Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

PIX/ASA: VPN fácil con un PIX 515E como el servidor y ASA 5505 como el ejemplo de configuración del cliente (NEM)

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Traducción Manual (25 Agosto 2008) | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento proporciona una configuración de muestra para IPSec entre un Cisco PIX 515E y un Cisco Adaptive Security Appliance (ASA) 5505 que utilice Easy VPN con Network Extension Mode (NEM). Una solución Cisco Easy VPN consta de un servidor Easy VPN en el sitio principal y clientes hardware de Easy VPN en las oficinas remotas. Cisco ASA 5505 puede funcionar como cliente hardware de Cisco Easy VPN o como servidor de Cisco Easy VPN, conocido a veces como dispositivo de cabecera, pero no como ambos al mismo tiempo. Aquí, en nuestra topología, Cisco PIX 515E actúa como servidor Easy VPN y el ASA 5505 actúa como cliente hardware de Easy VPN (Cliente Hardware).

El hardware cliente fácil VPN soporta uno de dos modos de operación: Modo cliente o Modo de ampliación de la red (NEM). El modo de operación determina si los hosts detrás del hardware cliente fácil VPN son accesibles de la red para empresas sobre el túnel.

El modo cliente, también llamado modo del Port Address Translation (PAT), aísla todos los dispositivos en la red privada fácil del cliente VPN de ésos en la red para empresas. El cliente VPN fácil realiza la PALMADITA para todo el tráfico VPN para sus host interiores. La administración de IP Address no es ninguna requerida para la interfaz interior fácil del cliente VPN o los host interiores.

El NEM hace la interfaz interior y todo el routable de los host interiores a través de la red para empresas sobre el túnel. Los hosts en la red interna obtienen sus IP Addresses de una subred accesible (estáticamente o con el DHCP) que se preconfigure con los IP Address estáticos. La PALMADITA no se aplica al tráfico VPN en el NEM. Este modo no requiere una configuración VPN para cada cliente. El ASA 5505 configurado para el modo NEM soporta el lanzamiento del túnel automático. La configuración debe salvar el nombre del grupo, el nombre de usuario, y la contraseña.

Se inhabilita el lanzamiento del túnel automático si se habilita la autenticación segura de la unidad. La red y los direccionamientos en el lado privado del cliente VPN fácil se ocultan, y no se pueden acceder directamente.

El hardware cliente fácil VPN no tiene un modo predeterminado. Pero, si usted no especifica el modo en el Administrador de dispositivos de seguridad adaptante (ASDM), el ASDM selecciona automáticamente al modo cliente. Cuando usted configura el hardware cliente fácil VPN con el uso del CLI, usted debe especificar un modo.

Refiera al PIX/ASA 7.x VPN fácil con un ASA 5500 como el servidor y Cisco 871 como el ejemplo de la configuración VNP remota sencilla para más información sobre un escenario similar donde el Cisco 871 Router actúa como el Easy VPN Remote.

prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

  • Una comprensión básica de

    • IPSec

    • VPN fácil

    • ASA/PIX dispositivos de seguridad

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • El hardware cliente del Easy VPN Remote es un ASA 5505 que funciona con la versión 7.2(1) y posterior.

  • El Easy VPN Server es un PIX 515E que funciona con la versión 7.x y posterior.

Nota: La configuración del Easy VPN Server en este documento es aplicable a ambo PIX/ASA se ejecuta con la versión 7.x y posterior.

Nota: La configuración de cliente VPN fácil se soporta solamente en ASA 5505.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Antecedentes

Si usted utiliza una solución de VPN fácil, ésta simplifica el despliegue y la Administración de un VPN de estas maneras:

En este ejemplo de configuración, un túnel IPsec se configura con estos elementos:

  • Los hosts en los sitios remotos tienen que funcionar con no más el software cliente VPN.

  • Las políticas de seguridad residen en un servidor central y se avanzan a los clientes del hardware remoto cuando se establece una conexión VPN.

  • Pocos parámetros de la configuración necesitan ser fijados localmente, que minimiza la necesidad de la administración in situ.

Cuando está utilizado como hardware cliente fácil VPN, el ASA 5505 se puede también configurar para llevar a cabo los servicios básicos del Firewall, por ejemplo para proteger los dispositivos en un DMZ contra el acceso no autorizado. Pero, si el ASA 5505 se configura para funcionar como un hardware cliente fácil VPN, no puede establecer otros tipos de túneles. Por ejemplo, el ASA 5505 no puede funcionar simultáneamente como un hardware cliente fácil VPN y como un final de un despliegue de VPN entre iguales estándar

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Diagrama de la red

Cuando está configurado en el modo de extensión fácil de la red VPN, el ASA 5505 no oculta los IP Addresses de los host locales por la substitución de un IP Address público. Por lo tanto, los hosts en el otro lado de la conexión VPN pueden comunicar directamente con los hosts en la red local. Cuando usted configura el NEM, la red detrás del cliente VPN fácil no debe solapar su la red detrás del Easy VPN Server. La figura muestra una topología de red de muestra con el ASA 5505 que se ejecuta en el modo de ampliación de la red.

/image/gif/paws/98528/ezvpn-asa5505-515e-1.gif

Configuraciones

En este documento, se utilizan estas configuraciones:

Easy VPN Server (PIX 515E)
pixfirewall#write terminal
PIX Version 8.0(2)
!
hostname pixfirewall
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!

!--- Configure the outside and inside interfaces.

interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.20.20.1 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 172.22.1.1 255.255.255.0
!

!--- Output Suppressed

!
interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive


!--- This access list is used for a nat zero command that prevents 
!--- traffic, which matches the access list, so it does  
!--- not undergo network address translation (NAT).


access-list no-nat extended permit ip 172.22.1.0 255.255.255.0 172.16.1.0 255.255.255.0

!--- This access list is used to define the traffic 
!--- that should pass through the tunnel.
!--- It is bound to the group policy, which defines 
!--- a dynamic crypto map.

access-list ezvpn1 extended permit ip 172.22.1.0 255.255.255.0 172.16.1.0 255.255.255.0

pager lines 24
mtu outside 1500
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm-602.bin
no asdm history enable
arp timeout 14400



!--- Specify the NAT configuration.  
!--- NAT 0 prevents NAT for the ACL defined in this configuration.
!--- The nat 1 command specifies NAT for all other traffic.

global (outside) 1 interface
nat (inside) 0 access-list no-nat
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 10.20.20.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart




!--- PHASE 2 CONFIGURATION ---!
!--- The encryption types for Phase 2 are defined here.  
!--- A single DES encryption with
!--- the md5 hash algorithm is used.

crypto ipsec transform-set mySET esp-des esp-md5-hmac


!--- This command defines a dynamic crypto map 
!--- with the specified encryption settings.

crypto dynamic-map myDYN-MAP 5 set transform-set mySET


!--- This command binds the dynamic map to 
!--- the IPsec/ISAKMP process.

crypto map myMAP 60 ipsec-isakmp dynamic myDYN-MAP


!--- This command specifies the interface to be used  
!--- with the settings defined in this configuration.

crypto map myMAP interface outside


!--- PHASE 1 CONFIGURATION ---!

!--- This configuration uses isakmp policy 1.   
!--- Policy 65535 is included in the default
!--- configuration. These configuration commands  
!--- define the Phase 1 policies that are used.

crypto isakmp enable outside
crypto isakmp policy 1
 authentication pre-share
 encryption des
 hash md5
 group 2
 lifetime 86400
crypto isakmp policy 65535
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global


!--- This defines the group policy you use with Easy VPN.  
!--- Specify the networks that should pass through
!--- the tunnel and that you want to 
!--- use network extension mode.

group-policy myGROUP internal
group-policy myGROUP attributes
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value ezvpn1
 nem enable
 

!--- The username and password associated with 
!--- this VPN connection are defined here.  You
!--- can also use AAA for this function.

username cisco password 3USUcOPFUiMCO4Jk encrypted

!--- The tunnel-group commands bind the configurations 
!--- defined in this configuration to the tunnel that is
!--- used for Easy VPN.  This tunnel name is the one 
!--- specified on the remote side.

tunnel-group mytunnel type ipsec-ra
tunnel-group mytunnel general-attributes
 default-group-policy myGROUP
tunnel-group mytunnel ipsec-attributes

!--- The pre-shared-key used is "cisco".

 pre-shared-key *
prompt hostname context
Cryptochecksum:a16e3c19d5b2ab400151e0c13d26b074
: end

ASA 5505 - Hardware cliente del Easy VPN Remote
ciscoasa#write terminal
:
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 172.16.1.1 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 10.10.10.1 255.255.255.0
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/1
!


!--- Output Suppressed

!
interface Ethernet0/7
 shutdown
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400

!--- Set the standard NAT configuration.  
!--- Easy VPN provides the NAT exceptions needed.

global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 10.10.10.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0


!--- Easy VPN Client Configuration ---!
!--- Specify the IP address of the VPN server.

vpnclient server 10.20.20.1

!--- This example uses network extension mode.

vpnclient mode network-extension-mode

!--- Specify the group name and the pre-shared key.

vpnclient vpngroup mytunnel password ********

!--- Specify the authentication username and password.

vpnclient username cisco password ********

!--- In order to enable the device as hardware vpnclient, use this command.

vpnclient enable

threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!

!--- Output suppressed

!
service-policy global_policy global
prompt hostname context
Cryptochecksum:dfcc004fbc2988e4370226f8d592b205
: end

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilize el OIT para ver una análisis de la salida del comando show.

Comandos show del Easy VPN Server PIX y salida de muestra

  • muestre isakmp crypto sa — Este comando visualiza a todas las asociaciones de seguridad actuales del Internet Key Exchange (IKE) (SA) en un par.

    pixfirewall#show crypto isakmp sa
    
       Active SA: 1
        Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 10.10.10.1
        Type    : user            Role    : responder
        Rekey   : no              State   : AM_ACTIVE
  • muestre IPSec crypto sa — Este comando visualiza el SA de IPSec construido entre los pares.

    pixfirewall#show crypto ipsec sa
    interface: outside
       Crypto map tag: myDYN-MAP, seq num: 5, local addr: 10.20.20.1
    
         local ident (addr/mask/prot/port): (172.22.1.0/255.255.255.0/0/0)
         remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
         current_peer: 10.10.10.1, username: cisco
         dynamic allocated peer ip: 0.0.0.0
    
         #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
         #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
         #pkts compressed: 0, #pkts decompressed: 0
         #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
         #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
         #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
         #send errors: 0, #recv errors: 0
    
         local crypto endpt.: 10.20.20.1, remote crypto endpt.: 10.10.10.1
    
         path mtu 1500, ipsec overhead 58, media mtu 1500
         current outbound spi: 4DC131C7
    
       inbound esp sas:
         spi: 0x6F48BB47 (1867037511)
            transform: esp-des esp-md5-hmac none
            in use settings ={RA, Tunnel, }
            slot: 0, conn_id: 4096, crypto-map: myDYN-MAP
            sa timing: remaining key lifetime (sec): 28656
            IV size: 8 bytes
            replay detection support: Y
       outbound esp sas:
         spi: 0x4DC131C7 (1304506823)
            transform: esp-des esp-md5-hmac none
            in use settings ={RA, Tunnel, }
            slot: 0, conn_id: 4096, crypto-map: myDYN-MAP
            sa timing: remaining key lifetime (sec): 28656
            IV size: 8 bytes
            replay detection support: Y
    
       Crypto map tag: myDYN-MAP, seq num: 5, local addr: 10.20.20.1
    
         local ident (addr/mask/prot/port): (172.22.1.0/255.255.255.0/0/0)
         remote ident (addr/mask/prot/port): (10.10.10.1/255.255.255.255/0/0)
         current_peer: 10.10.10.1, username: cisco
         dynamic allocated peer ip: 0.0.0.0
    
         #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
         #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
         #pkts compressed: 0, #pkts decompressed: 0
         #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
         #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
         #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
         #send errors: 0, #recv errors: 0
    
         local crypto endpt.: 10.20.20.1, remote crypto endpt.: 10.10.10.1
    
         path mtu 1500, ipsec overhead 58, media mtu 1500
         current outbound spi: DC1F63B2
    
       inbound esp sas:
         spi: 0x5288CD4D (1384697165)
            transform: esp-des esp-md5-hmac none
            in use settings ={RA, Tunnel, }
            slot: 0, conn_id: 4096, crypto-map: myDYN-MAP
            sa timing: remaining key lifetime (sec): 28634
            IV size: 8 bytes
            replay detection support: Y
       outbound esp sas:
         spi: 0xDC1F63B2 (3693044658)
            transform: esp-des esp-md5-hmac none
            in use settings ={RA, Tunnel, }
            slot: 0, conn_id: 4096, crypto-map: myDYN-MAP
            sa timing: remaining key lifetime (sec): 28634
            IV size: 8 bytes
            replay detection support: Y
    
       Crypto map tag: myDYN-MAP, seq num: 5, local addr: 10.20.20.1
    
         local ident (addr/mask/prot/port): (10.20.20.1/255.255.255.255/0/0)
         remote ident (addr/mask/prot/port): (10.10.10.1/255.255.255.255/0/0)
         current_peer: 10.10.10.1, username: cisco
         dynamic allocated peer ip: 0.0.0.0
    
         #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
         #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
         #pkts compressed: 0, #pkts decompressed: 0
         #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
         #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
         #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
         #send errors: 0, #recv errors: 0
    
         local crypto endpt.: 10.20.20.1, remote crypto endpt.: 10.10.10.1
    
         path mtu 1500, ipsec overhead 58, media mtu 1500
         current outbound spi: CADED9A2
    
       inbound esp sas:
         spi: 0xD04E7073 (3494801523)
            transform: esp-des esp-md5-hmac none
            in use settings ={RA, Tunnel, }
            slot: 0, conn_id: 4096, crypto-map: myDYN-MAP
            sa timing: remaining key lifetime (sec): 28628
            IV size: 8 bytes
            replay detection support: Y
       outbound esp sas:
         spi: 0xCADED9A2 (3403602338)
            transform: esp-des esp-md5-hmac none
            in use settings ={RA, Tunnel, }
            slot: 0, conn_id: 4096, crypto-map: myDYN-MAP
            sa timing: remaining key lifetime (sec): 28628
            IV size: 8 bytes
            replay detection support: Y

Comandos show del hardware cliente del Easy VPN Remote PIX y salida de muestra

  • permiso vpnclient — Este comando habilita una conexión del Easy VPN Remote. En el Modo de ampliación de la red (NEM), el túnel está para arriba incluso cuando no hay tráfico interesante que se intercambiará por el Easy VPN Server del headend.

    ciscoasa(config)#vpnclient enable
    
  • muestre isakmp crypto sa — Este comando visualiza todo el IKE actual SA en un par.

    ciscoasa#show crypto isakmp sa
       Active SA: 1
        Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 10.20.20.1
        Type    : user            Role    : initiator
        Rekey   : no              State   : AM_ACTIVE
  • muestre IPSec crypto sa — Este comando visualiza el SA de IPSec construido entre los pares.

    ciscoasa#show crypto ipsec sa
    interface: outside
        Crypto map tag: _vpnc_cm, seq num: 10, local addr: 10.10.10.1
    
          access-list _vpnc_acl permit ip 172.16.1.0 255.255.255.0 172.22.1.0 255.25
    5.255.0
          local ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
          remote ident (addr/mask/prot/port): (172.22.1.0/255.255.255.0/0/0)
          current_peer: 10.20.20.1, username: 10.20.20.1
          dynamic allocated peer ip: 0.0.0.0
    
          #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
          #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
          #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
          #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 10.10.10.1, remote crypto endpt.: 10.20.20.1
    
          path mtu 1500, ipsec overhead 58, media mtu 1500
          current outbound spi: 6F48BB47
    
        inbound esp sas:
          spi: 0x4DC131C7 (1304506823)
             transform: esp-des esp-md5-hmac none
             in use settings ={RA, Tunnel, }
             slot: 0, conn_id: 4096, crypto-map: _vpnc_cm
             sa timing: remaining key lifetime (sec): 28786
             IV size: 8 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0x6F48BB47 (1867037511)
             transform: esp-des esp-md5-hmac none
             in use settings ={RA, Tunnel, }
             slot: 0, conn_id: 4096, crypto-map: _vpnc_cm
             sa timing: remaining key lifetime (sec): 28786
             IV size: 8 bytes
             replay detection support: Y
    
        Crypto map tag: _vpnc_cm, seq num: 10, local addr: 10.10.10.1
    
          access-list _vpnc_acl permit ip host 10.10.10.1 172.22.1.0 255.255.255.0
          local ident (addr/mask/prot/port): (10.10.10.1/255.255.255.255/0/0)
          remote ident (addr/mask/prot/port): (172.22.1.0/255.255.255.0/0/0)
          current_peer: 10.20.20.1, username: 10.20.20.1
          dynamic allocated peer ip: 0.0.0.0
    
          #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
          #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
          #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
          #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 10.10.10.1, remote crypto endpt.: 10.20.20.1
    
          path mtu 1500, ipsec overhead 58, media mtu 1500
          current outbound spi: 5288CD4D
    
        inbound esp sas:
          spi: 0xDC1F63B2 (3693044658)
             transform: esp-des esp-md5-hmac none
             in use settings ={RA, Tunnel, }
             slot: 0, conn_id: 4096, crypto-map: _vpnc_cm
             sa timing: remaining key lifetime (sec): 28759
             IV size: 8 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0x5288CD4D (1384697165)
             transform: esp-des esp-md5-hmac none
             in use settings ={RA, Tunnel, }
             slot: 0, conn_id: 4096, crypto-map: _vpnc_cm
             sa timing: remaining key lifetime (sec): 28759
             IV size: 8 bytes
             replay detection support: Y
    
        Crypto map tag: _vpnc_cm, seq num: 10, local addr: 10.10.10.1
    
          access-list _vpnc_acl permit ip host 10.10.10.1 host 10.20.20.1
          local ident (addr/mask/prot/port): (10.10.10.1/255.255.255.255/0/0)
          remote ident (addr/mask/prot/port): (10.20.20.1/255.255.255.255/0/0)
          current_peer: 10.20.20.1, username: 10.20.20.1
          dynamic allocated peer ip: 0.0.0.0
    
          #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
          #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
          #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
          #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 10.10.10.1, remote crypto endpt.: 10.20.20.1
    
          path mtu 1500, ipsec overhead 58, media mtu 1500
          current outbound spi: D04E7073
    
        inbound esp sas:
          spi: 0xCADED9A2 (3403602338)
             transform: esp-des esp-md5-hmac none
             in use settings ={RA, Tunnel, }
             slot: 0, conn_id: 4096, crypto-map: _vpnc_cm
             sa timing: remaining key lifetime (sec): 28752
             IV size: 8 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0xD04E7073 (3494801523)
             transform: esp-des esp-md5-hmac none
             in use settings ={RA, Tunnel, }
             slot: 0, conn_id: 4096, crypto-map: _vpnc_cm
             sa timing: remaining key lifetime (sec): 28752
             IV size: 8 bytes
             replay detection support: Y
  • show vpnclient — Este comando visualiza la información de la configuración del dispositivo del cliente VPN o del Easy VPN Remote.

    ciscoasa#show vpnclient
    
    LOCAL CONFIGURATION
    vpnclient server 10.20.20.1
    vpnclient mode network-extension-mode
    vpnclient vpngroup mytunnel password ********
    vpnclient username cisco password ********
    vpnclient enable
    
    DOWNLOADED DYNAMIC POLICY
    Current Server                     : 10.20.20.1
    PFS Enabled                        : No
    Secure Unit Authentication Enabled : No
    User Authentication Enabled        : No
    Split Tunnel Networks              : 172.22.1.0/255.255.255.0
    Backup Servers                     : None

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Si usted ha configurado el hardware cliente y el Easy VPN Server del Easy VPN Remote como este documento todavía describe y usted experimenta los problemas, recolecte la salida de los debugs de cada PIX y la salida de los comandos show para el análisis por el Soporte técnico de Cisco. Refiera a localizar averías el PIX para pasar el tráfico de datos en un túnel de IPSec establecido y el Troubleshooting de IP Security - entendiendo y con los comandos debug para más información. Habilite el debugging de IPSec en el PIX.

Estas secciones visualizan los comandos del PIX debug y la salida de muestra.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilize el OIT para ver una análisis de la salida del comando show.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

Comandos del Easy VPN Server

  • IPSec del debug crypto — Este comando visualiza los IPSec Negotiations de la fase 2.

  • isakmp del debug crypto — Este comando visualiza negociaciones ISAKMP de la fase 1.

Esto es una muestra de la salida:

pixfirewall#debug crypto isakmp 2
Aug 08 03:26:09 [IKEv1]: IP = 10.10.10.1, Connection lan
ded on tunnel_group mytunnel
Aug 08 03:26:09 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, Us
er (cisco) authenticated.
Aug 08 03:26:09 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, PH
ASE 1 COMPLETED
Aug 08 03:26:09 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, IK
E: requesting SPI!
Aug 08 03:26:09 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, Se
curity negotiation complete for User (cisco)  Responder, Inbound SPI = 0xe6b089b
7, Outbound SPI = 0xcb705206

Comandos del hardware cliente del Easy VPN Remote

  • IPSec del debug crypto — Este comando visualiza los IPSec Negotiations de la fase 2.

  • isakmp del debug crypto — Este comando visualiza negociaciones ISAKMP de la fase 1.

    ciscoasa#debug crypto isakmp 2
    
    Aug 08 14:16:09 [IKEv1]: IP = 10.20.20.1, Connection landed
     on tunnel_group 10.20.20.1
    Aug 08 14:16:09 [IKEv1]: IP = 10.20.20.1, Received encrypted packet with no matc
    hing SA, dropping
    Aug 08 14:16:09 [IKEv1]: IP = 10.20.20.1, Received encrypted packet with no matc
    hing SA, dropping
    Aug 08 14:16:09 [IKEv1]: IP = 10.20.20.1, Received encrypted packet with no matc
    hing SA, dropping
    Aug 08 14:16:10 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, PHASE 1 COMPLETED
    Aug 08 14:16:10 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, Security negotiati
    on complete for peer (10.20.20.1)  Initiator, Inbound SPI = 0xcb705206, Outbound
     SPI = 0xe6b089b7
    Aug 08 14:16:10 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, PHASE 2 COMPLETED
    (msgid=670ff816)
    Aug 08 14:16:10 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, IKE Initiator: New
     Phase 2, Intf inside, IKE Peer 10.20.20.1  local Proxy Address 172.16.1.0, remo
    te Proxy Address 172.22.1.0,  Crypto map (_vpnc_cm)
    Aug 08 14:16:10 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, Security negotiati
    on complete for peer (10.20.20.1)  Initiator, Inbound SPI = 0x3bfa93fb, Outbound
     SPI = 0x3b11bf8b
    Aug 08 14:16:10 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, PHASE 2 COMPLETED
    (msgid=29791739)
    Aug 08 14:16:13 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, IKE Initiator: New
     Phase 2, Intf NP Identity Ifc, IKE Peer 10.20.20.1  local Proxy Address 10.10.1
    0.1, remote Proxy Address 172.22.1.0,  Crypto map (_vpnc_cm)
    Aug 08 14:16:13 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, Security negotiati
    on complete for peer (10.20.20.1)  Initiator, Inbound SPI = 0xd329cacc, Outbound
     SPI = 0xdec3c1b6
    Aug 08 14:16:13 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, PHASE 2 COMPLETED
    (msgid=b303dbac)
    
    Aug 08 03:26:09 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, PH
    ASE 2 COMPLETED (msgid=670ff816)
    Aug 08 03:26:10 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, IK
    E: requesting SPI!
    Aug 08 03:26:10 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, Se
    curity negotiation complete for User (cisco)  Responder, Inbound SPI = 0x3b11bf8
    b, Outbound SPI = 0x3bfa93fb
    Aug 08 03:26:10 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, PH
    ASE 2 COMPLETED (msgid=29791739)
    Aug 08 03:26:12 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, IK
    E: requesting SPI!
    Aug 08 03:26:12 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, Se
    curity negotiation complete for User (cisco)  Responder, Inbound SPI = 0xdec3c1b
    6, Outbound SPI = 0xd329cacc
    Aug 08 03:26:12 [IKEv1]: Group = mytunnel, Username = cisco, IP = 10.10.10.1, PH
    ASE 2 COMPLETED (msgid=b303dbac)

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 98528