Administración de redes y automatización : Dispositivos de seguridad Cisco PIX de la serie 500

El PIX/ASA 7.x aumentó al Spoke-a-cliente VPN con autenticación de TACACS+ el ejemplo de configuración

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Traducción Manual (1 Mayo 2008) | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento describe cómo configurar sesiones LAN a LAN entre Dispositivos de Seguridad PIX, y también permite que un Cliente VPN acceda a la red spoke (PIX3) a través del hub (PIX1) con Cisco Secure ACS for Windows con autenticación TACACS+. Además, describe la configuración para un túnel LAN a LAN estático con VPN Client con conectividad de spoke a través del Dispositivo de Seguridad PIX del hub. La versión 7.0 de PIX mejora la compatibilidad de las comunicaciones VPN spoke al spoke. PIX 7.0 ofrece la posibilidad de que el tráfico cifrado entre y salga de la misma interfaz.

El comando same-security-traffic permite que el tráfico ingrese y que salga la misma interfaz cuando está utilizado con la palabra clave de la intra-interfaz, que habilita el soporte del spoke al spoke VPN. Refiera a la sección de permiso del tráfico de la Intra-interfaz en la guía del comando line configuration del dispositivo del Cisco Security para más información.

Nota: Para evitar solapar de los IP Addresses en la red, asigne el pool totalmente diverso de los IP Addresses al cliente VPN, por ejemplo, a 10.x.x.x, a 172.16.x.x, o a 192.168.x.x. Este esquema de IP Addressing ayuda a resolver problemas su red.

Nota: En la versión de PIX 7.2 y posterior, la palabra clave de la intra-interfaz permite que todo el tráfico ingrese y salga la misma interfaz y no apenas tráfico IPSec.

Nota: Este documento está para la configuración del PIX/ASA 7.x. Refiera a configurar el IPSec entre el concentrador y los PIX remotos con el cliente de VPN y autenticación extendida para aprender más sobre la configuración PIX 6.x.

Refiera al PIX/ASA 7.x y al cliente VPN para el Internet pública VPN en un ejemplo de configuración del palillo para aprender más sobre el escenario donde el eje de conexión PIX reorienta el tráfico del cliente VPN a Internet.

Refiera al túnel IPsec entre PIX 7.x y ejemplo de configuración concentrador VPN 3000 para aprender más sobre el escenario donde el túnel de LAN a LAN entre el PIX y el Concentrador VPN de Cisco.

Refiera al dispositivo de seguridad del PIX/ASA 7.x a un ejemplo de configuración del router IOS túnel ipsec de LAN a LAN para aprender más sobre el escenario donde el túnel de LAN a LAN entre el PIX/ASA y un router del½ del¿Â del Cisco IOSïÂ.

prerrequisitos

Requisitos

El dispositivo de seguridad del eje de conexión PIX necesita funcionar con la versión 7.0 o posterior.

Nota: Refiera a la guía para los usuarios del Cisco PIX 6.2 y 6.3 que actualizan a la versión de software 7.0 del Cisco PIX para más información sobre cómo actualizar el dispositivo de seguridad PIX a la versión 7.0.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Versión 7.0.1 (PIX1) del PIX-515

  • Versión 4.6.02.0011 del cliente VPN

  • Versión 6.3.4 (PIX3) del PIX-515

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Advertencias

Configurar

Esta sección le presenta con la información para utilizar para configurar las características que este documento describe.

Nota: Para encontrar la información adicional en los comandos que este documento utiliza, que utilice la herramienta de búsqueda de comandos (clientes registrados solamente).

Nota: Para una configuración VPN del LAN a LAN del dispositivo de seguridad 7.x PIX (L2L), usted debe especificar el <name> del grupo de túnel como la dirección IP del peer remoto en el comando del tipo ipsec-l2l del <name> del grupo de túnel para crear y manejar la base de datos de los expedientes conexión-específicos para el IPSec.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

/image/gif/paws/64693/pix70-enh-spk-client-vpn-11.gif

Nota: Los esquemas de direccionamiento IP usados en esta configuración no son legalmente enrutables en Internet. Son las direcciones RFC1918 que se han utilizado en un entorno de laboratorio.leavingcisco.com

Configuraciones

En este documento, se utilizan estas configuraciones:

PIX1
PIX Version 7.0(1) 
no names
!
interface Ethernet0
nameif outside
security-level 0
ip address 172.18.124.170 255.255.255.0 
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0 
!
interface Ethernet2
shutdown
nameif intf2
security-level 4
no ip address
!
interface Ethernet3
shutdown
nameif intf3
security-level 6
no ip address
!
interface Ethernet4
shutdown
nameif intf4
security-level 8
no ip address
!
interface Ethernet5
shutdown
nameif intf5
security-level 10
no ip address
!
enable password 9jNfZuG3TC5tCVH0 encrypted
passwd OnTrBUG1Tp0edmkr encrypted
hostname PIX1
domain-name cisco.com
boot system flash:/image.bin
ftp mode passive

!--- Command to permit IPsec traffic to enter and exit the same interface.

same-security-traffic permit intra-interface


!--- Access-list for interesting traffic to be encrypted between 
!--- the hub (PIX1) and spoke (PIX3) networks.

access-list 100 extended permit ip 10.10.10.0 255.255.255.0 10.11.10.0 255.255.255.0


!--- Access-list for interesting traffic to be encrypted 
!--- between the VPN Client networks and spoke (PIX3) networks. 

access-list 100 extended permit ip 192.168.10.0 255.255.255.0 10.11.10.0 255.255.255.0


!--- Access-list for interesting traffic to bypass the 
!--- Network Address Translation (NAT) process.

access-list nonat extended permit ip 10.10.10.0 255.255.255.0 10.11.10.0 255.255.255.0 
access-list nonat extended permit ip 10.10.10.0 255.255.255.0 192.168.10.0 255.255.255.0


!--- Standard access-list to allow split-tunnel for the VPN Clients.
 
access-list splittunnel standard permit 10.10.10.0 255.255.255.0 
access-list splittunnel standard permit 10.11.10.0 255.255.255.0 
pager lines 24
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500


!--- Address pool for the VPN Clients.

ip local pool vpnpool 192.168.10.1-192.168.10.254
no failover
monitor-interface outside
monitor-interface inside
monitor-interface intf2
monitor-interface intf3
monitor-interface intf4
monitor-interface intf5
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface


!--- Bypass NAT process for IPsec traffic.

nat (inside) 0 access-list nonat
nat (inside) 1 10.10.10.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius


!--- Configuration of TACACS+ server on the inside interface with server 
!--- tag name as mytacacs 

aaa-server mytacacs protocol tacacs+
aaa-server mytacacs (inside) host 10.10.10.100 key123 timeout 5



!--- Configuration of group-policy for VPN Clients.

group-policy clientgroup internal
group-policy clientgroup attributes
vpn-idle-timeout 20

!--- See Note 2.



!--- Enable and bind split-tunnel parameters to the group-policy.

split-tunnel-policy tunnelspecified
split-tunnel-network-list value splittunnel
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp


!--- Configuration of IPsec Phase 2.

crypto ipsec transform-set myset esp-3des esp-sha-hmac 


!--- Crypto map configuration for VPN Clients that connect to this PIX.

crypto dynamic-map rtpdynmap 20 set transform-set myset


!--- Crypto map configuration for a static LAN-to-LAN tunnel.

crypto map mymap 10 match address 100
crypto map mymap 10 set peer 172.20.77.10 
crypto map mymap 10 set transform-set myset


!--- Binding the dynamic map to the crypto map process.

crypto map mymap 20 ipsec-isakmp dynamic rtpdynmap


!--- Crypto map applied to the outside interface.

crypto map mymap interface outside
isakmp identity address 
isakmp enable outside


!--- Configuration of Internet Security Association and Key Management 
!--- Protocol (ISAKMP) policy.

isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
isakmp disconnect-notify
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 1
console timeout 0
tunnel-group DefaultRAGroup type ipsec-ra
tunnel-group DefaultRAGroup general-attributes
authentication-server-group none
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *


!--- Configuration of tunnel-group for the static LAN-to-LAN tunnel.
!--- See the second note in the Configure section
!--- of this document in order to configure tunnel-group.
!--- The tunnel group name must be the IP address of the remote peer.

tunnel-group 172.20.77.10 type ipsec-l2l
tunnel-group 172.20.77.10 ipsec-attributes


!--- Configuraiton of a pre-shared key for the static LAN-to-LAN tunnel.

pre-shared-key *


!--- Configuration of tunnel-group with group information for VPN Clients.

tunnel-group rtptacvpn type ipsec-ra


!--- Configuration of group parameters for the VPN Clients.

tunnel-group rtptacvpn general-attributes
address-pool vpnpool


!--- Enable user authentication.

authentication-server-group mytacacs
authorization-server-group LOCAL


!--- Bind group-policy parameters to the tunnel-group for VPN Clients.

default-group-policy clientgroup
tunnel-group rtptacvpn ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512 
inspect ftp 
inspect h323 h225 
inspect h323 ras 
inspect http 
inspect netbios 
inspect rsh 
inspect rtsp 
inspect skinny 
inspect esmtp 
inspect sqlnet 
inspect sunrpc 
inspect tftp 
inspect sip 
inspect xdmcp 
!
service-policy global_policy global
Cryptochecksum:646541da0da9a4c764effd2e05633018
: end

Nota 1: El comando sysopt connection permit-ipsec debe ser configurado para permitir a todas las IPSec entrante sesiones de cifrado autenticadas. En PIX 7.0, los comandos sysopt no aparecen en la configuración corriente. Para verificar si habilitan al comando sysopt connection permit-ipsec, ejecute el comando show running-config sysopt. Nota 2: Para que los clientes VPN conecten con el IPSec sobre el protocolo user data (UDP), configure esta salida en la sección de la grupo-directiva del Dispositivo de PIX.
group-policy clientgroup attributes
vpn-idle-timeout 20
ipsec-udp enable
ipsec-udp-port 10000
split-tunnel-policy tunnelspecified
split-tunnel-network-list value splittunnel
Nota 3: Para que los clientes VPN conecten con el IPSec sobre el TCP, configure este comando en la configuración global del Dispositivo de PIX.
 
isakmp ipsec-over-tcp port 10000

PIX3
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security4
nameif ethernet3 intf3 security6
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PIX3
domain-name cisco.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names

!--- Access-list for the encryption of traffic 
!--- between PIX3 and PIX1 networks.

access-list 100 permit ip 10.11.10.0 255.255.255.0 10.10.10.0 255.255.255.0


!--- Access-list for the encryption of traffic 
!--- between the PIX3 network and the VPN Client address pool.

access-list 100 permit ip 
-
10.11.10.0 255.255.255.0 192.168.10.0 255.255.255.0 


!--- Access-list used to bypass the NAT process.

access-list nonat permit ip 10.11.10.0 255.255.255.0 10.10.10.0 255.255.255.0 
access-list nonat permit ip 10.11.10.0 255.255.255.0 192.168.10.0 255.255.255.0 
pager lines 24
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 172.20.77.10 255.255.0.0
ip address inside 10.11.10.1 255.255.255.0
no ip address intf2
no ip address intf3
no ip address intf4
no ip address intf5
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address intf2
no failover ip address intf3
no failover ip address intf4
no failover ip address intf5
pdm history enable
arp timeout 14400
global (outside) 1 interface


!--- Bind ACL nonat to the NAT statement 
!--- in order to avoid NAT on the IPsec packets.

nat (inside) 0 access-list nonat
nat (inside) 1 10.11.10.0 255.255.255.0 0 0
route outside 0.0.0.0 0.0.0.0 172.20.77.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server TACACS+ max-failed-attempts 3 
aaa-server TACACS+ deadtime 10 
aaa-server RADIUS protocol radius 
aaa-server RADIUS max-failed-attempts 3 
aaa-server RADIUS deadtime 10 
aaa-server LOCAL protocol local 
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable


!--- Permits all inbound IPsec authenticated cipher sessions.

sysopt connection permit-ipsec


!--- Defines IPsec encryption and authentication algorithms.

crypto ipsec transform-set myset esp-3des esp-sha-hmac


!--- Defines crypto map.
 
crypto map mymap 10 ipsec-isakmp
crypto map mymap 10 match address 100
crypto map mymap 10 set peer 172.18.124.170
crypto map mymap 10 set transform-set myset


!--- Apply crypto map on the outside interface.

crypto map mymap interface outside
isakmp enable outside


!--- Defines the pre-shared secret key used for Internet Key Exchange (IKE) authentication.

isakmp key ******** address 172.18.124.170 netmask 255.255.255.0 no-xauth 
isakmp identity address


!--- Defines the ISAKMP policy. 

isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:cb5c245112db607e3a9a85328d1295db
: end

Configuración de cliente VPN

Complete estos pasos para crear una entrada de la nueva conexión en el cliente VPN.

  1. Ingrese el IP Address del host (IP Address externo del PIX1).

  2. Bajo lengueta de la autenticación, ingrese los atributos del grupo (nombre del grupo y contraseña según lo configurado en el Dispositivo de PIX).

    /image/gif/paws/64693/pix70-enh-spk-client-vpn-2.gif

  3. Conforme a la ficha del transportador, elija el método de Tunelización que usted quiere utilizar para la conexión de los clientes VPN. En esta configuración, el Tunelización del transporte del permiso se inhabilita para derecho conectividad IPSec.

    /image/gif/paws/64693/pix70-enh-spk-client-vpn-2.gif

  4. Salvaguardia del tecleo para salvar el perfil de la conexión configurado en el cliente VPN.

    pix70-enh-spk-client-vpn-4.gif

Servidor TACACS+

Para configurar el servidor TACACS+, complete estos pasos:

  1. El tecleo agrega la entrada para agregar una entrada para el PIX en la base de datos del servidor TACACS+.

    pix70-enh-spk-client-vpn-7.gif

  2. En la página del cliente AAA del agregar, ingrese la información PIX tal y como se muestra en de esta imagen:

    /image/gif/paws/64693/pix70-enh-spk-client-vpn-8.gif

    • En Nombre del host del cliente AAA el campo, ingrese un nombre para el PIX.

    • En el campo del IP Address del cliente AAA, ingrese 10.10.10.1.

    • En el campo clave, ingrese key123 como la clave secreta compartida.

    • De la autenticidad usando la lista desplegable, elija TACACS+ (Cisco IOS), y el tecleo somete.

  3. En el campo del usuario, ingrese el Nombre de usuario para el usuario de VPN en la base de datos segura de Cisco, y el tecleo agrega/edita.

    En este ejemplo, el Nombre de usuario es Cisco.

    /image/gif/paws/64693/pix70-enh-spk-client-vpn-9.gif

  4. En la página siguiente, ingrese y confirme la contraseña para el usuario Cisco.

    En este ejemplo, la contraseña es también Cisco.

    /image/gif/paws/64693/pix70-enh-spk-client-vpn-10.gif

  5. Si usted quiere asociar la cuenta de usuario a un grupo, completo que ahora camina. Cuando usted acaba, el tecleo somete.

Hairpinning o giro de 180 grados

Esta característica es útil para el tráfico VPN que ingrese una interfaz pero después se rutea fuera de esa misma interfaz. Por ejemplo, si usted tiene una red VPN del hub and spoke, donde está el concentrador el dispositivo de seguridad, y las redes VPN remotas son el spokes, el tráfico debe entrar el dispositivo de seguridad y entonces hacia fuera al otro spoke para que uno habló otra vez para comunicar con otro spoke.

Utilice la configuración del trafico de seguridad igual para permitir que el tráfico ingrese y que salga la misma interfaz.

securityappliance(config)# same-security-traffic permit intra-interface

Verificación

Esta sección proporciona información que puede utilizar para confirmar que su configuración funciona correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

  • show crypto isakmp sa : muestra todas las asociaciones de seguridad actuales IKE (SA) en un par.

  • muestre IPSec crypto sa — Visualiza todos los SA actuales.

Para probar la comunicación entre las dos redes privadas entre el PIX3 y el PIX1, inicie un ping a partir de la una de las redes privadas.

En esta configuración:

  • Para el LAN a LAN estático, un ping se envía de detrás la red del PIX3 (10.11.10.x) a la red del PIX1 (10.10.10.x).

  • Para que los clientes VPN accedan las redes detrás del PIX3, una asociación de seguridad debe ser construida del PIX3 al PIX1 para las redes del cliente VPN.

Verificación del PIX1
show crypto isakmp sa

 Active SA: 2
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 2

1 IKE Peer: 172.18.173.77
Type : user Role : responder 
Rekey : no State : AM_ACTIVE 
2 IKE Peer: 172.20.77.10
Type : L2L Role : responder 
Rekey : no State : MM_ACTIVE 



PIX1(config)#show crypto ipsec sa
interface: outside
Crypto map tag: rtpdynmap, local addr: 172.18.124.170

!--- IPsec SA for the connection between VPN Clients and the PIX1 network.

local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.10.1/255.255.255.255/0/0)
current_peer: 172.18.173.77
dynamic allocated peer ip: 192.168.10.1

#pkts encaps: 12, #pkts encrypt: 12, #pkts digest: 12
#pkts decaps: 12, #pkts decrypt: 12, #pkts verify: 12
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 12, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.18.124.170, remote crypto endpt.: 172.18.173.77

path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 1ECCB41D

inbound esp sas:
spi: 0x6C1615A7 (1813386663)
transform: esp-3des esp-sha-hmac 
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 5, crypto-map: rtpdynmap
sa timing: remaining key lifetime (sec): 28761
IV size: 8 bytes
replay detection support: Y


outbound esp sas:
spi: 0x1ECCB41D (516731933)
transform: esp-3des esp-sha-hmac 
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 5, crypto-map: rtpdynmap
sa timing: remaining key lifetime (sec): 28760
IV size: 8 bytes
replay detection support: Y

Crypto map tag: mymap, local addr: 172.18.124.170

!--- IPsec SA for connection between the VPN Clients network and PIX3 network.

local ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.11.10.0/255.255.255.0/0/0)
current_peer: 172.20.77.10

#pkts encaps: 8, #pkts encrypt: 8, #pkts digest: 8
#pkts decaps: 8, #pkts decrypt: 8, #pkts verify: 8
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 8, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.18.124.170, remote crypto endpt.: 172.20.77.10

path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 9EF2885C

inbound esp sas:
spi: 0x82E9BF07 (2196356871)
transform: esp-3des esp-sha-hmac 
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 4, crypto-map: mymap
sa timing: remaining key lifetime (kB/sec): (4274999/28786)
IV size: 8 bytes
replay detection support: Y
 

outbound esp sas:
spi: 0x9EF2885C (2666694748)
transform: esp-3des esp-sha-hmac 
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 4, crypto-map: mymap
sa timing: remaining key lifetime (kB/sec): (4274999/28786)
IV size: 8 bytes
replay detection support: Y

Crypto map tag: mymap, local addr: 172.18.124.170

!--- IPsec security association for a connection between 
!--- the PIX1 and PIX3 networks.

local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.11.10.0/255.255.255.0/0/0)
current_peer: 172.20.77.10

#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.18.124.170, remote crypto endpt.: 172.20.77.10

path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: C86585AB

inbound esp sas:
spi: 0x95604966 (2506115430)
transform: esp-3des esp-sha-hmac 
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 4, crypto-map: mymap
sa timing: remaining key lifetime (kB/sec): (4274999/28653)
IV size: 8 bytes
replay detection support: Y
 

outbound esp sas:
spi: 0xC86585AB (3362096555)
transform: esp-3des esp-sha-hmac 
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 4, crypto-map: mymap
sa timing: remaining key lifetime (kB/sec): (4274999/28652)
IV size: 8 bytes
replay detection support: Y

Verificación del PIX3
PIX3(config)#show crypto isakmp sa
Total : 1
Embryonic : 0
dst                         src                    state     pending     created
172.18.124.170 172.20.77.10 QM_IDLE         0             2
PIX3(config)#show crypto ipsec sa


interface: outside
Crypto map tag: mymap, local addr. 172.20.77.10

!--- IPsec security association for a connection between 
!--- the PIX3 and PIX1 networks.

local ident (addr/mask/prot/port): (10.11.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
current_peer: 172.18.124.170:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0

local crypto endpt.: 172.20.77.10, remote crypto endpt.: 172.18.124.170
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: 95604966

inbound esp sas:
spi: 0xc86585ab(3362096555)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 4, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28213)
IV size: 8 bytes
replay detection support: Y


inbound ah sas:


inbound pcp sas:


outbound esp sas:
spi: 0x95604966(2506115430)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 3, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28213)
IV size: 8 bytes
replay detection support: Y


outbound ah sas:


outbound pcp sas:



!--- IPsec security association for the connection between the VPN Client 
!--- network and PIX3 networks.

local ident (addr/mask/prot/port): (10.11.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0)
current_peer: 172.18.124.170:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 8, #pkts encrypt: 8, #pkts digest 8
#pkts decaps: 8, #pkts decrypt: 8, #pkts verify 8
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0

local crypto endpt.: 172.20.77.10, remote crypto endpt.: 172.18.124.170
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: 82e9bf07

inbound esp sas:
spi: 0x9ef2885c(2666694748)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28295)
IV size: 8 bytes
replay detection support: Y


inbound ah sas:


inbound pcp sas:


outbound esp sas:
spi: 0x82e9bf07(2196356871)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 1, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28295)
IV size: 8 bytes
replay detection support: Y


outbound ah sas:


outbound pcp sas:

Verificación del cliente VPN

Complete estos pasos para verificar al cliente VPN:

  1. Haga clic con el botón derecho del ratón en el icono del bloqueo del cliente VPN presente en la bandeja del sistema después de la conexión satisfactoria y elija la opción para estadísticas.

    Usted puede ver los detalles sobre la conexión de cliente VPN y el cifrado y el desciframiento de la información del paquete.

    pix70-enh-spk-client-vpn-5.gif

  2. Haga clic en la lengueta de los detalles de la ruta para verificar la lista de túnel dividido pasajera abajo del dispositivo de seguridad PIX.

    pix70-enh-spk-client-vpn-6.gif

Troubleshooting

Esta sección proporciona la información que usted puede utilizar para resolver problemas su configuración.

Comandos para resolución de problemas

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

  • clear crypto isakmp sa — Borra las asociaciones de seguridad de la fase 1 (SA).

  • clear crypto ipsec sa — Borra la fase 2 SA

  • debug crypto isakmp sa — Negociaciones ISAKMP SA de los debugs.

  • debug crypto ipsec sa — Negociaciones IPSec SA de los debugs.


Información Relacionada


Document ID: 64693