セキュリティと VPN : EzVPN

レガシー EzVPN からの拡張 な EzVPN 設定例への移行

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

スポーク 2 は同じハブに接続するためにレガシー EzVPN を使用するがこの資料に Easy VPN (EzVPN)をスポーク 1 使用がハブに接続するために EzVPN をどこに高めたか設定するために設定する方法を記述されています。 ハブは拡張 な EzVPN のために設定されます。  拡張 な EzVPN とレガシー EzVPN の違いは前のダイナミック 仮想 な トンネルインターフェイス(dVTIs)および後者のクリプト マップの使用です。 Cisco dVTI はサーバおよびリモート 設定両方のために Cisco EzVPN と顧客によって使用できる方式です。 トンネルは各 EzVPN 接続にオンデマンド別途の仮想アクセスインターフェイスを提供します。 仮想アクセスインターフェイスの設定は QoS、NetFlow、またはアクセス コントロール リスト(ACL)のようなバーチャル テンプレート インターフェイスで、設定される IPSec構成および Cisco IOS ® ソフトウェア機能を含むバーチャルテンプレートの設定からクローンとして作られます。

IPsec dVTIs および Cisco EzVPN を使うと、ユーザは IP ネットワーク上のコンバージした音声、ビデオおよびデータを渡すために Cisco AVVID (Architecture for Voice, Video and integrated Data)を使うと結合することができるリモートアクセス VPN にセキュア接続を非常に提供できます。

著者:Cisco TAC エンジニア、Atri Basu

前提条件

要件

Cisco は EzVPN のナレッジがあることを推奨します。

使用するコンポーネント

この文書に記載されている情報は Cisco IOSバージョン 15.4(2)T に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

dVTI 設定の Cisco EzVPN は選択式に EzVPN コンセントレータ、別のサイト間のピア、またはインターネットのような異なる宛先にトラフィックを、送信 するためにルート可能なインターフェイスを提供します。 IPsec dVTI 設定は物理インターフェイスに IPSecセッションの静的マッピングを必要としません。 これはマルチパスの場合にはのようなあらゆる物理インターフェイスの暗号化 トラフィックを、送信 し、受信する柔軟性を可能にします。 トラフィックはトンネルインターフェイスからまたはに転送されるとき暗号化されます。

トラフィックは IPルーティングテーブルによってトンネルインターフェイスに/から転送されます。 ルーティングはインターネット キー エクスチェンジ(IKE) モードコンフィギュレーションの間に動的に学習され、ルーティング テーブルに dVTI にそのポイントを挿入されます。 Dynamic IP Routing が VPN を渡るルーティングを伝搬するのに使用することができます。 IP ルーティングを使用する暗号化へトラフィックを転送することはネイティブ IPSec構成のクリプト マップとの ACL の使用と比較すると IPSec VPN 設定を簡約化します。

先のリリース Cisco IOS Release 12.4(2)T よりでは、トンネル/トンネル移行で、モードコンフィギュレーションの間に押された属性は解析され、適用されなければなりませんでした。 そのような属性がインターフェイスのコンフィギュレーションのアプリケーションという結果に終ったときに、現在のコンフィギュレーションは無効にならなければなりませんでした。 トンネル時に別個の機能をサポートすることもっと簡単にする dVTI サポート 機能を使うと、トンネル 設定は個々のインターフェイスに適用することができます。 トラフィックに加えられる機能はトラフィックに加えられる機能とは別に(前に暗号化)トンネルに入るある場合もありますトンネルを通過しない(たとえば、分割トンネル トラフィックおよびトラフィック トンネルがないとき)デバイスを去る。

EzVPN ネゴシエーションが正常なとき、仮想アクセスインターフェイス gets の行プロトコル状態はに変更しました。 セキュリティ結合が切れるか、または削除されるので EzVPN トンネルがダウン状態になるとき、仮想アクセスインターフェイスの行プロトコル状態はに変更します。

ルーティング テーブルは EzVPN 仮想インターフェイスのトラフィック セレクタとしてある設定こと、ルーティング取り替えますクリプト マップのアクセス リストを機能します。 仮想インターフェイス 設定では、EzVPN は EzVPN サーバが IPsec dVTI で設定される場合単一 IPSecセキュリティアソシエーション結合をネゴシエートします。 設定されるこの単一 セキュリティ結合は EzVPN モードに関係なく作成されます。

セキュリティ結合が確立された後、仮想アクセスインターフェイスへのポイントが社内ネットワークへの直接トラフィックに追加されることルーティング。 EzVPN はまた VPN コンセントレータに IPsec カプセル化されたパケットが社内ネットワークにルーティングされるようにルートを追加します。 仮想アクセスインターフェイスを指すデフォルト ルートは nonsplit モードの場合には追加されます。 EzVPN サーバがスプリットトンネルを「押す」とき、スプリットトンネル サブネットはバーチャルアクセスを指すルーティングが追加される宛先になります。 いずれにしてもピア(VPN コンセントレータ)が直接接続されなければ、EzVPN はピアにルートを追加します。

: Cisco EzVPN クライアント ソフトウェアを実行するほとんどのルータはデフォルト ルートを設定してもらいます。 設定されるデフォルト ルートは EzVPN が 1.のメトリック値があるデフォルト ルートを追加するのでより 1 大きいメトリック値がなければなりません。 コンセントレータがスプリットトンネル アトリビュートを「押さない」場合のすべてのトラフィックが社内ネットワークに送信されるように仮想アクセスインターフェイスへのルート ポイント。

QoS がネットワークを渡る異なるアプリケーションのパフォーマンスを改善するのに使用することができます。 この設定ではサイトの間で送信する必要がある総トラフィック量を制限するために、トラフィック シェーピングは 2 つのサイトの間で使用されます。 さらに、QoS 設定はビデオ、またはデータアプリケ− ションをサポートするために Cisco IOSソフトウェアで、の音声提供されるサポート、QoS 機能の組み合せをできます。

: このガイドの QoS 設定はデモだけのためです。 VTI スケーラビリティ結果が IPsec 上のポイントツーポイント(P2P)総称ルーティング カプセル化(GRE)に類似したであることが期待されます。 スケーリングおよびパフォーマンスへの考慮に関しては、Cisco 担当者に連絡して下さい。 その他の情報に関しては、IPセキュリティの仮想 な トンネルインターフェイスを設定することを参照して下さい。

利点

  • 管理を簡素化します
    顧客は、IPsec のためのオンデマンド クローンとして作るのに、新しい仮想アクセスインターフェイス VPN 設定の複雑さを簡素化し、削減されたコストに変換する Cisco IOS バーチャルテンプレートを使用できます。 さらに、既存の管理アプリケーションは今異なるサイトのための個々のインターフェイスをモニタリングの目的で監察できます。
  • ルート可能なインターフェイスを提供します
    Cisco IPsec VTIs は IP ルーティング プロトコルのすべての型をサポートできます。 顧客はブランチ オフィスのようなより大きいオフィス環境を、接続するためにこれらの機能を使用できます。
  • スケーリングを改善します
    トラフィックの異なる型をカバーするサイトごとの IPsec VTIs 使用 単一 セキュリティ結合、改善されたスケーリングを有効に します。
  • 機能の定義のオファー柔軟性
    IPsec VTI は自身のインターフェイス内のカプセル化です。 これは IPsec VTIs のクリアテキスト トラフィックのための機能の定義の柔軟性を提供し、物理インターフェイスの暗号化 トラフィックのための機能を定義します。

設定

: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

設定の概要

ハブの設定

hostname Hub
!
no aaa new-model
!
no ip domain lookup
!
username test-user privilege 15 password 0 cisco123
!
!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
!
crypto isakmp client configuration group En-Ezvpn
 key test-En-Ezvpn
crypto isakmp profile En-EzVpn-Isakmp-Profile
   match identity group En-Ezvpn
   isakmp authorization list default
   client configuration address respond
   virtual-template 1
!
!
crypto ipsec transform-set VPN-TS esp-aes esp-sha-hmac
 mode tunnel
!
crypto ipsec profile En-EzVpn-Ipsec-Profile
 set transform-set VPN-TS
 set isakmp-profile En-EzVpn-Isakmp-Profile
!
!
interface Loopback0
 description Router-ID
 ip address 10.0.0.1 255.255.255.255
!
interface Loopback1
 description inside-network
 ip address 192.168.0.1 255.255.255.255
!
interface Ethernet0/0
 description WAN-Link
 ip address 172.16.0.1 255.255.255.0
!
interface Virtual-Template1 type tunnel
 ip unnumbered Loopback0
 ip mtu 1400
 ip tcp adjust-mss 1360
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile En-EzVpn-Ipsec-Profile
!
router eigrp 1
 network 10.0.0.1 0.0.0.0
 network 192.168.0.1 0.0.0.0
 network 192.168.1.1 0.0.0.0
!
ip route 0.0.0.0 0.0.0.0 172.16.0.100
!
end

スポーク 1 (拡張 な EzVPN)設定

hostname Spoke1
!
no aaa new-model
!
interface Loopback0
 description Router-ID
 ip address 10.0.1.1 255.255.255.255
 crypto ipsec client ezvpn En-EzVpn inside
!
interface Loopback1
 description Inside-network
 ip address 192.168.1.1 255.255.255.255
!
interface Ethernet0/0
 description WAN-Link
 ip address 172.16.1.1 255.255.255.0
 crypto ipsec client ezvpn En-EzVpn
!
interface Virtual-Template1 type tunnel
 ip unnumbered Loopback0
 ip mtu 1400
 ip tcp adjust-mss 1360
 tunnel mode ipsec ipv4
!
router eigrp 1
 network 10.0.1.1 0.0.0.0
 network 192.168.1.1 0.0.0.0
!
ip route 0.0.0.0 0.0.0.0 172.16.1.100
!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
!
crypto ipsec client ezvpn En-EzVpn
 connect auto
 group En-Ezvpn key test-En-Ezvpn
 mode network-extension
 peer 172.16.0.1
 virtual-interface 1
!
end

注意: バーチャルテンプレートはクライアントコンフィギュレーションが入る前に定義される必要があります。 同じ数の既存のバーチャルテンプレートなしで、ルータは仮想インターフェイス 1 コマンドを許可しません。

スポーク 2 (レガシー EzVPN)設定

hostname Spoke2
!
no aaa new-model
!
no ip domain lookup
!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
!
crypto ipsec client ezvpn Leg-Ezvpn
 connect auto
 group En-Ezvpn key test-En-Ezvpn
 mode network-extension
 peer 172.16.0.1
 xauth userid mode interactive
!
!
interface Loopback0
 ip address 10.0.2.1 255.255.255.255
 crypto ipsec client ezvpn Leg-Ezvpn inside
!
interface Loopback1
 ip address 192.168.2.1 255.255.255.255
!
interface Ethernet0/0
 ip address 172.16.2.1 255.255.255.0
 crypto ipsec client ezvpn Leg-Ezvpn
!
ip route 0.0.0.0 0.0.0.0 172.16.2.100
!
end

確認

このセクションでは、設定が正常に機能していることを確認します。

アウトプット インタープリタ ツール登録ユーザ専用)は、特定の show コマンドをサポートしています。 show コマンド出力の分析を表示するには、アウトプット インタープリタ ツールを使用してください。

スポーク 1 トンネルへのハブ

フェーズ 1

Hub#show crypto isakmp sa det
Codes: C - IKE configuration mode, D - Dead Peer Detection
       K - Keepalives, N - NAT-traversal
       T - cTCP encapsulation, X - IKE Extended Authentication
       psk - Preshared key, rsig - RSA signature
       renc - RSA encryption
IPv4 Crypto ISAKMP SA

C-id  Local           Remote          I-VRF  Status Encr Hash   Auth DH Lifetime Cap.

1006  172.16.0.1      172.16.2.1             ACTIVE aes  sha    psk  2  23:54:53 C
       Engine-id:Conn-id =  SW:6

1005  172.16.0.1      172.16.1.1             ACTIVE aes  sha    psk  2  23:02:14 C
       Engine-id:Conn-id =  SW:5

IPv6 Crypto ISAKMP SA

フェーズ 2

ここのプロキシは/意味するのためどのトラフィックでも終了するバーチャルアクセス 1 および 172.16.1.1 に送信 されて暗号化されることをです。

Hub#show crypto ipsec sa peer 172.16.1.1 detail

interface: Virtual-Access1
    Crypto map tag: Virtual-Access1-head-0, local addr 172.16.0.1

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   current_peer 172.16.1.1 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 776, #pkts encrypt: 776, #pkts digest: 776
    #pkts decaps: 771, #pkts decrypt: 771, #pkts verify: 771
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #pkts no sa (send) 0, #pkts invalid sa (rcv) 0
    #pkts encaps failed (send) 0, #pkts decaps failed (rcv) 0
    #pkts invalid prot (recv) 0, #pkts verify failed: 0
    #pkts invalid identity (recv) 0, #pkts invalid len (rcv) 0
    #pkts replay rollover (send): 0, #pkts replay rollover (rcv) 0
    ##pkts replay failed (rcv): 0
    #pkts tagged (send): 0, #pkts untagged (rcv): 0
    #pkts not tagged (send): 0, #pkts not untagged (rcv): 0
    #pkts internal err (send): 0, #pkts internal err (recv) 0

     local crypto endpt.: 172.16.0.1, remote crypto endpt.: 172.16.1.1
     plaintext mtu 1438, path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
     current outbound spi: 0x9159A91E(2438572318)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0xB82853D4(3089650644)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 13, flow_id: SW:13, sibling_flags 80000040, crypto map:
Virtual-Access1-head-0
        sa timing: remaining key lifetime (k/sec): (4342983/3529)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x9159A91E(2438572318)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 14, flow_id: SW:14, sibling_flags 80000040, crypto map:
Virtual-Access1-head-0
        sa timing: remaining key lifetime (k/sec): (4342983/3529)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     outbound ah sas:

     outbound pcp sas:

EIGRP

Hub#show ip eigrp neighbors
EIGRP-IPv4 Neighbors for AS(1)
H   Address                 Interface              Hold Uptime   SRTT   RTO  Q  Seq
                                                   (sec)         (ms)       Cnt Num
0   172.16.1.1              Vi1                      13 00:59:28   31  1398  0  3

: ルート可能なインターフェイスなしで Enhanced Interior Gateway Routing Protocol (EIGRP) ピアを形成することはできないのでスポーク 2 はエントリを形成しません。 これはスポークの dVTIs の使用の長所の 1 つです。

スポーク 1

フェーズ 1

Spoke1#show cry is sa det
Codes: C - IKE configuration mode, D - Dead Peer Detection
       K - Keepalives, N - NAT-traversal
       T - cTCP encapsulation, X - IKE Extended Authentication
       psk - Preshared key, rsig - RSA signature
       renc - RSA encryption
IPv4 Crypto ISAKMP SA

C-id  Local           Remote          I-VRF  Status Encr Hash   Auth DH Lifetime Cap.

1005  172.16.1.1      172.16.0.1             ACTIVE aes  sha    psk  2  22:57:07 C
       Engine-id:Conn-id =  SW:5

IPv6 Crypto ISAKMP SA

フェーズ 2

Spoke1#show crypto ipsec sa detail

interface: Virtual-Access1
    Crypto map tag: Virtual-Access1-head-0, local addr 172.16.1.1

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   current_peer 172.16.0.1 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 821, #pkts encrypt: 821, #pkts digest: 821
    #pkts decaps: 826, #pkts decrypt: 826, #pkts verify: 826
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #pkts no sa (send) 0, #pkts invalid sa (rcv) 0
    #pkts encaps failed (send) 0, #pkts decaps failed (rcv) 0
    #pkts invalid prot (recv) 0, #pkts verify failed: 0
    #pkts invalid identity (recv) 0, #pkts invalid len (rcv) 0
    #pkts replay rollover (send): 0, #pkts replay rollover (rcv) 0
    ##pkts replay failed (rcv): 0
    #pkts tagged (send): 0, #pkts untagged (rcv): 0
    #pkts not tagged (send): 0, #pkts not untagged (rcv): 0
    #pkts internal err (send): 0, #pkts internal err (recv) 0

     local crypto endpt.: 172.16.1.1, remote crypto endpt.: 172.16.0.1
     plaintext mtu 1438, path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
     current outbound spi: 0xB82853D4(3089650644)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0x9159A91E(2438572318)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 11, flow_id: SW:11, sibling_flags 80004040, crypto map:
Virtual-Access1-head-0
        sa timing: remaining key lifetime (k/sec): (4354968/3290)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xB82853D4(3089650644)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 12, flow_id: SW:12, sibling_flags 80004040, crypto map:
Virtual-Access1-head-0
        sa timing: remaining key lifetime (k/sec): (4354968/3290)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     outbound ah sas:

     outbound pcp sas:

EZVPN

Spoke1#show crypto ipsec client ezvpn
Easy VPN Remote Phase: 8

Tunnel name : En-EzVpn
Inside interface list: Loopback0
Outside interface: Virtual-Access1 (bound to Ethernet0/0)
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Save Password: Disallowed
Current EzVPN Peer: 172.16.0.1

ルーティング- EIGRP

スポーク 2 でプロキシはどのトラフィックでも暗号化されること仮想アクセスインターフェイスを終了するそのような物です。 ルートがある限りネットワークのためのインターフェイスは、トラフィック暗号化されることを指摘する:

Spoke1#ping 192.168.0.1 source loopback 1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/6 ms

Spoke1#ping 192.168.0.1 source loopback 0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.1, timeout is 2 seconds:
Packet sent with a source address of 10.0.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/5 ms

Spoke1# sh ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override

Gateway of last resort is 172.16.1.100 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 172.16.1.100
                [1/0] via 0.0.0.0, Virtual-Access1
      10.0.0.0/32 is subnetted, 2 subnets
D        10.0.0.1 [90/27008000] via 10.0.0.1, 01:16:15, Virtual-Access1
C        10.0.1.1 is directly connected, Loopback0
      172.16.0.0/16 is variably subnetted, 3 subnets, 2 masks
S        172.16.0.1/32 [1/0] via 172.16.1.100
C        172.16.1.0/24 is directly connected, Ethernet0/0
L        172.16.1.1/32 is directly connected, Ethernet0/0
      192.168.0.0/32 is subnetted, 1 subnets
D        192.168.0.1 [90/27008000] via 10.0.0.1, 01:16:15, Virtual-Access1
      192.168.1.0/32 is subnetted, 1 subnets
C        192.168.1.1 is directly connected, Loopback1
Spoke1#

スポーク 2 トンネルへのハブ

フェーズ 1

Hub#show crypto isakmp sa det
Codes: C - IKE configuration mode, D - Dead Peer Detection
       K - Keepalives, N - NAT-traversal
       T - cTCP encapsulation, X - IKE Extended Authentication
       psk - Preshared key, rsig - RSA signature
       renc - RSA encryption
IPv4 Crypto ISAKMP SA

C-id  Local           Remote          I-VRF  Status Encr Hash   Auth DH Lifetime Cap.

1006  172.16.0.1      172.16.2.1             ACTIVE aes  sha    psk  2  23:54:53 C
       Engine-id:Conn-id =  SW:6

1005  172.16.0.1      172.16.1.1             ACTIVE aes  sha    psk  2  23:02:14 C
       Engine-id:Conn-id =  SW:5

IPv6 Crypto ISAKMP SA

フェーズ 2

ハブのクライアントコンフィギュレーションの下の分割トンネル ACL はこの例で使用されません。 従ってスポークで形成されるプロキシはあらゆるネットワークにのあらゆる EzVPN 「内部」ネットワークのため話しましたです。 基本的には、ハブで、スポークの「内部」ネットワークの 1 つに向かうどのトラフィックでも 172.16.2.1 に送信 されて暗号化され。

Hub#show crypto ipsec sa  peer 172.16.2.1 detail

interface: Virtual-Access2
    Crypto map tag: Virtual-Access2-head-0, local addr 172.16.0.1

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   remote ident (addr/mask/prot/port): (10.0.2.1/255.255.255.255/0/0)
   current_peer 172.16.2.1 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 15, #pkts encrypt: 15, #pkts digest: 15
    #pkts decaps: 15, #pkts decrypt: 15, #pkts verify: 15
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #pkts no sa (send) 0, #pkts invalid sa (rcv) 0
    #pkts encaps failed (send) 0, #pkts decaps failed (rcv) 0
    #pkts invalid prot (recv) 0, #pkts verify failed: 0
    #pkts invalid identity (recv) 0, #pkts invalid len (rcv) 0
    #pkts replay rollover (send): 0, #pkts replay rollover (rcv) 0
    ##pkts replay failed (rcv): 0
    #pkts tagged (send): 0, #pkts untagged (rcv): 0
    #pkts not tagged (send): 0, #pkts not untagged (rcv): 0
    #pkts internal err (send): 0, #pkts internal err (recv) 0

     local crypto endpt.: 172.16.0.1, remote crypto endpt.: 172.16.2.1
     plaintext mtu 1438, path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
     current outbound spi: 0x166CAC10(376220688)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0x8525868A(2233829002)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 11, flow_id: SW:11, sibling_flags 80000040, crypto map:
Virtual-Access2-head-0
        sa timing: remaining key lifetime (k/sec): (4217845/1850)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x166CAC10(376220688)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 12, flow_id: SW:12, sibling_flags 80000040, crypto map:
Virtual-Access2-head-0
        sa timing: remaining key lifetime (k/sec): (4217845/1850)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     outbound ah sas:

     outbound pcp sas:

スポーク 2

フェーズ 1

Spoke2#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
172.16.0.1      172.16.2.1      QM_IDLE           1001 ACTIVE

IPv6 Crypto ISAKMP SA

フェーズ 2

Spoke2#show crypto ipsec sa detail

interface: Ethernet0/0
    Crypto map tag: Ethernet0/0-head-0, local addr 172.16.2.1

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (10.0.2.1/255.255.255.255/0/0)
   remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   current_peer 172.16.0.1 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
    #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #pkts no sa (send) 0, #pkts invalid sa (rcv) 0
    #pkts encaps failed (send) 0, #pkts decaps failed (rcv) 0
    #pkts invalid prot (recv) 0, #pkts verify failed: 0
    #pkts invalid identity (recv) 0, #pkts invalid len (rcv) 0
    #pkts replay rollover (send): 0, #pkts replay rollover (rcv) 0
    ##pkts replay failed (rcv): 0
    #pkts tagged (send): 0, #pkts untagged (rcv): 0
    #pkts not tagged (send): 0, #pkts not untagged (rcv): 0
    #pkts internal err (send): 0, #pkts internal err (recv) 0

     local crypto endpt.: 172.16.2.1, remote crypto endpt.: 172.16.0.1
     plaintext mtu 1438, path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
     current outbound spi: 0x8525868A(2233829002)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0x166CAC10(376220688)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 1, flow_id: SW:1, sibling_flags 80004040, crypto map:
Ethernet0/0-head-0
        sa timing: remaining key lifetime (k/sec): (4336232/2830)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x8525868A(2233829002)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2, flow_id: SW:2, sibling_flags 80004040, crypto map:
Ethernet0/0-head-0
        sa timing: remaining key lifetime (k/sec): (4336232/2830)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     outbound ah sas:

     outbound pcp sas:

EZVPN

Spoke2#show crypto ipsec client ezvpn
Easy VPN Remote Phase: 8

Tunnel name : Leg-Ezvpn
Inside interface list: Loopback0
Outside interface: Ethernet0/0
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Save Password: Disallowed
Current EzVPN Peer: 172.16.0.1

ルーティング-スタティック

スポーク 1 とは違って、どんなトラフィックが暗号化される必要があり、ものがべきではないかスポーク 2 はスタティック・ルートかそれに述べるためにルーティングをインジェクトするために使用 Reverse Route Injection (RRI)がなければなりません。 この例では、ループバック 0 から送信されるトラフィックだけプロキシおよびルーティングによって暗号化されます。

Spoke2#ping 192.168.0.1 source loopback 1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.2.1
.....
Success rate is 0 percent (0/5)

Spoke2#ping 192.168.0.1 source loopback 0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.1, timeout is 2 seconds:
Packet sent with a source address of 10.0.2.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 5/5/7 ms

Spoke2#sh ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override

Gateway of last resort is 172.16.2.100 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 172.16.2.100
      10.0.0.0/32 is subnetted, 1 subnets
C        10.0.2.1 is directly connected, Loopback0
      172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
C        172.16.2.0/24 is directly connected, Ethernet0/0
L        172.16.2.1/32 is directly connected, Ethernet0/0
      192.168.2.0/32 is subnetted, 1 subnets
C        192.168.2.1 is directly connected, Loopback1

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を提供します。

ヒント: 頻繁に EzVPN でトンネルはコンフィギュレーション変更の後で起動しません。 フェーズ 1 およびフェーズ 2 をクリアすることはトンネルをこの場合始動しません。 ほとんどの場合、スポーク 始動で clear crypto ipsec client ezvpn <group 名前 > コマンドをトンネル入力して下さい。

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

Hub コマンド

  • debug crypto ipsec:フェーズ 2 の IPSec ネゴシエーションを表示します。

  • debug crypto isakmp - フェーズ 1 の ISAKMP ネゴシエーションを表示します。

スポーク コマンド

  • debug crypto ipsec:フェーズ 2 の IPSec ネゴシエーションを表示します。

  • debug crypto isakmp - フェーズ 1 の ISAKMP ネゴシエーションを表示します。

  • debug crypto ipsec client ezvpn - EzVPN デバッグを表示する。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118240