セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

TACACS+ 認証を使用した PIX/ASA 7.x 拡張 Spoke-to-Client VPN の設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、PIX セキュリティ アプライアンス間の LAN-to-LAN セッションを設定する方法を説明し、Cisco Secure ACS for Windows と TACACS+ 認証を使用して VPN Client がハブ(PIX1)を介してスポーク ネットワーク(PIX3)にアクセスできるようにします。 また、このドキュメントでは、ハブ PIX セキュリティ アプライアンスを介した VPN Client とスポーク間の接続を使用してスタティック LAN-to-LAN トンネルの設定を示します。 PIX バージョン 7.0 はスポーク間の VPN 通信のサポートを拡張しています。 PIX 7.0 では、暗号化されたトラフィックが同じインターフェイスで発着信できます。

スポーク間 VPN サポートを有効に する内部インターフェイス キーワードと使用された場合同じインターフェイスを開始および終了する同じセキュリティ トラフィック コマンド割り当てトラフィック。 詳細については Ciscoセキュリティ アプライアンス コマンド・ライン コンフィギュレーション ガイド割り当てる内部インターフェイス トラフィック セクションを参照して下さい。

注: ネットワークの IP アドレスの重複を避けるために、VPN クライアント、たとえば、10.x.x.x、172.16.x.x、または 192.168.x.x に IP アドレスの全く異なるプールを割り当てて下さい。 この IP アドレッシング方式はネットワークの解決を助けます。

注: PIXバージョン 7.2 およびそれ以降では、内部インターフェイス キーワードはすべてのトラフィックが同じインターフェイスおよびちょうど IPSecトラフィックを開始および終了するようにします。

注: この資料は PIX/ASA 7.x 設定のためです。 PIX 6.x 設定について詳細を学ぶためにハブ PIX とリモート PIX 間における、VPN Client と拡張認証を使用した IPSec の設定を参照して下さい。

ハブPIX が VPN クライアントからインターネットにトラフィックをリダイレクトするシナリオについて詳細を学ぶために棒設定例の公衆インターネット VPN のための PIX/ASA 7.x および VPN クライアントを参照して下さい。

シナリオについて詳細を学ぶために PIX 7.x と VPN 3000 コンセントレータ 設定例間の IPSecトンネルを PIX と Cisco VPNコンセントレータ間の LAN-to-LAN トンネル参照しなさい。

シナリオについて詳細を学ぶために IOSルータ LAN間IPSECトンネル 設定例に PIX/ASA 7.x セキュリティ アプライアンス モデルを PIX/ASA と Cisco IOS 間の LAN-to-LAN トンネル参照しなさいか。 ルータ。

前提条件

要件

ハブPIX セキュリティ アプライアンス モデルはバージョン 7.0 または それ 以降を実行する必要があります。

注: Cisco にバージョン 7.0 に PIX セキュリティ アプライアンス モデルをアップグレードする方法に関する詳細については PIXソフトウェアバージョン 7.0 をアップグレードする Cisco PIX 6.2 および 6.3 人のユーザ向けのガイドを参照して下さい。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • PIX 515 バージョン 7.0.1 (PIX1)

  • VPN クライアント バージョン 4.6.02.0011

  • PIX - 515 バージョン 6.3.4(PIX3)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

警告

  • Cisco バグ ID CSCeh29328登録ユーザのみ) — VPN クライアント モードコンフィギュレーション属性は XAUTH をディセーブルにするとき実施されません。

  • Cisco バグ ID CSCeh69389登録ユーザのみ) — PIX 7.0 にアップグレードするとき分割トンネル ACL は標準 ACL に変換されません。

設定

このセクションは情報と使用するようにこの資料が説明している機能を設定するために示します。

注: このドキュメントで使用されているコマンドの詳細を調べるには、コマンド検索ツール登録ユーザ専用)を使用してください。

注: PIX セキュリティ アプライアンス モデル 7.x LAN-to-LAN な(L2L) VPN 設定に関しては、ように IPsec のための接続仕様レコードのデータベースを作成し、管理するためのトンネル グループ <name> 型 ipsec-l2l コマンドのリモートピア IP アドレス トンネル グループの <name> を規定 して下さい。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/64693/pix70-enh-spk-client-vpn-11.gif

注: この設定で使用している IP アドレッシング方式は、インターネット上で正式にルーティング可能なものではありません。 これらはラボ環境で使用されてきた RFC 1918 leavingcisco.com でのアドレスです。

設定

このドキュメントでは、次の設定を使用します。

PIX1
PIX Version 7.0(1) 
no names
!
interface Ethernet0
nameif outside
security-level 0
ip address 172.18.124.170 255.255.255.0 
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0 
!
interface Ethernet2
shutdown
nameif intf2
security-level 4
no ip address
!
interface Ethernet3
shutdown
nameif intf3
security-level 6
no ip address
!
interface Ethernet4
shutdown
nameif intf4
security-level 8
no ip address
!
interface Ethernet5
shutdown
nameif intf5
security-level 10
no ip address
!
enable password 9jNfZuG3TC5tCVH0 encrypted
passwd OnTrBUG1Tp0edmkr encrypted
hostname PIX1
domain-name cisco.com
boot system flash:/image.bin
ftp mode passive

!--- Command to permit IPsec traffic to enter and exit the same interface.

same-security-traffic permit intra-interface


!--- Access-list for interesting traffic to be encrypted between 
!--- the hub (PIX1) and spoke (PIX3) networks.

access-list 100 extended permit ip 10.10.10.0 255.255.255.0 10.11.10.0 255.255.255.0


!--- Access-list for interesting traffic to be encrypted 
!--- between the VPN Client networks and spoke (PIX3) networks. 

access-list 100 extended permit ip 192.168.10.0 255.255.255.0 10.11.10.0 255.255.255.0


!--- Access-list for interesting traffic to bypass the 
!--- Network Address Translation (NAT) process.

access-list nonat extended permit ip 10.10.10.0 255.255.255.0 10.11.10.0 255.255.255.0 
access-list nonat extended permit ip 10.10.10.0 255.255.255.0 192.168.10.0 255.255.255.0


!--- Standard access-list to allow split-tunnel for the VPN Clients.
 
access-list splittunnel standard permit 10.10.10.0 255.255.255.0 
access-list splittunnel standard permit 10.11.10.0 255.255.255.0 
pager lines 24
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500


!--- Address pool for the VPN Clients.

ip local pool vpnpool 192.168.10.1-192.168.10.254
no failover
monitor-interface outside
monitor-interface inside
monitor-interface intf2
monitor-interface intf3
monitor-interface intf4
monitor-interface intf5
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface


!--- Bypass NAT process for IPsec traffic.

nat (inside) 0 access-list nonat
nat (inside) 1 10.10.10.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius


!--- Configuration of TACACS+ server on the inside interface with server 
!--- tag name as mytacacs 

aaa-server mytacacs protocol tacacs+
aaa-server mytacacs (inside) host 10.10.10.100 key123 timeout 5



!--- Configuration of group-policy for VPN Clients.

group-policy clientgroup internal
group-policy clientgroup attributes
vpn-idle-timeout 20

!--- See Note 2.



!--- Enable and bind split-tunnel parameters to the group-policy.

split-tunnel-policy tunnelspecified
split-tunnel-network-list value splittunnel
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp


!--- Configuration of IPsec Phase 2.

crypto ipsec transform-set myset esp-3des esp-sha-hmac 


!--- Crypto map configuration for VPN Clients that connect to this PIX.

crypto dynamic-map rtpdynmap 20 set transform-set myset


!--- Crypto map configuration for a static LAN-to-LAN tunnel.

crypto map mymap 10 match address 100
crypto map mymap 10 set peer 172.20.77.10 
crypto map mymap 10 set transform-set myset


!--- Binding the dynamic map to the crypto map process.

crypto map mymap 20 ipsec-isakmp dynamic rtpdynmap


!--- Crypto map applied to the outside interface.

crypto map mymap interface outside
isakmp identity address 
isakmp enable outside


!--- Configuration of Internet Security Association and Key Management 
!--- Protocol (ISAKMP) policy.

isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
isakmp disconnect-notify
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 1
console timeout 0
tunnel-group DefaultRAGroup type ipsec-ra
tunnel-group DefaultRAGroup general-attributes
authentication-server-group none
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *


!--- Configuration of tunnel-group for the static LAN-to-LAN tunnel.
!--- See the second note in the Configure section
!--- of this document in order to configure tunnel-group.
!--- The tunnel group name must be the IP address of the remote peer.

tunnel-group 172.20.77.10 type ipsec-l2l
tunnel-group 172.20.77.10 ipsec-attributes


!--- Configuraiton of a pre-shared key for the static LAN-to-LAN tunnel.

pre-shared-key *


!--- Configuration of tunnel-group with group information for VPN Clients.

tunnel-group rtptacvpn type ipsec-ra


!--- Configuration of group parameters for the VPN Clients.

tunnel-group rtptacvpn general-attributes
address-pool vpnpool


!--- Enable user authentication.

authentication-server-group mytacacs
authorization-server-group LOCAL


!--- Bind group-policy parameters to the tunnel-group for VPN Clients.

default-group-policy clientgroup
tunnel-group rtptacvpn ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512 
inspect ftp 
inspect h323 h225 
inspect h323 ras 
inspect http 
inspect netbios 
inspect rsh 
inspect rtsp 
inspect skinny 
inspect esmtp 
inspect sqlnet 
inspect sunrpc 
inspect tftp 
inspect sip 
inspect xdmcp 
!
service-policy global_policy global
Cryptochecksum:646541da0da9a4c764effd2e05633018
: end

注 1sysopt connection permit-ipsec コマンドはすべてのインバウンドIPSec によって認証される暗号セッションを割り当てるために設定する必要があります。 PIX 7.0 では、sysopt コマンドは実行コンフィギュレーションに出て来ません。 sysopt connection permit-ipsec コマンドが有効に なるかどうか確認するために、show running-config sysopt コマンドを実行して下さい。 注 2: User Data Protocol (UDP)上の IPsec によって接続するべき VPN クライアントのために PIX アプライアンスのグループ ポリシー セクションのこの出力を設定して下さい。
group-policy clientgroup attributes
vpn-idle-timeout 20
ipsec-udp enable
ipsec-udp-port 10000
split-tunnel-policy tunnelspecified
split-tunnel-network-list value splittunnel
注 3: IPSec over TCP によって接続するべき VPN クライアントのために PIX アプライアンスのグローバルコンフィギュレーションのこのコマンドを設定して下さい。
 
isakmp ipsec-over-tcp port 10000

PIX3
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security4
nameif ethernet3 intf3 security6
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PIX3
domain-name cisco.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names

!--- Access-list for the encryption of traffic 
!--- between PIX3 and PIX1 networks.

access-list 100 permit ip 10.11.10.0 255.255.255.0 10.10.10.0 255.255.255.0


!--- Access-list for the encryption of traffic 
!--- between the PIX3 network and the VPN Client address pool.

access-list 100 permit ip 
-
10.11.10.0 255.255.255.0 192.168.10.0 255.255.255.0 


!--- Access-list used to bypass the NAT process.

access-list nonat permit ip 10.11.10.0 255.255.255.0 10.10.10.0 255.255.255.0 
access-list nonat permit ip 10.11.10.0 255.255.255.0 192.168.10.0 255.255.255.0 
pager lines 24
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 172.20.77.10 255.255.0.0
ip address inside 10.11.10.1 255.255.255.0
no ip address intf2
no ip address intf3
no ip address intf4
no ip address intf5
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address intf2
no failover ip address intf3
no failover ip address intf4
no failover ip address intf5
pdm history enable
arp timeout 14400
global (outside) 1 interface


!--- Bind ACL nonat to the NAT statement 
!--- in order to avoid NAT on the IPsec packets.

nat (inside) 0 access-list nonat
nat (inside) 1 10.11.10.0 255.255.255.0 0 0
route outside 0.0.0.0 0.0.0.0 172.20.77.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server TACACS+ max-failed-attempts 3 
aaa-server TACACS+ deadtime 10 
aaa-server RADIUS protocol radius 
aaa-server RADIUS max-failed-attempts 3 
aaa-server RADIUS deadtime 10 
aaa-server LOCAL protocol local 
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable


!--- Permits all inbound IPsec authenticated cipher sessions.

sysopt connection permit-ipsec


!--- Defines IPsec encryption and authentication algorithms.

crypto ipsec transform-set myset esp-3des esp-sha-hmac


!--- Defines crypto map.
 
crypto map mymap 10 ipsec-isakmp
crypto map mymap 10 match address 100
crypto map mymap 10 set peer 172.18.124.170
crypto map mymap 10 set transform-set myset


!--- Apply crypto map on the outside interface.

crypto map mymap interface outside
isakmp enable outside


!--- Defines the pre-shared secret key used for Internet Key Exchange (IKE) authentication.

isakmp key ******** address 172.18.124.170 netmask 255.255.255.0 no-xauth 
isakmp identity address


!--- Defines the ISAKMP policy. 

isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:cb5c245112db607e3a9a85328d1295db
: end

VPN Client の設定

VPN クライアントの新しい接続 エントリを作成するためにこれらのステップを完了して下さい。

  1. ホスト IP アドレスを(PIX1 外部 IPアドレス)入力して下さい。

  2. Authentication タブの下で、グループ属性を入力して下さい(PIX アプライアンスで設定されるグループ名およびパスワード)。

    /image/gif/paws/64693/pix70-enh-spk-client-vpn-2.gif

  3. Transport タブの下で、VPN クライアント接続のために使用したいと思うトンネリングの方式を選択して下さい。 この設定では、イネーブル 転送するトンネリングはまっすぐな IPSec 接続のために無効です。

    /image/gif/paws/64693/pix70-enh-spk-client-vpn-2.gif

  4. 設定される VPN クライアントで接続プロファイルを保存するために『SAVE』 をクリック して下さい。

    pix70-enh-spk-client-vpn-4.gif

TACACS+ サーバ

TACACS+ サーバを設定するために、これらのステップを完了して下さい:

  1. TACACS+ サーバデータベースの PIX のためのエントリを追加するために『Add Entry』 をクリック して下さい。

    pix70-enh-spk-client-vpn-7.gif

  2. Client ページ追加 AAA でこのイメージに示すように PIX 情報を入力して下さい:

    /image/gif/paws/64693/pix70-enh-spk-client-vpn-8.gif

    • AAA Client Hostname フィールドでは、PIX の名前を入力して下さい。

    • AAA クライアントIPアドレス フィールドでは、10.10.10.1 を入力して下さい。

    • Key フィールドでは、共有秘密 キーとして key123 を入力して下さい。

    • ドロップダウン リストを使用して認証するから、『TACACS+ (Cisco IOS)』 を選択 し、『SUBMIT』 をクリック して下さい。

  3. USER フィールドでは、VPN ユーザ向けのユーザネームを Cisco Secure データベースで入力し、『Add/Edit』 をクリック して下さい。

    この例では、ユーザネームは cisco です。

    /image/gif/paws/64693/pix70-enh-spk-client-vpn-9.gif

  4. Next ページで、ユーザ向けの cisco パスワードを入力し、確認して下さい。

    この例では、パスワードも cisco です。

    /image/gif/paws/64693/pix70-enh-spk-client-vpn-10.gif

  5. グループにユーザアカウントをマッピング したいと思う場合そのステップを今完了して下さい。 終了したら、[Submit] をクリックします。

ヘアピニングまたは U ターン

この機能は、あるインターフェイスに着信した後に同じインターフェイスからルーティングされる VPN トラフィックに対して便利な機能です。 たとえば、セキュリティ アプライアンス モデルがハブである、およびリモート VPN ネットワークがスポークであるハブ & スポーク VPN ネットワークがある場合、トラフィックはセキュリティ アプライアンス モデルに入る必要があり、それから再度 1 のための他のスポークに別のスポークと通信するために話しました。

トラフィックが同じインターフェイスから着発信できるようにするには、same-security-traffic 設定を使用します。

securityappliance(config)# same-security-traffic permit intra-interface

確認

このセクションでは、設定が正しく動作していることを確認するために使用できる情報を提供しています。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

  • show crypto isakmp sa:ピアにおける現在の IKE Security Association(SA; セキュリティ アソシエーション)をすべて表示します。

  • show crypto ipsec sa:現在の SA をすべて表示します。

PIX3 と PIX1 間の 2 つのプライベート ネットワーク間の通信をテストするために、プライベート ネットワークの 1 つからの PING を始めて下さい。

この設定では、次のことが行われます。

  • 静的な LAN-to-LAN のために、PING は PIX3 ネットワークの後ろでから PIX1 ネットワークに(10.11.10.x)送信 されます(10.10.10.x)。

  • PIX3 の後ろでネットワークにアクセスする VPN クライアントのためにセキュリティ結合は PIX3 から VPN クライアント ネットワークのための PIX1 への構築する必要があります。

PIX1 確認
show crypto isakmp sa

 Active SA: 2
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 2

1 IKE Peer: 172.18.173.77
Type : user Role : responder 
Rekey : no State : AM_ACTIVE 
2 IKE Peer: 172.20.77.10
Type : L2L Role : responder 
Rekey : no State : MM_ACTIVE 



PIX1(config)#show crypto ipsec sa
interface: outside
Crypto map tag: rtpdynmap, local addr: 172.18.124.170

!--- IPsec SA for the connection between VPN Clients and the PIX1 network.

local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.10.1/255.255.255.255/0/0)
current_peer: 172.18.173.77
dynamic allocated peer ip: 192.168.10.1

#pkts encaps: 12, #pkts encrypt: 12, #pkts digest: 12
#pkts decaps: 12, #pkts decrypt: 12, #pkts verify: 12
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 12, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.18.124.170, remote crypto endpt.: 172.18.173.77

path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 1ECCB41D

inbound esp sas:
spi: 0x6C1615A7 (1813386663)
transform: esp-3des esp-sha-hmac 
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 5, crypto-map: rtpdynmap
sa timing: remaining key lifetime (sec): 28761
IV size: 8 bytes
replay detection support: Y


outbound esp sas:
spi: 0x1ECCB41D (516731933)
transform: esp-3des esp-sha-hmac 
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 5, crypto-map: rtpdynmap
sa timing: remaining key lifetime (sec): 28760
IV size: 8 bytes
replay detection support: Y

Crypto map tag: mymap, local addr: 172.18.124.170

!--- IPsec SA for connection between the VPN Clients network and PIX3 network.

local ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.11.10.0/255.255.255.0/0/0)
current_peer: 172.20.77.10

#pkts encaps: 8, #pkts encrypt: 8, #pkts digest: 8
#pkts decaps: 8, #pkts decrypt: 8, #pkts verify: 8
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 8, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.18.124.170, remote crypto endpt.: 172.20.77.10

path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 9EF2885C

inbound esp sas:
spi: 0x82E9BF07 (2196356871)
transform: esp-3des esp-sha-hmac 
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 4, crypto-map: mymap
sa timing: remaining key lifetime (kB/sec): (4274999/28786)
IV size: 8 bytes
replay detection support: Y
 

outbound esp sas:
spi: 0x9EF2885C (2666694748)
transform: esp-3des esp-sha-hmac 
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 4, crypto-map: mymap
sa timing: remaining key lifetime (kB/sec): (4274999/28786)
IV size: 8 bytes
replay detection support: Y

Crypto map tag: mymap, local addr: 172.18.124.170

!--- IPsec security association for a connection between 
!--- the PIX1 and PIX3 networks.

local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.11.10.0/255.255.255.0/0/0)
current_peer: 172.20.77.10

#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.18.124.170, remote crypto endpt.: 172.20.77.10

path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: C86585AB

inbound esp sas:
spi: 0x95604966 (2506115430)
transform: esp-3des esp-sha-hmac 
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 4, crypto-map: mymap
sa timing: remaining key lifetime (kB/sec): (4274999/28653)
IV size: 8 bytes
replay detection support: Y
 

outbound esp sas:
spi: 0xC86585AB (3362096555)
transform: esp-3des esp-sha-hmac 
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 4, crypto-map: mymap
sa timing: remaining key lifetime (kB/sec): (4274999/28652)
IV size: 8 bytes
replay detection support: Y

PIX3 確認
PIX3(config)#show crypto isakmp sa
Total : 1
Embryonic : 0
dst                         src                    state     pending     created
172.18.124.170 172.20.77.10 QM_IDLE         0             2
PIX3(config)#show crypto ipsec sa


interface: outside
Crypto map tag: mymap, local addr. 172.20.77.10

!--- IPsec security association for a connection between 
!--- the PIX3 and PIX1 networks.

local ident (addr/mask/prot/port): (10.11.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
current_peer: 172.18.124.170:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0

local crypto endpt.: 172.20.77.10, remote crypto endpt.: 172.18.124.170
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: 95604966

inbound esp sas:
spi: 0xc86585ab(3362096555)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 4, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28213)
IV size: 8 bytes
replay detection support: Y


inbound ah sas:


inbound pcp sas:


outbound esp sas:
spi: 0x95604966(2506115430)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 3, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28213)
IV size: 8 bytes
replay detection support: Y


outbound ah sas:


outbound pcp sas:



!--- IPsec security association for the connection between the VPN Client 
!--- network and PIX3 networks.

local ident (addr/mask/prot/port): (10.11.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0)
current_peer: 172.18.124.170:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 8, #pkts encrypt: 8, #pkts digest 8
#pkts decaps: 8, #pkts decrypt: 8, #pkts verify 8
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0

local crypto endpt.: 172.20.77.10, remote crypto endpt.: 172.18.124.170
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: 82e9bf07

inbound esp sas:
spi: 0x9ef2885c(2666694748)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28295)
IV size: 8 bytes
replay detection support: Y


inbound ah sas:


inbound pcp sas:


outbound esp sas:
spi: 0x82e9bf07(2196356871)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 1, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28295)
IV size: 8 bytes
replay detection support: Y


outbound ah sas:


outbound pcp sas:

VPN Client の確認

VPN クライアントを確認するためにこれらのステップを完了して下さい:

  1. 接続の成功の後でシステムトレイで現在の VPN クライアント ロック アイコンを右クリックし、統計情報のためのオプションを選択して下さい。

    パケット情報の VPNクライアント接続についての詳細をおよび暗号化および復号化表示できます。

    pix70-enh-spk-client-vpn-5.gif

  2. PIX セキュリティ アプライアンス モデルから渡される分割トンネル リストを確認するためにルート Details タブをクリックして下さい。

    pix70-enh-spk-client-vpn-6.gif

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を提供します。

トラブルシューティングのためのコマンド

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • clear crypto isakmp sa —フェーズ 1 Security Association (SA)をクリアします。

  • clear crypto ipsec sa —フェーズ 2 SA をクリアします

  • debug crypto isakmp sa:ISAKMP SA ネゴシエーションをデバッグします。

  • debug crypto ipsec sa:IPSec SA ネゴシエーションをデバッグします。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 64693