セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX 6.x: 簡単な PIX-to-PIX VPN トンネルの設定例

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2002 年 3 月 29 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


対話式: この文書では、個別のユーザに合わせたシスコ デバイスの分析を行います。


目次


概要

IP Security(IPSec)を使用することにより、インターネットまたはパブリック ネットワークを介して、2 台の Cisco Secure PIX Firewall 同士でバーチャル プライベート ネットワーク(VPN)トンネルを構築する設定を紹介します。 IPSec とは、IPSec ピア間でデータの機密性、データの完全性、およびデータの発信元の認証を提供するオープン スタンダードの組み合せです。

詳細は、『PIX/ASA 7.x: Ciscoセキュリティ アプライアンスがソフトウェア バージョン 7.x を実行する同じシナリオに関する詳細については簡単なPIX-to-PIX VPNトンネル 設定例

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ソフトウェア バージョンとの CiscoセキュアPIX 515E ファイアウォール 6.3(5)

  • ソフトウェア バージョンとの CiscoセキュアPIX 515E ファイアウォール 6.3(5)

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

IPSec ネゴシエーションは 5 つのステップ分割することができます 2 インターネット キー エクスチェンジ(IKE)フェーズが含まれている。

  1. 対象トラフィックによって IPSec トンネルが開始されます。 IPsec ピアの間を転送されるトラフィックは、対象トラフィックとみなされます。

  2. IKE フェーズ 1 では、IPSec ピア同士が、IKE Security Association(SA; セキュリティ結合)ポリシーについてネゴシエートします。 ピアが認証されると、Internet Security Association and Key Management Protocol(ISAKMP)を使用して安全なトンネルが作成されます。

  3. IKE フェーズ 2 では、IPSec ピア同士が認証済みの安全なトンネルを使用して、IPSec SA トランスフォームをネゴシエートします。 共有ポリシーのネゴシエーションによって、IPsec トンネルの確立方法が決まります。

  4. IPSec トンネルが作成され、IPSec トランスフォーム セットに設定された IPSec パラメータに基づいて、IPSec 間でデータが伝送されます。

  5. IPsec SA が削除されるか、そのライフタイムの有効期限が切れると、IPsec トンネルは終了します。

注: 2 PIX 間の IPSec ネゴシエーションは IKE フェーズの両方の SA が同位で一致する場合失敗します。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このドキュメントで使用されているコマンドの詳細を調べるには、コマンド検索ツール登録ユーザ専用)を使用してください。

ネットワーク構成図

この資料はこのネットワークダイアグラムを使用します:

/image/gif/paws/6211/38a-new.gif

注: この設定で使用している IP アドレッシング方式は、インターネット上で正式にルーティング可能なものではありません。 これらは、ラボ環境で使用された RFC 1918 leavingcisco.com のアドレスです。

IKE と IPSec 設定

各 PIX の IPSec構成はクリプト マップのために選択されるピア情報および命名規則を挿入し、セットをトランスフォームするとだけ変わります。 設定は write terminalshow コマンドで確認することができます。 該当するコマンドは、show isakmp、show isakmp policy、show access-list、show crypto ipsec transform-set、および show crypto map です。 これらのコマンドに関する詳細については Cisco Secure PIX Firewall コマンドレファレンスを参照して下さい。

IPSec を設定するためにこれらのステップを完了して下さい:

  1. 事前共有キーのための IKE を設定して下さい

  2. IPSec の設定

  3. ネットワーク アドレス変換(NAT)を設定して下さい

  4. PIX システムオプションを設定して下さい

事前共有キーのための IKE を設定して下さい

IPSec終端インターフェイスの IKE を有効に するために isakmp enable コマンドを発行して下さい。 このシナリオでは、両 PIX の外部インターフェイスが IPSec 終端インターフェイスになります。 IKE は両方の PIX で設定されます。 これらのコマンドは PIX-01 だけを示します。

isakmp enable outside

また IKE ネゴシエーションの間に使用する IKE ポリシーを定義する必要があります。 これをするために isakmp policy コマンドを発行して下さい。 このコマンドを発行するとき、ポリシーが識別されるようにプライオリティレベルを指定して下さい。 このケースでは、最もプライオリティの高い 1 をポリシーに割り当てます。 ポリシーはまたデータ認証のために事前共有キー、MD5 ハッシュアルゴリズム、Encapsulating Security Payload (ESP)のための DES、およびデフィーヘルマン group1 を使用するために設定 されます。 ポリシーはまた SA ライフタイムを使用するために設定 されます。

isakmp policy 1 authentication pre-share
isakmp policy 1 encryption des
isakmp policy 1 hash md5
isakmp policy 1 group 1
isakmp policy 1 lifetime 1000

IKE コンフィギュレーションは、show isakmp policy コマンドで確認できます。

PIX-01#show isakmp policy
Protection suite of priority 1
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Message Digest 5
authentication method: Pre-Shared Key
Diffie-Hellman group: #1 (768 bit)
lifetime: 1000 seconds, no volume limit
Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit

最終的には、事前共有キーを設定し、ピアアドレスを割り当てるために isakmp key コマンドを発行して下さい。 事前共有鍵を使用する場合は、IPSec ピアに同じ共有鍵を設定する必要があります。 アドレスは異なります、リモートピアの IP アドレスによって決まる。

isakmp key ********** address 172.22.112.12 netmask 255.255.255.255 
PIX-01#

ポリシーは、write terminal コマンドまたは show isakmp コマンドを使用して確認できます。

PIX-01#show isakmp
isakmp enable outside
isakmp key ********** address 172.22.112.12 netmask 255.255.255.255
isakmp identity address
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption des
isakmp policy 1 hash md5
isakmp policy 1 group 1
isakmp policy 1 lifetime 1000

IPSec の設定

IPSec は他の PIX 内部ネットワークに向かう PIX の 1 つがトラフィックを受信するとき始められます。 このトラフィックは、IPSec による保護が必要な対象トラフィックと見なされます。 アクセス リストがどのトラフィックが IKE および IPSec ネゴシエーションを始めるか判別するのに使用されています。 172.16.1.x ネットワークに、IPSecトンネルで、10.1.1.x ネットワークから送信 されるべきこのアクセス リスト割り当てトラフィック。 反対 PIX 設定のアクセス リストはこのアクセス リストをミラーします。 これは PIX-01 のために適切です。

access-list 101 permit ip 10.1.1.0 255.255.255.0 172.16.1.0 255.255.255.0

設定 される IPSec トランスフォームはデータフローを保護する同位 使用 セキュリティポリシーを定義します。 IPSec トランスフォームを定義するには、crypto ipsec transform-set コマンドを使用します。 トランスフォーム セットには一意の名前を付ける必要があり、IPSec セキュリティ プロトコルを定義するために最大 3 つのトランスフォームを選択できます。 この設定は 2 変換だけを使用します: esp-hmac-md5 および esp-des

crypto IPSec transform-set chevelle esp-des esp-md5-hmac

暗号マップは、暗号化トラフィック用の IPSec SA を設定します。 マップネームおよびクリプト マップを作成するためにシーケンス番号を割り当てて下さい。 それからクリプト マップ パラメータを定義します。 表示する クリプト マップ transam は IKE を暗号化します access-list 101 と一致し、一定ピアがあり、chevelle transform-set をトラフィックのためのセキュリティポリシーを制定するのに使用する何でも IPSec SA を確立するのに使用します。

crypto map transam 1 IPSec-isakmp
crypto map transam 1 match address 101
crypto map transam 1 set peer 172.22.112.12
crypto map transam 1 set transform-set chevelle

クリプト マップを定義した後、インターフェイスにクリプト マップを加えて下さい。 選択するインターフェイスは IPSec終端インターフェイスである必要があります。

crypto map transam interface outside

クリプト マップ属性を確認する show crypto map コマンドを発行して下さい。

PIX-01#show crypto map

Crypto Map: "transam" interfaces: { outside }

Crypto Map "transam" 1 IPSec-isakmp
Peer = 172.22.112.12
access-list 101 permit ip 10.1.1.0 255.255.255.0 172.16.1.0 255.255.255 
Current peer: 172.22.112.12
Security association lifetime: 4608000 kilobytes/28800 seconds
PFS (Y/N): N
Transform sets={ chevelle, }

NAT の設定

このコマンドは PIX ない NAT に IPSec のための interesting traffic として考えられるトラフィックを告げます。 従って、すべてのトラフィックは access-list コマンド文と一致する NAT サービスから免除されています。

access-list NoNAT permit ip 10.1.1.0 255.255.255.0 
172.16.1.0 255.255.255.0
nat (inside) 0 access-list NoNAT

PIX システムオプションを設定して下さい

着信セッションはすべて、アクセス リストまたはコンジットによって明示的に許可される必要があるため、sysopt connection permit-ipsec コマンドを使用して、すべての着信 IPSec 認証済み暗号化セッションを許可します。 IPSec で 保護された トラフィックを使うと、セカンダリコンジットチェックは冗長でおよびトンネル生成を失敗させます場合があります。 sysopt コマンドはさまざまな PIXファイアウォール セキュリティおよびコンフィギュレーション機能を調整します。

sysopt connection permit-IPSec

設定

ご使用のシスコ デバイスの、write terminal コマンドの出力データがあれば、これを使用して今後予想される障害と修正を表示できます。今後予想される障害や修正の表示には、Output Interpreter がご利用になれます。 アウトプットインタープリタ登録ユーザのみ)を使用するためにログオンされ、JavaScript を 有効に してもらわなければなりません。

192.68.1.52 の PIX-01
PIX Version 6.3(5)
interface ethernet0 auto 
interface ethernet1 auto 
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PIX-01
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names

!--- Defines interesting traffic that is protected by the IPSec tunnel.


access-list 101 permit ip 10.1.1.0 255.255.255.0 172.16.1.0 255.255.255.0

!--- Do not perform NAT for traffic to other PIX Firewall.


access-list NoNAT permit ip 10.1.1.0 255.255.255.0 172.16.1.0 255.255.255.0
pager lines 24
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500

!--- Sets the outside address on the PIX Firewall.


ip address outside 192.168.1.52 255.255.255.0

!--- Sets the inside address on the PIX Firewall.


ip address inside 10.1.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
pdm history enable
arp timeout 14400

!--- This command tells the PIX not to NAT any traffic
!--- deemed interesting for IPSec.

nat (inside) 0 access-list NoNAT

!--- Sets the default route to the default gateway.

route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable

!--- Allows IPSec traffic to pass through the PIX Firewall
!--- and does not require an additional conduit
!--- or access-list statements to permit IPSec traffic.

sysopt connection permit-IPSec

!--- IKE Phase 2: 
!--- The IPSec transform-set "chevelle" uses esp-md5-hmac to provide 
!--- data authentication.


crypto IPSec transform-set chevelle esp-des esp-md5-hmac

!--- Crypto maps set up the SAs for IPSec traffic.
!--- Indicates that IKE is used to establish IPSec SAs.

crypto map transam 1 IPSec-isakmp

!--- Assigns interesting traffic to peer 172.22.112.12.

crypto map transam 1 match address 101

!--- Sets the IPSec peer.

crypto map transam 1 set peer 172.22.112.12

!--- Sets the IPSec transform set "chevelle"
!--- to be used with the crypto map entry "transam".

crypto map transam 1 set transform-set chevelle

!--- Assigns the crypto map transam to the interface.

crypto map transam interface outside

!--- IKE Phase 1: 
!--- Enables IKE on the interface used to terminate the IPSec tunnel

isakmp enable outside

!--- Sets the ISAKMP identity of the peer and
!--- sets the pre-shared key between the IPSec peers.
!--- The same preshared key must be configured on the
!--- IPSec peers for IKE authentication.

isakmp key ******** address 172.22.112.12 netmask 255.255.255.255

!--- The PIX uses the IP address method by default
!--- for the IKE identity in the IKE negotiations.

isakmp identity address

!--- The ISAKMP policy defines the set of parameters
!--- that are used for IKE negotiations. 
!--- If these parameters are not set, the default parameters are used.
!--- The show isakmp policy command shows the differences in 
!--- the default and configured policy.

isakmp policy 1 authentication pre-share
isakmp policy 1 encryption des
isakmp policy 1 hash md5
isakmp policy 1 group 1
isakmp policy 1 lifetime 1000
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

172.22.112.12 の PIX-02
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PIX-02
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names

!--- Defines interesting traffic that is protected by the IPSec tunnel.


access-list 101 permit ip 172.16.1.0 255.255.255.0 10.1.1.0 255.255.255.0

!--- Do not perform NAT for traffic to other PIX Firewall.

access-list NoNAT permit ip 172.16.1.0 255.255.255.0 10.1.1.0 255.255.255.0
pager lines 24
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500

!--- Sets the outside address on the PIX Firewall.

ip address outside 172.22.112.12 255.255.255.0

!--- Sets the inside address on the PIX Firewall.

ip address inside 172.16.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
pdm history enable
arp timeout 14400

!--- This command tells the PIX not to NAT any traffic
!--- deemed interesting for IPSec.

nat (inside) 0 access-list NoNAT

!--- Sets the default route to the default gateway.

route outside 0.0.0.0 0.0.0.0 172.22.112.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable

!--- Allows IPSec traffic to pass through the PIX Firewall
!--- and does not require an additional conduit
!--- or access-list statements to permit IPSec traffic.

sysopt connection permit-IPSec

!--- IKE Phase 2: 
!--- The IPSec transform set defines the negotiated security policy
!--- that the peers use to protect the data flow.
!--- The IPSec transform-set "toyota" uses hmac-md5 authentication header
!--- and encapsulates the payload with des.

crypto IPSec transform-set toyota esp-des esp-md5-hmac

!--- Crypto maps set up the SAs for IPSec traffic.
!--- Indicates that IKE is used to establish IPSec SAs.

crypto map bmw 1 IPSec-isakmp

!--- Assigns interesting traffic to peer 192.168.1.52.

crypto map bmw 1 match address 101

!--- Sets IPSec peer.

crypto map bmw 1 set peer 192.168.1.52

!--- Sets the IPSec transform set "toyota"
!--- to be used with the crypto map entry "bmw".

crypto map bmw 1 set transform-set toyota

!--- Assigns the crypto map bmw to the interface.

crypto map bmw interface outside

!--- IKE Phase 1:
!--- Enables IKE on the interface used to terminate IPSec tunnel.

isakmp enable outside

!--- Sets the ISAKMP identity of the peer and
!--- sets the preshared key between the IPSec peers.
!--- The same preshared key must be configured on the
!--- IPSec peers for IKE authentication.

isakmp key ******** address 192.168.1.52 netmask 255.255.255.255

!--- The PIX uses the IP address method by default 
!--- for the IKE identity in the IKE negotiations.

isakmp identity address

!--- The ISAKMP policy defines the set of parameters
!--- that are used for IKE negotiations. 
!--- If these parameters are not set, the default parameters are used.

isakmp policy 1 authentication pre-share
isakmp policy 1 encryption des
isakmp policy 1 hash md5
isakmp policy 1 group 1
isakmp policy 1 lifetime 1000
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

確認

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を提供しています。

特定の show コマンドは、Output Interpreter Tool登録ユーザ専用)によってサポートされています。このツールを使用すると、show コマンド出力の分析を表示できます。

  • show crypto ipsec sa —このコマンドは IPSec SA の現在のステータスを表示する、トラフィックが暗号化されたかどうか確認で役立ったものです。

  • show crypto isakmp sa —このコマンドは IKE SA の現在のステートを示したものです。

PIX-01 show コマンド

PIX-01 show コマンド
PIX-01#show crypto IPSec sa
interface: outside
Crypto map tag: transam, local addr. 192.168.1.52

local ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
current_peer: 172.22.112.12
PERMIT, flags={origin_is_acl,}

!--- This verifies that encrypted packets are being sent 
!--- and received without any errors.
 
#pkts encaps: 3, #pkts encrypt: 3, #pkts digest 3
#pkts decaps: 3, #pkts decrypt: 3, #pkts verify 3
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 2, #recv errors 0

local crypto endpt.: 192.168.1.52, remote crypto endpt.: 172.22.112.12
path mtu 1500, IPSec overhead 56, media mtu 1500
current outbound spi: 6f09cbf1

!--- Shows inbound SAs that are established.
 
inbound esp sas:
spi: 0x70be0c04(1891503108)
transform: esp-des esp-md5-hmac
in use settings ={Tunnel, }
slot: 0, conn id: 1, crypto map: transam
sa timing: remaining key lifetime (k/sec): (4607999/28430)
IV size: 8 bytes
replay detection support: Y

inbound ah sas:

inbound pcp sas:

!--- Shows outbound SAs that are established.

outbound ESP sas:
spi: 0x6f09cbf1(1862913009)
transform: esp-des esp-md5-hmac
in use settings ={Tunnel, }
slot: 0, conn id: 2, crypto map: transam
sa timing: remaining key lifetime (k/sec): (4607999/28430)
IV size: 8 bytes
replay detection support: Y

outbound ah sas:

outbound PCP sas:



!--- The ISAKMP SA is in the quiescent state (QM_IDLE) when it exists.
!--- The ISAKMP SA is idle. The ISAKMP SA remains authenticated with its 
!--- peer and can be used for subsequent Quick Mode exchanges. 

PIX-01#show crypto isakmp sa
     dst             src          state      pending        created   
172.22.112.12    192.168.1.52    QM_IDLE        0        1Maui-PIX-01#

PIX-02 show コマンド

PIX-02 show コマンド
PIX-02#show crypto IPSec sa

interface: outside
Crypto map tag: bmw, local addr. 172.22.112.12

local ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
current_peer: 192.168.1.52
PERMIT, flags={origin_is_acl,}

!--- This verifies that encrypted packets are 
!--- being sent and recede without any errors.
 
#pkts encaps: 3, #pkts encrypt: 3, #pkts digest 3
#pkts decaps: 3, #pkts decrypt: 3, #pkts verify 3
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. Failed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 172.22.112.12, remote crypto endpt.: 192.168.1.52
path mtu 1500, IPSec overhead 56, media mtu 1500
current outbound spi: 70be0c04

!--- Shows inbound SAs that are established.

Inbound ESP sas:
spi: 0x6f09cbf1(1862913009)
transform: esp-des esp-md5-hmac
in use settings ={Tunnel, }
slot: 0, conn id: 1, crypto map: bmw
sa timing: remaining key lifetime (k/sec): (4607999/28097)
IV size: 8 bytes
replay detection support: Y

inbound ah sas:

inbound PCP sas:

!--- Shows outbound SAs that are established.

Outbound ESP sas:
spi: 0x70be0c04(1891503108)
transform: esp-des esp-md5-hmac
in use settings ={Tunnel, }
slot: 0, conn id: 2, crypto map: bmw
sa timing: remaining key lifetime (k/sec): (4607999/28097)
IV size: 8 bytes
replay detection support: Y

outbound ah sas:

outbound PCP sas:



!--- The ISAKMP SA is in the quiescent state (QM_IDLE) when it exists.
!--- The ISAKMP SA is idle. The ISAKMP SA remains authenticated with its 
!--- peer and can be used for subsequent Quick Mode exchanges.

PIX-02#show crypto isakmp sa
     dst             src          state      pending       created   
172.22.112.12    192.168.1.52    QM_IDLE        0       PIX-02#

PIX の内部インターフェイスはトンネルの形成のために管理アクセス コマンドがグローバル コンフィギュレーション モードで設定されなければ ping することができません。

PIX-02(config)#management-access inside
PIX-02(config)#show management-access
management-access inside

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

トラブルシューティングのためのコマンド

注: clear コマンドはコンフィギュレーションモードで実行する必要があります。

  • clear crypto ipsec sa —このコマンドは IPSec SA を後 VPN トンネルをネゴシエートする試行失敗リセットしました。

  • clear crypto isakmp sa —このコマンドは ISAKMP SA を後 VPN トンネルをネゴシエートする試行失敗リセットしました。

注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug crypto ipsec —このコマンドはクライアントが VPN 接続の Ipsec部分をネゴシエートするかどうか示したものです。

  • debug crypto isakmp —このコマンドは同位が VPN 接続の ISAKMP 部分をネゴシエートするかどうか示したものです。

接続は完了する後、show コマンドを使用して確認することができます。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 6211