ルータ : Cisco 3800 シリーズ サービス統合型ルータ

SDM:ASA/PIX と IOS ルータ間のサイト間 IPSec VPN の設定例

2010 年 3 月 10 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2009 年 10 月 14 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      関連製品
      表記法
設定
      ネットワーク ダイアグラム
      VPN トンネル ASDM の設定
      ルータ SDM の設定
      ASA CLI の設定
      ルータ CLI の設定
確認
      ASA/PIX セキュリティ アプライアンス - show コマンド
      リモート IOS ルータ - show コマンド
トラブルシューティング
関連するシスコ サポート コミュニティ ディスカッション
関連情報


概要

このドキュメントでは、Cisco セキュリティ アプライアンス(ASA/PIX)と Cisco IOS ルータとの間の LAN-to-LAN(サイトツーサイト)IPSec トンネルの設定例を紹介しています。話を簡単にするため、スタティック ルートを使用します。

PIX/ASA セキュリティ アプライアンスでバージョン 7.x のソフトウェアが実行される場合と同じシナリオの詳細は、『IOS ルータの LAN-to-LAN IPSec トンネルに対する PIX/ASA 7.x セキュリティ アプライアンスの設定例』を参照してください。



前提条件

要件

この設定を試みる前に、次の要件が満たされていることを確認します。

  • この設定を開始する前に、エンドツーエンドの IP 接続を確立する必要があります。

  • Data Encryption Standard(DES; データ暗号標準)の暗号化(最小限の暗号化レベル)でセキュリティ アプライアンスのライセンスを有効にする必要があります。



使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • バージョン 8.x 以降が稼働する Cisco Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)

  • ASDM バージョン 6.x 以降

  • Cisco IOSR ソフトウェア リリース 12.3 が稼働する Cisco 1812 ルータ

  • Cisco Security Device Manager(SDM)バージョン 2.5

注:ASA を ASDM で設定できるようにするには、『ASDM 用の HTTPS アクセスの許可』を参照してください。

注:ルータを SDM で設定できるようにするには、『SDM を使用した基本的なルータ設定』を参照してください。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。



関連製品

この設定は、バージョン 7.x 以降で稼働する Cisco PIX 500 シリーズ セキュリティ アプライアンスでも使用できます。



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



設定

ネットワーク ダイアグラム

このドキュメントでは、次のダイアグラムで示されるネットワーク構成を使用しています。

sdm-vpn-asa-router-config1.gif

注:この設定で使用している IP アドレス スキームは、インターネット上で正式にルーティング可能なものではありません。これらはラボ環境で使用された RFC 1918 leavingcisco.com のアドレスです。



VPN トンネル ASDM の設定

VPN トンネルを作成するには、次の手順を実行します。

  1. ブラウザを開き、https://<ASDM にアクセスするように設定された ASA のインターフェイスの IP アドレス> と入力して、ASA 上の ASDM にアクセスします。

    SSL 証明書の信憑性に関連してブラウザから出力されるすべての警告を認可します。デフォルトのユーザ名とパスワードは、両方とも空白です。

    ASA がこのウィンドウを表示するのは、ASDM アプリケーションのダウンロードを許可するためです。次の例の場合、アプリケーションはローカル コンピュータにロードされ、Java アプレットでは動作しません。

    sdm-vpn-asa-router-config2.gif

  2. ADSM アプリケーションのインストーラをダウンロードするために、Download ASDM Launcher and Start ASDM をクリックします。

  3. ASDM Launcher がダウンロードされたら、プロンプトに従って一連のステップを実行し、該当ソフトウェアをインストールした後、Cisco ASDM Launcher を起動します。

  4. http コマンドで設定したインターフェイスの IP アドレス、およびユーザ名とパスワード(指定した場合)を入力します。

    次の例では、ユーザ名として cisco123、パスワードとして cisco123 を使用しています。

    sdm-vpn-asa-router-config3.gif

  5. ADSM アプリケーションが ASA に接続したら、IPsec VPN Wizard を実行します。

    sdm-vpn-asa-router-config4.gif

  6. IPSec VPN トンネル タイプとして Site-to-Site を選択し、次のように Next をクリックします。

    sdm-vpn-asa-router-config5.gif

  7. リモート ピアの外部 IP アドレスを指定します。使用する認証情報(今の場合は事前共有鍵)を入力します。次の例では、cisco123 という事前共有鍵を使用しています。Tunnel Group Name は、L2L VPN を設定する場合、デフォルトでは外部 IP アドレスになります。Next をクリックします。

    sdm-vpn-asa-router-config6.gif

  8. IKE(フェーズ 1 ともいう)で使用する属性を指定します。それらの属性は、ASA および IOS ルータの両方で同じでなければなりません。Next をクリックします。

    sdm-vpn-asa-router-config7.gif

  9. IPsec(フェーズ 2 ともいう)で使用する属性を指定します。それらの属性は、ASA および IOS ルータの両方で同じでなければなりません。Next をクリックします。

    sdm-vpn-asa-router-config8.gif

  10. VPN トンネルを通過できるようなトラフィックのホストを指定します。このステップでは、VPN トンネルに対して Local Networks および Remote Networks を指定します。Local Networks の横にあるボタンを次の図のようにクリックして、ドロップ ダウン リストからローカル ネットワーク アドレスを選択します。

    sdm-vpn-asa-router-config9.gif

  11. ローカル ネットワーク アドレスを選択し、図のように OK をクリックします。

    sdm-vpn-asa-router-config10.gif

  12. Remote Networks の横にあるボタンを次の図のようにクリックして、ドロップ ダウン リストからリモート ネットワーク アドレスを選択します。

    sdm-vpn-asa-router-config11.gif

  13. リモート ネットワーク アドレスを選択し、図のように OK をクリックします。

    注:リスト内にリモート ネットワークがない場合は、Add をクリックして、ネットワークをリストに追加する必要があります。

    sdm-vpn-asa-router-config31.gif

  14. Exempt ASA side host/network from address translation チェックボックスにチェックマークを入れ、トンネルのトラフィックが Network Address Translation を受けないようにします。次に Next をクリックします。

    sdm-vpn-asa-router-config13.gif

  15. VPN Wizardによって定義された属性が、次の要約画面に表示されます。.設定を再確認し、設定が正しいことを確認したら Finish をクリックします。

    sdm-vpn-asa-router-config14.gif



ルータ SDM の設定

Cisco IOS ルータ上でサイト間 VPN トンネルの設定を実行するには、次のステップを実行します。

  1. ブラウザを開き、https://<SDM にアクセスするように設定されたルータのインターフェイスの IP アドレス> と入力して、ルータ上の SDM にアクセスします。

    SSL 証明書の信憑性に関連してブラウザから出力されるすべての警告を認可します。デフォルトのユーザ名とパスワードは、両方とも空白です。

    ルータがこのウィンドウを表示するのは、SDM アプリケーションのダウンロードを許可するためです。次の例の場合、アプリケーションはローカル コンピュータにロードされ、Java アプレットでは動作しません。

    sdm-vpn-asa-router-config29.gif

  2. SDM のダウンロードが開始されます。SDM Launcher がダウンロードされたら、プロンプトに従って一連のステップを実行し、該当ソフトウェアをインストールした後、Cisco SDM Launcher を起動します。

  3. ユーザ名パスワードを、指定してある場合は入力し、OK をクリックします。

    次の例では、ユーザ名として cisco123、パスワードとして cisco123 を使用しています。

    sdm-vpn-asa-router-config30.gif

  4. Configuration->VPN->Site-to-Site VPN を選択した後、SDM ホーム ページ上で Create a Site-to-Site VPN の隣にあるラジオ ボタンをクリックします。次のように、Launch The selected Task をクリックします。

    sdm-vpn-asa-router-config15.gif

  5. Step by step wizard を選択し、引き続き設定を実行します。

    sdm-vpn-asa-router-config16.gif

  6. 次のウィンドウのそれぞれの部分で、VPN 接続情報を指定します。VPN トンネルのインターフェイスを、ドロップ ダウン リストから選択します。ここでは、FastEthernet0 を選択しています。Peer Identity セクションでは、Peer with static IP address を選択し、リモート ピアの IP アドレスを指定しています。Authentication セクションでは、Pre-shared key(事前共有鍵)(ここでは cisco123)を指定しています。次に Next をクリックします。

    sdm-vpn-asa-router-config33.gif

  7. Add をクリックして、暗号化アルゴリズム、認証アルゴリズム、および 鍵交換方法を指定する IKE プロポーザルを追加します。

    sdm-vpn-asa-router-config18.gif

  8. 暗号化アルゴリズム認証アルゴリズム、および鍵交換方法を次のように指定し、OK をクリックします。暗号化アルゴリズム認証アルゴリズム、および鍵交換方法の値は、ASA で指定したデータと一致していなければなりません。

    sdm-vpn-asa-router-config19.gif

  9. 次のように Next をクリックします。

    sdm-vpn-asa-router-config20.gif

  10. 次の新しいウィンドウではトランスフォーム セットを指定します。トランスフォーム セットでは、VPN トンネルのデータを保護するのに使用する暗号化アルゴリズムと認証アルゴリズムを指定します。次に、Add をクリックして、詳細情報を設定します。Add をクリックし、詳細情報を指定すれば、トランスフォーム セットは必要に応じていくつでも追加できます。

    sdm-vpn-asa-router-config21.gif

  11. トランスフォーム セットの詳細情報(暗号化アルゴリズムと認証アルゴリズム)を指定し、次の図のように OK をクリックします。

    sdm-vpn-asa-router-config22.gif

  12. 次の図のように、使用する必要なトランスフォーム セットを、ドロップ ダウン リストから選択します。

    sdm-vpn-asa-router-config23.gif

  13. Next をクリックします。

    sdm-vpn-asa-router-config24.gif

  14. 次のウィンドウで、VPN トンネルによって保護するトラフィックの詳細情報を指定します。保護するトラフィックの送信元ネットワークおよび宛先ネットワークを指定し、指定した送信元ネットワーク〜宛先ネットワーク間のトラフィックが保護されるようにします。次の例の場合、送信元ネットワークは 10.20.10.0、宛先ネットワークは 10.10.10.0 です。次に Next をクリックします。

    sdm-vpn-asa-router-config25.gif

  15. 次のウィンドウは、実施したサイト間 VPN 設定の要約を示しています。VPN の接続をテストする場合は、Test VPN Connectivity after configuring チェックボックスにチェックマークを入れてください。今の場合は、VPN の接続をチェックする必要があるので、該当するチェックボックスにチェックマークを入れています。次に、Finish をクリックします。

    sdm-vpn-asa-router-config26.gif

  16. 次の図のように、Start をクリックして、VPN の接続をチェックします。

    sdm-vpn-asa-router-config27.gif

  17. 次のウィンドウに、VPN 接続テストの結果を示します。このウィンドウを見ると、該当トンネルが稼働している(Up)かしていない(Down)かがわかります。この設定例では、該当トンネルが稼働しており(Up)、緑で表示されています。

    sdm-vpn-asa-router-config28.gif

    Cisco IOS ルータの設定は、これで終わりです。



ASA CLI の設定

ASA

ASA#show run
: Saved
ASA Version 8.0(2) 
!
hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!

!--- 外部インターフェイスの設定。
!

interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.255.0 

!--- 内部インターフェイスの設定。
!

interface Ethernet0/2
 nameif inside
 security-level 100
 ip address 10.10.10.1 255.255.255.0 




!--- 出力を省略。
!

passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid

access-list 100 extended permit ip any any
access-list inside_nat0_outbound extended permit ip 10.10.10.0 255.255.255.0 
10.20.10.0 255.255.255.0 


!--- このアクセス リスト(inside_nat0_outbound)は、 
!--- nat zero コマンドで使用。それにより、このアクセス リストに一致するトラフィックが 
!--- ネットワーク アドレス変換(NAT)を受けないようにします。
!--- この ACL で指定されているトラフィックは、暗号化され、VPN トンネルを
!--- 介して送信されるトラフィックです。この ACL は、意図的に 
!--- (outside_1_cryptomap)と同じです。
!--- この設定では、2 つの別々のアクセス リストを常に使用する必要があります。

access-list outside_1_cryptomap extended permit ip 10.10.10.0 255.255.255.0 
10.20.10.0 255.255.255.0

!--- このアクセス リスト(outside_cryptomap)は、 
!--- crypto マップ outside_map と共に使用されます。
!--- それは、暗号化してトンネル経由で送信するトラフィックを決定 
!--- するためです。
!--- この ACL は、意図的に(inside_nat0_outbound)と同じです。
!--- この設定では、2 つの別々のアクセス リストを常に使用する必要があります。

pager lines 24
mtu inside 1500
mtu outside 1500
no failover
asdm image disk0:/asdm-613.bin
asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 10.10.10.0 255.255.255.0

nat (inside) 0 access-list inside_nat0_outbound

!--- NAT 0 により、ACL inside_nat0_outbound  
!--- で指定したネットワークで NAT が実行されません。


access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.2 1

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 0.0.0.0 0.0.0.0 dmz
no snmp-server location
no snmp-server contact


!--- フェーズ 2 の設定 ---!
!--- ここではフェーズ 2 の暗号タイプが定義されています。

crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac

!--- フェーズ 2 のトランスフォーム セットを定義します。



crypto map outside_map 1 match address outside_1_cryptomap

!--- どのトラフィックを IPSec ピアに送信するのかを定義します。


crypto map outside_map 1 set peer 172.17.1.1

!--- IPSec ピアを設定します。


crypto map outside_map 1 set transform-set ESP-DES-SHA

!--- crypto マップ エントリ "outside_map" と共に使用する 
!--- IPSec のトランスフォーム セット"ESP-AES-256-SHA" を設定します。


crypto map outside_map interface outside

!--- この設定で定義した設定値と共に使用する 
!--- インターフェイスを指定します。


!--- フェーズ 1 の設定 ---!

!--- この設定では isakmp ポリシー 10 を使用します。   
!--- ここでの設定コマンドは、使用するフェーズ 1 の 
!--- ポリシー パラメータを定義します。


crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption des
 hash sha
 group 1
 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!

 

tunnel-group 172.17.1.1 type ipsec-l2l

!--- ipsec-l2l—IPsec(LAN-to-LAN)トンネル用の接続固有レコードの 
!--- データベースを作成して管理するために、一連のトンネルではグローバル 
!--- コンフィギュレーション モードで tunnel-group コマンドを使用します。
!--- L2L 接続の場合は、必ずトンネル グループ名を 
!--- IPSec ピアの IP アドレスにします。



tunnel-group 172.17.1.1 ipsec-attributes
 pre-shared-key *

!--- 事前共有鍵を入力して、 
!--- 認証方式を設定します。


telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!



!--- 出力を省略。

username cisco123 password ffIRPGpDSOJh9YLq encrypted privilege 15
Cryptochecksum:be38dfaef777a339b9e1c89202572a7d
: end




ルータ CLI の設定

ルータ

Building configuration...

Current configuration : 2403 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname R3
!
boot-start-marker
boot-end-marker
!
no logging buffered
!
username cisco123 privilege 15 password 7 1511021F07257A767B
no aaa new-model
ip subnet-zero
!
!
ip cef
!
!
ip ips po max-events 100
no ftp-server write-enable
!


!--- IKE ポリシーの設定。
!--- IKE ポリシーの設定(config-isakmp) 
!--- コマンド モードを有効にし、IKE ネゴシエーション時に使用される 
!--- パラメータを指定できるようにします。暗号化およびポリシーの詳細情報は、
!--- デフォルト値が選択されているので、見えません。


crypto isakmp policy 2
 authentication pre-share


!--- 両方のピアで同じ事前共有鍵 "cisco123"  
!--- を指定します。これは、グローバル 
!--- コンフィギュレーション モードのコマンドです。

crypto isakmp key cisco123 address 172.16.1.1
!
!

!--- IPsec ポリシーの設定。
!--- crypto トランスフォームのコンフィギュレーション モードを有効にし、 
!--- IPSec ネゴシエーション時に使用される 
!--- トランスフォーム セットを指定できるようにします。

crypto ipsec transform-set ASA-IPSEC esp-des esp-sha-hmac 
!


!--- !--- この crypto マップ エントリによって指定される 
!--- トラフィックを保護するための IPSec セキュリティ アソシエーション  
!--- の確立に IKE を使用することを示します。

crypto map SDM_CMAP_1 1 ipsec-isakmp 
 description Tunnel to172.16.1.1
 

!--- !--- リモート エンドの IP アドレスの設定。

 set peer 172.16.1.1
 

!--- !--- この設定で定義済みのトランスフォーム セット 
!--- "ASA-IPSEC" を使用する IPSec を設定します。
 
 set transform-set ASA-IPSEC 
 

!--- !--- 暗号化する対象トラフィックを指定します。

 match address 100
!
!
!

!--- IPSec の crypto マップ "SDM_CMAP_1" を使用する
!--- インターフェイスを設定します。

interface FastEthernet0
 ip address 172.17.1.1 255.255.255.0
 duplex auto
 speed auto
 crypto map SDM_CMAP_1
!
interface FastEthernet1
 ip address 10.20.10.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet2
 no ip address
!
interface Vlan1
 ip address 10.77.241.109 255.255.255.192
!
ip classless
ip route 10.10.10.0 255.255.255.0 172.17.1.2
ip route 10.77.233.0 255.255.255.0 10.77.241.65
ip route 172.16.1.0 255.255.255.0 172.17.1.2
!
!
ip http server
ip http authentication local
ip http secure-server
!

!--- アクセス リストを設定し、設定済みの crypto マップにマッピングします。

access-list 100 remark SDM_ACL Category=4
access-list 100 remark IPSec Rule
access-list 100 permit ip 10.20.10.0 0.0.0.255 10.10.10.0 0.0.0.255
!
!
!

!--- この ACL 110 では、ルート マップを使用してトラフィック フローを指定します。

access-list 110 deny ip 10.20.10.0 0.0.0.255 10.10.10.0 0.0.0.255
access-list 110 permit ip 10.20.10.0 0.0.0.255 any
route-map nonat permit 10
match ip address 110

!
control-plane
!
!
line con 0
login local
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
end




確認

このセクションでは、設定が正常に動作していることを確認しています。

特定の show コマンドが、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。



ASA/PIX セキュリティ アプライアンス - show コマンド

  • show crypto isakmp sa:現在ピアにあるすべての IKE SA を表示します。

    ASA#show crypto isakmp sa
    
       Active SA: 1
        Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 172.17.1.1
        Type    : L2L             Role    : initiator
        Rekey   : no              State   : MM_ACTIVE
  • show crypto ipsec sa:現在ピアにあるすべての IPsec SA を表示します。

    ASA#show crypto ipsec sa
    			interface: outside
        Crypto map tag: outside_map, seq num: 1, local addr: 172.16.1.1
    
          local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
          remote ident (addr/mask/prot/port): (10.20.10.0/255.255.255.0/0/0)
          current_peer: 172.17.1.1
    
         #pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9
          #pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 9, #pkts comp failed: 0, #pkts decomp failed: 0
          #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
          #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 172.16.1.1, remote crypto endpt.: 172.17.1.1
    
          path mtu 1500, ipsec overhead 58, media mtu 1500
          current outbound spi: 434C4A7F
    
        inbound esp sas:
          spi: 0xB7C1948E (3082917006)
             transform: esp-des esp-sha-hmac none
             in use settings ={L2L, Tunnel, PFS Group 2, }
             slot: 0, conn_id: 12288, crypto-map: outside_map
             sa timing: remaining key lifetime (kB/sec): (4274999/3588)
             IV size: 8 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0x434C4A7F (1129073279)
             transform: esp-des esp-sha-hmac none
             in use settings ={L2L, Tunnel, PFS Group 2, }
             slot: 0, conn_id: 12288, crypto-map: outside_map
             sa timing: remaining key lifetime (kB/sec): (4274999/3588)
             IV size: 8 bytes
             replay detection support: Y


リモート IOS ルータ - show コマンド

  • show crypto isakmp sa:現在ピアにあるすべての IKE SA を表示します。

    Router#show crypto isakmp sa
    
    dst             src             state          conn-id slot status
    172.17.1.1      172.16.1.1      QM_IDLE              3    0 ACTIVE
    
  • show crypto ipsec sa:現在ピアにあるすべての IPsec SA を表示します。

    Router#show crypto ipsec sa
    		interface: FastEthernet0
        Crypto map tag: SDM_CMAP_1, local addr 172.17.1.1
    
       protected vrf: (none)
       local  ident (addr/mask/prot/port): (10.20.10.0/255.255.255.0/0/0)
       remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
       current_peer 172.16.1.1 port 500
         PERMIT, flags={origin_is_acl,}
      #pkts encaps: 68, #pkts encrypt: 68, #pkts digest: 68
        #pkts decaps: 68, #pkts decrypt: 68, #pkts verify: 68
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr.failed: 0
        #pkts not decompressed: 0, #pkts decompress failed: 0
        #send errors 0, #recv errors 0
    
         local crypto endpt.: 172.17.1.1, remote crypto endpt.: 172.16.1.1
         path mtu 1500, ip mtu 1500
         current outbound spi: 0xB7C1948E(3082917006)
         
         inbound esp sas:
          spi: 0x434C4A7F(1129073279)
            transform: esp-des esp-sha-hmac ,
            in use settings ={Tunnel, }
            conn id: 2001, flow_id: C18XX_MBRD:1, crypto map: SDM_CMAP_1
            sa timing: remaining key lifetime (k/sec): (4578719/3004)
            IV size: 8 bytes
            replay detection support: Y
            Status: ACTIVE
    
         inbound ah sas:
    
         inbound pcp sas:
    
         outbound esp sas:
          spi: 0xB7C1948E(3082917006)
            transform: esp-des esp-sha-hmac ,
            in use settings ={Tunnel, }
            conn id: 2002, flow_id: C18XX_MBRD:2, crypto map: SDM_CMAP_1
            sa timing: remaining key lifetime (k/sec): (4578719/3002)
            IV size: 8 bytes
            replay detection support: Y
            Status: ACTIVE
    
         outbound ah sas:
    
         outbound pcp sas:
  • show crypto engine connections active:現在の接続と、暗号化および復号化されたパケットの情報(ルータのみ)を表示します。

    Router#show crypto engine connections active
    
      ID Interface            IP-Address      State  Algorithm           Encrypt  Decrypt
       3 FastEthernet0        172.17.1.1      set    HMAC_SHA+DES_56_CB        0        0
    2001 FastEthernet0        172.17.1.1      set    DES+SHA                   0       59
    2002 FastEthernet0        172.17.1.1      set    DES+SHA                  59        0
    


トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を紹介しています。

特定の show コマンドが、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。

注:debug コマンドを使用する前に、『debug コマンドの重要な情報』および『IP Security のトラブルシューティング:debug コマンドの説明と使用』を参照してください。

  • debug crypto ipsec 7:フェーズ 2 の IPSec ネゴシエーションを表示します。

    debug crypto isakmp 7:フェーズ 1 の ISAKMP ネゴシエーションを表示します。

  • debug crypto ipsec:フェーズ 2 の IPSec ネゴシエーションを表示します。

    debug crypto isakmp:フェーズ 1 の ISAKMP ネゴシエーションを表示します。

サイト間 VPN のトラブルシューティングの詳細は、『一般的な L2L およびリモート アクセス IPSec VPN のトラブルシューティング方法について』を参照してください。



関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報




Document ID: 110198