Routers : Routers de servicios integrados Cisco de la serie 1800

Ejemplo de configuración: Easy VPN

12 Abril 2008 - Traducción manual | Otras Versiones: PDFpdf 148 KB | Traducción Automática (9 Agosto 2011) | Inglés (14 Septiembre 2007) | Comentarios

Contenido

Ejemplo de configuración: Easy VPN

Contenido

Introducción

Antes de comenzar

Convenciones

Componentes utilizados

Productos relacionados

Configurar

Consejos de configuración

Diagrama de la red

Configuraciones

Verificar

Resolución de problemas

Comandos para resolución de problemas

Información relacionada

Ejemplo de configuración: Easy VPN


Este documento proporciona una configuración de ejemplo del Easy VPN (EzVPN), utilizando routers de las series 1800, 2800 y 3800 de Cisco.

Contenido

Introducción

Antes de comenzar

Configurar

Verificar

Resolución de problemas

Información relacionada

Introducción

Este documento proporciona un ejemplo de configuración del Easy VPN (o EzVPN) con las siguientes características:

Todo el tráfico entre dos sitios de sucursales cliente y la oficina central pasa a través de una red privada virtual (VPN) de túneles encriptados de seguridad IP (IPSec).

Entre las técnicas utilizadas se incluyen el intercambio de claves de Internet (IKE), la detección de pares inactivos (DPD), la tunelización dividida y la política de grupos en el servidor con información del servidor de nombres de dominio (DNS), información del Servicio de nombres de Internet de Windows (WINS), nombre del dominio y una agrupación de direcciones IP para los clientes.

La oficina central utiliza un concentrador EzVPN, un router de la serie 3800 de Cisco, con una interfaz ATM.

Una sucursal utiliza un router de la serie 2800 de Cisco y emplea un cliente EzVPN de modo de red con una interfaz serial, mientras que la otra utiliza un router de la serie 1800 de Cisco y un EzVPN de modo cliente con una interfaz SHDSL.

Los distintos comandos show muestran las configuraciones para el protocolo Asociación de seguridad en Internet y administración de claves (ISAKMP) y asociaciones de seguridad (SA) IPsec en el concentrador EzVPN, así como el estado de EzVPN de cliente IPSec en los clientes.

Lista de términos

ATM: Asynchronous Transfer Mode, modo de transferencia asíncrona. Protocolo de conmutación de conexión que organiza los datos en unidades de celda de 53 bytes, transmitiéndolos mediante señales digitales. Cada celda se procesa de manera asincrónica (de ahí el nombre) en relación con la transmisión o llegada de otras celdas dentro de un único mensaje. Las células también se ponen en lista de espera antes de ser transmitidas en estilo de multiplexión. ATM se puede utilizar para muchos servicios distintos, incluyendo voz, vídeo o datos.

DNS: Domain Name Server, servidor de nombres de dominio. Asigna nombres a direcciones de protocolo de Internet (IP) y direcciones a nombres. Los servidores de nombres de dominio mantienen listas de asignaciones de nombres de dominio y direcciones IP.

DPD: Dead peer detection, detección de pares inactivos. Implementación de una funcionalidad keepalive de cliente, para comprobar la disponibilidad del dispositivo VPN en el otro extremo de un túnel IPSec.

IKE: Internet Key Exchange, intercambio de claves de Internet. IKE establece una política de seguridad compartida y autentica claves para los servicios (como IPSec) que requieren claves. Antes de que el tráfico IPSec pueda pasar, cada router, firewall o host debe verificar la identidad de su par. Esto se puede hacer de forma manual introduciendo las claves precompartidas en ambos hosts o mediante un servicio de autoridad de certificación (CA).

IPSec: IP Security, seguridad IP. Marco de normas abiertas que proporciona confidencialidad, integridad y autenticación de datos entre los pares que participan. IPSec proporciona estos servicios de seguridad en la capa IP. IPSec utiliza IKE para gestionar la negociación de protocolos y algoritmos en función de la política local y para generar las claves de cifrado y autenticación que se utilizarán en IPSec. IPSec puede proteger uno o varios flujos de datos entre un par de hosts, entre un par de puertas de enlace de seguridad, o bien entre una puerta de enlace de seguridad y un host.

ISAKMP: Internet Security Association Key Management Protocol, protocolo Asociación de seguridad en Internet y administración de claves. Protocolo para el cifrado y la autenticación de intercambio de claves. ISAKMP requiere el intercambio de al menos un par de mensajes entre dos pares conectados por VPN antes de que se pueda establecer un enlace seguro.

NETBEUI: NetBIOS extended user interface, interfaz de usuario extendida de NetBios. Protocolo de transporte asociado a redes basadas en Microsoft. A diferencia de TCP/IP, NETBEUI no es un protocolo de red enrutable.

NetBIOS: Network Basic Input/Output System, sistema básico de entrada y salida de red. Protocolo de red de nivel bajo de par a par creada en la década del 80, NetBIOS enlaza sistemas operativos de red con hardware de la red. NetBIOS no es enrutable y se debe encapsular con TCP/IP para atravesar los routers.

SA: Security association, asociación de seguridad. Canal unidireccional negociado por IPSec, con un par de SA requeridas para la comunicación bilateral. Las SA se usan para indexar claves de sesiones y vectores de inicialización.

SHDSL: Symmetrical High-Speed Digital Subscriber Line, línea de abonado digital de alta velocidad simétrica. Implementación de DSL que opera a igual velocidad en ambos sentidos de transmisión, a intervalos de entre 192 kb/s y 2,3 Mb/s.

WINS: Windows Internet Naming Service, Servicio de nombres de Internet de Windows. Servicio en las redes basadas en Microsoft que convierte los nombres de host en direcciones IP. Si se usa el protocolo NETBEUI, también es compatible con NetBIOS.

Antes de comenzar

A continuación se detallan los requisitos para el uso de este ejemplo de configuración.

Convenciones

Para obtener más información sobre las convenciones del documento, consulte las Convenciones de consejos técnicos de Cisco .

Componentes utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

En la oficina central, un router 3845 de Cisco con un agrupamiento de Cisco CallManager y acceso ATM a Internet.

En la sucursal 1, un router 1841 de Cisco con una tarjeta de interfaz WIC-1SHDSL instalada y acceso DSL a Internet.

En la sucursal 2, un router 2811 de Cisco con una conexión de interfaz serial a Internet.

Para los routers de las series 1800 y 2800 de Cisco: versión 12.3(8)T4 del IOS de Cisco

Para los routers de la serie 3800: versión 12.3(11)T del IOS de Cisco

Conjunto de características de Advanced Enterprise Services (Servicio avanzado para empresas)

La información que se presenta en este documento es el resultado del uso de dispositivos en una configuración y entorno de laboratorio concretos. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración sin definir (predeterminada). Si está trabajando en una red en vivo, asegúrese de haber comprendido el impacto que puede tener un comando antes de ejecutarlo.

Productos relacionados

Esta configuración también se puede utilizar con el siguiente hardware:

Routers de la serie 1800 de Cisco

Routers de la serie 2800 de Cisco

Routers de la serie 3800 de Cisco

Configurar

Esta sección presenta la información para configurar las características descritas en este documento.


Nota Para obtener información adicional sobre los comandos empleados en este documento, utilice la herramienta Command Lookup del IOS de Cisco . Es necesario tener una cuenta en Cisco.com. Si no tiene una cuenta o ha olvidado su nombre de usuario o contraseña, haga clic en Cancel (Cancelar) en el cuadro de diálogo de registro y siga las instrucciones que aparecen.


Consejos de configuración

Asegúrese de que los túneles funcionen antes de aplicar los mapas de cifrado.

Aplique los mapas de cifrado IPSec tanto en la interfaz de túnel como en la interfaz física.

Diagrama de la red

Este documento utiliza la instalación de red que se muestra en la siguiente ilustración:

A continuación se incluyen los términos y definiciones del diagrama, identificados por números:

1. Ubicación de oficina central

6. Enlace DSL del router de la sucursal 1 a Internet

2. Enlace ATM del router de la oficina central a Internet

7. Enlace serial del router de la sucursal 2 a Internet

3. Túnel VPN a través de Internet a la sucursal 1

8. Ubicación de la sucursal 1

4. Túnel VPN a través de Internet a la sucursal 2

9. Ubicación de la sucursal 2

5. Internet, representada mediante la nube

 

La ubicación de la oficina central (1) utiliza un router 3845 de Cisco con las siguientes características:

Servidor EzVPN

Acceso ATM a Internet

Funcionamiento en un agrupamiento de Cisco CallManager

Dirección IP pública: 10.32.152.26

Agrupación de direcciones IP privadas: 192.168.1.0/24

La ubicación de la sucursal 1 (8) utiliza un router 1841 de Cisco con las siguientes características:

Cliente EzVPN en modo cliente

Acceso DSL a Internet

Tarjeta de interfaz WIC-1SHDSL instalada

Dirección IP pública: 10.32.152.46

Agrupación de direcciones IP privadas: 192.168.3.0/24

La ubicación de la sucursal 2 (9) utiliza un router 2811 de Cisco con las siguientes características:

Cliente EzVPN en modo red

Acceso serial a Internet

Dirección IP pública: 10.32.150.46

Agrupación de direcciones IP privadas: 192.168.3.1/24

Configuraciones

Este ejemplo utiliza las siguientes configuraciones:

Configuración de la oficina central (Router 3845 de Cisco)

Configuración del router de la sucursal 1 (Router 1841 de Cisco)

Configuración del router de la sucursal 2 (Router 2811 de Cisco)

Configuración de la oficina central (Router 3845 de Cisco)

EzVPN-Hub# show running-config

Building configuration...
Current configuration : 6824 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname EzVPN-Hub
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$t8oN$hXnGodPh8ZM/ka6k/9aO51
!
username admin secret 5 $1$cfjP$kKpB7e3pfKXfpK0RIqX/E.
username ezvpn-spoke2 secret 5 $1$vrSS$AhSPxEUnPOsSpJkGdzjXg/
username ezvpn-spoke1 secret 5 $1$VK0p$4D0YXNOtC6K7MR4/vinUL.

mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
aaa new-model
!
!
aaa authentication login USER_AAA local
aaa authentication login USERLIST local
aaa authorization network GROUP_AAA local
aaa session-id common
ip subnet-zero
!
ip cef
no ip domain lookup
ip domain name cisco.com
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
voice-card 0
 no dspfarm
!
!--- IKE configuration

!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp keepalive 90 12
!
crypto isakmp client configuration group VPN1
 acl SPLIT_T
 ip access-list extended SPLIT_T
 permit ip 192.168.0.0 0.0.255.255 any
 key cisco123
 dns 192.168.168.183 192.168.226.120
 wins 192.168.179.89 192.168.2.87
 domain cisco.com
 pool VPN-POOL
 save-password
!
!--- IPSec configuration

!
crypto ipsec transform-set TRANSFORM-1 esp-3des esp-md5-hmac
!
crypto dynamic-map INT_MAP 1
 set security-association lifetime kilobytes 530000000
 set security-association lifetime seconds 14400
 set transform-set TRANSFORM-1
!
!
crypto map INT_MAP client authentication list USER_AAA
crypto map INT_MAP isakmp authorization list GROUP_AAA
crypto map INT_MAP client configuration address respond
crypto map INT_MAP 30000 ipsec-isakmp dynamic INT_MAP
!
!
!
interface GigabitEthernet0/0
 no ip address
 shutdown
 duplex auto
 speed auto
 media-type rj45
 no negotiation auto
!
interface GigabitEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
 media-type rj45
 no negotiation auto
!
interface ATM0/0/0
 description === public interface ===
 ip address 10.32.152.26 255.255.255.252
 ip pim sparse-dense-mode
 ip ospf network point-to-point
 no atm ilmi-keepalive
 pvc 10/100
  protocol ip 10.32.152.25 broadcast
 !
 crypto map INT_MAP
!
interface FastEthernet4/0
 no ip address
 shutdown
!
interface FastEthernet4/1
 switchport access vlan 10
 no ip address
!
interface FastEthernet4/2
 switchport access vlan 10
 no ip address
!
interface FastEthernet4/3
 switchport access vlan 10
 no ip address
!
interface FastEthernet4/4
 switchport access vlan 10
 no ip address
!
interface FastEthernet4/5
 switchport access vlan 10
 no ip address
!
interface FastEthernet4/6
 switchport access vlan 10
 no ip address
!
interface FastEthernet4/7
 switchport access vlan 10
 no ip address
!
interface FastEthernet4/8
 switchport access vlan 10
 no ip address
!
interface FastEthernet4/9
 switchport access vlan 10
 no ip address
!
interface FastEthernet4/10
 switchport access vlan 10
 no ip address
!
interface FastEthernet4/11
 switchport access vlan 10
 no ip address
!
interface FastEthernet4/12
 switchport access vlan 10
 no ip address
!
interface FastEthernet4/13
 switchport access vlan 10
 no ip address
!
interface FastEthernet4/14
 switchport access vlan 10
 no ip address
!
interface FastEthernet4/15
 switchport access vlan 10
 no ip address
!
!-- Entries for FastEthernet 4/16 through 4/35 omitted for redundancy

!
interface GigabitEthernet4/0
 no ip address
 shutdown
!
interface GigabitEthernet4/1
 no ip address
 shutdown
!
interface Vlan1
 no ip address
!
interface Vlan10
 ip address 192.168.1.1 255.255.255.0
!
!
ip local pool VPN-POOL 10.1.1.1 10.1.1.10
ip classless
ip route 0.0.0.0 0.0.0.0 10.32.152.25
!
ip http server
no ip http secure-server
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
 login authentication USERLIST
!
!
end
!

Configuración del router de la sucursal 1 (Router 1841 de Cisco)

EzVPN-Spoke-1# show running-config

Building configuration...
.
.
Current configuration : 4252 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname EzVPN-Spoke-1
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 informational
enable secret 5 $1$b7.Q$Y2x1UXyRifSStbkH/YyrP.
!
username admin password 7 0519030B234D5C0617
memory-size iomem 20
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
aaa new-model
!
!
aaa authentication login USERLIST local
aaa session-id common
ip subnet-zero
ip cef
!
!
ip dhcp excluded-address 192.168.2.1
!
ip dhcp pool PRIVATE_DHCP
   import all
   network 192.168.2.0 255.255.255.0
   default-router 192.168.2.1
!
!
no ip domain lookup
ip domain name cisco.com
ip sap cache-timeout 30
ip ssh time-out 30
ip ids po max-events 100
no ftp-server write-enable
!
!--- IPSec configuration

!
crypto ipsec client ezvpn VPN1
 connect auto
 group VPN1 key cisco123
 mode client
 peer 10.32.152.26
 username ezvpn-spoke1 password  cisco1
!
interface FastEthernet0/0
 description === private interface ===
 ip address 192.168.2.1 255.255.255.0
 duplex auto
 speed auto
 crypto ipsec client ezvpn VPN1 inside
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface ATM0/1/0
 no ip address
 no atm ilmi-keepalive
 dsl equipment-type CPE
 dsl operating-mode GSHDSL symmetric annex A
 dsl linerate AUTO
 pvc 0/35
  encapsulation aal5snap
 !
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface Dialer0
 description === public interface ===
 ip address 10.32.152.46 255.255.255.252
 ip pim sparse-dense-mode
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 crypto ipsec client ezvpn VPN1
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.32.152.45
!
ip http server
no ip http secure-server
!
control-plane
!
line con 0
line aux 0
line vty 0 4
 login authentication USERLIST
!
!
end

Configuración del router de la sucursal 2 (Router 2811 de Cisco)

EzVPN-Spoke-2# show running-config

Building configuration...
.
Current configuration : 4068 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname EzVPN-Spoke-2
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$9BB/$KP4mHUWzUxzpuEPg5s7ow/
!
username admin password 7 10481A110C07
memory-size iomem 25
aaa new-model
!
!
aaa authentication login USERLIST local
aaa session-id common
ip subnet-zero
!
!
ip cef
ip dhcp excluded-address 192.168.3.1
!
ip dhcp pool PRIVATE_DHCP
   import all
   network 192.168.3.0 255.255.255.0
   default-router 192.168.3.1
!
!
no ip domain lookup
ip multicast-routing
ip ids po max-events 100
!
no ftp-server write-enable
voice-card 0
 no dspfarm
!
!--- IPSec configuration

!
crypto ipsec client ezvpn VPN1
 connect auto
 group VPN1 key cisco123
 mode network-extension
 peer 10.32.152.26
 username ezvpn-spoke2 password  cisco2
!
interface FastEthernet0/0
 description === private interface ===
 ip address 192.168.3.1 255.255.255.0
 duplex auto
 speed auto
 crypto ipsec client ezvpn VPN1 inside
!
interface FastEthernet0/1
 no ip address
 duplex auto
 speed auto
 shutdown
!
interface Serial0/0/0
 description === public interface ===
 ip address 10.32.150.46 255.255.255.252
 crypto ipsec client ezvpn VPN1
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.32.150.45
!
ip http server
no ip http secure-server
!
control-plane
!
dial-peer cor custom
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login authentication USERLIST
!
end

Verificar

Esta sección proporciona instrucciones para verificar el correcto funcionamiento de la configuración.

La herramienta Output Interpreter (sólo para clientes registrados) admite determinados comandos show, lo cual le permitirá ver un análisis del resultado del comando show. En resumen:

show crypto engine connections active: muestra los paquetes encriptados y desencriptados.

show crypto ipsec sa: muestra las asociaciones de seguridad de IPSec de fase 2 para el hub.

show crypto ipsec client ezvpn: muestra las asociaciones de seguridad de IPSec de fase 2 para el cliente EzVPN.

show crypto isakmp sa: muestra las asociaciones de seguridad ISAKMP de fase 1.

Uno de los primeros indicadores de que la negociación IPSec se ha realizado correctamente es un mensaje que se muestra en la consola de concentrador de red privada virtual (VPN). Cuando la negociación IPSec es correcta en los clientes EzVPN, aparece un mensaje similar al siguiente en la consola de concentrador VPN, indicando el establecimiento de conexiones cifradas con clientes EzVPN remotos.

EzVPN-Hub#

*Feb 23 10:33:10.663: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is UP  .  Peer
10.32.150.46:500       Id: VPN1
*Feb 23 10:33:37.439: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is UP  .  Peer
10.32.152.46:500       Id: VPN1

A continuación se muestra un resultado de ejemplo de los comandos show crypto ipsec sa y show crypto ipsec client ezvpn.

El siguiente es un ejemplo de resultado del comando show crypto ipsec sa, realizado con la configuración de la ubicación EzVPN Hub:

EzVPN-Hub# show crypto ipsec sa

interface: ATM0/0/0
    Crypto map tag: INT_MAP, local addr. 10.32.152.26

   protected vrf:
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   remote ident (addr/mask/prot/port): (10.1.1.3/255.255.255.255/0/0)
   current_peer: 10.32.152.46:500
     PERMIT, flags={}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 10.32.152.26, remote crypto endpt.: 10.32.152.46
     path mtu 4470, media mtu 4470
     current outbound spi: EBA2AC93

     inbound esp sas:
      spi: 0xDBEB20(14412576)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        slot: 0, conn id: 5131, flow_id: 11, crypto map: INT_MAP
        crypto engine type: Hardware, engine_id: 2
        sa timing: remaining key lifetime (k/sec): (4570368/14331)
        ike_cookies: 787F69F1 41C7488D 92A37C71 AE8FEC38
        IV size: 8 bytes
        replay detection support: Y

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xEBA2AC93(3953306771)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        slot: 0, conn id: 5132, flow_id: 12, crypto map: INT_MAP
        crypto engine type: Hardware, engine_id: 2
        sa timing: remaining key lifetime (k/sec): (4570368/14331)
        ike_cookies: 787F69F1 41C7488D 92A37C71 AE8FEC38
        IV size: 8 bytes
        replay detection support: Y

     outbound ah sas:

     outbound pcp sas:

   protected vrf:
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
   current_peer: 10.32.150.46:500
     PERMIT, flags={}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 10.32.152.26, remote crypto endpt.: 10.32.150.46
     path mtu 4470, media mtu 4470
     current outbound spi: 59C46762

     inbound esp sas:
      spi: 0xA9344358(2838774616)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        slot: 0, conn id: 5129, flow_id: 9, crypto map: INT_MAP
        crypto engine type: Hardware, engine_id: 2
        sa timing: remaining key lifetime (k/sec): (4574224/14292)
        ike_cookies: A479BC19 B6199FB9 E043AE83 9DECB0E8
        IV size: 8 bytes
        replay detection support: Y

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x59C46762(1506043746)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        slot: 0, conn id: 5130, flow_id: 10, crypto map: INT_MAP
        crypto engine type: Hardware, engine_id: 2
        sa timing: remaining key lifetime (k/sec): (4574224/14292)
        ike_cookies: A479BC19 B6199FB9 E043AE83 9DECB0E8
        IV size: 8 bytes
        replay detection support: Y

     outbound ah sas:

     outbound pcp sas:

El siguiente es un ejemplo de resultado del comando show crypto ipsec client ezvpn, realizado con la configuración de la ubicación EzVPN Spoke 1:

EzVPN-Spoke-1#show crypto ipsec client ezvpn

Easy VPN Remote Phase: 2

Tunnel name : VPN1
Inside interface list: FastEthernet0/0,
Outside interface: Dialer0
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 10.1.1.3
Mask: 255.255.255.255
DNS Primary: 192.168.168.183
DNS Secondary: 192.168.226.120
NBMS/WINS Primary: 192.168.179.89
NBMS/WINS Secondary: 192.168.2.87
Default Domain: cisco.com

El siguiente es un ejemplo de resultado del comando show crypto ipsec client ezvpn, realizado con la configuración de la ubicación EzVPN Spoke 2:

EzVPN-Spoke-2#show crypto ipsec client ezvpn

Easy VPN Remote Phase: 2

Tunnel name : VPN1
Inside interface list: FastEthernet0/0,
Outside interface: Serial0/0/0
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
DNS Primary: 192.168.168.183
DNS Secondary: 192.168.226.120
NBMS/WINS Primary: 192.168.179.89
NBMS/WINS Secondary: 192.168.2.87
Default Domain: cisco.com

Resolución de problemas

Esta sección proporciona información para la resolución de problemas de configuración.

Consulte las siguientes notas técnicas:

Resolución de problemas de seguridad de IP Información y uso de los comandos de depuración

Comandos para resolución de problemas


Nota Antes de ejecutar un comando debug, consulte Important Information on Debug Command (Información importante sobre comandos de depuración) .


Los siguientes comandos debug se deben ejecutar en ambos routers IPSec (pares). Las asociaciones de seguridad deben borrarse en ambos pares.

debug crypto engine: muestra información relacionada con el motor de criptografía, como cuándo el software del IOS de Cisco realiza operaciones de cifrado o descifrado.

debug crypto ipsec: muestra las negociaciones IPSec de la fase 2.

debug crypto ipsec client ezvpn: muestra la negociación del cliente EzVPN al concentrador VPN.

debug crypto isakmp: muestra las negociaciones ISAKMP de la fase 1.

clear crypto ipsec client ezvpn: borra una conexión EzVPN existente.

clear crypto isakmp: borra las asociaciones de seguridad para la fase 1.

clear crypto sa: borra las asociaciones de seguridad para la fase 2.

El siguiente es un ejemplo de salida para el comando debug crypto ipsec client ezvpn:

EzVPN-Spoke-1# debug crypto ipsec client ezvpn

*May 24 03:04:51.923: EZVPN(VPN1): New State: CONNECT_REQUIRED
!
!--- The following line shows the connection going down, not part of the debug output.

!
*May 24 03:04:51.923: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is DOWN.  Peer
10.32.152.26:500       Id: 10.32.152.26
!
!---Debug output resumes

!
*May 24 03:04:51.927: EZVPN(VPN1): Current State: CONNECT_REQUIRED
*May 24 03:04:51.927: EZVPN(VPN1): Event: CONNECT
*May 24 03:04:51.927: EZVPN(VPN1): ezvpn_connect_request
*May 24 03:04:51.927: EZVPN(VPN1): New State: READY
*May 24 03:04:51.999: EZVPN(VPN1): Current State: READY
*May 24 03:04:51.999: EZVPN(VPN1): Event: CONN_UP
*May 24 03:04:51.999: EZVPN(VPN1): ezvpn_conn_up 7F890E16 DB923EE3 67C9C0D2 7EE723AC
*May 24 03:04:51.999: EZVPN(VPN1): No state change
*May 24 03:04:52.007: EZVPN(VPN1): Current State: READY
*May 24 03:04:52.007: EZVPN(VPN1): Event: XAUTH_REQUEST
*May 24 03:04:52.007: EZVPN(VPN1): ezvpn_xauth_request
*May 24 03:04:52.007: EZVPN(VPN1): ezvpn_parse_xauth_msg
*May 24 03:04:52.007: EZVPN: Attributes sent in xauth request message:
*May 24 03:04:52.007:         XAUTH_USER_NAME_V2(VPN1):
*May 24 03:04:52.007:         XAUTH_USER_PASSWORD_V2(VPN1):
*May 24 03:04:52.007: EZVPN(VPN1): send saved username ezvpn-spoke1 and password <omitted>
*May 24 03:04:52.007: EZVPN(VPN1): New State: XAUTH_REQ
*May 24 03:04:52.007: EZVPN(VPN1): Current State: XAUTH_REQ
*May 24 03:04:52.007: EZVPN(VPN1): Event: XAUTH_REQ_INFO_READY
*May 24 03:04:52.007: EZVPN(VPN1): ezvpn_xauth_reply
*May 24 03:04:52.007:         XAUTH_USER_NAME_V2(VPN1): ezvpn-spoke1
*May 24 03:04:52.011:         XAUTH_USER_PASSWORD_V2(VPN1): <omitted>
*May 24 03:04:52.011: EZVPN(VPN1): New State: XAUTH_REPLIED
*May 24 03:04:52.023: EZVPN(VPN1): Current State: XAUTH_REPLIED
*May 24 03:04:52.023: EZVPN(VPN1): Event: XAUTH_STATUS
*May 24 03:04:52.023: EZVPN(VPN1): New State: READY
*May 24 03:04:52.039: EZVPN(VPN1): Current State: READY
*May 24 03:04:52.039: EZVPN(VPN1): Event: MODE_CONFIG_REPLY
*May 24 03:04:52.039: EZVPN(VPN1): ezvpn_mode_config
*May 24 03:04:52.039: EZVPN(VPN1): ezvpn_parse_mode_config_msg
*May 24 03:04:52.039: EZVPN: Attributes sent in message:
*May 24 03:04:52.039:         Address: 10.1.1.4
*May 24 03:04:52.039:         DNS Primary: 192.168.168.183
*May 24 03:04:52.039:         DNS Secondary: 192.168.226.120
*May 24 03:04:52.039:         NBMS/WINS Primary: 192.168.179.89
*May 24 03:04:52.039:         NBMS/WINS Secondary: 192.168.2.87
*May 24 03:04:52.039:         Split Tunnel List: 1
*May 24 03:04:52.039:               Address    : 192.168.0.0
*May 24 03:04:52.039:               Mask       : 255.255.0.0
*May 24 03:04:52.039:               Protocol   : 0x0
*May 24 03:04:52.039:               Source Port: 0
*May 24 03:04:52.039:               Dest Port  : 0
*May 24 03:04:52.039: EZVPN: Unknown/Unsupported Attr: SPLIT_DNS (0x7003)
*May 24 03:04:52.039:         Default Domain: cisco.com
*May 24 03:04:52.039:         Savepwd on
*May 24 03:04:52.039: EZVPN: Unknown/Unsupported Attr: BACKUP_SERVER (0x7009)
*May 24 03:04:52.039: EZVPN: Unknown/Unsupported Attr: APPLICATION_VERSION (0x7)
*May 24 03:04:52.039: EZVPN(VPN1): ezvpn_nat_config
*May 24 03:04:52.043: EZVPN(VPN1): New State: SS_OPEN
*May 24 03:04:52.047: EZVPN(VPN1): Current State: SS_OPEN
*May 24 03:04:52.047: EZVPN(VPN1): Event: SOCKET_READY
*May 24 03:04:52.047: EZVPN(VPN1): No state change
!
!--- The following line shows the connection coming up, not part of the debug output.

!
*May 24 03:04:52.075: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is UP  .  Peer
10.32.152.26:500       Id: 10.32.152.26
!
!---Debug output resumes

!
*May 24 03:04:52.079: EZVPN(VPN1): Current State: SS_OPEN
*May 24 03:04:52.079: EZVPN(VPN1): Event: MTU_CHANGED
*May 24 03:04:52.079: EZVPN(VPN1): No state change
*May 24 03:04:52.079: EZVPN(VPN1): Current State: SS_OPEN
*May 24 03:04:52.079: EZVPN(VPN1): Event: SOCKET_UP
*May 24 03:04:52.079: ezvpn_socket_up
*May 24 03:04:52.079: EZVPN(VPN1): New State: IPSEC_ACTIVE

Información relacionada

Cisco IOS Wide-Area Networking Configuration Guide (Guía de configuración de red de área ancha del IOS de Cisco)

Cisco IOS Dial Technologies Configuration Guide (Guía de configuración de tecnologías de marcación del IOS de Cisco)

Cisco IOS Security Configuration Guide (Guía de configuración de seguridad del IOS de Cisco)

Cisco IOS Interface and Hardware Component Configuration Guide (Guía de configuración de componentes de hardware y de interfaz del IOS de Cisco)

Centro de asistencia técnica de Cisco