セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

確立されたIPSec トンネル上のパスデータトラフィックへのPIX のトラブルシューティング

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、Cisco VPN Client から PIX への正常に確立された IPSec トンネルがデータを渡すことができないという問題に対応し、その解決策について説明します。

VPN クライアントと PIX の間で確立された IPSecトンネルのデータを渡す不可能は頻繁に VPN クライアントから PIX の後ろの LAN のあらゆるホストに ping するか、または Telnet で接続することができないとき見つけられます。 すなわち、VPN クライアントおよび PIX はそのの間で暗号化されたデータを渡すことができません。 これは PIX にルータおよびまた VPN クライアントに LAN間IPSECトンネルがあるので発生します。 データを渡す不可能は LAN-to-LAN な IPSec ピアの NAT 0 およびスタティック暗号マップ両方のための同じ Access Control List (ACL)の設定の結果です。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco Secure PIX Firewall 6.0.1

  • Cisco 1720 ルータ Cisco IOS を実行するか。 ソフトウェア リリース 12.2(6)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

PIX のトラブルシューティング

ネットワーク構成図

ipsec_tun_pass_data-a.gif

問題のある設定例

PIX 520
pix520-1#write terminal
Building configuration...
: Saved
:
PIX Version 6.0(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pix520-1
domain-name vpn.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names

!--- Access-List “140” defines interesting traffic to bypass NAT for VPN
!--- and defines VPN interesting traffic.  This is incorrect.

access-list 140 permit ip 192.168.4.0 255.255.255.0 10.10.10.0 255.255.255.0
access-list 140 permit ip 192.168.4.0 255.255.255.0 10.1.2.0 255.255.255.0
no pager
logging on
logging console debugging
logging monitor debugging
logging buffered debugging
logging trap debugging
logging history debugging
logging host outside 192.168.2.6
interface ethernet0 auto
interface ethernet1 auto
mtu outside 1500
mtu inside 1500

!--- IP addresses on the outside and inside interfaces.

ip address outside 172.16.172.34 255.255.255.240
ip address inside 192.168.4.50 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool ippool 10.1.2.1-10.1.2.254
no failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
pdm history enable
arp timeout 14400
global (outside) 1 172.16.172.57 netmask 255.255.255.255

!--- The nat 0 command bypasses NAT for the packets destined over the IPsec tunnel.

Nat (inside) 0 access-list 140
Nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 172.16.172.33 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323
0:05:00 sip
0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
AAA-server RADIUS protocol radius
AAA-server mytest protocol tacacs+
AAA-server nasir protocol radius
snmp-server host outside 192.168.2.6
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps
floodguard enable

!--- The sysopt command bypasses conduits or ACLs that check to be applied
!--- on the inbound VPN packets after decryption.

sysopt connection permit-ipsec
no sysopt route dnat

!--- The crypto ipsec command defines IPsec encryption and authen algo.

crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set myset

!--- The crypto map commands define the IPsec 
!--- Security Assocation (SA) (Phase II SA) parameters.

crypto map mymap 5 ipsec-isakmp
crypto map mymap 5 match address 140
crypto map mymap 5 set peer 172.16.172.39
crypto map mymap 5 set transform-set myset
crypto map mymap 10 ipsec-isakmp dynamic dynmap
crypto map mymap interface outside
isakmp enable outside

!--- The isakmp key command defines the pre-shared key for the peer address.

isakmp key ******** address 172.16.172.39 netmask 255.255.255.255 no-xauth
no-config-mode
isakmp identity address

!--- The isakmp policy defines the Phase 1 SA parameters.

isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption Des
isakmp policy 20 hash sha
isakmp policy 20 group 1
isakmp policy 20 lifetime 86400
vpngroup vpn3000 address-pool ippool
vpngroup vpn3000 idle-time 1800
vpngroup vpn3000 password ********
telnet 192.168.4.0 255.255.255.0 inside
telnet 171.69.89.82 255.255.255.255 inside
telnet timeout 5
ssh 172.0.0.0 255.0.0.0 outside
ssh 171.0.0.0 255.255.255.0 outside
ssh 171.0.0.0 255.0.0.0 outside
ssh timeout 60
terminal width 80
Cryptochecksum:55948dc706cc700e9c10e1d24a8b125c

問題となる設定 関連 トラフィックは、かトラフィックでは暗号化されるべき LAN-to-LAN トンネルのために ACL 140 によって、定義されます。 設定は NAT 0 ACL と同じ ACL を使用します。

イベントの標準シーケンスを理解して下さい

IPパケットが PIX の内部インターフェイスで着くとき、ネットワーク アドレス変換(NAT)はチェックされます。 その後で、クリプト マップのための ACL はチェックされます。

  • NAT 0 がどのように使用されるか。

    含んでいるべきではないものが NAT に NAT 0 ACL は定義します。 nat 0 コマンドの ACL は PIX の NAT ルールが無効である送信元 および 宛先アドレスを定義します。 従って、IPパケットは送信元 および 宛先アドレスがある nat 0 コマンドに定義される ACL と一致する PIX のすべての NAT ルールをバイパスします。

    PIX と別の VPN デバイス間の LAN-to-LAN トンネルをプライベートアドレスの助けによって設定するために、NAT をバイパスする nat 0 コマンドを使用して下さい。 PIXファイアウォールのルールはこれらのルールが IPSecトンネル上のリモートLAN に行く間、プライベートアドレスが NAT に含まれていることを防ぎます。

  • 暗号 ACL がどのように使用されるか。

    NAT インスペクションの後で、PIX は静的 および 動的 暗号マップで定義される ACL を一致するために内部インターフェイスで着く各 IPパケットの送信元および宛先をチェックします。 PIX が ACL の一致を見つける場合、PIX はのこれらのステップ踏みます:

    • 既にトラフィックのためのピア IPSec デバイスによって構築される現在の IPSecセキュリティアソシエーション結合(SA)がない場合 PIX は IPsec ネゴシエーションを始めます。 SA が構築されれば、それはパケットを暗号化し、IPSecトンネルに IPSec ピアにそれを送信 します。

    • 既にピアと構築される IPsec SA あっている場合 PIX は IPパケットを暗号化し、ピア IPSec デバイスに暗号化されたパケットを送ります。

  • ダイナミック ACL。

    VPN クライアントが IPsec の助けによって PIX に接続すれば、PIX はこの IPSec接続のための関連 トラフィックを定義するために使用するように送信元 および 宛先アドレスを規定 する ダイナミック ACL を作成します。

PIX の問題となる 一連 の イベントを理解して下さい

一般的 な 設定誤りは NAT 0 およびスタティック暗号マップのために同じ ACL を使用することです。 これらのセクションはこれがエラーのおよび問題を解決する方法をなぜ原因となるか論議します。

PIX 設定は IP パケットがネットワーク 192.168.4.0/24 からネットワーク 10.10.10.0/24 および 10.1.2.0/24 行くからとき NAT 0 ACL 140 が NAT をバイパスすることを示します(IP ローカルプール ipool で定義されるネットワーク アドレス)。 さらに、ACL 140 はピア 172.16.172.39 のスタティック暗号マップのための関連 トラフィックを定義します。

IPパケットが PIX 内部インターフェイスに来るとき、NAT チェックは完了し、それから PIX はクリプト マップの ACL をチェックします。 PIX は最小例数が付いているクリプト マップから開始します。 これは前例のスタティック暗号マップに最小例数がある、ACL 140 チェックされますという理由によります。 次に、ダイナミック暗号マップのためのダイナミック ACL はチェックされます。 この設定ではトラフィックを暗号化するために、ネットワーク 192.168.4.0 /24 からネットワーク 10.10.10.0/24 に 0 および 10.1.2.0 /24 行く ACL 140 は定義されます。 ただし、LAN-to-LAN トンネルのために、ただネットワーク 192.168.4.0 /24 および 10.10.10.0 /24 間のトラフィックを暗号化したいと思います。 これは IPSec ピア ルータが暗号 ACL をどのように定義するかです。

PIX の問題となる 一連 の イベントを理解して下さい

クライアントが PIX に IPSec接続を確立するとき、それ IP ローカルプールからの IP アドレスは割り当てられます。 この場合、クライアントは 10.1.2.1 を割り当てられます。 PIX はまたこの show crypto map コマンド出力が示すので、ダイナミック ACL を生成します:

Crypto Map "mymap" 20 ipsec-isakmp
Peer = 171.69.89.120
access-list dynacl2 permit ip host 172.16.172.34 host 10.1.2.1 (hitcnt=0)
dynamic (created from dynamic map dynmap/10)
Current peer: 171.69.89.120
Security association lifetime: 4608000 kilobytes/28800 seconds
PFS (Y/N): N
Transform sets={ myset, }
Crypto Map "mymap" 30 ipsec-isakmp
Peer = 171.69.89.120
access-list dynacl3 permit ip any host 10.1.2.1 (hitcnt=0)
dynamic (created from dynamic map dynmap/10)
Current peer: 171.69.89.120
Security association lifetime: 4608000 kilobytes/28800 seconds
PFS (Y/N): N
Transform sets={ myset, }
pix520-1(config)#

show crypto map コマンドはまたスタティック暗号マップを示します:

Crypto Map: "mymap" interfaces: { outside }
Crypto Map "mymap" 5 ipsec-isakmp
Peer = 172.16.172.39
access-list 140 permit ip 192.168.4.0 255.255.255.0 10.10.10.0255.255.255.0 
   (hitcnt=45)
access-list 140 permit ip 192.168.4.0 255.255.255.0 10.1.2.0 255.255.255.0
   (hitcnt=84)
Current peer: 172.16.172.39
Security association lifetime: 4608000 kilobytes/28800 seconds
PFS (Y/N): N
Transform sets={ myset,}

IPSecトンネルがクライアントと PIX の間で確立されれば、クライアントはホスト 192.168.4.3 に PING を始めます。 それがエコー要求を受け取るとき、debug icmp trace コマンドのこの出力が示すようにホスト 192.168.4.3 はエコーリプライと応答します。

27: Inbound ICMP echo request (len 32 id 2 seq 7680) 
   10.1.2.1 > 192.168.4.3> 192.168.4.3
28: Outbound ICMP echo reply (Len 32 id 2 seq 7680) 
   192.168.4.3 >192.168.4.3 > 10.1.2.1
29: Inbound ICMP echo request (Len 32 id 2 seq 7936) 
   10.1.2.1 > 192.168.4.3> 192.168.4.3
30: Outbound ICMP echo reply (Len 32 id 2 seq 7936) 
   192.168.4.3 >192.168.4.3 > 10.1.2.1

ただし、エコーリプライは VPN クライアント達しません(10.1.2.1) ホストは、および PING に失敗します。 PIX の show crypto ipsec sa コマンドの助けによってこれを表示できます。 この出力は PIX が VPN クライアントから来るが、パケットを暗号化しませんし、クライアントに暗号化されたパケットを送信しません 120 のパケットを復号化することを示したものです。 従って、カプセル化されるパケットの数はゼロです。

pix520-1(config)#show crypto ipsec sa
interface: outside
Crypto map tag: mymap, local addr. 172.16.172.34
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.1.2.1/255.255.255.255/0/0)
current_peer: 171.69.89.120
dynamic allocated peer ip: 10.1.2.1
PERMIT, flags={}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0 

!--- No packets encrypted and sent to client.

#pkts decaps: 120, #pkts decrypt: 120, #pkts verify 120 

!--- 120 packets received from client.

#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 172.16.172.34, remote crypto endpt.: 171.69.89.120
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: 33a45029
inbound esp sas:
spi: 0x279fc5e9(664782313)
transform: ESP-Des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 5, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607985/27809)
IV size: 8 bytes
replay detection support: Y
inbound ah sas:
inbound pcp sas:
outbound ESP sas:
spi: 0x33a45029(866406441)
transform: ESP-Des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 6, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4608000/27809)
IV size: 8 bytes
replay detection support: Y
outbound ah sas:
outbound PCP sas:
local ident (addr/mask/prot/port): (192.168.4.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
current_peer: 172.16.172.39
PERMIT, flags={origin_is_acl,}
#pkts encaps: 10, #pkts encrypt: 10, #pkts digest 10
#pkts decaps: 23, #pkts decrypt: 23, #pkts verify 23
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. Failed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 172.16.172.34, remote crypto endpt.: 172.16.172.39
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: f264e92c
inbound ESP sas:
spi: 0x2772b869(661829737)
transform: ESP-Des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 1, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607997/2420)
IV size: 8 bytes
replay detection support: Y
inbound ah sas:
inbound PCP sas:
outbound ESP sas:
spi: 0xf264e92c(4066699564)
transform: ESP-Des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/2420)
IV size: 8 bytes
replay detection support: Y
outbound ah sas:
outbound PCP sas:

注: ホスト 192.168.4.3 がエコー要求に応答する時、IPパケットは PIX の内部インターフェイスに来ます。

38: Outbound ICMP echo reply (Len 32 id 2 seq 8960) 
   192.168.4.3 >192.168.4.3 > 10.1.2.1

IPパケットが内部インターフェイスで着けば、PIX は NAT 0 ACL 140 をチェックし、IPパケットの送信元 および 宛先アドレスが ACL と一致することを判別します。 従って、この IPパケットは PIX のすべての NAT ルールをバイパスします。 次に、クリプト ACL はチェックされます。 スタティック暗号マップに最小例数があるので、ACL はまずチェックされます。 この例がスタティック暗号マップのために ACL 140 を使用するので、PIX はこの ACL をチェックします。 この場合、IPパケットに 192.168.4.3 の送信元アドレスおよび 10.1.2.1 の宛先があります。 これが ACL 140 と一致するので、PIX はこの IPパケットがピア 172.16.172.39 での LAN間IPSECトンネルのために意図されていると考えます(目標に反対)。 従って、それは既にこのトラフィックのためのピア 172.16.72.39 での電流 SA あっているかどうか SA データベースを確認します。 show crypto ipsec sa コマンドの出力が示すように、このトラフィックのために存在 する SA 無し。 PIX は VPN クライアントにパケットを暗号化しませんし、送信 しません。 その代り、それはこの出力が示すと同時にピア 172.16.172.39 での IPsec 別のネゴシエーションを始めます:

crypto_isakmp_process_block: src 172.16.172.39, dest 172.16.172.34
return status is IKMP_NO_ERR_NO_TRANS02303: sa_request, (key eng. msg.)
src= 172.16.172.34, dest= 172.16.172.39,
src_proxy= 192.168.4.0/255.255.255.0/0/0 (type=4),
dest_proxy= 10.1.2.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform=
ESP-Des esp-md5-hmac , lifedur= 28800s and 4608000kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4004
702303: sa_request, (key Eng. msg.) src= 172.16.172.34, dest=
172.16.172.39, src_proxy= 192.168.4.0/255.255.255.0/0/0 (type=4),
dest_proxy= 10.1.2.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform=
ESP-Des esp-md5-hmac , lifedur= 28800s and 4608000kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4004
ISAKMP (0): sending NOTIFY message 36137 protocol 1
return status is IKMP_NO_ERR_NO_TRANSIPSEC(key_engine): request timer
fired: count = 2,
(identity) local= 172.16.172.34, remote= 172.16.172.39,
local_proxy= 192.168.4.0/255.255.255.0/0/0 (type=4),
remote_proxy= 10.1.2.0/255.255.255.0/0/0 (type=4)

IPsec ネゴシエーションはこれらの理由により失敗します:

  • ピア 172.16.172.39 はクリプト マップ ピア 172.16.172.34 のための ACL の関連 トラフィックとしてネットワークだけ 10.10.10.0/24 および 192.168.4.0/24 定義します。

  • プロキシの身元は 2 同位間の IPsec ネゴシエーションの間に一致する。

  • ピアがネゴシエーションを始め、ローカルコンフィギュレーションが完全転送秘密 (PFS)を規定 する場合、ピアが PFS 交換を行うネゴシエーションは失敗します。 ローカルコンフィギュレーションがグループを規定 しない場合、group1 のデフォルトは仮定され、group1 または group2 のオファーは受け入れられます。 ローカルコンフィギュレーションが group2 を規定 する場合場合、そのグループがピアのオファーの一部であるネゴシエーションは失敗します。 ローカルコンフィギュレーションが PFS を規定 しない場合、ピアからの PFS のオファーを受け入れます。 1024 ビット デフィーヘルマン主な剰余グループは、group2、group1 よりより多くのセキュリティを提供しますが、group1 よりより多くの処理時間を必要とします。

    注: クリプト マップ set pfs コマンドはこの暗号マップエントリのために新しい SA を要求するとき PFS を頼むために IPsec を設定 します。 規定 する クリプト マップ set pfs コマンドをこと IPsec ない要求 PFS 使用しないで下さい。 このコマンドは IPsec ISAKMP 暗号マップエントリおよびダイナミック暗号マップ エントリにだけ利用できます。 デフォルトでは、PFS は要求されません。 PFS を使うと、新しい SA がネゴシエートされる度に、新しい Diffie-Hellman交換は行われます。 これは追加処理時間を必要とします。 PFS はそのキーと送信 される データだけが妥協されます 1 キーが攻撃者によって割れる場合別のセキュリティレベルをので追加します。 ネゴシエーションの間に、暗号マップエントリのために新しい SA を要求するときこのコマンドにより IPsec は PFS を要求します。 セット PFS 文がグループを規定 しない場合デフォルト(group1)は送信 されます。

    注: リモートピアでの IKE ネゴシエーションは PIXファイアウォールに PIXファイアウォールから起き、単一 リモートピアで終わる多数のトンネルがあるときハングできます。 この問題は PFS が有効に ならない、ローカルピアは多くの同時キーの再生成 要求を要求しますとき発生し。 この問題が発生する場合、または clear [crypto] isakmp sa コマンドでそれクリアあなたまで手動で時間を計るまで IKE SA 回復 しません。 多くの同位か多くのクライアントに同じトンネルを共有する多くのトンネルで設定される PIXファイアウォール ユニットはこの問題から影響を受けません。 設定が影響を受けている場合、クリプト マップ mapname seqnum set pfs コマンドで PFS を有効に して下さい。

PIX の IP パケットは最終的に廃棄されます。

ソリューションを理解して下さい

このエラーを調整する正しい方式は NAT 0 およびスタティック暗号マップのための 2 別々の ACL を定義することです。 これをするために、例はこの出力が示すので、nat 0 コマンドのための ACL 190 を定義し、スタティック暗号マップのために修正された ACL 140 を使用したものです。

PIX 520-1
pix520-1(config)#
pix520-1(config)#write terminal
Building configuration...
: Saved
:
PIX Version 6.0(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pix520-1
domain-name vpn.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names

!--- Access list 140 defines interesting traffic in order to bypass NAT for VPN.

access-list 140 permit ip 192.168.4.0 255.255.255.0 10.10.10.0255.255.255.0

!--- Defines VPN interesting traffic.

access-list 190 permit ip 192.168.4.0 255.255.255.0 10.10.10.0255.255.255.0
access-list 190 permit ip 192.168.4.0 255.255.255.0 10.1.2.0 255.255.255.0
no pager
logging on
logging console debugging
logging monitor debugging
logging buffered debugging
logging trap debugging
logging history debugging
logging host outside 192.168.2.6
interface ethernet0 auto
interface ethernet1 auto
mtu outside 1500
mtu inside 1500
ip address outside 172.16.172.34 255.255.255.240
ip address inside 192.168.4.50 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool ippool 10.1.2.1-10.1.2.254
no failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
pdm history enable
arp timeout 14400
global (outside) 1 172.16.172.57 netmask 255.255.255.255

!--- The nat 0 command bypasses NAT for the packets destined over the IPsec tunnel..

Nat (inside) 0 access-list 190
Nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 172.16.172.33 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323
0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
AAA-server TACACS+ protocol tacacs+
AAA-server RADIUS protocol radius
AAA-server mytest protocol tacacs+
AAA-server nasir protocol radius
snmp-server host outside 192.168.2.6
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
no sysopt route dnat
crypto ipsec transform-set myset ESP-Des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set myset

!--- The crypto map commands define the IPsec SA (Phase II SA) parameters.

crypto map mymap 5 ipsec-isakmp
crypto map mymap 5 match address 140
crypto map mymap 5 set peer 172.16.172.39
crypto map mymap 5 set transform-set myset
crypto map mymap 10 ipsec-isakmp dynamic dynmap
crypto map mymap interface outside
isakmp enable outside
isakmp key ******** address 172.16.172.39 netmask 255.255.255.255 no-xauth
no-config-mode
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption Des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption Des
isakmp policy 20 hash sha
isakmp policy 20 group 1
isakmp policy 20 lifetime 86400
vpngroup vpn3000 address-pool ippool
vpngroup vpn3000 idle-time 1800
vpngroup vpn3000 password ********
telnet 192.168.4.0 255.255.255.0 inside
telnet 171.69.89.82 255.255.255.255 inside
telnet timeout 5
ssh 172.0.0.0 255.0.0.0 outside
ssh 171.0.0.0 255.255.255.0 outside
ssh 171.0.0.0 255.0.0.0 outside
ssh timeout 60
terminal width 80
Cryptochecksum:e2cb98b30d3899597b3af484fae4f9ae
: end
[OK]
pix520-1(config)# pix520-1(config)#show crypto map

変更を行った、クライアントが PIX の IPSecトンネルを確立する後、show crypto map コマンドを発行して下さい。 このコマンドはスタティック暗号マップのための、オリジナル目標だった ACL 140 によって定義される関連 トラフィックが 192.168.4.0/24 だけおよび 10.10.10.0/24 であることを示したものです。 さらに、ダイナミック アクセス リストはクライアントと定義される関連 トラフィックを示します(10.1.2.1)および PIX (172.16.172.34)。

pix520-1(config)#show crypto map
Crypto Map: "mymap" interfaces: { outside }
Crypto Map "mymap" 5 ipsec-isakmp
Peer = 172.16.172.39
access-list 140 permit ip 192.168.4.0 255.255.255.0 10.10.10.0255.255.255.0 
   (hitcnt=57)
Current peer: 172.16.172.39
Security association lifetime: 4608000 kilobytes/28800 seconds
PFS (Y/N): N
Transform sets={ myset, }
Crypto Map "mymap" 10 ipsec-isakmp
Dynamic map template tag: dynmap
Crypto Map "mymap" 20 ipsec-isakmp
Peer = 171.69.89.120
access-list dynacl4 permit ip host 172.16.172.34 host 10.1.2.1 (hitcnt=0)
dynamic (created from dynamic map dynmap/10)
Current peer: 171.69.89.120
Security association lifetime: 4608000 kilobytes/28800 seconds
PFS (Y/N): N
Transform sets={ myset, }
Crypto Map "mymap" 30 ipsec-isakmp
Peer = 171.69.89.120
access-list dynacl5 permit ip any host 10.1.2.1 (hitcnt=13)
dynamic (created from dynamic map dynmap/10)
Current peer: 171.69.89.120
Security association lifetime: 4608000 kilobytes/28800 seconds
PFS (Y/N): N
Transform sets={ myset, }

192.168.4.3 をホストするために VPN クライアント 10.1.2.1 が PING を送信 するときエコーリプライは PIX の内部インターフェイスに来ます。 PIX は NAT 0 ACL 190 をチェックし、IPパケットが ACL と一致することを判別します。 従って、パケットは PIX の NAT ルールをバイパスします。 次に、PIX は一致を見つけるためにスタティック暗号マップ ACL 140 をチェックします。 今回、IPパケットの送信元および宛先は ACL 140 を一致する。 従って、PIX はダイナミック ACL をチェックし、一致を見つけます。 PIX はそれから IPsec SA クライアントと既に確立されているかどうか SA データベースをチェックします。 クライアントが既に PIX の IPSec接続を確立してしまったので、IPsec SA 存在。 PIX はそしてパケットを暗号化し、VPN クライアントにそれを送信 します。 パケットが暗号化され、復号化されることがわかるのに PIX からの show crypto ipsec sa コマンド出力を使用して下さい。 この場合、PIX は 16 のパケットを暗号化し、クライアントに送信 しました。 PIX はまた VPN クライアントから暗号化されたパケットを受信し、16 のパケットを復号化しました。

pix520-1(config)#show crypto ipsec sa
interface: outside
Crypto map tag: mymap, local addr. 172.16.172.34
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.1.2.1/255.255.255.255/0/0)
current_peer: 171.69.89.120
dynamic allocated peer ip: 10.1.2.1
PERMIT, flags={}
#pkts encaps: 16, #pkts encrypt: 16,#pkts digest 16
#pkts decaps: 16, #pkts decrypt: 16, #pkts verify 16
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. Failed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 172.16.172.34, remote crypto endpt.: 171.69.89.120
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: 613d083d
inbound ESP sas:
spi: 0x6adf97df(1793038303)
transform: ESP-Des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 4, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607998/27420)
IV size: 8 bytes
replay detection support: Y
inbound ah sas:
inbound PCP sas:
outbound ESP sas:
spi: 0x613d083d(1631389757)
transform: ESP-Des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 3, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/27420)
IV size: 8 bytes
replay detection support: Y
outbound ah sas:
outbound PCP sas:
local ident (addr/mask/prot/port): (192.168.4.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
current_peer: 172.16.172.39
PERMIT, flags={origin_is_acl,}
#pkts encaps: 9, #pkts encrypt: 9, #pkts digest 9
#pkts decaps: 9, #pkts decrypt: 9, #pkts verify 9
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. Failed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0
local crypto endpt.: 172.16.172.34, remote crypto endpt.: 172.16.172.39
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: 58009c01
inbound ESP sas:
spi: 0x2d408709(759203593)
transform: ESP-Des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607998/3319)
IV size: 8 bytes
replay detection support: Y
inbound ah sas:
inbound PCP sas: outbound ESP sas:
spi: 0x58009c01(1476434945)
transform: ESP-Des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 1, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/3319)
IV size: 8 bytes
replay detection support: Y
outbound ah sas:
outbound PCP sas:
pix520-1(config)# sh cr isa sa
Total : 2
Embryonic : 0
dst src state pending created
172.16.172.39 172.16.172.34 QM_IDLE 0 1
172.16.172.34 171.69.89.120 QM_IDLE 0 2
pix520-1(config)# sh cr ipsec sa

ルータ設定と showコマンド出力

Cisco 1720-1
1720-1#show run
Building configuration...
Current configuration : 1592 bytes
!
! Last configuration change at 21:08:49 PST Mon Jan 7 2002
! NVRAM config last updated at 18:18:17 PST Mon Jan 7 2002
!
version 12.2
no parser cache
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname 1720-1
!
no logging buffered
enable secret 5 $1$6jAs$tNxI1a/2DYFAtPLyCDXjo/
enable password ww
!
username cisco password 0 cisco
memory-size iomem 15
clock timezone PST -8
ip subnet-zero
no ip domain-lookup
ip domain-name cisco.com
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
!

!--- The crypto isakmp policy command defines the Phase 1 SA parameters.

crypto isakmp policy 15
authentication pre-share
crypto isakmp key cisco123 address 172.16.172.34
!
!

!--- The crypto ipsec transform-set command defines IPsec encryption 
!--- and authentication algorithims.

crypto ipsec transform-set myset ESP-Des esp-md5-hmac
!
!

!--- The crypto map command defines the IPsec SA (Phase II SA) parameters..

crypto map vpn 10 ipsec-isakmp
set peer 172.16.172.34
set transform-set myset
match address 150
!
!
!
!
!
interface FastEthernet0
ip address 172.16.172.39 255.255.255.240
speed auto

!--- The crypto map applied to the outbound interface.

crypto map vpn
interface Ethernet0
ip address 10.10.10.1 255.255.255.240
speed auto
no ip route-cache
no ip mroute-cache
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.172.33
no ip http server
ip pim bidir-enable
!

!--- Access-list defines interesting VPN traffic.

access-list 150 permit ip 10.10.10.0 0.0.0.255 192.168.4.0 0.0.0.255
!
line con 0
line aux 0
line vty 0 4
exec-timeout 0 0
password cisco
no login
line vty 5 15
login
!
no scheduler allocate
end
1720-1#

1720-1#show crypto isa sa
DST src state conn-id slot
172.16.172.39 172.16.172.34 QM_IDLE 132 0
1720-1#show crypto ipsec sa
interface: FastEthernet0
Crypto map tag: vpn, local addr. 172.16.172.39
local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.4.0/255.255.255.0/0/0)
current_peer: 172.16.172.34
PERMIT, flags={origin_is_acl,}
#pkts encaps: 9 #pkts encrypt: 9 #pkts digest 9
#pkts decaps: 9, #pkts decrypt: 9, #pkts verify 9
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. Failed: 0, #pkts decompress failed: 0
#send errors 7, #recv errors 0
local crypto endpt.: 172.16.172.39, remote crypto endpt.: 172.16.172.34
path mtu 1500, media mtu 1500
current outbound spi: 2D408709
inbound ESP sas:
spi: 0x58009C01(1476434945)
transform: ESP-Des esp-md5-hmac ,
in use settings ={Tunnel, }

!--- IPsec SA 200 as seen in the show crypto engine connection active command.

slot: 0, conn id: 200, flow_id: 1, crypto map: vpn
sa timing: remaining key lifetime (k/sec): (4607998/3144)
IV size: 8 bytes
replay detection support: Y
inbound ah sas:
inbound PCP sas:
outbound ESP sas:
spi: 0x2D408709(759203593)
transform: ESP-Des esp-md5-hmac ,
in use settings ={Tunnel, }

!--- IPsec SA 201 as seen in the show crypto engine connection active command.

slot: 0, conn id: 201, flow_id: 2, crypto map: vpn
sa timing: remaining key lifetime (k/sec): (4607998/3144)
IV size: 8 bytes
replay detection support: Y
outbound ah sas:
outbound PCP sas:
1720-1#

1720-1#show crypto map
Interfaces using crypto map mymap:
Crypto Map "vpn" 10 ipsec-isakmp
Peer = 172.16.172.34
Extended IP access list 150
access-list 150 permit ip 10.10.10.0 0.0.0.255 192.168.4.0 0.0.0.255
Current peer: 172.16.172.34
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={ myset, }
Interfaces using crypto map vpn: FastEthernet0 

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 18957