Gateways universales y Servidores de acceso : Dispositivos de seguridad Cisco PIX de la serie 500

Ejemplo de configuración de VPN radial a radial mejorada para PIX/ASA 7.x

23 Junio 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (16 Octubre 2008) | Comentarios

Contenidos

Introducción
Requisitos previos
     Requisitos
     Componentes utilizados
     Convenciones
Configuración
     Diagrama de la red
     Configuraciones
     Bucle interno de conexión o cambio de sentido
Verificación
Resolución de problemas
     Comandos para resolución de problemas
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Este documento describe cómo configurar sesiones LAN a LAN entre dispositivos PIX Firewall. Muestra una configuración para túneles LAN a LAN dinámicos y estáticos con conectividad radial a radial a través del PIX Firewall concentrador. La versión 7.0 de PIX mejora la compatibilidad con las comunicaciones VPN radial a radial ya que ofrece la posibilidad de que el tráfico cifrado entre y salga de la misma interfaz.

El comando same-security-traffic permite que el tráfico entre y salga de la misma interfaz cuando se usa con la palabra clave intra-interface que activa la compatibilidad de VPN radial a radial. Consulte la sección "Permitting Intra-Interface Traffic" (Permitir el trafico en la interfaz interna) de Cisco Security Appliance Command Line Configuration Guide (Guía de configuración de la línea de comandos de la aplicación de seguridad de Cisco) para obtener más información.

Nota: en la versión 7.2 y posteriores del PIX, la palabra clave intra-interface permite que todo el tráfico, no únicamente el tráfico IPSec, entre y salga en la misma interfaz.

Requisitos previos

Requisitos

El PIX Firewall concentrador debe ejecutar la versión 7.0 o posterior del código.

Nota: consulte Guide for Cisco PIX 6.2 and 6.3 Users Upgrading to Cisco PIX Software Version 7.0 (Guía para usuarios de Cisco PIX 6.2 y 6.3 que actualizan a la versión 7.0 del software Cisco PIX) para obtener más información sobre cómo actualizar a la versión 7.0 de PIX Firewall.

Componentes utilizados

La información de este documento se basa en estas versiones de software y hardware:

  • PIX - 515 versión 7.0.1 (PIX1)

  • PIX - 501 versión 6.3.4 (PIX2)

  • PIX - 515 versión 6.3.4 (PIX3)

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está en producción, asegúrese de comprender el impacto que pueda tener cualquier comando.

Convenciones

Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos técnicos de Cisco) para obtener más información sobre las convenciones del documento.

Configuración

En esta sección se presenta la información que se puede utilizar para configurar las funciones descritas en este documento.

Nota: emplee la herramienta de búsqueda de comandos ( sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.

Nota: para la configuración de VPN LAN a LAN (L2L) de un dispositivo de seguridad PIX 7.x, debe especificar el <nombre> de los grupos de túneles como dirección IP de par remoto en el comando tunnel-group <name> type ipsec-l2l para crear y administrar la base de datos de registros específicos de conexión para IPSec.

Diagrama de la red

Este documento utiliza esta configuración de red:

enhance-vpn-pix70-1.gif

Nota: los esquemas de direccionamiento IP utilizados en esta configuración no son legalmente enrutables en Internet. Son direcciones RFC 1918 leavingcisco.com que se han utilizado en un entorno de laboratorio.

Configuraciones

Este documento usa estas configuraciones:

PIX1

PIX Version 7.0(1)
no names
!
interface Ethernet0
nameif outside
security-level 0
ip address 172.18.124.170 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!
interface Ethernet2
shutdown
nameif intf2
security-level 4
no ip address
!
interface Ethernet3
shutdown
nameif intf3
security-level 6
no ip address
!
interface Ethernet4
shutdown
nameif intf4
security-level 8
no ip address
!
interface Ethernet5
shutdown
nameif intf5
security-level 10
no ip address
!
enable password 9jNfZuG3TC5tCVH0 encrypted
passwd OnTrBUG1Tp0edmkr encrypted
hostname PIX1
domain-name cisco.com
boot system flash:/image.bin
ftp mode passive

                     !--- Utilice este comando para permitir que el tráfico entre y salga de la
!--- misma interfaz para el tráfico IPSec.
                  

                  same-security-traffic permit intra-interface

                  
                     !--- Lista de acceso para que el tráfico interesante se
!--- cifre entre las redes del concentrador y el radial (PIX3).
                  

                  access-list 100 extended permit ip 10.10.10.0 255.255.255.0 10.30.30.0 255.255.255.0

                  
                     !--- Lista de acceso para que el tráfico interesante se
!--- cifre entre las redes del concentrador (PIX2) y el radial (PIX3).
                  

                  access-list 100 extended permit ip 10.20.20.0 255.255.255.0 10.30.30.0 255.255.255.0

                  
                     !--- Lista de acceso para que el tráfico omita el proceso de traducción de direcciones de red (NAT).
                  

                  access-list nonat extended permit ip 10.10.10.0 255.255.255.0 10.30.30.0 255.255.255.0
access-list nonat extended permit ip 10.10.10.0 255.255.255.0 10.20.20.0 255.255.255.0
pager lines 24
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
no failover
monitor-interface outside
monitor-interface inside
monitor-interface intf2
monitor-interface intf3
monitor-interface intf4
monitor-interface intf5
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface

                     !--- Omita el proceso NAT para el tráfico IPSec.
                  

                  nat (inside) 0 access-list nonat
nat (inside) 1 10.10.10.0 255.255.255.0

                     !--- La gateway predeterminada para Internet.
                  
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp

                     !--- Configuración de IPSec, Fase 2.
                  

                  crypto ipsec transform-set myset esp-3des esp-sha-hmac

                  
                     !---Configuración de IPSec para el túnel LAN a LAN dinámico.
                  

                  crypto dynamic-map cisco 20 set transform-set myset

                  
                     !---Configuración de IPSec para el túnel LAN a LAN estático.
                  

                  crypto map mymap 10 match address 100
crypto map mymap 10 set peer 172.16.77.10
crypto map mymap 10 set transform-set myset

                  
                     !--- Configuración de IPSec que vincula la correspondencia dinámica a la correspondencia de criptografía.
                  

                  crypto map mymap 20 ipsec-isakmp dynamic cisco

                  
                     !--- Correspondencia de criptografía aplicada a la interfaz externa del PIX.
                  

                  crypto map mymap interface outside
isakmp identity address

                  
                     !--- Configuración de IPSec, Fase 1.
                  

                  isakmp enable outside

                  
                     !--- Configuración de la política ISAKMP.
                  

                  isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 1
console timeout 0

                     !--- Configuración de la política de grupo de túneles para
!--- túneles de acceso remoto (túneles dinámicos).
                  

                  tunnel-group DefaultRAGroup type ipsec-ra
tunnel-group DefaultRAGroup general-attributes

                  
                     !--- Inhabilite la autenticación grupal para túneles dinámicos de acceso remoto.
                  

                  authentication-server-group none
tunnel-group DefaultRAGroup ipsec-attributes

                  
                     !--- Define la clave secreta previamente compartida utilizada por la
!--- autenticación IKE para el túnel dinámico.
                  

                  pre-shared-key *

                  
                     !--- Configuración del grupo de túneles para el túnel LAN a LAN estático.
!--- El nombre del grupo de túneles DEBE ser la dirección IP del par remoto.
!--- El túnel falla si el grupo de túneles tiene otro nombre.
                  

                  tunnel-group 172.16.77.10 type ipsec-l2l
tunnel-group 172.16.77.10 ipsec-attributes

                  
                     !--- Define la clave secreta previamente compartida utilizada por la
!--- autenticación IKE para el túnel estático.
                  

                  pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect http
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:7167c0647778b77f8d1d2400d943b825

Nota: es necesario configurar el comando sysopt connection permit-ipsec para permitir todas las sesiones de cifrado autenticadas IPSec entrantes. En la versión PIX 7.0 del código, los comandos sysopt no se muestran en la configuración en ejecución. Para verificar si está habilitado el comando sysopt connection permit-ipsec, ejecute show running-config sysopt.

PIX2

PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PIX2
domain-name cisco.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names

                     !--- La lista de acceso para cifrar el tráfico entre las redes PIX2 y PIX1.
                  

                  access-list 100 permit ip 10.20.20.0 255.255.255.0 10.10.10.0 255.255.255.0

                  
                     !--- La lista de acceso para cifrar el tráfico entre las redes PIX2 y PIX3.
                  

                  access-list 100 permit ip 10.20.20.0 255.255.255.0 10.30.30.0 255.255.255.0

                  
                     !--- La lista de acceso para omitir el proceso NAT.
                  

                  access-list nonat permit ip 10.20.20.0 255.255.255.0 10.10.10.0 255.255.255.0
access-list nonat permit ip 10.20.20.0 255.255.255.0 10.30.30.0 255.255.255.0
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 172.18.124.172 255.255.255.0
ip address inside 10.20.20.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface

                     !--- Omita el proceso NAT para el tráfico IPSec.
                  

                  nat (inside) 0 access-list nonat
nat (inside) 1 10.20.20.0 255.255.255.0 0 0
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable

                     !--- Permita todas las sesiones de cifrado autenticadas IPSec internas.
                  

                  sysopt connection permit-ipsec

                  
                     !--- Define el cifrado IPSec y la autenticación de algoritmos.
                  

                  crypto ipsec transform-set myset esp-3des esp-sha-hmac

                  
                     !--- Define la correspondencia de criptografía.
                  

                  crypto map mymap 10 ipsec-isakmp
crypto map mymap 10 match address 100
crypto map mymap 10 set peer 172.18.124.170
crypto map mymap 10 set transform-set myset

                  
                     !--- Aplique la correspondencia de criptografía en la interfaz externa.
                  

                  crypto map mymap interface outside
isakmp enable outside

                  
                     !--- Define la clave secreta previamente compartida utilizada para la autenticación IKE.
                  

                  isakmp key ******** address 172.18.124.170 netmask 255.255.255.255 no-xauth
isakmp identity address

                  
                     !--- La configuración de la política ISAKMP.
                  

                  isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:fb2e89ab9da0ae93d69e345a4675ff38

PIX3

PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security4
nameif ethernet3 intf3 security6
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PIX3
domain-name cisco.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names

                     !--- La lista de acceso para cifrar el tráfico entre las redes PIX3 y PIX1.
                  

                  access-list 100 permit ip 10.30.30.0 255.255.255.0 10.10.10.0 255.255.255.0

                  
                     !--- La lista de acceso para cifrar el tráfico entre las redes PIX3 y PIX2.
                  

                  access-list 100 permit ip 10.30.30.0 255.255.255.0 10.20.20.0 255.255.255.0

                  
                     !--- La lista de acceso para omitir el proceso NAT.
                  

                  access-list nonat permit ip 10.30.30.0 255.255.255.0 10.10.10.0 255.255.255.0
access-list nonat permit ip 10.30.30.0 255.255.255.0 10.20.20.0 255.255.255.0
pager lines 24
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 172.16.77.10 255.255.-255.0
ip address inside 10.30.30.1 255.255.255.0
no ip address intf2
no ip address intf3
no ip address intf4
no ip address intf5
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address intf2
no failover ip address intf3
no failover ip address intf4
no failover ip address intf5
pdm history enable
arp timeout 14400
global (outside) 1 interface


                     !--- Vincula la ACL nonat a la sentencia NAT para
!--- evitar la traducción NAT en los paquetes IPSec.
                  

                  nat (inside) 0 access-list nonat
nat (inside) 1 10.30.30.0 255.255.255.0 0 0
route outside 0.0.0.0 0.0.0.0 172.16.77.1 1

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable

                     !--- Permite todas las sesiones de cifrado autenticadas IPSec internas.
                  

                  sysopt connection permit-ipsec

                  
                     !--- Define el cifrado IPSec y la autenticación de algoritmos.
                  

                  crypto ipsec transform-set myset esp-3des esp-sha-hmac

                  
                     !--- Define la correspondencia de criptografía.
                  .
crypto map mymap 10 ipsec-isakmp
crypto map mymap 10 match address 100
crypto map mymap 10 set peer 172.18.124.170
crypto map mymap 10 set transform-set myset

                  
                     !--- Aplica la correspondencia de criptografía en la interfaz externa.
                  

                  crypto map mymap interface outside
isakmp enable outside

                  
                     !--- Define la clave secreta previamente compartida utilizada para la autenticación IKE.
                  

                  isakmp key ******** address 172.18.124.170 netmask 255.255.255.0 no-xauth
isakmp identity address

                  
                     !---Define la política ISAKMP. 
                  

                  isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:cb5c245112db607e3a9a85328d1295db

Bucle interno de conexión o cambio de sentido

Esta función resulta útil para el tráfico VPN que entra en una interfaz pero que a continuación se enruta fuera de ella. Por ejemplo, si tiene una red VPN de concentrador y radial en la que el dispositivo de seguridad es el concentrador y las redes VPN remotas son los radiales, para que un radial se comunique con otro, el tráfico debe entrar en el dispositivo de seguridad y, a continuación, salir hasta el otro radial.

Utilice el comando same-security-traffic para permitir que el tráfico IPSec entre y salga en la misma interfaz.

securityappliance(config)#same-security-traffic permit intra-interface
         

Verificación

En esta sección encontrará información que puede utilizar para comprobar que la configuración funciona correctamente.

La herramienta intérprete de resultados ( sólo para clientes registrados) (OIT) admite algunos comandos show. Utilice OIT para ver un análisis de los resultados del comando show.

Para evaluar la comunicación entre las dos redes privadas PIX3 y PIX1, puede iniciar un ping desde una de ellas.

En esta configuración:

  • Para el túnel LAN a LAN estático, se envía el ping desde detrás de la red PIX3 (10.30.30.x) a la red PIX1 (10.10.10.x).

  • Para el túnel LAN a LAN dinámico, se envía el ping desde la red PIX2 (10.20.20.x) a la red PIX1 (10.10.10.x).

  • show crypto isakmp sa: muestra todas las asociaciones de seguridad (SA) IKE actuales de un par.

  • show crypto ipsec sa: muestra todas las SA actuales.

En esta sección se muestra un ejemplo de configuraciones de verificación para:

PIX1

                  show crypto isakmp sa

Active SA: 2
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 2

                     !--- Configuración del túnel LAN a LAN estático.
                  
1 IKE Peer: 172.16.77.10

                  Type: L2L Role : responder
Rekey : no State: MM_ACTIVE

                  
                     !--- Configuración del túnel LAN a LAN dinámico.
                  
2 IKE Peer: 172.18.124.172

                  Type: user Role: responder
Rekey : no State: MM_ACTIVE




PIX1(config)# show crypto ipsec sa
interface: outside
Crypto map tag: cisco, local addr: 172.18.124.170

                     !--- SA IPSec para redes entre PIX2 y PIX1.
                  

                  local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
current_peer: 172.18.124.172
dynamic allocated peer ip: 0.0.0.0

#pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9
#pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 9, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.18.124.170, remote crypto endpt.: 172.18.124.172

path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 2C4400C7

inbound esp sas:
spi: 0x6D29993F (1831442751)
transform: esp-3des esp-sha-hmac 
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 7, crypto-map: cisco
sa timing: remaining key lifetime (sec): 28413
IV size: 8 bytes
replay detection support: Y


outbound esp sas:
spi: 0x2C4400C7 (742654151)
transform: esp-3des esp-sha-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 7, crypto-map: cisco
sa timing: remaining key lifetime (sec): 28411
IV size: 8 bytes
replay detection support: Y


                     !--- SA IPSec para redes entre PIX2 y PIX3.
                  
Crypto map tag: cisco, local addr: 172.18.124.170

local ident (addr/mask/prot/port): (10.30.30.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
current_peer: 172.18.124.172
dynamic allocated peer ip: 0.0.0.0

#pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9
#pkts decaps: 13, #pkts decrypt: 13, #pkts verify: 13
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 9, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.18.124.170, remote crypto endpt.: 172.18.124.172

path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 9D40B1DC

inbound esp sas:
spi: 0xEE6F6479 (4000277625)
transform: esp-3des esp-sha-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 7, crypto-map: cisco
sa timing: remaining key lifetime (sec): 28777
IV size: 8 bytes
replay detection support: Y


outbound esp sas:
spi: 0x9D40B1DC (2638262748)
transform: esp-3des esp-sha-hmac
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 7, crypto-map: cisco
sa timing: remaining key lifetime (sec): 28777
IV size: 8 bytes
replay detection support: Y

Crypto map tag: mymap, local addr: 172.18.124.170

                     !--- SA IPSec para redes entre PIX3 y PIX1.
                  

                  local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.30.30.0/255.255.255.0/0/0)
current_peer: 172.16.77.10

#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.18.124.170, remote crypto endpt.: 172.16.77.10

path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: BE57D878

inbound esp sas:
spi: 0xAF25D7DB (2938492891)
transform: esp-3des esp-sha-hmac
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 6, crypto-map: mymap
sa timing: remaining key lifetime (kB/sec): (4274999/27145)
IV size: 8 bytes
replay detection support: Y


outbound esp sas:
spi: 0xBE57D878 (3193428088)
transform: esp-3des esp-sha-hmac
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 6, crypto-map: mymap
sa timing: remaining key lifetime (kB/sec): (4274999/27144)
IV size: 8 bytes
replay detection support: Y

Crypto map tag: cisco, local addr: 172.18.124.170

                     !--- SA IPSec para redes entre PIX2 y PIX3.
                  

                  local ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.30.30.0/255.255.255.0/0/0)
current_peer: 172.16.77.10

#pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9
#pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 9, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.18.124.170, remote crypto endpt.: 172.16.77.10

path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 963766A1

inbound esp sas:
spi: 0x1CD1B5B7 (483505591)
transform: esp-3des esp-sha-hmac
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 6, crypto-map: cisco
sa timing: remaining key lifetime (kB/sec): (4274999/28780)
IV size: 8 bytes
replay detection support: Y


outbound esp sas:
spi: 0x963766A1 (2520213153)
transform: esp-3des esp-sha-hmac
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 6, crypto-map: cisco
sa timing: remaining key lifetime (kB/sec): (4274999/28780)
IV size: 8 bytes
replay detection support: Y

PIX2

PIX2(config)#show crypto isakmp sa
Total : 1
Embryonic : 0
dst              src          state     pending created
172.18.124.170 172.18.124.172 QM_IDLE     0        2




PIX2(config)#show crypto ipsec sa


interface: outside
Crypto map tag: mymap, local addr. 172.18.124.172

                     !--- SA IPSec creada entre redes para PIX2 y PIX3.
                  

                  local ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.30.30.0/255.255.255.0/0/0)
current_peer: 172.18.124.170:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0

local crypto endpt.: 172.18.124.172, remote crypto endpt.: 172.18.124.170
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: 38cf2399

inbound esp sas:
spi: 0xb37404c2(3010725058)
transform: esp-3des esp-sha-hmac 
in use settings ={Tunnel, }
slot: 0, conn id: 4, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28765)
IV size: 8 bytes
replay detection support: Y


inbound ah sas:


inbound pcp sas:


outbound esp sas:
spi: 0x38cf2399(953099161)
transform: esp-3des esp-sha-hmac,
in use settings ={Tunnel, }
slot: 0, conn id: 3, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28765)
IV size: 8 bytes
replay detection support: Y


outbound ah sas:


outbound pcp sas:



                     !--- SA IPSec creada entre redes PIX1 y PIX2.
                  

                  local ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
current_peer: 172.18.124.170:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0

local crypto endpt.: 172.18.124.172, remote crypto endpt.: 172.18.124.170
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: fffd0c20

inbound esp sas:
spi: 0x1a2a994b(438999371)
transform: esp-3des esp-sha-hmac,
in use settings ={Tunnel, }
slot: 0, conn id: 1, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28717)
IV size: 8 bytes
replay detection support: Y


inbound ah sas:


inbound pcp sas:


outbound esp sas:
spi: 0xfffd0c20(4294773792)
transform: esp-3des esp-sha-hmac,
in use settings ={Tunnel, }
slot: 0, conn id: 2, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28717)
IV size: 8 bytes
replay detection support: Y


outbound ah sas:


outbound pcp sas:

PIX3

PIX3(config)#show crypto isakmp sa
Total : 1
Embryonic : 0
dst                src       state        pending     created
172.18.124.170 172.16.77.10  QM_IDLE         0             2




PIX3(config)#show crypto ipsec sa


interface: outside
Crypto map tag: mymap, local addr. 172.16.77.10

                     !--- SA IPSec creada entre redes PIX3 y PIX2.
                  

                  local ident (addr/mask/prot/port): (10.30.30.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
current_peer: 172.18.124.170:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 9, #pkts encrypt: 9, #pkts digest 9
#pkts decaps: 9, #pkts decrypt: 9, #pkts verify 9
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0

local crypto endpt.: 172.16.77.10, remote crypto endpt.: 172.18.124.170
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: 8282748

inbound esp sas:
spi: 0x28c9b70a(684308234)
transform: esp-3des esp-sha-hmac,
in use settings ={Tunnel, }
slot: 0, conn id: 1, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607998/28775)
IV size: 8 bytes
replay detection support: Y


inbound ah sas:


inbound pcp sas:


outbound esp sas:
spi: 0x8282748(136849224)
transform: esp-3des esp-sha-hmac,
in use settings ={Tunnel, }
slot: 0, conn id: 2, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28775)
IV size: 8 bytes
replay detection support: Y


outbound ah sas:


outbound pcp sas:



                     !--- SA IPSec creada entre redes PIX3 y PIX1.
                  

                  local ident (addr/mask/prot/port): (10.30.30.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
current_peer: 172.18.124.170:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0

local crypto endpt.: 172.16.77.10, remote crypto endpt.: 172.18.124.170
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: f415cec9

inbound esp sas:
spi: 0x12c5caf1(314952433)
transform: esp-3des esp-sha-hmac,
in use settings ={Tunnel, }
slot: 0, conn id: 3, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28763)
IV size: 8 bytes
replay detection support: Y


inbound ah sas:


inbound pcp sas:


outbound esp sas:
spi: 0xf415cec9(4095069897)
transform: esp-3des esp-sha-hmac,
in use settings ={Tunnel, }
slot: 0, conn id: 4, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28763)
IV size: 8 bytes
replay detection support: Y


outbound ah sas:


outbound pcp sas:

Resolución de problemas

En esta sección encontrará información que puede utilizar para la resolución de problemas de la configuración.

Comandos para resolución de problemas

Algunos comandos show son compatibles con la herramienta intérprete de resultados ( sólo para clientes registrados) , que permite ver un análisis del resultado del comando show.

Nota: consulte Important Information on Debug Commands (Información importante sobre los comandos de depuración) antes de ejecutar los comandos debug.

Ejecute los comandos PIX en el modo de configuración:

  • clear crypto isakmp sa: borra las SA de la fase 1

  • clear crypto ipsec sa : borra las SA de la fase 2

Los comandos debug para túneles VPN:

  • debug crypto isakmp sa: depura las negociaciones SA ISAKMP.

  • debug crypto ipsec sa: depura las negociaciones SA IPSec.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 64692