セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX/ASA 7.x 拡張スポーク間 VPN の設定例

2010 年 8 月 30 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 10 月 16 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
設定
      ネットワーク ダイアグラム
      設定
      ヘアピニングまたは U ターン
確認
トラブルシューティング
      トラブルシューティングのためのコマンド
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、PIX ファイアウォール間で LAN-to-LAN セッションを設定する方法について説明します。ハブ PIX ファイアウォール経由のスポーク間接続でのスタティックおよびダイナミック LAN-to-LAN トンネルの設定を示しています。PIX バージョン 7.0 では、暗号化されたトラフィックが同じインターフェイスで発着信できる機能を提供するので、スポーク間 VPN 通信へのサポートが向上しています。

same-security-traffic コマンドは、これにスポーク間 VPN サポートをイネーブルにする intra-interface キーワードを付けて使用すると、トラフィックが同じインターフェイスで発着信できるようになります。詳細は、『Cisco セキュリティ アプライアンス コマンドライン設定ガイド』の「インターフェイス内トラフィックの許可」セクションを参照してください。

このドキュメントでは、ハブ PIX(PIX1)セキュリティ アプライアンスが PIX2 からのダイナミック IPsec 接続を受け入れて、PIX3 とスタティック IPsec 接続を確立することを可能にする方法に関する設定例を示します。PIX1 または PIX3 は、PIX2 が PIX1 との接続を開始するまで PIX2 との IPsec 接続を確立しません。

注:PIX バージョン 7.2 以降では、intra-interface キーワードにより、IPSec トラフィックだけでなくすべてのトラフィックが同じインターフェイスから発着信できるようになります。



前提条件

要件

ハブ PIX ファイアウォールは、バージョン 7.0 以降のコードが動作する必要があります。

注:PIX ファイアウォール バージョン 7.0 にアップグレードする方法の詳細は、『Cisco PIX 6.2 および 6.3 ユーザ用 Cisco PIX ソフトウェア バージョン 7.0 アップグレード ガイド』を参照してください。



使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • PIX - 515 バージョン 7.0.1 以降(PIX1)

    注:ハブ PIX(PIX1)設定は、Cisco ASA 5500 シリーズ セキュリティ アプライアンスでも使用できます。

  • PIX - 501 バージョン 6.3.4(PIX2)

  • PIX - 515 バージョン 6.3.4(PIX3)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼動中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



設定

このセクションでは、このドキュメントで説明する機能の設定に使用するための情報を説明しています。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

注:PIX セキュリティ アプライアンス 7.x LAN-to-LAN(L2L)の VPN 設定では、IPSec での接続に特定した記録のデータベースを作成して管理するため、tunnel-group <name> type ipsec-l2l コマンドでトンネル グループの <name>リモート ピアの IP アドレスを指定する必要があります。



ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/64692/enhance-vpn-pix70-1.gif

注:この設定で使用している IP アドレス スキームは、インターネット上で正式にルーティング可能なものではありません。これらは、ラボ環境で使用された RFC 1918 leavingcisco.com のアドレスです。



設定

このドキュメントでは、次の設定を使用します。

PIX1

PIX Version 7.0(1) 
no names
!
interface Ethernet0
nameif outside
security-level 0
ip address 172.18.124.170 255.255.255.0 
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0 
!

!--- 出力を省略。

enable password 9jNfZuG3TC5tCVH0 encrypted
passwd OnTrBUG1Tp0edmkr encrypted
hostname PIX1
domain-name cisco.com
boot system flash:/image.bin
ftp mode passive

!--- このコマンドを使用して、IPsec トラフィックのために、トラフィックが 
!--- 同じインターフェイスで発着信できるようにします。

same-security-traffic permit intra-interface

!--- ハブとスポーク(PIX3)のネットワーク間で暗号化される 
!--- 対象のトラフィックのアクセスリスト。

access-list 100 extended permit ip 10.10.10.0 255.255.255.0 10.30.30.0 255.255.255.0 

!--- スポーク(PIX2)とスポーク(PIX3)のネットワーク間で 
!--- 暗号化される対象のトラフィックのアクセスリスト。

access-list 100 extended permit ip 10.20.20.0 255.255.255.0 10.30.30.0 255.255.255.0 

!--- ネットワーク アドレス変換(NAT)プロセスをバイパスするトラフィックのアクセスリスト。
 
access-list nonat extended permit ip 10.10.10.0 255.255.255.0 10.30.30.0 255.255.255.0 
access-list nonat extended permit ip 10.10.10.0 255.255.255.0 10.20.20.0 255.255.255.0 
access-list nonat extended permit ip 10.20.20.0 255.255.255.0 10.30.30.0 255.255.255.0


!--- 出力を省略。


nat-control
global (outside) 1 interface

!--- IPsec トラフィックの NAT プロセスをバイパス。

nat (inside) 0 access-list nonat
nat (inside) 1 10.10.10.0 255.255.255.0

!--- インターネットへのデフォルト ゲートウェイ。

route outside 0.0.0.0 0.0.0.0 172.18.124.1 1


!--- 出力を省略。



!--- IPSec フェーズ 2 の設定。

crypto ipsec transform-set myset esp-3des esp-sha-hmac 

!--- ダイナミック LAN-to-LAN トンネルの IPsec 設定。

crypto dynamic-map cisco 20 set transform-set myset

!--- クリプト マップにダイナミック マップをバインドする IPsec 設定。

crypto map mymap 20 ipsec-isakmp dynamic cisco


!--- スタティック LAN-to-LAN トンネル用の IPsec 設定。

crypto map mymap 10 match address 100
crypto map mymap 10 set peer 172.16.77.10 
crypto map mymap 10 set transform-set myset


!--- PIX の Outside インターフェイスにクリプト マップが適用されました。

crypto map mymap interface outside
isakmp identity address 

!--- IPSec フェーズ 1 の設定。

isakmp enable outside

!--- ISAKMP ポリシーの設定。

isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 1
console timeout 0

!--- リモート アクセス トンネル(ダイナミック トンネル)用の 
!--- tunnel-group ポリシーの設定。

tunnel-group DefaultRAGroup type ipsec-ra
tunnel-group DefaultRAGroup general-attributes

!--- ダイナミック リモート アクセス トンネル用のグループ認証をディセーブルにします。

authentication-server-group none
tunnel-group DefaultRAGroup ipsec-attributes

!--- ダイナミック トンネル用の IKE 認証に 
!--- 使用される事前共有秘密鍵を定義します。

pre-shared-key *

!--- スタティック LAN-to-LAN トンネル用の tunnel-group の設定。
!--- tunnel-group の名前は、リモート ピアの IP アドレスである必要があります。
!--- tunnel-group に他の名前がある場合、トンネルに障害が発生します。

tunnel-group 172.16.77.10 type ipsec-l2l
tunnel-group 172.16.77.10 ipsec-attributes

!--- スタティック トンネル用の IKE 認証に 
!--- 使用される事前共有秘密鍵を定義します。

pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512 
inspect ftp 
inspect h323 h225 
inspect h323 ras 
inspect http 
inspect netbios 
inspect rsh 
inspect rtsp 
inspect skinny 
inspect esmtp 
inspect sqlnet 
inspect sunrpc 
inspect tftp 
inspect sip 
inspect xdmcp 
!
service-policy global_policy global
Cryptochecksum:7167c0647778b77f8d1d2400d943b825

注:すべての着信 IPsec 認証暗号化セッションを許可するために、sysopt connection permit-ipsec コマンドを設定する必要があります。コードの PIX 7.0 バージョンでは、sysopt コマンドは動作中の設定には現れません。sysopt connection permit-ipsec がイネーブルになっているかどうかを確認するには、show running-config sysopt コマンドを実行します。

PIX2

PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PIX2
domain-name cisco.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names

!--- PIX2 と PIX1 のネットワーク間のトラフィックを暗号化するためのアクセスリスト。

access-list 100 permit ip 10.20.20.0 255.255.255.0 10.10.10.0 255.255.255.0 

!--- PIX2 と PIX3 のネットワーク間のトラフィックを暗号化するためのアクセスリスト。

access-list 100 permit ip 10.20.20.0 255.255.255.0 10.30.30.0 255.255.255.0 

!--- NAT プロセスをバイパスするためのアクセスリスト。

access-list nonat permit ip 10.20.20.0 255.255.255.0 10.10.10.0 255.255.255.0 
access-list nonat permit ip 10.20.20.0 255.255.255.0 10.30.30.0 255.255.255.0 
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 172.18.124.172 255.255.255.0
ip address inside 10.20.20.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface

!--- IPsec トラフィックの NAT プロセスをバイパス。

nat (inside) 0 access-list nonat
nat (inside) 1 10.20.20.0 255.255.255.0 0 0
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1



!--- 出力を省略。


!--- すべての着信 IPsec 認証暗号化セッションを許可します。

sysopt connection permit-ipsec

!--- IPsec 暗号化と認証のアルゴリズムを定義します。

crypto ipsec transform-set myset esp-3des esp-sha-hmac 

!--- クリプト マップを定義します。

crypto map mymap 10 ipsec-isakmp
crypto map mymap 10 match address 100
crypto map mymap 10 set peer 172.18.124.170
crypto map mymap 10 set transform-set myset

!--- Outside インターフェイスでクリプト マップを適用します。

crypto map mymap interface outside
isakmp enable outside

!--- IKE 認証に使用される事前共有秘密鍵を定義します。

isakmp key ******** address 172.18.124.170 netmask 255.255.255.255 no-xauth 
isakmp identity address

!--- ISAKMP ポリシー設定。

isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:fb2e89ab9da0ae93d69e345a4675ff38

PIX3

PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security4
nameif ethernet3 intf3 security6
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PIX3
domain-name cisco.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names

!--- PIX3 と PIX1 のネットワーク間のトラフィックを暗号化するためのアクセスリスト。

access-list 100 permit ip 10.30.30.0 255.255.255.0 10.10.10.0 255.255.255.0

!--- PIX3 と PIX2 のネットワーク間のトラフィックを暗号化するためのアクセスリスト。

access-list 100 permit ip 10.30.30.0 255.255.255.0 10.20.20.0 255.255.255.0 

!--- NAT プロセスをバイパスするためのアクセスリスト。

access-list nonat permit ip 10.30.30.0 255.255.255.0 10.10.10.0 255.255.255.0 
access-list nonat permit ip 10.30.30.0 255.255.255.0 10.20.20.0 255.255.255.0 
pager lines 24
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 172.16.77.10 255.255.-255.0
ip address inside 10.30.30.1 255.255.255.0


!--- 出力を省略。

global (outside) 1 interface


!--- IPsec パケット上の NAT を回避するために、 
!--- ACL nonat を NAT 設定にバインドします。

nat (inside) 0 access-list nonat
nat (inside) 1 10.30.30.0 255.255.255.0 0 0
route outside 0.0.0.0 0.0.0.0 172.16.77.1 1



!--- 出力を省略。


!--- すべての着信 IPsec 認証暗号化セッションを許可します。

sysopt connection permit-ipsec

!--- IPsec 暗号化と認証のアルゴリズムを定義します。

crypto ipsec transform-set myset esp-3des esp-sha-hmac

!--- クリプト マップを定義します。
 
crypto map mymap 10 ipsec-isakmp
crypto map mymap 10 match address 100
crypto map mymap 10 set peer 172.18.124.170
crypto map mymap 10 set transform-set myset

!--- Outside インターフェイスでクリプト マップを適用します。

crypto map mymap interface outside
isakmp enable outside

!--- IKE 認証に使用される事前共有秘密鍵を定義します。

isakmp key ******** address 172.18.124.170 netmask 255.255.255.0 no-xauth 
isakmp identity address

!---- ISAKMP ポリシーを定義します。 

isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:cb5c245112db607e3a9a85328d1295db



ヘアピニングまたは U ターン

この機能は、あるインターフェイスに着信した後に同じインターフェイスからルーティングされる VPN トラフィックに対して便利な機能です。たとえば、ハブ アンド スポークの VPN ネットワークを構築していて、セキュリティ アプライアンスがハブ、リモート VPN ネットワークがスポークである場合、あるスポークが他のスポークと通信するためには、トラフィックがセキュリティ アプライアンスに着信した後、他のスポーク宛てに再び発信される必要があります。

トラフィックが同じインターフェイスから発着信できるようにするには、same-security-traffic コマンドを使用します。

securityappliance(config)#same-security-traffic permit intra-interface


確認

このセクションでは、設定が正しく動作していることを確認するために使用できる情報を提供しています。

特定の show コマンドが、アウトプットインタープリタ ツール登録ユーザ専用)(OIT)でサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。

PIX3 と PIX1 の間にある 2 つのプライベート ネットワーク間の通信をテストするには、プライベート ネットワークの 1 つから ping を開始できます。

この設定では、次のことが行われます。

  • スタティック LAN-to-LAN では、ping は PIX3 ネットワーク(10.30.30.x)の背後から PIX1 ネットワーク(10.10.10.x)に送信されます。

  • ダイナミック LAN-to-LAN トンネルでは、ping は PIX2 ネットワーク(10.20.20.x)から PIX1 ネットワーク(10.10.10.x)に送信されます。

  • show crypto isakmp sa:ピアにおける現在の IKE Security Association(SA; セキュリティ アソシエーション)をすべて表示します。

  • show crypto ipsec sa:現在の SA をすべて表示します。

このセクションには、次のモデル用の確認設定例を示します。

PIX1

show crypto isakmp sa

Active SA: 2
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 2

!--- スタティック LAN-to-LAN トンネル確立。

1 IKE Peer: 172.16.77.10
Type: L2L Role : responder 
Rekey : no State: MM_ACTIVE 

!--- ダイナミック LAN-to-LAN トンネル確立。

2 IKE Peer: 172.18.124.172
Type: user Role: responder 
Rekey : no State: MM_ACTIVE 




PIX1(config)#show crypto ipsec sa
interface: outside
Crypto map tag: cisco, local addr: 172.18.124.170

!--- PIX2 と PIX1 の間のネットワーク用の IPsec SA。

local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
current_peer: 172.18.124.172
dynamic allocated peer ip: 0.0.0.0

#pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9
#pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 9, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.18.124.170, remote crypto endpt.: 172.18.124.172

path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 2C4400C7

inbound esp sas:
spi: 0x6D29993F (1831442751)
transform: esp-3des esp-sha-hmac 
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 7, crypto-map: cisco
sa timing: remaining key lifetime (sec): 28413
IV size: 8 bytes
replay detection support: Y
 

outbound esp sas:
spi: 0x2C4400C7 (742654151)
transform: esp-3des esp-sha-hmac 
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 7, crypto-map: cisco
sa timing: remaining key lifetime (sec): 28411
IV size: 8 bytes
replay detection support: Y
 

!--- PIX2 と PIX3 の間のネットワーク用の IPsec SA。

Crypto map tag: cisco, local addr: 172.18.124.170

local ident (addr/mask/prot/port): (10.30.30.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
current_peer: 172.18.124.172
dynamic allocated peer ip: 0.0.0.0

#pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9
#pkts decaps: 13, #pkts decrypt: 13, #pkts verify: 13
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 9, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.18.124.170, remote crypto endpt.: 172.18.124.172

path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 9D40B1DC

inbound esp sas:
spi: 0xEE6F6479 (4000277625)
transform: esp-3des esp-sha-hmac 
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 7, crypto-map: cisco
sa timing: remaining key lifetime (sec): 28777
IV size: 8 bytes
replay detection support: Y
 

outbound esp sas:
spi: 0x9D40B1DC (2638262748)
transform: esp-3des esp-sha-hmac 
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 7, crypto-map: cisco
sa timing: remaining key lifetime (sec): 28777
IV size: 8 bytes
replay detection support: Y

Crypto map tag: mymap, local addr: 172.18.124.170

!--- PIX3 と PIX1 の間のネットワーク用の IPsec SA。

local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.30.30.0/255.255.255.0/0/0)
current_peer: 172.16.77.10

#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.18.124.170, remote crypto endpt.: 172.16.77.10

path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: BE57D878

inbound esp sas:
spi: 0xAF25D7DB (2938492891)
transform: esp-3des esp-sha-hmac 
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 6, crypto-map: mymap
sa timing: remaining key lifetime (kB/sec): (4274999/27145)
IV size: 8 bytes
replay detection support: Y
 

outbound esp sas:
spi: 0xBE57D878 (3193428088)
transform: esp-3des esp-sha-hmac 
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 6, crypto-map: mymap
sa timing: remaining key lifetime (kB/sec): (4274999/27144)
IV size: 8 bytes
replay detection support: Y

Crypto map tag: cisco, local addr: 172.18.124.170

!--- PIX2 と PIX3 の間のネットワーク用の IPsec SA。

local ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.30.30.0/255.255.255.0/0/0)
current_peer: 172.16.77.10

#pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9
#pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 9, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.18.124.170, remote crypto endpt.: 172.16.77.10

path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 963766A1

inbound esp sas:
spi: 0x1CD1B5B7 (483505591)
transform: esp-3des esp-sha-hmac 
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 6, crypto-map: cisco
sa timing: remaining key lifetime (kB/sec): (4274999/28780)
IV size: 8 bytes
replay detection support: Y
 

outbound esp sas:
spi: 0x963766A1 (2520213153)
transform: esp-3des esp-sha-hmac 
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 6, crypto-map: cisco
sa timing: remaining key lifetime (kB/sec): (4274999/28780)
IV size: 8 bytes
replay detection support: Y

PIX2

PIX2(config)#show crypto isakmp sa
Total : 1
Embryonic : 0
dst              src          state     pending created
172.18.124.170 172.18.124.172 QM_IDLE     0        2




PIX2(config)#show crypto ipsec sa


interface: outside
Crypto map tag: mymap, local addr. 172.18.124.172

!--- PIX2 と PIX3 のネットワークの間に作成された IPsec SA。

local ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.30.30.0/255.255.255.0/0/0)
current_peer: 172.18.124.170:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0

local crypto endpt.: 172.18.124.172, remote crypto endpt.: 172.18.124.170
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: 38cf2399

inbound esp sas:
spi: 0xb37404c2(3010725058)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 4, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28765)
IV size: 8 bytes
replay detection support: Y


inbound ah sas:


inbound pcp sas:


outbound esp sas:
spi: 0x38cf2399(953099161)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 3, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28765)
IV size: 8 bytes
replay detection support: Y


outbound ah sas:


outbound pcp sas:



!--- PIX1 と PIX2 のネットワークの間に作成された IPsec SA。

local ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
current_peer: 172.18.124.170:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0

local crypto endpt.: 172.18.124.172, remote crypto endpt.: 172.18.124.170
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: fffd0c20

inbound esp sas:
spi: 0x1a2a994b(438999371)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 1, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28717)
IV size: 8 bytes
replay detection support: Y


inbound ah sas:


inbound pcp sas:


outbound esp sas:
spi: 0xfffd0c20(4294773792)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28717)
IV size: 8 bytes
replay detection support: Y


outbound ah sas:


outbound pcp sas:

PIX3

PIX3(config)#show crypto isakmp sa
Total : 1
Embryonic : 0
dst                src       state        pending     created
172.18.124.170 172.16.77.10  QM_IDLE         0             2




PIX3(config)#show crypto ipsec sa


interface: outside
Crypto map tag: mymap, local addr. 172.16.77.10

!--- PIX3 と PIX2 のネットワークの間に作成された IPsec SA。

local ident (addr/mask/prot/port): (10.30.30.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
current_peer: 172.18.124.170:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 9, #pkts encrypt: 9, #pkts digest 9
#pkts decaps: 9, #pkts decrypt: 9, #pkts verify 9
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0

local crypto endpt.: 172.16.77.10, remote crypto endpt.: 172.18.124.170
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: 8282748

inbound esp sas:
spi: 0x28c9b70a(684308234)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 1, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607998/28775)
IV size: 8 bytes
replay detection support: Y


inbound ah sas:


inbound pcp sas:


outbound esp sas:
spi: 0x8282748(136849224)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28775)
IV size: 8 bytes
replay detection support: Y


outbound ah sas:


outbound pcp sas:



!--- PIX3 と PIX1 のネットワークの間に作成された IPsec SA。

local ident (addr/mask/prot/port): (10.30.30.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
current_peer: 172.18.124.170:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0

local crypto endpt.: 172.16.77.10, remote crypto endpt.: 172.18.124.170
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: f415cec9

inbound esp sas:
spi: 0x12c5caf1(314952433)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 3, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28763)
IV size: 8 bytes
replay detection support: Y


inbound ah sas:


inbound pcp sas:


outbound esp sas:
spi: 0xf415cec9(4095069897)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 4, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28763)
IV size: 8 bytes
replay detection support: Y


outbound ah sas:


outbound pcp sas:



トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を提供します。



トラブルシューティングのためのコマンド

特定の show コマンドは、アウトプットインタープリタ登録ユーザ専用)でサポートされています。このツールを使用すると、show コマンドの出力を分析できます。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことをご了承ください。

注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

次のコンフィギュレーション モードで PIX コマンドを実行します。

  • clear crypto isakmp sa:フェーズ 1 SA をクリアします。

  • clear crypto ipsec sa :フェーズ 2 SA をクリアします。

VPN トンネルの debug コマンド:

  • debug crypto isakmp sa:ISAKMP SA ネゴシエーションをデバッグします。

  • debug crypto ipsec sa:IPSec SA ネゴシエーションをデバッグします。




関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報




Document ID: 64692