length : 92
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
processing ID payload
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
processing hash payload
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Computing hash for ISAKMP
Jan 01 04:34:50 [IKEv1 DEBUG]: IP = 172.16.2.5, Processing IOS keep 
alive payload: proposal=32767/32767 sec.
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
processing VID payload
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Received DPD VID
Jan 01 04:34:50 [IKEv1]: IP = 172.16.2.5, Connection landed on tunnel_group 172.16.2.5
Jan 01 04:34:50 [IKEv1]: Group = 172.16.2.5, IP = 172.16.2.5, Freeing 
previously allocated memory for authorization-dn-attributes
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Oakley begin quick mode
Jan 01 04:34:50 [IKEv1]: Group = 172.16.2.5, IP = 172.16.2.5, PHASE 1 COMPLETED
Jan 01 04:34:50 [IKEv1]: IP = 172.16.2.5, Keep-alive type for this connection: DPD
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Starting P1 rekey timer: 850 seconds.
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
IKE got SPI from key engine: SPI = 0x1cd9ec0c
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
oakley constucting quick mode
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
constructing blank hash payload
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
constructing IPSec SA payload
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
constructing IPSec nonce payload
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
constructing proxy ID
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Transmitting Proxy Id:
  Local subnet:  10.2.2.0  mask 255.255.255.0 Protocol 0  Port 0
  Remote subnet: 10.6.6.0  Mask 255.255.255.0 Protocol 0  Port 0
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
constructing qm hash payload
Jan 01 04:34:50 [IKEv1]: IP = 172.16.2.5, IKE_DECODE SENDING Message 
(msgid=75aa2cf6) with payloads: HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + 
ID (5) + NOTIFY (11) + NONE (0) total length : 192
Jan 01 04:34:50 [IKEv1]: IP = 172.16.2.5, IKE_DECODE RECEIVED Message 
(msgid=75aa2cf6) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + 
ID (5) + ID (5) + NONE (0) total length : 164
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
processing hash payload
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
processing SA payload
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
processing nonce payload
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
processing ID payload
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
processing ID payload
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
loading all IPSEC SAs
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Generating Quick Mode Key!
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Generating Quick Mode Key!
Jan 01 04:34:50 [IKEv1]: Group = 172.16.2.5, IP = 172.16.2.5, Security negotiation 
complete for LAN-to-LAN Group (172.16.2.5)  Initiator, Inbound SPI = 0x1cd9ec0c, 
Outbound SPI = 0x489fb7ca
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
oakley constructing final quickmode
Jan 01 04:34:50 [IKEv1]: IP = 172.16.2.5, IKE_DECODE SENDING Message 
(msgid=75aa2cf6) with payloads: HDR + HASH (8) + NONE (0) total length : 72
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, IKE got 
a KEY_ADD msg for SA: SPI = 0x489fb7ca
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Pitcher: received KEY_UPDATE, spi 0x1cd9ec0c
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Starting P2 rekey timer: 24480 seconds.
Jan 01 04:34:50 [IKEv1]: Group = 172.16.2.5, IP = 172.16.2.5, PHASE 2 COMPLETED 
(msgid=75aa2cf6)
Jan 01 04:35:05 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Sending keep-alive of type DPD R-U-THERE (seq number 0x52fec0b7)
Jan 01 04:35:05 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
constructing blank hash payload
Jan 01 04:35:05 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
constructing qm hash payload
Jan 01 04:35:05 [IKEv1]: IP = 172.16.2.5, IKE_DECODE SENDING Message 
(msgid=e3dd9a55) with payloads: HDR + HASH (8) + NOTIFY (11) 
+ NONE (0) total length : 80
Jan 01 04:35:05 [IKEv1]: IP = 172.16.2.5, IKE_DECODE RECEIVED 
Message (msgid=1f40840c) with payloads : HDR + HASH (8) + NOTIFY (11) + 
NONE (0) total length : 80
Jan 01 04:35:05 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
processing hash payload
Jan 01 04:35:05 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
processing notify payload
Jan 01 04:35:05 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Received keep-alive of type DPD
R-U-THERE-ACK (seq number 0x52fec0b7)
Jan 01 04:35:15 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Sending keep-alive of type DPD R-U-THERE (seq number 0x52fec0b8)
Jan 01 04:35:15 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
constructing blank hash payload
Jan 01 04:35:15 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
constructing qm hash payload
Jan 01 04:35:15 [IKEv1]: IP = 172.16.2.5, IKE_DECODE SENDING Message 
(msgid=928bbc7f) with payloads: HDR + HASH (8) + NOTIFY (11) + NONE (0) 
total length : 80
Jan 01 04:35:15 [IKEv1]: IP = 172.16.2.5, IKE_DECODE RECEIVED Message 
(msgid=b4745eeb) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) 
total length : 80
Jan 01 04:35:15 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
processing hash payload
Jan 01 04:35:15 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
processing notify payload
Jan 01 04:35:15 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Received keep-alive of type DPD
R-U-THERE-ACK (seq number 0x52fec0b8)

debug crypto ipsec — Affiche des informations de débogage sur les connexions IPSec.

debug crypto ipsec
pix1#debug crypto ipsec 7

IPSEC: New embryonic SA created @ 0x01AEAB40,
    SCB: 0x028CF0C8,
    Direction: inbound
    SPI      : 0xEFFE8E91
    Session ID: 0x00000009
    VPIF num  : 0x00000002
    Tunnel type: l2l
    Protocol   : esp
    Lifetime   : 240 seconds
IPSEC: New embryonic SA created @ 0x028F27E0,
    SCB: 0x02842188,
    Direction: outbound
    SPI      : 0xEB62E7B0
    Session ID: 0x00000009
    VPIF num  : 0x00000002
    Tunnel type: l2l
    Protocol   : esp
    Lifetime   : 240 seconds
IPSEC: Completed host OBSA update, SPI 0xEB62E7B0
IPSEC: Updating outbound VPN context 0x00076B84, SPI 0xEB62E7B0
    Flags: 0x00000005
    SA   : 0x028F27E0
    SPI  : 0xEB62E7B0
    MTU  : 1500 bytes
    VCID : 0x00000000
    Peer : 0x00000000
    SCB  : 0x02842188
    Channel: 0x01693DE8
IPSEC: Completed outbound VPN context, SPI 0xEB62E7B0
    VPN handle: 0x00076B84
IPSEC: Completed outbound inner rule, SPI 0xEB62E7B0
    Rule ID: 0x026AAAF0
IPSEC: New outbound permit rule, SPI 0xEB62E7B0

!--- Tunnel endpoints

    Src addr: 172.16.1.2
    Src mask: 255.255.255.255
    Dst addr: 172.16.2.5
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0xEB62E7B0
    Use SPI: true
IPSEC: Completed outbound permit rule, SPI 0xEB62E7B0
    Rule ID: 0x028A45F8
IPSEC: Completed host IBSA update, SPI 0xEFFE8E91
IPSEC: Creating inbound VPN context, SPI 0xEFFE8E91
    Flags: 0x00000006
    SA   : 0x01AEAB40
    SPI  : 0xEFFE8E91
    MTU  : 0 bytes
    VCID : 0x00000000
    Peer : 0x00076B84
    SCB  : 0x028CF0C8
    Channel: 0x01693DE8
IPSEC: Completed inbound VPN context, SPI 0xEFFE8E91
    VPN handle: 0x0007801C
IPSEC: Updating outbound VPN context 0x00076B84, SPI 0xEB62E7B0
    Flags: 0x00000005
    SA   : 0x028F27E0
    SPI  : 0xEB62E7B0
    MTU  : 1500 bytes
    VCID : 0x00000000
    Peer : 0x0007801C
    SCB  : 0x02842188
    Channel: 0x01693DE8
IPSEC: Completed outbound VPN context, SPI 0xEB62E7B0
    VPN handle: 0x00076B84
IPSEC: Completed outbound inner rule, SPI 0xEB62E7B0
    Rule ID: 0x026AAAF0
IPSEC: Completed outbound outer SPD rule, SPI 0xEB62E7B0
    Rule ID: 0x028A45F8
IPSEC: New inbound tunnel flow rule, SPI 0xEFFE8E91

!--- IPsec session by inside interface

    Src addr: 10.6.6.0
    Src mask: 255.255.255.0
    Dst addr: 10.2.2.0
    Dst mask: 255.255.255.0
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 0
    Use protocol: false
    SPI: 0x00000000
    Use SPI: false
IPSEC: Completed inbound tunnel flow rule, SPI 0xEFFE8E91
    Rule ID: 0x01A88838
IPSEC: New inbound decrypt rule, SPI 0xEFFE8E91
    Src addr: 172.16.2.5
    Src mask: 255.255.255.255
    Dst addr: 172.16.1.2
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0xEFFE8E91
    Use SPI: true
IPSEC: Completed inbound decrypt rule, SPI 0xEFFE8E91
    Rule ID: 0x028F2710
IPSEC: New inbound permit rule, SPI 0xEFFE8E91
    Src addr: 172.16.2.5
    Src mask: 255.255.255.255
    Dst addr: 172.16.1.2
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0xEFFE8E91
    Use SPI: true
IPSEC: Completed inbound permit rule, SPI 0xEFFE8E91
    Rule ID: 0x028F3F70
IPSEC: New embryonic SA created @ 0x01AFA2E8,
    SCB: 0x028F4318,
    Direction: inbound
    SPI      : 0x9E53EEA4
    Session ID: 0x00000009
    VPIF num  : 0x00000002
    Tunnel type: l2l
    Protocol   : esp
    Lifetime   : 240 seconds
IPSEC: New embryonic SA created @ 0x0281FEA8,
    SCB: 0x01AFA6C0,
    Direction: outbound
    SPI      : 0x430107DD
    Session ID: 0x00000009
    VPIF num  : 0x00000002
    Tunnel type: l2l
    Protocol   : esp
    Lifetime   : 240 seconds
IPSEC: Completed host OBSA update, SPI 0x430107DD
IPSEC: Updating outbound VPN context 0x0007DB1C, SPI 0x430107DD
    Flags: 0x00000005
    SA   : 0x0281FEA8
    SPI  : 0x430107DD
    MTU  : 1500 bytes
    VCID : 0x00000000
    Peer : 0x00000000
    SCB  : 0x01AFA6C0
    Channel: 0x01693DE8
IPSEC: Completed outbound VPN context, SPI 0x430107DD
    VPN handle: 0x0007DB1C
IPSEC: Completed outbound inner rule, SPI 0x430107DD
    Rule ID: 0x028FA880
IPSEC: New outbound permit rule, SPI 0x430107DD
    Src addr: 172.16.1.2
    Src mask: 255.255.255.255
    Dst addr: 172.16.2.5
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0x430107DD
    Use SPI: true
IPSEC: Completed outbound permit rule, SPI 0x430107DD
    Rule ID: 0x028055B0
IPSEC: Completed host IBSA update, SPI 0x9E53EEA4
IPSEC: Creating inbound VPN context, SPI 0x9E53EEA4
    Flags: 0x00000006
    SA   : 0x01AFA2E8
    SPI  : 0x9E53EEA4
    MTU  : 0 bytes
    VCID : 0x00000000
    Peer : 0x0007DB1C
    SCB  : 0x028F4318
    Channel: 0x01693DE8
IPSEC: Completed inbound VPN context, SPI 0x9E53EEA4
    VPN handle: 0x000813D4
IPSEC: Updating outbound VPN context 0x0007DB1C, SPI 0x430107DD
    Flags: 0x00000005
    SA   : 0x0281FEA8
    SPI  : 0x430107DD
    MTU  : 1500 bytes
    VCID : 0x00000000
    Peer : 0x000813D4
    SCB  : 0x01AFA6C0
    Channel: 0x01693DE8
IPSEC: Completed outbound VPN context, SPI 0x430107DD
    VPN handle: 0x0007DB1C
IPSEC: Completed outbound inner rule, SPI 0x430107DD
    Rule ID: 0x028FA880
IPSEC: Completed outbound outer SPD rule, SPI 0x430107DD
    Rule ID: 0x028055B0
IPSEC: New inbound tunnel flow rule, SPI 0x9E53EEA4

!--- IPsec session by DMZ interface

    Src addr: 10.6.6.0
    Src mask: 255.255.255.0
    Dst addr: 10.3.3.0
    Dst mask: 255.255.255.0
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 0
    Use protocol: false
    SPI: 0x00000000
    Use SPI: false
IPSEC: Completed inbound tunnel flow rule, SPI 0x9E53EEA4
    Rule ID: 0x02850040
IPSEC: New inbound decrypt rule, SPI 0x9E53EEA4
    Src addr: 172.16.2.5
    Src mask: 255.255.255.255
    Dst addr: 172.16.1.2
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0x9E53EEA4
    Use SPI: true
IPSEC: Completed inbound decrypt rule, SPI 0x9E53EEA4
    Rule ID: 0x0284ACF8
IPSEC: New inbound permit rule, SPI 0x9E53EEA4
    Src addr: 172.16.2.5
    Src mask: 255.255.255.255
    Dst addr: 172.16.1.2
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0x9E53EEA4
    Use SPI: true
IPSEC: Completed inbound permit rule, SPI 0x9E53EEA4
    Rule ID: 0x0281FDA8

Suppression des associations de sécurité (SA)

pair 10.6.6.6 de clear crypto ipsec sa — Supprime tout l'IPsec SAS à un pair comme identifié par l'adresse Internet ou l'adresse IP spécifiée.

effacez ISAKMP SA — Enlève toutes les bases de données d'exécution SA d'IKE.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 69385