ルータ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX/ASA 7.x と Cisco VPN Client 4.x の Cisco Secure ACS 認証用の設定例

2008 年 5 月 29 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 10 月 10 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      関連製品
      表記法
背景説明
設定
      ネットワーク ダイアグラム
      設定例
      VPN Client 4.8 の設定
      Cisco Secure ACS を使用する RADIUS サーバの設定
確認
      AAA 認証
      show コマンド
トラブルシューティング
      セキュリティ アソシエーションのクリア
      トラブルシューティングのためのコマンド
      debug 出力の例
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

この設定例では、拡張認証(Xauth)用に Cisco Secure Access Control Server(ACS バージョン 3.2)を使用する、Cisco VPN Client(4.x for Windows)と PIX 500 シリーズ セキュリティ アプライアンス 7.x の間のリモート アクセス VPN 接続の設定方法を紹介しています。

PIX/ASA 7.x と Cisco VPN Client 4.8.を使用した同じシナリオの詳細については、『Windows 2003 IAS RADIUS サーバの Active Directory 認証を使用した PIX/ASA 7.x と Cisco VPN Client 4.x 間のリモートアクセス VPNの設定例』を参照してください。

PIX 6 と Cisco VPN Client 3.5 を使用した同様のシナリオの詳細については、『Microsoft Windows 2000/2003 IAS RADIUS 認証を使用した Cisco Secure PIX Firewall 6.x と Cisco VPN Client 3.5 for Windows 間の VPN 設定例』を参照してください。

前提条件

要件

設定を行う前に、PIX 500 シリーズ セキュリティ アプライアンスにインターネット経由でアクセス可能であることを確認してください。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • PIX 515E シリーズ セキュリティ アプライアンス ソフトウェア リリース 7.1(1)

  • Cisco VPN Client バージョン 4.8(Windows 版)

  • Cisco Secure Access Control Server(ACS)バージョン 3.2

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

関連製品

この設定は、Cisco ASA 5500 シリーズ セキュリティ アプライアンスにも使用できます。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

リモート アクセス VPN は、モバイル ユーザからの要求を処理し、組織のネットワークに安全に接続できるようにします。モバイル ユーザは、自身の PC にインストールした VPN Client ソフトウェアを使用して、安全な接続を確立できます。VPN Client は、これらの要求を受け入れるよう設定されている中央サイトのデバイスへの接続を開始します。この例で使用する中央サイトのデバイスは、ダイナミック クリプト マップを使用する PIX 500 シリーズ セキュリティ アプライアンスです。

この設定例では、IPSec トンネルの設定に次の要素が含まれています。

  • PIX の Outside インターフェイスに適用されるクリプト マップ。

  • RADIUS データベースに対する VPN Client の拡張認証(xauth)。

  • プールから VPN Client へのプライベート IP アドレスのダイナミック割り当て。

  • nat 0 access-list コマンドの機能。これにより LAN 上のホストは、リモート ユーザに対してはプライベート IP アドレスを使用し、信頼されていないネットワークにアクセスする際には PIX から Network Address Translation(NAT)アドレスを取得できます。

設定

このセクションでは、Windows 2003 IAS サーバを使用して、xauth を利用したリモート アクセス VPN 接続を設定するための情報を提供しています。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

pixasa7x-vpn4x-acs-auth-1.gif
ネットワーク ダイアグラム
※ 画像をクリックすると、大きく表示されます。

設定例

このドキュメントでは、次の設定例を使用しています。

PIX 515E セキュリティ アプライアンス
PIX Version 7.1(1) ! hostname PIX !--- セキュリティ アプライアンスのドメイン名を指定します。 domain-name cisco.com enable password 9jNfZuG3TC5tCVH0 encrypted names !--- Outside と Inside のインターフェイスを設定します。 ! interface Ethernet0 nameif outside security-level 0 ip address 10.10.1.2 255.255.255.0 ! interface Ethernet1 nameif inside security-level 100 ip address 10.11.1.1 255.255.255.0 ! !--- 出力を省略。 ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive !--- DNS サーバをポイントするインターフェイスを指定します。 !--- これにより、PIX で DNS を使用できるようになります。 dns domain-lookup inside dns server-group DefaultDNS timeout 30 !--- DefaultDNS グループの DNS サーバのロケーションを指定します。 name-server 172.16.1.1 domain-name cisco.com !--- このアクセス リストは、nat 0 コマンドに使用されます。 !--- これによりアクセス リストに一致するトラフィックを NAT の対象から除外します。 access-list 101 extended permit ip 172.16.0.0 255.255.0.0 10.16.20.0 255.255.255.00 pager lines 24 logging buffer-size 500000 logging console debugging logging monitor errors mtu outside 1500 mtu inside 1500 !--- リモート VPN Client に IP アドレスをダイナミックに割り当てるための !--- アドレスのプールを作成します。 ip local pool vpnclient 10.16.20.1-10.16.20.5 no failover icmp permit any outside icmp permit any inside no asdm history enable arp timeout 14400 !--- nat 0 により、ACL 101 で指定されたネットワークが NAT の対象から除外されます。 !--- nat 1 コマンドにより、その他すべてのトラフィックに対して !--- Outside インターフェイス(10.10.1.2)を使用した !--- Port Address Translation(PAT)が指定されます。 global (outside) 1 interface nat (inside) 0 access-list 101 nat (inside) 1 0.0.0.0 0.0.0.0 route outside 10.10.0.0 255.255.255.0 10.10.1.1 1 route outside 0.0.0.0 0.0.0.0 10.11.1.1 1 route inside 172.16.0.0 255.255.0.0 10.11.1.3 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute !--- AAA サーバ グループ「vpn」を作成して、プロトコルを RADIUS に指定します。 !--- Cisco Secure ACS サーバを「vpn」グループのメンバとして指定し、 !--- ロケーションとキーを指定します。 aaa-server vpn protocol radius aaa-server vpn host 10.11.1.2 key cisco123 !--- VPN ユーザのグループ ポリシーを作成し、そのグループ ポリシーで !--- DNS サーバの IP アドレスとドメイン名を指定します。 group-policy vpn3000 internal group-policy vpn3000 attributes dns-server value 172.16.1.1 default-domain value cisco.com !--- セキュリティ アプライアンスへのリモート アクセス ユーザを識別するために、 !--- AAA の使用に加え、 !--- デバイス上でユーザ名とパスワードを設定することもできます。 username vpn3000 password nPtKy7KDCerzhKeX encrypted no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart !--- フェーズ 2 の設定 ---! !--- ここではフェーズ 2 の暗号タイプが定義されます。 !--- MD5 ハッシュ アルゴリズムによる !--- シングル DES 暗号化を使用します。 crypto ipsec transform-set my-set esp-des esp-md5-hmac !--- 指定された暗号化設定で !--- ダイナミック クリプト マップを定義します。 crypto dynamic-map dynmap 10 set transform-set my-set !--- Reverse Route Injection(RRI)を有効にします。 !--- これにより、セキュリティ アプライアンスは !--- 接続されたクライアントのルーティング情報を学習できるようになります。 crypto dynamic-map dynmap 10 set reverse-route !--- ダイナミック マップを IPSec/ISAKMP プロセスにバインドします。 crypto map mymap 10 ipsec-isakmp dynamic dynmap !--- 定義した設定を使用するインターフェイスを指定します。 crypto map mymap interface outside !--- フェーズ 1 の設定 ---! !--- この設定では ISAKMP ポリシー 10 を使用します。 !--- デフォルトでは、ポリシー 65535 が設定に組み込まれています。 !--- ここでの設定コマンドは、使用するフェーズ 1 の !--- ポリシー パラメータを定義します。 isakmp enable outside isakmp policy 10 authentication pre-share isakmp policy 10 encryption des isakmp policy 10 hash md5 isakmp policy 10 group 2 isakmp policy 10 lifetime 1000 isakmp policy 65535 authentication pre-share isakmp policy 65535 encryption 3des isakmp policy 65535 hash sha isakmp policy 65535 group 2 isakmp policy 65535 lifetime 86400 !--- セキュリティ アプライアンスがリモート アクセス用の !--- デフォルト トンネル グループ(DefaultRAGroup)を提供します。 tunnel-group DefaultRAGroup general-attributes authentication-server-group (outside) vpn !--- 新規のトンネル グループを作成して、接続タイプを !--- IPSec リモート アクセス(ipsec-ra)に設定します。 tunnel-group vpn3000 type ipsec-ra !--- アドレス プールを使用して、VPN Client プールをトンネル グループに !--- 関連付けます。 !--- AAA サーバ グループ(vpn)をトンネル グループに関連付けます。 tunnel-group vpn3000 general-attributes address-pool vpnclient authentication-server-group vpn !--- 事前共有キーを入力して、認証方式を設定します。 tunnel-group vpn3000 ipsec-attributes pre-shared-key * telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global Cryptochecksum:ecb58c5d8ce805b3610b198c73a3d0cf : end
 

VPN Client 4.8 の設定

次の手順を実行して、VPN Client 4.8 を設定します。

  1. Start > Programs > Cisco Systems VPN Client > VPN Client の順に選択します。

  2. New をクリックして、Create New VPN Connection Entry ウィンドウを開きます。

    pixasa7x-vpn4x-acs-auth-2.gif
    VPN Client 操作選択画面
    ※ 画像をクリックすると、大きく表示されます。

  3. Connection Entry の名前と説明を入力します。Host ボックスに PIX Firewall の Outside の IP アドレスを入力します。次に、VPN Group の名前とパスワードを入力して Save をクリックします。

    pixasa7x-vpn4x-acs-auth-3.gif
    VPN Client 接続設定画面
    ※ 画像をクリックすると、大きく表示されます。

  4. VPN Client のメイン ウィンドウで、使用する接続をクリックして、Connect をクリックします。

    pixasa7x-vpn4x-acs-auth-4.gif
    VPN Client 接続画面
    ※ 画像をクリックすると、大きく表示されます。

  5. ダイアログボックスが表示されたら、Xauth のユーザ名とパスワード情報を入力して、OK をクリックし、リモート ネットワークに接続します。

    pixasa7x-vpn4x-acs-auth-5.gif
    VPN Client ユーザ名とパスワード情報の入力画面

  6. VPN Client が中央サイトの PIX に接続されます。

    pixasa7x-vpn4x-acs-auth-6.gif
    VPN Client 接続完了画面
    ※ 画像をクリックすると、大きく表示されます。

  7. Status > Statistics の順に選択して、VPN Client のトンネル統計情報を確認します。

    pixasa7x-vpn4x-acs-auth-7.gif
    VPN Client トンネル統計情報確認画面
    ※ 画像をクリックすると、大きく表示されます。

Cisco Secure ACS を使用する RADIUS サーバの設定

Cisco Secure ACS で RADIUS を設定するには、次の手順を実行してください。

  1. 左側で Network Configuration を選択し、Add Entry をクリックして、TACACS+ か RADIUS サーバのデータベースのどちらかに PIX のエントリを追加します。PIX の設定に従って、サーバのデータベースを選択します。

    pixasa7x-vpn4x-acs-auth-8.gif
    Network Configuration AAA Client 選択画面
    ※ 画像をクリックすると、大きく表示されます。

  2. Client IP Address フィールドに 10.11.1.1 と入力し、shared secret Key フィールドに cisco123 と入力します。Authenticate Using ドロップダウン ボックスで、RADIUS (Cisco IOS/PIX) を選択します。Submit をクリックします。.

    pixasa7x-vpn4x-acs-auth-9.gif
    Network Configuration AAA Client 編集画面
    ※ 画像をクリックすると、大きく表示されます。

    注:共有秘密キーは、PIX に設定されているものと同じである必要があります。

    aaa-server vpn host 10.11.1.2
     key cisco123
    

    注:認証に TACACS+ protocol を選択する場合は、Authenticate Using のドロップダウン メニューから TACACS+(Cisco IOS) を選択します。

  3. Cisco Secure データベースの User フィールドにユーザ名を入力してから、Add/Edit をクリックします。

    この例では、ユーザ名は administrator となっています。

    pixasa7x-vpn4x-acs-auth-10.gif
    User Setup ユーザ名入力画面
    ※ 画像をクリックすると、大きく表示されます。

  4. 次のウィンドウで、administrator のパスワードを入力します。この例では、パスワードは password1 となっています。必要に応じて、ユーザ アカウントをグループにマッピングすることができます。設定が終了したら、Submit をクリックします。

    pixasa7x-vpn4x-acs-auth-11.gif
    User Setup パスワード入力画面
    ※ 画像をクリックすると、大きく表示されます。

確認

AAA 認証

AAA サーバによるユーザ認証が機能するかどうか確認するには、PIX からグローバル コンフィギュレーション モードで Test キーワードを付けて aaa authentication コマンドを実行します。このコマンドを入力すると、確認のためにユーザ名とパスワードを入力するように求められます。入力したユーザ クレデンシャルが有効であることが確認されると、Authentication Successful というメッセージが返されます。

pix(config-aaa-server-host)#test aaa authentication radius host 10.11.1.2

Username: administrator
Password: *****

INFO: Attempting Authentication test to IP address <10.11.1.2> (timeout: 12 sec
onds)
INFO: Authentication Successful

show コマンド

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を示しています。

特定の show コマンドは、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。OIT を使用すると、show コマンドの出力を分析できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

  • show crypto isakmp sa:ピアにおける現在の IKE Security Association(SA; セキュリティ アソシエーション)をすべて表示します。

  • show crypto ipsec sa:現在の SA が使用している設定を表示します。

PIX#show crypto ipsec sa
                                interface: outside
    Crypto map tag: dynmap, seq num: 10, local addr: 10.10.1.2

      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (10.16.20.1/255.255.255.255/0/0)
      current_peer: 10.0.0.1, username: administrator
      dynamic allocated peer ip: 10.16.20.1

      #pkts encaps: 33, #pkts encrypt: 33, #pkts digest: 33
      #pkts decaps: 33, #pkts decrypt: 33, #pkts verify: 33
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 10.10.1.2, remote crypto endpt.: 10.0.0.1

      path mtu 1500, ipsec overhead 60, media mtu 1500
      current outbound spi: CA8BF3BC

    inbound esp sas:
      spi: 0xE4F08D9F (3840970143)
         transform: esp-des esp-md5-hmac
         in use settings ={RA, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: dynmap
         sa timing: remaining key lifetime (sec): 28689
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0xCA8BF3BC (3398169532)
         transform: esp-des esp-md5-hmac
         in use settings ={RA, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: dynmap
         sa timing: remaining key lifetime (sec): 28687
         IV size: 8 bytes
         replay detection support: Y

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を説明しています。デバッグ出力例も紹介しています。

セキュリティ アソシエーションのクリア

トラブルシューティングを行う際には、変更を加えた後、既存のセキュリティ アソシエーションを必ずクリアしてください。PIX の特権モードで、次のコマンドを使用します。

  • clear [crypto] ipsec sa:アクティブな IPSec SA を削除します。crypto キーワードはオプションです。

  • clear [crypto] isakmp sa:アクティブな IKE SA を削除します。.crypto キーワードはオプションです。

トラブルシューティングのためのコマンド

特定の show コマンドが、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug crypto ipsec:フェーズ 2 の IPSec ネゴシエーションを表示します。

  • debug crypto isakmp:フェーズ 1 の ISAKMP ネゴシエーションを表示します。

debug 出力の例

PIX Firewall

PIX#debug crypto isakmp 7
PIX# May 22 22:32:25 [IKEv1]: IP = 10.0.0.1, IKE_DECODE RECEIVED Message (msgid=
9117fc3d) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length :
 80
May 22 22:32:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing hash payload
May 22 22:32:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing notify payload
May 22 22:32:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1


!--- Dead-Peer-Detection の交換

0.0.0.1, Received keep-alive of type DPD R-U-THERE (seq number 0x36a6342)
May 22 22:32:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x36a6342)
May 22 22:32:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing blank hash payload
May 22 22:32:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing qm hash payload
May 22 22:32:25 [IKEv1]: IP = 10.0.0.1, IKE_DECODE SENDING Message (msgid=4c047e
39) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:32:36 [IKEv1]: IP = 10.0.0.1, IKE_DECODE RECEIVED Message (msgid=a1063
306) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:32:36 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing hash payload
May 22 22:32:36 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing notify payload
May 22 22:32:36 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Received keep-alive of type DPD R-U-THERE (seq number 0x36a6343)
May 22 22:32:36 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x36a6343)
May 22 22:32:36 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing blank hash payload
May 22 22:32:36 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing qm hash payload
May 22 22:32:36 [IKEv1]: IP = 10.0.0.1, IKE_DECODE SENDING Message (msgid=ceada9
19) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:32:47 [IKEv1]: IP = 10.0.0.1, IKE_DECODE RECEIVED Message (msgid=ab66b
5e2) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:32:47 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing hash payload
May 22 22:32:47 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing notify payload
May 22 22:32:47 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Received keep-alive of type DPD R-U-THERE (seq number 0x36a6344)
May 22 22:32:47 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x36a6344)
May 22 22:32:47 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing blank hash payload
May 22 22:32:47 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing qm hash payload
May 22 22:32:47 [IKEv1]: IP = 10.0.0.1, IKE_DECODE SENDING Message (msgid=b5341b
a5) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:32:58 [IKEv1]: IP = 10.0.0.1, IKE_DECODE RECEIVED Message (msgid=22d77
ee7) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:32:58 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing hash payload
May 22 22:32:58 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing notify payload
May 22 22:32:58 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Received keep-alive of type DPD R-U-THERE (seq number 0x36a6345)
May 22 22:32:58 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x36a6345)
May 22 22:32:58 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing blank hash payload
May 22 22:32:58 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing qm hash payload
May 22 22:32:58 [IKEv1]: IP = 10.0.0.1, IKE_DECODE SENDING Message (msgid=8d688b
d2) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:33:14 [IKEv1]: IP = 10.0.0.1, IKE_DECODE RECEIVED Message (msgid=f949a
e6) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:33:14 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing hash payload
May 22 22:33:14 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing notify payload
May 22 22:33:14 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Received keep-alive of type DPD R-U-THERE (seq number 0x36a6346)
May 22 22:33:14 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x36a6346)
May 22 22:33:14 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing blank hash payload
May 22 22:33:14 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing qm hash payload
May 22 22:33:14 [IKEv1]: IP = 10.0.0.1, IKE_DECODE SENDING Message (msgid=fd9fef
25) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:33:25 [IKEv1]: IP = 10.0.0.1, IKE_DECODE RECEIVED Message (msgid=54d3b
543) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:33:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing hash payload
May 22 22:33:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing notify payload
May 22 22:33:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Received keep-alive of type DPD R-U-THERE (seq number 0x36a6347)
May 22 22:33:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x36a6347)
May 22 22:33:26 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing blank hash payload
May 22 22:33:26 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing qm hash payload
May 22 22:33:26 [IKEv1]: IP = 10.0.0.1, IKE_DECODE SENDING Message (msgid=4d4102
0b) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:33:37 [IKEv1]: IP = 10.0.0.1, IKE_DECODE RECEIVED Message (msgid=af7ad
910) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:33:37 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing hash payload
May 22 22:33:37 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing notify payload
May 22 22:33:37 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Received keep-alive of type DPD R-U-THERE (seq number 0x36a6348)
May 22 22:33:37 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x36a6348)
May 22 22:33:37 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing blank hash payload
May 22 22:33:37 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing qm hash payload
May 22 22:33:37 [IKEv1]: IP = 10.0.0.1, IKE_DECODE SENDING Message (msgid=84cd22
35) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80

PIX#debug crypto ipsec 7


!--- 古い SA を削除します。

PIX# IPSEC: Deleted inbound decrypt rule, SPI 0xA7E3E225
    Rule ID: 0x0243DD38
IPSEC: Deleted inbound permit rule, SPI 0xA7E3E225
    Rule ID: 0x024BA720
IPSEC: Deleted inbound tunnel flow rule, SPI 0xA7E3E225
    Rule ID: 0x02445A48
IPSEC: Deleted inbound VPN context, SPI 0xA7E3E225
    VPN handle: 0x018F68A8
IPSEC: Deleted outbound encrypt rule, SPI 0xB9C97D06
    Rule ID: 0x024479B0
IPSEC: Deleted outbound permit rule, SPI 0xB9C97D06
    Rule ID: 0x0243E9E0
IPSEC: Deleted outbound VPN context, SPI 0xB9C97D06
    VPN handle: 0x0224F490


!--- 新しい SA を作成します。

IPSEC: New embryonic SA created @ 0x02448B38,
    SCB: 0x024487E0,
    Direction: inbound
    SPI      : 0xE4F08D9F
    Session ID: 0x00000001
    VPIF num  : 0x00000001
    Tunnel type: ra
    Protocol   : esp
    Lifetime   : 240 seconds
IPSEC: New embryonic SA created @ 0x02446750,
    SCB: 0x02511DD8,
    Direction: outbound
    SPI      : 0xCA8BF3BC
    Session ID: 0x00000001
    VPIF num  : 0x00000001
    Tunnel type: ra
    Protocol   : esp
    Lifetime   : 240 seconds
IPSEC: Completed host OBSA update, SPI 0xCA8BF3BC
IPSEC: Creating outbound VPN context, SPI 0xCA8BF3BC
    Flags: 0x00000005
    SA   : 0x02446750
    SPI  : 0xCA8BF3BC
    MTU  : 1500 bytes
    VCID : 0x00000000
    Peer : 0x00000000
    SCB  : 0x02511DD8
    Channel: 0x014A42F0
IPSEC: Completed outbound VPN context, SPI 0xCA8BF3BC
    VPN handle: 0x024B9868
IPSEC: New outbound encrypt rule, SPI 0xCA8BF3BC
    Src addr: 0.0.0.0
    Src mask: 0.0.0.0
    Dst addr: 10.16.20.1
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 0
    Use protocol: false
    SPI: 0x00000000
    Use SPI: false
IPSEC: Completed outbound encrypt rule, SPI 0xCA8BF3BC
    Rule ID: 0x024B9B58
IPSEC: New outbound permit rule, SPI 0xCA8BF3BC
    Src addr: 10.10.1.2
    Src mask: 255.255.255.255
    Dst addr: 10.0.0.1
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0xCA8BF3BC
    Use SPI: true
IPSEC: Completed outbound permit rule, SPI 0xCA8BF3BC
    Rule ID: 0x024E7D18
IPSEC: Completed host IBSA update, SPI 0xE4F08D9F
IPSEC: Creating inbound VPN context, SPI 0xE4F08D9F
    Flags: 0x00000006
    SA   : 0x02448B38
    SPI  : 0xE4F08D9F
    MTU  : 0 bytes
    VCID : 0x00000000
    Peer : 0x024B9868
    SCB  : 0x024487E0
    Channel: 0x014A42F0
IPSEC: Completed inbound VPN context, SPI 0xE4F08D9F
    VPN handle: 0x024D90A8
IPSEC: Updating outbound VPN context 0x024B9868, SPI 0xCA8BF3BC
    Flags: 0x00000005
    SA   : 0x02446750
    SPI  : 0xCA8BF3BC
    MTU  : 1500 bytes
    VCID : 0x00000000
    Peer : 0x024D90A8
    SCB  : 0x02511DD8
    Channel: 0x014A42F0
IPSEC: Completed outbound VPN context, SPI 0xCA8BF3BC
    VPN handle: 0x024B9868
IPSEC: Completed outbound inner rule, SPI 0xCA8BF3BC
    Rule ID: 0x024B9B58
IPSEC: Completed outbound outer SPD rule, SPI 0xCA8BF3BC
    Rule ID: 0x024E7D18
IPSEC: New inbound tunnel flow rule, SPI 0xE4F08D9F
    Src addr: 10.16.20.1
    Src mask: 255.255.255.255
    Dst addr: 0.0.0.0
    Dst mask: 0.0.0.0
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 0
    Use protocol: false
    SPI: 0x00000000
    Use SPI: false
IPSEC: Completed inbound tunnel flow rule, SPI 0xE4F08D9F
    Rule ID: 0x0243DD38
IPSEC: New inbound decrypt rule, SPI 0xE4F08D9F
    Src addr: 10.0.0.1
    Src mask: 255.255.255.255
    Dst addr: 10.10.1.2
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0xE4F08D9F
    Use SPI: true
IPSEC: Completed inbound decrypt rule, SPI 0xE4F08D9F
    Rule ID: 0x02440628
IPSEC: New inbound permit rule, SPI 0xE4F08D9F
    Src addr: 10.0.0.1
    Src mask: 255.255.255.255
    Dst addr: 10.10.1.2
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0xE4F08D9F
    Use SPI: true
IPSEC: Completed inbound permit rule, SPI 0xE4F08D9F
    Rule ID: 0x0251A970

VPN Client 4.8 for Windows

VPN Client でログ レベルを有効にするには、Log > Log settings の順に選択します。

pixasa7x-vpn4x-acs-auth-12.gif
VPN Client のログ設定画面

VPN Client でログ エントリを表示するには、Log > Log Window の順に選択します。

pixasa7x-vpn4x-acs-auth-13.gif
VPN Client のログ エントリ表示画面
※ 画像をクリックすると、大きく表示されます。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 82480