Seguridad y VPN : Negociación IPSec/Protocolos IKE

Túnel ipsec de LAN a LAN entre un Catalyst 6500 con el módulo de servicio VPN y un ejemplo de configuración del firewall PIX

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento describe cómo crear un túnel ipsec de LAN a LAN entre un Cisco Catalyst 6500 Series Switch con el módulo de servicio del IPSec VPN (w) y un Cisco PIX Firewall.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Software Release 12.2(14)SY2 de Cisco IOS� para el Supervisor Engine de las Catalyst 6000 Series, con el módulo de servicio del IPSec VPN

  • Versión 6.3(3) del Software Cisco PIX Firewall

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Para obtener más información sobre las convenciones del documento, consulte las Convenciones de Consejos Técnicos de Cisco.

Antecedentes

El módulo de servicio del Catalyst 6500 VPN tiene dos puertos del Gigabit Ethernet (GE) sin externamente los conectores visibles. Estos puertos son direccionables para los fines de la configuración solamente. El puerto 1 es siempre el puerto del interior. Este puerto maneja todo el tráfico y a la red interna. El segundo puerto (el puerto 2) maneja todo el tráfico y a WAN o a las redes externas. Estos dos puertos se configuran siempre en el modo de concentración links del 802.1Q. El módulo de servicio VPN utiliza una técnica llamada el Bump In The Wire (BITW) para el flujo de paquetes.

Los paquetes son procesados por un par de VLA N, de un VLA N interior de la capa 3 y de un VLA N exterior de la capa 2. Los paquetes, del interior al exterior, se rutean con un método llamado Lógica de reconocimiento de dirección codificada (EARL) al VLA N interior. Después de que cifre los paquetes, el módulo de servicio VPN utiliza la correspondencia fuera del VLA N. En el proceso de descifrado, los paquetes del exterior al interior se interligan al módulo de servicio VPN usando el VLA N exterior. Después de que el módulo de servicio VPN desencripte el paquete y asocie el VLA N a la correspondencia dentro del VLA N, el CONDE rutea el paquete al puerto LAN apropiado. El VLA N interior de la capa 3 y los VLA N exteriores de la capa 2 se unen a así como el comando crypto connect vlan. Hay tres tipos de puertos en los Catalyst 6500 Series Switch:

  • Puertos ruteados — Por abandono, todos los accesos de Ethernet son puertos ruteados en el Cisco IOS. Estos puertos tienen un VLAN oculta asociado a ellos.

  • Puertos de acceso — Estos puertos tienen un externo o un VLA N del VLAN Trunk Protocol (VTP) asociado a ellos. Usted puede asociar más de un puerto a un VLAN definido.

  • Puertos troncales — Estos puertos llevan mucho el externo o los VLA N VTP, en los cuales todos los paquetes se encapsulan con una encabezado del 802.1Q.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Use la herramienta Command Lookup Tool (clientes registrados solamente) para encontrar más información sobre los comandos usados en este documento.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

/image/gif/paws/26283/lan_lan_6500_firewall-1.gif

Configuración para el IPSec usando un acceso o un puerto troncal de la capa 2

Realice estos pasos para configurar el IPSec con la ayuda de un acceso de la capa 2 o el puerto troncal para la interfaz física exterior.

  1. Agregue los VLA N interiores al puerto del interior del módulo de servicio VPN.

    Asuma que el módulo de servicio VPN está en el slot 4. Utilice el VLAN 100 como el VLA N interior y el VLA N 209 como el VLA N exterior. Configure los puertos de GE del módulo de servicio VPN como esto:

    interface GigabitEthernet4/1
     no ip address
     flowcontrol receive on
     flowcontrol send off
     switchport
     switchport trunk encapsulation dot1q
     switchport trunk allowed vlan 1,100,1002-1005
     switchport mode trunk
     cdp enable
    
    interface GigabitEthernet4/2
     no ip address
     flowcontrol receive on
     flowcontrol send off
     switchport
     switchport trunk encapsulation dot1q
     switchport trunk allowed vlan 1,209,1002-1005
     switchport mode trunk
     cdp enable
     spanning-tree portfast trunk
  2. Agregue la interfaz del VLAN 100 y la interfaz donde el túnel se termina (que, en este caso, es interfaz Vlan 209, como se muestra aquí).

    interface Vlan100
     ip address 10.66.79.180 255.255.255.224
    
    interface Vlan209
     no ip address
     crypto connect vlan 100
    
  3. Configure el puerto físico exterior como un acceso o puerto troncal (en este caso, el FastEthernet 2/48, como se muestra aquí).

    
    !--- This is the configuration that uses  an access port.
    
    interface FastEthernet2/48
     no ip address
     switchport
     switchport access vlan 209
     switchport mode access
    
    
    !--- This is the configuration that uses  a trunk port.
    
    interface FastEthernet2/48
     no ip address switchport
     switchport trunk encapsulation dot1q
     switchport mode trunk
    
  4. Cree puente NAT. Agregue estas entradas a la ninguna sentencia NAT para eximir nating entre estas redes:

    access-list inside_nat0_outbound permit ip 192.168.5.0 0.0.0.255 
    192.168.6.0 0.0.0.255
    global (outside) 1 interface
    nat (inside) 0 access-list inside_nat0_outbound
    nat (inside) 1 192.168.5.0 255.255.255.0
  5. Cree su configuración de criptografía y el Access Control List (ACL) que defina el tráfico que se cifrará.

    1. Cree un ACL Crypto (en este caso, ACL 100 - tráfico interesante) que define el tráfico de la red interna 192.168.5.0/24 a la red remota 192.168.6.0/24, como esto:

      access-list 100 permit ip 192.168.5.0 0.0.0.255 192.168.6.0 0.0.0.255
      
    2. Defina sus propuestas de política del Internet Security Association and Key Management Protocol (ISAKMP), como esto:

      crypto isakmp policy 1
      hash md5
      authentication pre-share
      group 2
      
    3. Publique este comando (en este ejemplo) de utilizar y de definir las claves previamente compartidas:

      crypto isakmp key cisco address 10.66.79.73
      
    4. Defina sus propuestas IPSec, como esto:

      crypto ipsec transform-set cisco esp-des esp-md5-hmac
      
    5. Cree su sentencia de correspondencia de criptografía, como esto:

      crypto map cisco 10 ipsec-isakmp   
       set peer 10.66.79.73
       set transform-set cisco 
       match address 100
      
  6. Aplique la correspondencia de criptografía a la interfaz del VLAN 100, como esto:

    interface vlan100
    crypto map cisco
    

Se utilizan estas configuraciones:

Catalyst 6500

!--- Define the Phase 1 policy. 

crypto isakmp policy 1
 hash md5
 authentication pre-share
 group 2
crypto isakmp key cisco address 10.66.79.73
!
!

!--- Define the encryption policy for this setup.
 
crypto ipsec transform-set cisco esp-des esp-md5-hmac
!

!--- Define a static crypto map entry for the peer 
!--- with mode ipsec-isakmp. 
!--- This indicates that Internet Key Exchange (IKE) 
!--- is used to establish the IPSec 
!--- security associations (SAs)  to protect  the traffic 
!--- specified by this crypto map entry.
 
crypto map cisco 10 ipsec-isakmp   
 set peer 10.66.79.73
 set transform-set cisco 
 match address 100
!
!
no spanning-tree vlan 100
!
!
!
interface FastEthernet2/1
 ip address 192.168.5.1 255.255.255.0
!

!--- This is the outside Layer 2 port that allows 
!--- VLAN 209 traffic to enter.

interface FastEthernet2/48
 no ip address
 switchport
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet4/1
 no ip address
 flowcontrol receive on
 flowcontrol send off
 switchport
 switchport trunk encapsulation dot1q

!--- VLAN 100 is defined as the Interface VLAN (IVLAN).

 switchport trunk allowed vlan 1,100,1002-1005
 switchport mode trunk
 cdp enable
!
interface GigabitEthernet4/2
 no ip address
 flowcontrol receive on
 flowcontrol send off
 switchport
 switchport trunk encapsulation dot1q

!--- The Port VLAN (PVLAN) configuration is handled transparently by
!--- the VPN service module without user configuration
!--- or involvement. It also is not shown in the configuration.
!--- Note: For every IVLAN, a corresponding PVLAN exists.

 switchport trunk allowed vlan 1,209,1002-1005
 switchport mode trunk
 cdp enable
 spanning-tree portfast trunk
!
interface Vlan1
no ip address
shutdown
!

!--- This is the IVLAN that is configured to intercept the traffic 
!--- destined to the secure port on which the inside port 
!--- of the VPN service module is the only port present.
 
interface Vlan100
 ip address 10.66.79.180 255.255.255.224
 crypto map cisco

!--- This is the secure port that is a virtual Layer 3 interface. 
!--- This interface purposely does not have a Layer 3 IP address 
!--- configured. This is normal for the BITW process. 
!--- The IP address  is moved from this interface to the VLAN 100 to
!--- accomplish BITW. This brings the VPN service module into
!--- the packet path.

interface Vlan209
 no ip address
 crypto connect vlan 100
!
ip classless

global (outside) 1 interface

!--- NAT 0 prevents NAT for networks specified in the ACL inside_nat0_outbound.


nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 192.168.5.0 255.255.255.0


!--- Configure the routing so that the device
!--- is directed to reach its destination network.
 
ip route 0.0.0.0 0.0.0.0 10.66.79.161

!--- This access list (inside_nat0_outbound) is used with the nat zero command.
!--- This prevents traffic which matches the access list from undergoing
!--- network address translation (NAT).  The traffic specified by this ACL is 
!--- traffic that is to be encrypted and
!--- sent across the VPN tunnel.  This ACL is intentionally 
!--- the same as (100).
!--- Two separate access lists should always be used in this configuration.
access-list inside_nat0_outbound permit ip 192.168.5.0 0.0.0.255 192.168.6.0 0.0.0.255


!--- This is the crypto ACL.
 
access-list 100 permit ip 192.168.5.0 0.0.0.255 192.168.6.0 0.0.0.255

Firewall PIX
SV2-8(config)# show run
: Saved
:
PIX Version 6.3(3)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
interface ethernet6 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
nameif ethernet3 intf3 security15
nameif ethernet4 intf4 security20
nameif ethernet5 intf5 security25
nameif ethernet6 intf6 security30
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname SV2-8
domain-name cisco.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names

!--- This is the traffic to the router.

access-list 100 permit ip 192.168.6.0 255.255.255.0 192.168.5.0 255.255.255.0 
access-list nonat permit ip 192.168.6.0 255.255.255.0 192.168.5.0 255.255.255.0 
pager lines 24
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
mtu intf6 1500
ip address outside 10.66.79.73 255.255.255.224
ip address inside 192.168.6.1 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
no ip address intf3
no ip address intf4
no ip address intf5
no ip address intf6
ip audit info action alarm
ip audit attack action alarm
no failover   
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address intf2
no failover ip address intf3
no failover ip address intf4
no failover ip address intf5
no failover ip address intf6
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list nonat
nat (inside) 1 192.168.6.0 255.255.255.0 0 0
route outside 0.0.0.0 0.0.0.0 10.66.79.65 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
aaa-server LOCAL protocol local 
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable

!--- These are IPSec policies.

sysopt connection permit-ipsec
crypto ipsec transform-set cisco esp-des esp-md5-hmac 
crypto map cisco 10 ipsec-isakmp
crypto map cisco 10 match address 100
crypto map cisco 10 set peer 10.66.79.180
crypto map cisco 10 set transform-set cisco
crypto map cisco interface outside

!--- These are IKE policies.

isakmp enable outside
isakmp key ******** address 10.66.79.180 netmask 255.255.255.255 
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption des
isakmp policy 1 hash md5
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:244c86c9beab00bda8f790502ca74db9
: end

Configuración para el IPSec usando un puerto ruteado

Realice estos pasos para configurar el IPSec con la ayuda de un puerto ruteado de la capa 3 para la interfaz física exterior.

  1. Agregue los VLA N interiores al puerto del interior del módulo de servicio VPN.

    Asuma que el módulo de servicio VPN está en el slot 4. Utilice el VLAN 100 como el VLA N interior y el VLA N 209 como el VLA N exterior. Configure los puertos de GE del módulo de servicio VPN como esto:

    interface GigabitEthernet4/1
     no ip address
     flowcontrol receive on
     flowcontrol send off
     switchport
     switchport trunk encapsulation dot1q
     switchport trunk allowed vlan 1,100,1002-1005
     switchport mode trunk
     cdp enable
    
    interface GigabitEthernet4/2
     no ip address
     flowcontrol receive on
     flowcontrol send off
     switchport
     switchport trunk encapsulation dot1q
     switchport trunk allowed vlan 1,209,1002-1005
     switchport mode trunk
     cdp enable
     spanning-tree portfast trunk
  2. Agregue la interfaz del VLAN 100 y la interfaz donde el túnel se termina (que, en este caso, es FastEthernet2/48, como se muestra aquí).

    interface Vlan100
     ip address 10.66.79.180 255.255.255.224
     
    interface FastEthernet2/48
     no ip address
     crypto connect vlan 100
    
  3. Cree puente NAT. Agregue estas entradas a la ninguna sentencia NAT para eximir nating entre estas redes:

    access-list inside_nat0_outbound permit ip 192.168.5.0 0.0.0.255 
    192.168.6.0 0.0.0.255
    global (outside) 1 interface
    nat (inside) 0 access-list inside_nat0_outbound
    nat (inside) 1 192.168.5.0 255.255.255.0
  4. Cree su configuración de criptografía y el ACL que define el tráfico que se cifrará.

    1. Cree un ACL (en este caso, ACL 100) que define el tráfico de la red interna 192.168.5.0/24 a la red remota 192.168.6.0/24, como esto:

      access-list 100 permit ip 192.168.5.0 0.0.0.255 192.168.6.0 0.0.0.255
      
    2. Defina sus propuestas de política ISAKMP, como esto:

      crypto isakmp policy 1
      hash md5
      authentication pre-share
      group 2
      
    3. Publique este comando (en este ejemplo) de utilizar y de definir las claves previamente compartidas:

      crypto isakmp key cisco address 10.66.79.73
      
    4. Defina sus propuestas IPSec, como esto:

      crypto ipsec transform-set cisco esp-des esp-md5-hmac
      
    5. Cree su sentencia de correspondencia de criptografía, como esto:

      crypto map cisco 10 ipsec-isakmp
       set peer 10.66.79.73
       set transform-set cisco
       match address 100
      
  5. Aplique la correspondencia de criptografía a la interfaz del VLAN 100, como esto:

    interface vlan100
    crypto map cisco
    

Se utilizan estas configuraciones:

Catalyst 6500

!--- Define the Phase 1 policy.
 
crypto isakmp policy 1
 hash md5
 authentication pre-share
 group 2
crypto isakmp key cisco address 10.66.79.73
!
!

!--- Define the encryption policy for this setup. 

crypto ipsec transform-set cisco esp-des esp-md5-hmac
!

!--- Define a static crypto map entry for the peer 
!--- with mode ipsec-isakmp. 
!--- This indicates that IKE is used to establish the
!--- IPSec SAs  to protect  the traffic 
!--- specified by this crypto map entry. 

crypto map cisco 10 ipsec-isakmp   
 set peer 10.66.79.73
 set transform-set cisco 
 match address 100
!
!
no spanning-tree vlan 100
!
!
!
interface FastEthernet2/1
 ip address 192.168.5.1 255.255.255.0
!

!--- This is the secure port that is configured in routed port mode. 
!--- This routed port mode does not have a Layer 3 IP address 
!--- configured. This is normal for the BITW process. 
!--- The IP address  is moved from this interface to the VLAN 100 to
!--- accomplish BITW. This brings the VPN service module into
!--- the packet path. This is the Layer 2 port VLAN on which the
!--- outside port of the VPN service module also belongs.

!
interface FastEthernet2/48
 no ip address
 crypto connect vlan 100
!
interface GigabitEthernet4/1
 no ip address
 flowcontrol receive on
 flowcontrol send off
 switchport
 switchport trunk encapsulation dot1q

!--- VLAN 100 is defined as the IVLAN.

 switchport trunk allowed vlan 1,100,1002-1005
 switchport mode trunk
 cdp enable
!
interface GigabitEthernet4/2
 no ip address
 flowcontrol receive on
 flowcontrol send off
 switchport
 switchport trunk encapsulation dot1q

!--- The PVLAN configuration is handled transparently by the
!--- VPN service module without user configuration
!--- or involvement. It also is not shown in the configuration.
!--- Note: For every IVLAN, a corresponding PVLAN exists.
 
 switchport trunk allowed vlan 1,209,1002-1005
 switchport mode trunk
 cdp enable
 spanning-tree portfast trunk
!
interface Vlan1
no ip address
shutdown
!

!--- This is the IVLAN that is configured to intercept the traffic 
!--- destined to the secure port on which the inside port of the
!--- VPN service module is the only port present. 

interface Vlan100
 ip address 10.66.79.180 255.255.255.224
 crypto map cisco

!--- This is the secure port that is a virtual Layer 3 interface. 
!--- This interface purposely does not have a Layer 3 IP address 
!--- configured. This is normal for the BITW process. 
!--- The IP address  is moved from this interface to the VLAN 100 to
!--- accomplish BITW. This brings the VPN service module into
!--- the packet path.

!
ip classless
global (outside) 1 interface

!--- NAT 0 prevents NAT for networks specified in the ACL inside_nat0_outbound.


nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 192.168.6.0 255.255.255.0


!--- Configure the routing so that the device
!--- is directed to reach its destination network. 

ip route 0.0.0.0 0.0.0.0 10.66.79.161
!

!--- This access list (inside_nat0_outbound) is used with the nat zero command.
!--- This prevents traffic which matches the access list from undergoing
!--- network address translation (NAT).  The traffic specified by this ACL is 
!--- traffic that is to be encrypted and
!--- sent across the VPN tunnel.  This ACL is intentionally 
!--- the same as (100).
!--- Two separate access lists should always be used in this configuration.



access-list inside_nat0_outbound permit ip 192.168.5.0 0.0.0.255 192.168.6.0 0.0.0.255


!--- This is the crypto ACL. 

access-list 100 permit ip 192.168.5.0 0.0.0.255 192.168.6.0 0.0.0.255

Firewall PIX
SV2-8(config)# show run
: Saved
:
PIX Version 6.3(3)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
interface ethernet6 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
nameif ethernet3 intf3 security15
nameif ethernet4 intf4 security20
nameif ethernet5 intf5 security25
nameif ethernet6 intf6 security30
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname SV2-8
domain-name cisco.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names

!---  This is the traffic to the router.

access-list 100 permit ip 192.168.6.0 255.255.255.0 192.168.5.0 255.255.255.0 
access-list nonat permit ip 192.168.6.0 255.255.255.0 192.168.5.0 255.255.255.0 
pager lines 24
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
mtu intf6 1500
ip address outside 10.66.79.73 255.255.255.224
ip address inside 192.168.6.1 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
no ip address intf3
no ip address intf4
no ip address intf5
no ip address intf6
ip audit info action alarm
ip audit attack action alarm
no failover   
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address intf2
no failover ip address intf3
no failover ip address intf4
no failover ip address intf5
no failover ip address intf6
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list nonat
nat (inside) 1 192.168.6.0 255.255.255.0 0 0
route outside 0.0.0.0 0.0.0.0 10.66.79.65 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
aaa-server LOCAL protocol local 
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable

!---  These are IPSec policies.

sysopt connection permit-ipsec
crypto ipsec transform-set cisco esp-des esp-md5-hmac 
crypto map cisco 10 ipsec-isakmp
crypto map cisco 10 match address 100
crypto map cisco 10 set peer 10.66.79.180
crypto map cisco 10 set transform-set cisco
crypto map cisco interface outside

!---  These are IKE policies.

isakmp enable outside
isakmp key ******** address 10.66.79.180 netmask 255.255.255.255 
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption des
isakmp policy 1 hash md5
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:244c86c9beab00bda8f790502ca74db9
: end

Verificación

En esta sección encontrará información que le permitirá confirmar que su configuración funcione correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

  • muestre IPSec crypto sa — Muestra las configuraciones usadas por el IPSec actual SA.

  • show crypto isakmp sa — Muestra todas las IKE SAs actuales en un par.

  • show crypto vlan — Muestra el VLA N asociado a la configuración de criptografía.

  • show crypto eli — Muestra las estadísticas del módulo de servicio VPN.

Para más información sobre verificar y las localizaciones de averías del IPSec, refieren al Troubleshooting de IP Security - entendiendo y con los comandos debug.

Troubleshooting

Esta sección proporciona la información para resolver problemas su configuración.

Comandos para Troubleshooting

Nota: Antes de ejecutar un comando de depuración, consulte Información importante sobre comandos de depuración.

  • depuración crypto ipsec — Muestra los IPSec Negotiations de la Fase 2.

  • debug crypto isakmp — muestra las negociaciones ISAKMP para la fase 1.

  • debug crypto engine — muestra el tráfico codificado.

  • borre el isakmp crypto — Borra los SA relacionados con la fase 1.

  • borre el sa crypto — Borra los SA relacionados con la fase 2.

Para más información sobre verificar y las localizaciones de averías del IPSec, refieren al Troubleshooting de IP Security - entendiendo y con los comandos debug.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 26283