ルータ : Cisco 3800 シリーズ サービス統合型ルータ

IOS VPN(ルータ): 既存の L2L VPN への新しい L2L のトンネルまたはリモート アクセスの追加

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2014 年 9 月 22 日) | フィードバック


目次


概要

このドキュメントでは、新しい L2L VPN トンネルまたはリモート アクセス VPN を IOS ルータにすでに存在する L2L VPN 設定に追加するために必要な手順について説明します。

前提条件

要件

この設定を試みる前に現在正常に動作している正しく L2L IPSec VPN トンネルを設定するようにして下さい。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ソフトウェア バージョン 12.4 および 12.2 を実行する 2 つの IOSルータ

  • その Cisco 1 つの適応性があるセキュリティ アプライアンス モデル(ASA)はソフトウェア バージョン 8.0 を実行します

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

iosrouter-l2ltunnel-1.gif

これらの出力は HQ (HUB)ルータの現在の実行コンフィギュレーションおよびブランチ オフィス 1 (BO1) ASA です。 この設定では、HQ と BO1 ASA の間で設定される IPSec L2L トンネルがあります。

現在の HQ (HUB)ルータコンフィギュレーション
HQ_HUB#show running-config
Building configuration...

Current configuration : 1680 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname HQ_HUB
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!

!--- Output is suppressed.

!
ip cef
!
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key cisco123 address 192.168.11.2
!
!
crypto ipsec transform-set newset esp-3des esp-md5-hmac
!
crypto map map1 5 ipsec-isakmp
 set peer 192.168.11.2
 set transform-set newset
 match address VPN_BO1
!
!
!
!
interface Ethernet0/0
 ip address 10.10.10.1 255.255.255.0
 ip nat inside


interface Serial2/0
 ip address 192.168.10.10 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 clock rate 64000
 crypto map map1
!
interface Serial2/1
 no ip address
 shutdown
!
ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 192.168.10.1
!
ip nat inside source route-map nonat interface Serial2/0 overload
!
ip access-list extended NAT_Exempt
 deny ip 10.10.10.0 0.0.0.255 172.16.1.0 0.0.0.255
 permit ip 10.10.10.0 0.0.0.255 any
ip access-list extended VPN_BO1
 permit ip 10.10.10.0 0.0.0.255 172.16.1.0 0.0.0.255
!
route-map nonat permit 10
 match ip address NAT_Exempt
!
!
control-plane
!
line con 0
line aux 0
line vty 0 4
!
!
end
HQ_HUB#

BO1 ASA 設定
CiscoASA#show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname CiscoASA
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif inside
 security-level 100
 ip address 172.16.1.1 255.255.255.0
!
interface Ethernet1
 nameif outside
 security-level 0
 ip address 192.168.11.2 255.255.255.0
!

!--- Output is suppressed.

!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list 100 extended permit ip 172.16.1.0 255.255.255.0 10.10.10.0 255.255.255.0
access-list nonat extended permit ip 172.16.1.0 255.255.255.0 10.10.10.0 255.255.255.0
access-list ICMP extended permit icmp any any
pager lines 24
mtu outside 1500
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list nonat
nat (inside) 1 10.10.10.0 255.255.255.0
access-group ICMP in interface outside
route outside 0.0.0.0 0.0.0.0 192.168.11.1 1
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set newset esp-3des esp-md5-hmac
crypto map map1 5 match address 100
crypto map map1 5 set peer 192.168.10.10
crypto map map1 5 set transform-set newset
crypto map map1 interface outside
crypto isakmp enable outside
crypto isakmp policy 1
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto isakmp policy 65535
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
tunnel-group 192.168.10.10 type ipsec-l2l
tunnel-group 192.168.10.10 ipsec-attributes
 pre-shared-key *
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
CiscoASA#

背景説明

現在、HQ オフィスと BO1 オフィス間に既存の L2L トンネルセットアップがあります。 会社は最近新しいブランチ オフィス(BO2)を開いてしまいました。 この新しいオフィスは HQ オフィスにあるローカルリソースへの接続を必要とします。 さらに、従業員が自宅から安全に内部ネットワークにあるリソースにリモートでアクセスできるようにする必要もあります。 HQ オフィスにあるこの例では、新しい VPN トンネルは、またリモートアクセス VPN サーバ設定されます。

設定への新しい L2L トンネルの追加

次に、この設定のネットワーク図を示します。

/image/gif/paws/107553/iosrouter-l2ltunnel-2.gif

手順説明

このセクションは HUB HQ ルータで実行された必要がある必須手順を提供します。

次の手順を実行します。

  1. 関連 トラフィックを定義するためにクリプト マップが使用されるこの新しい access-list を作成して下さい:

    HQ_HUB(config)#ip access-list extended VPN_BO2
    HQ_HUB(config-ext-nacl)#permit ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255
    HQ_HUB(config-ext-nacl)#exit
    

    警告 警告: 通信を行うには、この特定のネットワークとは反対の Access Control List(ACL; アクセス コントロール リスト)エントリを、もう一方のトンネルに設定する必要があります。

  2. 次のネットワーク間で NAT を免除するには、no nat ステートメントにこれらのエントリを追加します。

    HQ_HUB(config)#ip access-list extended NAT_Exempt
    HQ_HUB(config-ext-nacl)#deny ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255
    HQ_HUB(config-ext-nacl)#permit ip 10.10.10.0 0.0.0.255 any
    

    既存 の ルート ルート・マップ nonat にこれらの ACL を追加して下さい:

    HQ_HUB(config)#route-map nonat permit 10
    HQ_HUB(config-route-map)#match ip address NAT_Exempt
    HQ_HUB(config)#ip nat inside source route-map nonat interface Serial2/0 overload
    

    警告 警告: 通信を行うには、この特定のネットワークとは反対の ACL エントリを、もう一方のトンネルに設定する必要があります。

  3. 示されているようにフェーズ 1 設定のピアアドレスを規定 して下さい:

    HQ_HUB(config)#crypto isakmp key cisco123 address 192.168.12.2
    

    注: 事前共有鍵はトンネルの両側で完全に一致する必要があります。

  4. 新しい VPN トンネルのクリプト マップ設定を作成します。 すべてのフェーズ 2 設定は同じであるため、最初の VPN 設定と同じトランスフォーム セットを使用します。

    HQ_HUB(config)#crypto map map1 10 ipsec-isakmp
     HQ_HUB(config-crypto-map)#set peer 192.168.12.2
     HQ_HUB(config-crypto-map)#set transform-set newset
     HQ_HUB(config-crypto-map)#match address VPN_BO2
    
  5. これで新しいトンネルの設定が完了したため、トンネルを介して対象トラフィックを送信して、トンネルを起動する必要があります。 これを行うために、リモート トンネルの内部ネットワークのホストを ping する拡張pingコマンドを発行して下さい。

    この例では、アドレス 10.20.20.16 のトンネルの反対側のワークステーションは ping されます。 これは HQ と BO2 の間でトンネルを持って来ます。 以上で 2 つのトンネルが HQ オフィスに接続されました。 トンネルの後ろのシステムにアクセスできない場合、管理アクセスを使用して代替ソリューションを見つけるためにもっとも一般的な L2L およびリモートアクセス IPSec VPN トラブルシューティングソリューションを参照して下さい。

設定例

HUB_HQ - 新しい L2L VPN トンネル設定を追加しました
HQ_HUB#show running-config
Building configuration...

Current configuration : 2230 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname HQ_HUB
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
ip cef

!
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 group 2
crypto isakmp key cisco123 address 192.168.11.2
crypto isakmp key cisco123 address 192.168.12.2
!
!
crypto ipsec transform-set newset esp-3des esp-md5-hmac
!
crypto map map1 5 ipsec-isakmp
 set peer 192.168.11.2
 set transform-set newset
 match address VPN_BO1
crypto map map1 10 ipsec-isakmp
 set peer 192.168.12.2
 set transform-set newset
 match address VPN_BO2
!
!
interface Ethernet0/0
 ip address 10.10.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!

interface Serial2/0
 ip address 192.168.10.10 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 clock rate 64000
 crypto map map1
!
!
ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 192.168.10.1
!
ip nat inside source route-map nonat interface Serial2/0 overload
!

ip access-list extended NAT_Exempt
 deny ip 10.10.10.0 0.0.0.255 172.16.1.0 0.0.0.255
 deny ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255
 permit ip 10.10.10.0 0.0.0.255 any
ip access-list extended VPN_BO1
  permit ip 10.10.10.0 0.0.0.255 172.16.1.0 0.0.0.255
ip access-list extended VPN_BO2
 permit ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255



!
route-map nonat permit 10
 match ip address NAT_Exempt
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
!
!
end
HQ_HUB#

BO2 L2L VPN トンネル設定
BO2#show running-config
Building configuration...

3w3d: %SYS-5-CONFIG_I: Configured from console by console
Current configuration : 1212 bytes
!
version 12.1
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname BO2
!
!
!
!
!
!
ip subnet-zero
!
!
!
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 group 2
crypto isakmp key cisco123 address 192.168.10.10
!
!
crypto ipsec transform-set newset esp-3des esp-md5-hmac
!
crypto map map1 5 ipsec-isakmp
 set peer 192.168.10.10
 set transform-set newset
 match address 100
!
!
!
!
interface Ethernet0
 ip address 10.20.20.10 255.255.255.0
 ip nat inside
!

!
interface Ethernet1
 ip address 192.168.12.2 255.255.255.0
 ip nat outside
 crypto map map1
!
interface Serial0
 no ip address
 no fair-queue
!
interface Serial1
 no ip address
 shutdown
!
ip nat inside source route-map nonat interface Ethernet1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.12.1
ip http server
!
access-list 100 permit ip 10.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255
access-list 150 deny ip 10.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255
access-list 150 permit ip 10.20.20.0 0.0.0.255 any
route-map nonat permit 10
 match ip address 150
!
!
!
line con 0
line aux 0
line vty 0 4
 login
!
end

BO2#

設定へのリモート アクセス VPN の追加

次に、この設定のネットワーク図を示します。

/image/gif/paws/107553/iosrouter-l2ltunnel-3.gif

この例では、分割トンネリングと呼ばれる機能は使用されます。 この機能はリモートアクセス IPSecクライアントが条件付きで 暗号形式の、またはクリアテキスト形式のネットワーク インターフェイスへの IPSecトンネル上のパケットを送信するようにします。 スプリット トンネリングをイネーブルにすると、IPSec トンネルのもう一方の宛先に送信されていないパケットを暗号化して、トンネルを介して送信し、復号化して、最終的な宛先にルーティングする必要がありません。 この概念は特定のネットワークに分割トンネリング ポリシーを適用します。 デフォルトでは、すべてのトラフィックをトンネルします。 分割トンネリング ポリシーを設定 するために、インターネットのために意味されるトラフィックが述べることができる ACL を規定 して下さい。

手順説明

このセクションでは、リモート アクセス機能を追加して、リモート ユーザがすべてのサイトにアクセスできるようにするために必要な手順を説明します。

次の手順を実行します。

  1. VPN トンネルを介して接続するクライアントが使用する IP アドレス プールを作成します。 また、設定の完了後に VPN にアクセスするための基本ユーザを作成します。

    • HQ_HUB(config)#ip local pool ippool 10.10.120.10 10.10.120.50
      
    • HQ_HUB(config)#username vpnuser password 0 vpnuser123
      
  2. 特定のトラフィックを NAT から免除します。

    HQ_HUB(config)#ip access-list extended NAT_Exempt
    HQ_HUB(config-ext-nacl)#deny ip 10.10.10.0 0.0.0.255 10.10.120.0 0.0.0.255
    HQ_HUB(config-ext-nacl)#deny ip 10.10.120.0 0.0.0.255 10.20.20.0 0.0.0.255
    HQ_HUB(config-ext-nacl)#deny ip 10.10.120.0 0.0.0.255 172.16.1.0 0.0.0.255
    HQ_HUB(config-ext-nacl)#permit ip host 10.10.10.0 any
    HQ_HUB(config-ext-nacl)#exit
    

    既存 の ルート ルート・マップ nonat にこれらの ACL を追加して下さい:

    HQ_HUB(config)#route-map nonat permit 10
    HQ_HUB(config-route-map)#match ip address NAT_Exempt
    HQ_HUB(config)#ip nat inside source route-map nonat interface Serial2/0 overload
    

    この例では、VPN トンネル間の NAT 通信が免除されていることに注目してください。

  3. 既存の L2L トンネルとリモートアクセス VPN ユーザ間の通信を許可して下さい。

    HQ_HUB(config)#ip access-list extended VPN_BO1
    HQ_HUB(config-ext-nacl)#permit ip 10.10.120.0 0.0.0.255 172.16.1.0 0.0.0.255
    HQ_HUB(config-ext-nacl)#exit
    HQ_HUB(config)#ip access-list extended VPN_BO2
    HQ_HUB(config-ext-nacl)#permit ip 10.10.120.0 0.0.0.255 10.20.20.0 0.0.0.255
    HQ_HUB(config-ext-nacl)#exit
    

    これにより、リモート アクセス ユーザは指定したトンネルの背後にあるネットワークと通信できるようになります。

    警告 警告: 通信を行うには、この特定のネットワークとは反対の ACL エントリを、もう一方のトンネルに設定する必要があります。

  4. 分割トンネリングを設定して下さい

    VPN 接続のための分割トンネリングを有効に するために、ルータの ACL を設定するために確かめて下さい。 この例では、access-list split_tunnel コマンドは分割トンネリングの目的でグループと関連付けられ、トンネルは 10.10.10.0 /24 および 10.20.20.0/24 および 172.16.1.0/24 ネットワークに形成されます。 ACL スプリットトンネルのデバイスにない非暗号化トラフィックフロー(たとえば、インターネット)。

    HQ_HUB(config)#ip access-list extended split_tunnel
    HQ_HUB(config-ext-nacl)#permit ip 10.10.10.0 0.0.0.255 10.10.120.0 0.0.0.255
    HQ_HUB(config-ext-nacl)#permit ip 10.20.20.0 0.0.0.255 10.10.120.0 0.0.0.255
    HQ_HUB(config-ext-nacl)#permit ip 172.16.1.0 0.0.0.255 10.10.120.0 0.0.0.255
    HQ_HUB(config-ext-nacl)#exit
    
  5. ローカル認証、許可およびクライアントコンフィギュレーション情報を、優先のような、dns 設定して下さい。 関連 トラフィック ACL および VPN クライアントのための IPプール。

    HQ_HUB(config)#aaa new-model
    HQ_HUB(config)#aaa authentication login userauthen local
    HQ_HUB(config)#aaa authorization network groupauthor local
    HQ_HUB(config)#crypto isakmp client configuration group vpngroup
    HQ_HUB(config-isakmp-group)#key cisco123
    HQ_HUB(config-isakmp-group)#dns 10.10.10.10
    HQ_HUB(config-isakmp-group)#wins 10.10.10.20
    HQ_HUB(config-isakmp-group)#domain cisco.com
    HQ_HUB(config-isakmp-group)#pool ippool
    HQ_HUB(config-isakmp-group)#acl split_tunnel
    HQ_HUB(config-isakmp-group)#exit
    
  6. VPN トンネル生成に必要なダイナミック マップおよび cryto マップ情報を設定して下さい。

    HQ_HUB(config)#crypto isakmp profile vpnclient
    HQ_HUB(config-isakmp-group)#match identity group vpngroup
    HQ_HUB(config-isakmp-group)#client authentication list userauthen
    HQ_HUB(config-isakmp-group)#isakmp authorization list groupauthor
    HQ_HUB(config-isakmp-group)#client configuration address respond
    HQ_HUB(config-isakmp-group)#exit
    HQ_HUB(config)#crypto dynamic-map dynmap 10
    HQ_HUB(config-crypto-map)#set transform-set newset
    HQ_HUB(config-crypto-map)#set isakmp-profile vpnclient
    HQ_HUB(config-crypto-map)#reverse-route
    HQ_HUB(config-crypto-map)#exit
    HQ_HUB(config)#crypto map map1 65535 ipsec-isakmp dynamic dynmap
    HQ_HUB(config)#interface serial 2/0
    HQ_HUB(config-if)#crypto map map1
    

設定例

設定例 2
HQ_HUB#show running-config
Building configuration...

Current configuration : 3524 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname HQ_HUB
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
aaa session-id common
!
resource policy
!
!
!
ip cef
!
!

!--- Output is suppressed

!
username vpnuser password 0 vpnuser123
!
!
!
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 group 2
crypto isakmp key cisco123 address 192.168.11.2
crypto isakmp key cisco123 address 192.168.12.2
!
crypto isakmp client configuration group vpngroup
 key cisco123
 dns 10.10.10.10
 wins 10.10.10.20
 domain cisco.com
 pool ippool
 acl split_tunnel
crypto isakmp profile vpnclient
   match identity group vpngroup
   client authentication list userauthen
   isakmp authorization list groupauthor
   client configuration address respond
!
!
crypto ipsec transform-set newset esp-3des esp-md5-hmac
crypto ipsec transform-set remote-set esp-3des esp-md5-hmac
!
crypto dynamic-map dynmap 10
 set transform-set remote-set
 set isakmp-profile vpnclient
 reverse-route
!
!
crypto map map1 5 ipsec-isakmp
 set peer 192.168.11.2
 set transform-set newset
 match address VPN_BO1
crypto map map1 10 ipsec-isakmp
 set peer 192.168.12.2
 set transform-set newset
 match address VPN_BO2
crypto map map1 65535 ipsec-isakmp dynamic dynmap
!
!
interface Ethernet0/0
 ip address 10.10.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!

interface Serial2/0
 ip address 192.168.10.10 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 clock rate 64000
 crypto map map1
!
!
ip local pool ippool 10.10.120.10 10.10.120.50
ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 192.168.10.1
!
ip nat inside source route-map nonat interface Serial2/0 overload
!
ip access-list extended NAT_Exempt
 deny ip 10.10.10.0 0.0.0.255 172.16.1.0 0.0.0.255
 deny ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255
 deny ip 10.10.10.0 0.0.0.255 10.10.120.0 0.0.0.255
 deny ip 10.10.120.0 0.0.0.255 10.20.20.0 0.0.0.255
 deny ip 10.10.120.0 0.0.0.255 172.16.1.0 0.0.0.255
 permit ip host 10.10.10.0 any
ip access-list extended VPN_BO1
 permit ip 10.10.10.0 0.0.0.255 172.16.1.0 0.0.0.255
 permit ip 10.10.120.0 0.0.0.255 172.16.1.0 0.0.0.255
ip access-list extended VPN_BO2
 permit ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255
 permit ip 10.10.120.0 0.0.0.255 10.20.20.0 0.0.0.255
ip access-list extended split_tunnel
 permit ip 10.10.10.0 0.0.0.255 10.10.120.0 0.0.0.255
 permit ip 10.20.20.0 0.0.0.255 10.10.120.0 0.0.0.255
 permit ip 172.16.1.0 0.0.0.255 10.10.120.0 0.0.0.255



!
route-map nonat permit 10
 match ip address NAT_Exempt
!
!
control-plane
!
line con 0
line aux 0
line vty 0 4
!
!
end
HQ_HUB#

確認

ここでは、設定が正常に動作していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

  • ping —このコマンドは示されているように L2L VPN トンネルを開始することを可能にします。

    拡張ピング
    HQ_HUB#ping
    
    
    !--- In order to make the L2L VPN tunnel with BO1 
    !--- to be established.
    
    Protocol [ip]:
    Target IP address: 172.16.1.2
    Repeat count [5]:
    Datagram size [100]:
    Timeout in seconds [2]:
    Extended commands [n]: y
    Source address or interface: 10.10.10.1
    Type of service [0]:
    Set DF bit in IP header? [no]:
    Validate reply data? [no]:
    Data pattern [0xABCD]:
    Loose, Strict, Record, Timestamp, Verbose[none]:
    Sweep range of sizes [n]:
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 172.16.1.2, timeout is 2 seconds:
    Packet sent with a source address of 10.10.10.1
    .!!!!
    Success rate is 80 percent (4/5), round-trip min/avg/max = 132/160/172 ms
    
    HQ_HUB#ping
    
    
    !--- In order to make the L2L VPN tunnel with BO2 
    !--- to be established.
    
    Protocol [ip]:
    Target IP address: 10.20.20.10
    Repeat count [5]:
    Datagram size [100]:
    Timeout in seconds [2]:
    Extended commands [n]: y
    Source address or interface: 10.10.10.1
    Type of service [0]:
    Set DF bit in IP header? [no]:
    Validate reply data? [no]:
    Data pattern [0xABCD]:
    Loose, Strict, Record, Timestamp, Verbose[none]:
    Sweep range of sizes [n]:
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 10.20.20.10, timeout is 2 seconds:
    Packet sent with a source address of 10.10.10.1
    ....!
    Success rate is 20 percent (1/5), round-trip min/avg/max = 64/64/64 ms

    show crypto isakmp sa
    HQ_HUB#show crypto isakmp sa
    dst             src             state          conn-id slot status
    192.168.12.2    192.168.10.10   QM_IDLE              2    0 ACTIVE
    192.168.11.2    192.168.10.10   QM_IDLE              1    0 ACTIVE
    

    show crypto ipsec sa
    HQ_HUB#show crypto ipsec sa
    
    interface: Serial2/0
        Crypto map tag: map1, local addr 192.168.10.10
    
       protected vrf: (none)
       local  ident (addr/mask/prot/port): (10.10.120.0/255.255.255.0/0/0)
       remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
       current_peer 192.168.11.2 port 500
         PERMIT, flags={origin_is_acl,}
        #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
        #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr. failed: 0
        #pkts not decompressed: 0, #pkts decompress failed: 0
        #send errors 0, #recv errors 0
    
         local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.11.22
         path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0
         current outbound spi: 0x0(0)
    
         inbound esp sas:
    
         inbound ah sas:
    
         inbound pcp sas:
    
         outbound esp sas:
    
         outbound ah sas:
    
         outbound pcp sas:
    
         local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.12.2
         path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0
         current outbound spi: 0x0(0)
    
         inbound esp sas:
    
         inbound ah sas:
    
         inbound pcp sas:
    
         outbound esp sas:
    
         outbound ah sas:
    
         outbound pcp sas:
    
       protected vrf: (none)
       local  ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
       remote ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
       current_peer 192.168.12.2 port 500
         PERMIT, flags={origin_is_acl,}
        #pkts encaps: 1, #pkts encrypt: 1, #pkts digest: 1
        #pkts decaps: 1, #pkts decrypt: 1, #pkts verify: 1
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr. failed: 0
        #pkts not decompressed: 0, #pkts decompress failed: 0
        #send errors 4, #recv errors 0
    
         local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.12.2
         path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0
         current outbound spi: 0xF1328(987944)
    
         inbound esp sas:
          spi: 0xAD07C262(2902966882)
            transform: esp-3des esp-md5-hmac ,
            in use settings ={Tunnel, }
            conn id: 2004, flow_id: SW:4, crypto map: map1
            sa timing: remaining key lifetime (k/sec): (4601612/3292)
            IV size: 8 bytes
            replay detection support: Y
            Status: ACTIVE
    
         inbound ah sas:
    
         inbound pcp sas:
    
         outbound esp sas:
          spi: 0xF1328(987944)
            transform: esp-3des esp-md5-hmac ,
            in use settings ={Tunnel, }
            conn id: 2003, flow_id: SW:3, crypto map: map1
            sa timing: remaining key lifetime (k/sec): (4601612/3291)
            IV size: 8 bytes
            replay detection support: Y
            Status: ACTIVE
    
         outbound ah sas:
    
         outbound pcp sas:
    
       protected vrf: (none)
       local  ident (addr/mask/prot/port): (10.10.120.0/255.255.255.0/0/0)
       remote ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
       current_peer 192.168.12.2 port 500
         PERMIT, flags={origin_is_acl,}
        #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
        #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr. failed: 0
        #pkts not decompressed: 0, #pkts decompress failed: 0
        #send errors 0, #recv errors 0
    
         local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.12.2
         path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0
         current outbound spi: 0x0(0)
    
         inbound esp sas:
    
         inbound ah sas:
    
         inbound pcp sas:
    
         outbound esp sas:
    
         outbound ah sas:
    
         outbound pcp sas:
    
       protected vrf: (none)
       local  ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
       remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
       current_peer 192.168.11.2 port 500
         PERMIT, flags={origin_is_acl,}
        #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
        #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr. failed: 0
        #pkts not decompressed: 0, #pkts decompress failed: 0
        #send errors 11, #recv errors 0
    
         local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.11.2
         path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0
         current outbound spi: 0x978B3F93(2542485395)
    
         inbound esp sas:
          spi: 0x2884F32(42487602)
            transform: esp-3des esp-md5-hmac ,
            in use settings ={Tunnel, }
            conn id: 2002, flow_id: SW:2, crypto map: map1
            sa timing: remaining key lifetime (k/sec): (4421529/3261)
            IV size: 8 bytes
            replay detection support: Y
            Status: ACTIVE
    
         inbound ah sas:
    
         inbound pcp sas:
    
         outbound esp sas:
          spi: 0x978B3F93(2542485395)
            transform: esp-3des esp-md5-hmac ,
            in use settings ={Tunnel, }
            conn id: 2001, flow_id: SW:1, crypto map: map1
            sa timing: remaining key lifetime (k/sec): (4421529/3261)
            IV size: 8 bytes
            replay detection support: Y
            Status: ACTIVE
    
         outbound ah sas:
    
         outbound pcp sas:
    
         local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.12.2
         path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0
         current outbound spi: 0x0(0)
    
         inbound esp sas:
    
         inbound ah sas:
    
         inbound pcp sas:
    
         outbound esp sas:
    
         outbound ah sas:
    
         outbound pcp sas:
    
       protected vrf: (none)
       local  ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
       remote ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
       current_peer 192.168.12.2 port 500
         PERMIT, flags={origin_is_acl,}
        #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
        #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr. failed: 0
        #pkts not decompressed: 0, #pkts decompress failed: 0
        #send errors 0, #recv errors 0
    
         local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.12.2
         path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0
         current outbound spi: 0x0(0)
    
         inbound esp sas:
    
         inbound ah sas:
    
         inbound pcp sas:
    
         outbound esp sas:
    
         outbound ah sas:
    
         outbound pcp sas:
    
       protected vrf: (none)
       local  ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
       remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
       current_peer 192.168.11.2 port 500
         PERMIT, flags={origin_is_acl,}
        #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
        #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr. failed: 0
        #pkts not decompressed: 0, #pkts decompress failed: 0
        #send errors 0, #recv errors 0
    
         local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.11.2
         path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0
         current outbound spi: 0x0(0)
    
         inbound esp sas:
    
         inbound ah sas:
    
         inbound pcp sas:
    
         outbound esp sas:
    
         outbound ah sas:
    
         outbound pcp sas:
    
         local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.12.2
         path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0
         current outbound spi: 0x0(0)
    
         inbound esp sas:
    
         inbound ah sas:
    
         inbound pcp sas:
    
         outbound esp sas:
    
         outbound ah sas:
    
         outbound pcp sas:
    HQ_HUB#

トラブルシューティング

設定のトラブルシューティングに使用できる情報については、次のドキュメントを参照してください。

ヒント: セキュリティ結合をクリアし、それが IPSec VPN 問題を解決しないとき、多様な問題を解決するために関連したクリプト マップを取除き、再適用して下さい。

警告 警告: インターフェイスからクリプト マップを取除く場合、そのクリプト マップと関連付けられる IPSecトンネルをダウンさせます。 これらの手順は十分に注意して実行し、実行する前にお客様の組織の変更管理ポリシーを十分に考慮してください。

HQ_HUB(config)#interface s2/0
HQ_HUB(config-if)#no crypto map map1
*Sep 13 13:36:19.449: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is OFF
HQ_HUB(config-if)#crypto map map1
*Sep 13 13:36:25.557: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 107553