Безопасность : Устройства защиты Cisco PIX серии 500

PIX/ASA 7.x и более поздние: Пример конфигурации VPN/IPsec с OSPF

8 августа 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (14 октября 2008) | Отзыв

Содержание

Введение
Предварительные условия
     Требования
     Используемые компоненты
     Условные обозначения
Настройка
     Схема сети
     Конфигурации
     Настройка устройства защиты PIX/ASA версии 7.x
     Использование ASDM
     Активизация ввода обратной маршрутизации (RRI)
Проверка
     Просмотр журналов
Поиск и устранение неполадок
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

В данном документе представлен образец конфигурации для VPN/IPsec с первоочередным открытием кратчайших маршрутов (OSPF) в ПО устройства защиты Cisco PIX версии 7.x или в устройстве адаптивной защиты Cisco (ASA). С помощью PIX/ASA 7.x можно запустить одноадресную рассылку OSPF в существующем соединении VPN. Больше нет необходимости настраивать туннель общей инкапсуляции маршрутов (GRE).

Предварительные условия

Требования

Прежде чем выполнить данную конфигурацию, убедитесь, что можно установить соединение VPN.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Cisco 2500 с ПО Cisco IOS® версии 12.1 и более поздние

  • Cisco 2500 с ПО Cisco IOS версии 12.0 и более поздние

  • Устройство защиты ASA 5500 с ПО версии 7.x и более поздними

    Примечание. В PIX 500 версии 7.x/8.x работает то же ПО, что и в ASA 5500 версии 7.x/8.x. Конфигурации, указанные в данном документе, применимы к обеим линиям продуктов.

Данные для документа были получены в специально созданных лабораторных условиях. Все устройства, используемые в этом документе, были запущены в исходной (заданной по умолчанию) конфигурации. Если ваша сеть работает в реальных условиях, убедитесь, что вы понимаете потенциальное воздействие каждой команды.

Условные обозначения

Подробные сведения о применяемых в документе обозначениях см. в статье Условные обозначения, используемые в технической документации Cisco.

Настройка

В данном разделе приводятся сведения о конфигурации функций, описанных в данном документе.

Примечание. Для получения дополнительных сведений о командах, используемых в данном разделе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Схема сети

В данном документе используется следующая схема сети.

gre-ipsec-ospf-1.gif

Конфигурации

В данном документе используются следующие конфигурации:

Маршрутизатор слева

version 12.1
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Left
!
!
!
!
!
!
ip subnet-zero
ip tcp synwait-time 5
no ip domain-lookup
!
!
!
!
interface Loopback11
 ip address 11.11.11.11 255.255.255.0
!
interface Ethernet0
 ip address 10.10.10.2 255.255.255.0
 no keepalive
!
interface Serial0
 no ip address
 no keepalive
 no fair-queue
 ignore-dcd
!
interface Serial1
 no ip address
 shutdown
 ignore-dcd
!
interface BRI0
 no ip address
 shutdown
!
router ospf 11
 log-adjacency-changes
 network 10.10.10.0 0.0.0.255 area 0
 network 11.11.11.0 0.0.0.255 area 0
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.10.10.1
ip http server
!
logging trap debugging
logging 20.20.20.2
access-list 100 permit ip any any
access-list 101 permit ip any any
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 privilege level 15
 no login
!
end

Центральный маршрутизатор

version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Right
!
aaa new-model
aaa authentication login default group tacacs+ none
aaa authorization exec default group tacacs+ none
!
!
!
!
!
ip subnet-zero
no ip domain-lookup
!
cns event-service server
!
!
!
!
!
interface Loopback22
 ip address 22.22.22.22 255.255.255.0
 no ip directed-broadcast
!
interface Tunnel0
 no ip address
 no ip directed-broadcast
!
interface Ethernet0
 ip address 20.20.20.2 255.255.255.0
 no ip directed-broadcast
!
interface Serial0
 no ip address
 no ip directed-broadcast
 no ip mroute-cache
 shutdown
 no fair-queue
!
interface Serial1
 no ip address
 no ip directed-broadcast
 shutdown
!
interface Async1
 no ip address
 no ip directed-broadcast
 encapsulation ppp
!
router ospf 22
 log-adjacency-changes
 network 20.20.20.0 0.0.0.255 area 0
 network 22.22.22.0 0.0.0.255 area 0
!
ip classless
ip route 0.0.0.0 0.0.0.0 20.20.20.1
ip http server
!
!
!
line con 0
 transport input none
line 1 8
line aux 0
line vty 0 4
!
end

Настройка устройства защиты PIX/ASA версии 7.x

Можно использовать диспетчер устройств дополнительной защиты (ASDM; Advanced Security Device Manager), чтобы настроить устройство защиты PIX/ASA с помощью интерфейса командной строки (CLI) или GUI. Настройка в данном разделе представлена для локального ASA. Настройте удаленное ASA ("Remote") таким же образом. Необходимо настроить только различия в IP-адресации.

Войдите с консоли в PIX/ASA, чтобы настроить устройство защиты PIX/ASA версии 7.x. В очищенной конфигурации используйте интерактивные приглашения, чтобы включить ASDM GUI для управления PIX/ASA из рабочей станции 10.10.10.3.

Примечание. Если сосед OSPF не подключается, необходимо уменьшить максимальный размер передаваемого блока данных (MTU).

Начальная загрузка PIX/ASA-ASDM

Pre-configure Firewall now through interactive prompts [yes]? 
Firewall Mode [Routed]: 
Enable password [<use current password>]: cisco
Allow password recovery [yes]? 
Clock (UTC):
  Year [2006]: 
  Month [May]: 
  Day [25]: 
  Time [06:00:44]: 
Inside IP address: 10.10.10.1
Inside network mask: 255.255.255.0
Host name: Local
Domain name: cisco.com
IP address of host running Device Manager: 10.10.10.3

The following configuration will be used:
Enable password: cisco
Allow password recovery: yes
Clock (UTC): 06:00:44 May 25 2006
Firewall Mode: Routed
Inside IP address: 10.10.10.1
Inside network mask: 255.255.255.0
Host name: Local
Domain name: cisco.com
IP address of host running Device Manager: 10.10.10.3

Use this configuration and write to flash? yes
INFO: Security level for "inside" set to 100 by default.
Cryptochecksum: 34f55366 a32e232d ebc32ac1 3bfa201a 

969 bytes copied in 0.880 secs

Использование ASDM

Для настройки с помощью GUI ASDM выполните следующие действия:

  1. В рабочей станции 10.10.10.3 откройте браузер и используйте ASDM.

    В следующем примере используется https://10.10.10.1.

  2. В запросах сертификата нажмите Yes.

  3. Войдите в систему с помощью пароля для режима enable.

    Данный вход появляется в конфигурации PIX/ASA-ASDM Bootstrap.

  4. В приглашении выберите использование средства запуска ASDM или ASDM в качестве приложения Java.

    Данное приглашение отображается только при первом запуске ASDM на компьютере. В данном примере выбрано и установлено средство запуска ASDM.

  5. Перейдите к окну ASDM Home и выберите вкладку Configuration.

    gre-ipsec-ospf-2.gif

  6. Чтобы настроить внешний интерфейс, выберите Interface > Edit.

    gre-ipsec-ospf-3.gif

  7. Нажмите OK.

    gre-ipsec-ospf-4.gif

  8. Введите все данные интерфейса и после завершения нажмите кнопку OK.

    gre-ipsec-ospf-5.gif

  9. В диалоговом окне Security Level Change нажмите OK.

    gre-ipsec-ospf-6.gif

  10. Чтобы принять конфигурацию интерфейса, нажмите Apply.

    gre-ipsec-ospf-7.gif

    При этом данная конфигурация загружается также в PIX.

    Примечание. В этом примере используются статические маршруты.

  11. Выберите Features > Routing > Static Route и нажмите Add.

    gre-ipsec-ospf-8.gif

  12. Настройте шлюз по умолчанию и нажмите OK.

    gre-ipsec-ospf-9.gif

  13. Настройте статический хост для удаленного однорангового узла, чтобы избежать возможной рекурсивной маршрутизации при подключении OSPF, а потом нажмите OK.

    gre-ipsec-ospf-10.gif

  14. Чтобы принять конфигурацию маршрутизации, нажмите Apply.

    gre-ipsec-ospf-11.gif

    При этом данная конфигурация загружается также в PIX.

  15. Выберите Wizards > VPN Wizard, чтобы использовать мастер VPN и создать соединение LAN - LAN.

    gre-ipsec-ospf-12.gif

  16. В окне VPN Wizard нажмите Next, где по умолчанию выбрано Site-to-Site.

    gre-ipsec-ospf-13.gif

  17. Добавьте IP-адрес однорангового узла, имя туннельной группы (которое является IP-адресом) и сведения о предварительном общем ключе и нажмите Next.

    gre-ipsec-ospf-14.gif

  18. Добавьте тип шифрования, тип аутентификации, сведения о группе DH и нажмите Next.

    gre-ipsec-ospf-15.gif

  19. Добавьте сведения о параметрах IPsec: тип шифрования и тип аутентификации, и нажмите Next.

    gre-ipsec-ospf-16.gif

  20. Настройте сеть внутренних хостов. Чтобы переместить адрес в поле Selected Host/Networks в данном окне, нажмите Add. Щелкните Next по завершении.

    gre-ipsec-ospf-17.gif

  21. Настройте сеть внешних хостов. Чтобы переместить адрес в поле Selected Host/Networks в данном окне, нажмите Add. Щелкните Next по завершении.

    gre-ipsec-ospf-18.gif

  22. Просмотрите поле Summary для точности и нажмите Next.

    gre-ipsec-ospf-19.gif

  23. Чтобы проверить конфигурацию туннелей LAN - LAN, созданную с помощью мастера VPN, выберите Configuration > VPN.

    gre-ipsec-ospf-20.gif

  24. Создайте список доступа, чтобы позволить трафику OSPF проходить между VPN.

    Данный список доступа VPN предназначен для изученных маршрутов OSPF. Выберите Configuration > VPN.

    gre-ipsec-ospf-21.gif

  25. Выберите IPSec > IPSec Rules и нажмите Add.

    gre-ipsec-ospf-22.gif

  26. В данном окне добавьте данные о соседе OSPF (IP-адрес) и нажмите OK.

    Примечание. Убедитесь, что вы работаете на внешнем интерфейсе.

    gre-ipsec-ospf-23.gif

  27. Проверьте правильность сведений и нажмите Apply.

    gre-ipsec-ospf-24.gif

  28. Выберите Configuration > NAT и нажмите Translation Exemption Rules (правила исключения преобразований), чтобы проверить конфигурации преобразований сетевых адресов (NAT), созданные с помощью мастера VPN.

    gre-ipsec-ospf-25.gif

  29. Так как в данном примере используется NAT, снимите флажок для Enable traffic through the firewall without address translation (включить трафик через межсетевой экран без преобразования адресов), а потом нажмите Add. В следующем шаге настраивается правило NAT.

    gre-ipsec-ospf-26.gif

  30. Настройте исходную сеть. Нажмите Browse, чтобы определить адреса пулов NAT для внутреннего использования. А потом выберите outside (внешний) для преобразования адреса на интерфейсе и нажмите Manage Pools.

    gre-ipsec-ospf-27.gif

  31. Выберите outside интерфейс и нажмите Add.

    gre-ipsec-ospf-28.gif

  32. Так как в данном примере в преобразовании адресов портов (PAT) используется IP-адрес интерфейса, нажмите Port Address Translation (PAT) using the IP address of the interface (преобразование адресов портов (PAT) с помощью IP-адреса интерфейса).

    gre-ipsec-ospf-29.gif

  33. После настройки пулов PAT нажмите OK.

    gre-ipsec-ospf-30.gif

  34. В окне Add Address Translation Rule выберите Address Pool (пул адресов), который необходимо использовать в исходной сети.

    gre-ipsec-ospf-31.gif

  35. Нажмите OK. В данном окне отображены выходные данные конфигурации NAT.

    gre-ipsec-ospf-32.gif

  36. Нажмите Apply, чтобы сохранить данную конфигурацию.

    gre-ipsec-ospf-33.gif

  37. Выберите Configuration > Routing > OSPF > Setup, перейдите к вкладке Process Instances и установите флажок Enable this OSPF Process, чтобы установить OSPF на PIX.

    gre-ipsec-ospf-34.gif

  38. Выберите Area/Networks и нажмите Add.

    gre-ipsec-ospf-35.gif

  39. Введите IP-адрес и сетевую маску одной сети в поле OSPF process и нажмите OK (MD5 был выбран, чтобы отобразить его в качестве дополнительного элемента, но необязательного).

    gre-ipsec-ospf-36.gif

  40. Проверьте правильность сведений и нажмите Edit.

    gre-ipsec-ospf-37.gif

  41. Введите IP-адрес и сетевую маску второй сети и внешнего удаленного однорангового узла в поле OSPF process и нажмите OK.

    gre-ipsec-ospf-38.gif

  42. Проверьте правильность сведений и нажмите Apply.

    gre-ipsec-ospf-39.gif

  43. Выберите OSPF > Interface > Properties > Outside и нажмите Edit.

    gre-ipsec-ospf-40.gif

  44. Снимите флажок Broadcast на внешнем интерфейсе.

    Примечание. Это должна быть одноадресная рассылка.

    gre-ipsec-ospf-41.gif

  45. Проверьте столбец Broadcast для внешнего интерфейса, чтобы убедиться, что выбрано no и нажмите Apply.

    gre-ipsec-ospf-42.gif

  46. Выберите OSPF > Static Neighbor и нажмите Add.

    gre-ipsec-ospf-43.gif

  47. Введите IP-адрес в поле Neighbor и выберите outside (внешний) для интерфейса. Нажмите OK.

    gre-ipsec-ospf-44.gif

  48. Проверьте правильность сведений и нажмите Apply. Этим действием процесс настройки завершается.

    gre-ipsec-ospf-45.gif

Выберите File > Show Running Configuration in New Window, чтобы просмотреть конфигурацию CLI.

gre-ipsec-ospf-46.gif

Локальное ASA

ASA Version 7.X
no names
!
interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 30.30.30.1 255.255.255.0
!--- С помощью данной строки можно отправить одноадресную рассылку OSPF через туннель IPsec.

 ospf network point-to-point non-broadcast
!--- Данная строка является дополнительной и необязательной для работы OSPF.
!--- Включите данный параметр, только если необходимо включить дайджест MD5 для OSPF.

 ospf message-digest-key 10 md5 cisco
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 10.10.10.1 255.255.255.0
!
interface GigabitEthernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
enable password cisco encrypted
passwd cisco encrypted
hostname Local
ftp mode passive

!--- С помощью этих записей списков контроля доступа (ACL) определяется 
!--- необходимый трафик для шифрования IPsec, и данный трафик
!--- может обойти NAT. Заметьте, что OSPF разрешен только 
!--- в криптографическом ACL. 


same-security-traffic permit intra-interface
access-list nonat extended permit ip 10.10.10.0 255.255.255.0 20.20.20.0 255.255.255.0
access-list outside_cryptomap_10 extended permit ip 10.10.10.0 255.255.255.0 20.20.20.0 255.255.255.0
access-list outside_cryptomap_10 extended permit ospf interface outside host 40.40.40.2
pager lines 24
mtu outside 1500
mtu inside 1500
no failover
icmp permit any echo outside
icmp permit any echo-reply outside
icmp permit any echo inside
icmp permit any echo-reply inside
asdm image disk0:/asdm-502.bin
no asdm history enable
arp timeout 14400
global (outside) 10 interface


!--- Не преобразовывайте трафик с помощью NAT.


nat (inside) 0 access-list nonat
nat (inside) 10 10.10.10.0 255.255.255.0
!

!--- Это OSPF. 
!--- Примечание. Необходимо определить внешнюю сеть для удаленного однорангового узла.


router ospf 100
 network 10.10.10.0 255.255.255.0 area 0
 network 30.30.30.0 255.255.255.0 area 0
 network 40.40.40.0 255.255.255.0 area 0

!--- Вот таким образом для OSPF указывают, где находится 
!--- одноранговый узел.



 neighbor 40.40.40.2 interface outside
 log-adj-changes
!

!--- Это статический хост. Не всегда 
!--- необходимо, но рекомендуется предотвращать циклы рекурсивной маршрутизации, если 
!--- OSPF подключается через туннель IPsec. 





route outside 40.40.40.2 255.255.255.255 30.30.30.2 1
route outside 0.0.0.0 0.0.0.0 30.30.30.2 1

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00
h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.4.50 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp         

!--- Это конфигурация IPsec и IKE/ISAKMP. 
!--- Убедитесь, что присутствует основное соединение IPsec
!--- перед добавлением в OSPF. 


crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto map outside_map 10 match address outside_cryptomap_10
crypto map outside_map 10 set peer 40.40.40.2
crypto map outside_map 10 set transform-set myset
crypto map outside_map 10 set security-association lifetime seconds 86400
crypto map outside_map interface outside
isakmp identity address
isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400

telnet timeout 5
ssh timeout 5
console timeout 0



tunnel-group 40.40.40.2 type ipsec-l2l
tunnel-group 40.40.40.2 ipsec-attributes
 pre-shared-key cisco

class-map inspection_default
match default-inspection-traffic

policy-map asa_global_fw_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy asa_global_fw_policy global
Cryptochecksum:3d5f16a67ec0fa20aa3882acaa348e28
: end

Удаленное ASA

ASA Version 7.X
no names
!
interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 40.40.40.2 255.255.255.0
!--- С помощью данной строки можно отправить одноадресную рассылку OSPF через
!--- туннель IPsec.

 ospf network point-to-point non-broadcast
!--- Данная строка является дополнительной и необязательной для работы OSPF.
!--- Включите данный параметр, только если необходимо включить дайджест MD5 для OSPF.

 ospf message-digest-key 10 md5 cisco


!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 20.20.20.1 255.255.255.0
!
interface GigabitEthernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
enable password cisco encrypted
passwd cisco encrypted
hostname Remote
ftp mode passive

!--- С помощью данных записей ACL определяется необходимый трафик для шифрования IPsec, и данный трафик
!--- может обойти NAT. Примечание. OSPF разрешен только в криптографическом ACL.


same-security-traffic permit intra-interface
access-list nonat extended permit ip 20.20.20.0 255.255.255.0 10.10.10.0 255.255.255.0
access-list crypto extended permit ip 20.20.20.0 255.255.255.0 10.10.10.0 255.255.255.0
access-list crypto extended permit ospf interface outside host 30.30.30.1


pager lines 24
mtu outside 1500
mtu inside 1500
no failover
icmp permit any echo outside
icmp permit any echo-reply outside
icmp permit any echo inside
icmp permit any echo-reply inside
asdm image disk0:/asdm-502.bin
no asdm history enable
arp timeout 14400
global (outside) 20 interface


!--- Не преобразовывайте трафик с помощью NAT.

nat (inside) 0 access-list nonat
nat (inside) 20 20.20.20.0 255.255.255.0
!

!--- Это OSPF. 
!--- Примечание. Необходимо определить внешнюю сеть удаленного однорангового узла.


router ospf 100
 network 20.20.20.0 255.255.255.0 area 0
 network 30.30.30.0 255.255.255.0 area 0
 network 40.40.40.0 255.255.255.0 area 0

!--- Таким образом для OSPF указывают, где находится одноранговый узел.



 neighbor 30.30.30.1 interface outside
 log-adj-changes
!

!--- Это статический хост. Не всегда необходимо, но рекомендуется 
предотвращать циклы рекурсивной маршрутизации, если OSPF подключается через туннель IPsec.


route outside 0.0.0.0 0.0.0.0 40.40.40.1 1
route outside 30.30.30.1 255.255.255.255 40.40.40.1 1

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00
h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.4.50 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp         

!--- Это конфигурация IPsec. !--- Убедитесь, что присутствует основное соединение IPsec
!--- перед добавлением в OSPF. 


crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto map vpn 10 match address crypto
crypto map vpn 10 set peer 30.30.30.1
crypto map vpn 10 set transform-set myset
crypto map vpn interface outside

isakmp identity address
isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400

isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400


telnet timeout 5
ssh timeout 5
console timeout 0




tunnel-group 30.30.30.1 type ipsec-l2l
tunnel-group 30.30.30.1 ipsec-attributes
 pre-shared-key cisco

class-map inspection_default
match default-inspection-traffic

policy-map asa_global_fw_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy asa_global_fw_policy global
Cryptochecksum:3d5f16a67ec0fa20aa3882acaa348e28
: end

Включение ввода обратной маршрутизации (RRI; Reverse Route Injection)

Чтобы ввести сведения об удаленных сетях VPN LAN - LAN в сеть с OSPF, см. раздел Проверка правильности маршрутизации для конфигурации CLI и RRI сети между локальными сетями для конфигурации ASDM.

Проверка

Используйте этот раздел для того, чтобы подтвердить, что ваша конфигурация работает правильно.

Средство Интерпретатор выходных данных (только для зарегистрированных клиентов) (OIT) поддерживает некоторые команды show. Используйте OIT для просмотра аналитики выходных данных команды show.

  • logging buffer debugging – отображает установку и запрет соединений с хостами, которые проходят через PIX. Сведения хранятся в буфере журнала PIX. Можно увидеть выходные данные, если использовать команду show log.

Можно использовать ASDM, чтобы включить регистрацию и просматривать журналы:

  • show crypto isakmp sa – отображает сопоставление безопасности (SA) ассоциации безопасности Интернета и протокола управления ключами (ISAKMP), которое создано между одноранговыми узлами.

    Local#show crypto isakmp sa
    
    Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 40.40.40.2
        Type    : L2L             Role    : initiator
        Rekey   : no              State   : MM_ACTIVE
    
    
    Remote#show crypto isa sa
    
    Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 30.30.30.1
        Type    : L2L             Role    : responder
        Rekey   : no              State   : MM_ACTIVE
  • show crypto ipsec sa – отображает каждое созданное SA этапа 2 и количество отправленного трафика.

    Local#show crypto ipsec sa
    interface: outside
        Crypto map tag: vpn, local addr: 30.30.30.1
    
          local ident (addr/mask/prot/port): (30.30.30.1/255.255.255.255/89/0)
          remote ident (addr/mask/prot/port): (40.40.40.2/255.255.255.255/89/0)
          current_peer: 40.40.40.2
    
          #pkts encaps: 355, #pkts encrypt: 355, #pkts digest: 355
          #pkts decaps: 355, #pkts decrypt: 355, #pkts verify: 355
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 355, #pkts comp failed: 0, #pkts decomp failed: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 30.30.30.1, remote crypto endpt.: 40.40.40.2
    
          path mtu 1500, ipsec overhead 60, media mtu 1500
          current outbound spi: 83444440
    
        inbound esp sas:
          spi: 0xAE9AB30C (2929373964)
             transform: esp-3des esp-sha-hmac
             in use settings ={L2L, Tunnel, }
             slot: 0, conn_id: 1, crypto-map: vpn
             sa timing: remaining key lifetime (kB/sec): (3824976/25399)
             IV size: 8 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0x83444440 (2202289216)
             transform: esp-3des esp-sha-hmac
             in use settings ={L2L, Tunnel, }
             slot: 0, conn_id: 1, crypto-map: vpn
             sa timing: remaining key lifetime (kB/sec): (3824975/25396)
             IV size: 8 bytes
             replay detection support: Y
    
    
    Remote#show crypto ipsec sa
    interface: outside
        Crypto map tag: vpn, local addr: 40.40.40.2
    
          local ident (addr/mask/prot/port): (40.40.40.2/255.255.255.255/89/0)
          remote ident (addr/mask/prot/port): (30.30.30.1/255.255.255.255/89/0)
          current_peer: 30.30.30.1
    
          #pkts encaps: 364, #pkts encrypt: 364, #pkts digest: 364
          #pkts decaps: 364, #pkts decrypt: 364, #pkts verify: 364
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 364, #pkts comp failed: 0, #pkts decomp failed: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 40.40.40.2, remote crypto endpt.: 30.30.30.1
    
          path mtu 1500, ipsec overhead 60, media mtu 1500
          current outbound spi: AE9AB30C
    
        inbound esp sas:
          spi: 0x83444440 (2202289216)
             transform: esp-3des esp-sha-hmac
             in use settings ={L2L, Tunnel, }
             slot: 0, conn_id: 1, crypto-map: vpn
             sa timing: remaining key lifetime (kB/sec): (4274975/25301)
             IV size: 8 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0xAE9AB30C (2929373964)
             transform: esp-3des esp-sha-hmac
             in use settings ={L2L, Tunnel, }
             slot: 0, conn_id: 1, crypto-map: vpn
             sa timing: remaining key lifetime (kB/sec): (4274975/25300)
             IV size: 8 bytes
             replay detection support: Y
  • show ospf neighbor – отображает формирование отношений соседей OSPF.

    Local#show ospf neighbor
    Neighbor ID     Pri   State           Dead Time   Address         Interface
    40.40.40.2        1   FULL/  -        0:00:38     40.40.40.2      outside
    11.11.11.11       1   FULL/DR         0:00:33     10.10.10.2      inside
    
    Remote#show ospf neighbor
    Neighbor ID     Pri   State           Dead Time   Address         Interface
    30.30.30.1        1   FULL/  -        0:00:38     30.30.30.1      outside
    22.22.22.22       1   FULL/DR         0:00:38     20.20.20.2      inside
  • show debug – отображает выходные данные отладок.

    Local(config)#show debug
    debug crypto ipsec enabled at level 1
    debug crypto engine enabled at level 1
    debug crypto isakmp enabled at level 1
    
    May 25 12:49:21 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    IKE SA MM:ec9c234a rcv'd Terminate: state MM_ACTIVE  flags 0x0021c042, 
    ref2cnt 1, tuncnt 1
    May 25 12:49:21 [IKEv1 DEBUG]: sending delete/delete with reason message
    May 25 12:49:21 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing blank hash
    May 25 12:49:21 [IKEv1 DEBUG]: constructing IPSec delete payload
    May 25 12:49:21 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing qm hash
    May 25 12:49:21 [IKEv1]: IP = 40.40.40.2, IKE DECODE SENDING Message 
    (msgid=df6487d8) with payloads : HDR + HASH (8) + DELETE (12) + NONE 
    (0) total length : 64
    May 25 12:49:21 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Active unit receives a delete event for remote peer 40.40.40.2.
    
    May 25 12:49:21 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    IKE Deleting SA: Remote Proxy 40.40.40.2, Local Proxy 30.30.30.1
    May 25 12:49:21 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    IKE SA MM:ec9c234a terminating:  flags 0x0121c002, refcnt 0, tuncnt 0
    May 25 12:49:21 [IKEv1 DEBUG]: sending delete/delete with reason message
    May 25 12:49:21 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing blank hash
    May 25 12:49:21 [IKEv1 DEBUG]: constructing IKE delete payload
    May 25 12:49:21 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing qm hash
    May 25 12:49:21 [IKEv1]: IP = 40.40.40.2, IKE DECODE SENDING Message 
    (msgid=ec167928) with payloads : HDR + HASH (8) + DELETE (12) + NONE 
    (0) total length : 76
    May 25 12:49:21 [IKEv1 DEBUG]: pitcher: received key delete msg, spi 0x504ea964
    May 25 12:49:21 [IKEv1 DEBUG]: pitcher: received key delete msg, spi 0x79fbcb2d
    28-05-05-ASA5520-2(config)# May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, 
    processing SA payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Oakley proposal is acceptable
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, processing VID payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Received Fragmentation VID
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, IKE Peer included IKE 
    fragmentation capability flags:  Main Mode:        True  Aggressive Mode:  True
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, processing IKE SA
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, IKE SA Proposal # 1, 
    Transform # 1 acceptable  Matches global IKE entry # 3
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, constructing ISA_SA for isakmp
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, constructing Fragmentation 
    VID + extended capabilities payload
    May 25 12:49:39 [IKEv1]: IP = 40.40.40.2, IKE DECODE SENDING Message 
    (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + NONE (0) total 
    length : 108
    May 25 12:49:39 [IKEv1]: IP = 40.40.40.2, IKE DECODE RECEIVED Message 
    (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR 
    (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 256
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, processing ke payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, processing ISA_KE
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, processing nonce payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, processing VID payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Received Cisco Unity client VID
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, processing VID payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Received xauth V6 VID
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, processing VID payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Processing VPN3000/ASA 
    spoofing IOS Vendor ID payload (version: 1.0.0, capabilities: 20000001)
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, processing VID payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Received Altiga/Cisco 
    VPN3000/Cisco ASA GW VID
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, constructing ke payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, constructing nonce payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, constructing Cisco Unity 
    VID payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, constructing xauth V6 VID payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Send IOS VID
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Constructing ASA spoofing IOS 
    Vendor ID payload (version: 1.0.0, capabilities: 20000001)
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, constructing VID payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Send Altiga/Cisco 
    VPN3000/Cisco ASA GW VID
    May 25 12:49:39 [IKEv1]: IP = 40.40.40.2, Connection landed on tunnel_group 
    40.40.40.2
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Generating keys for Responder...
    May 25 12:49:39 [IKEv1]: IP = 40.40.40.2, IKE DECODE SENDING Message 
    (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + 
    VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 256
    May 25 12:49:39 [IKEv1]: IP = 40.40.40.2, IKE DECODE RECEIVED Message 
    (msgid=0) with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (14) 
    + VENDOR (13) + NONE (0) total length : 92
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Processing ID
    May 25 12:49:39 [IKEv1 DECODE]: ID_IPV4_ADDR ID received
    40.40.40.2
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    processing hash
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    computing hash
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Processing IOS keep 
    alive payload: proposal=32767/32767 sec.
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    processing VID payload
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Received DPD VID
    May 25 12:49:39 [IKEv1]: IP = 40.40.40.2, Connection landed on 
    tunnel_group 40.40.40.2
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing ID
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    construct hash payload
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    computing hash
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Constructing IOS 
    keep alive payload: proposal=32767/32767 sec.
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing dpd vid payload
    May 25 12:49:39 [IKEv1]: IP = 40.40.40.2, IKE DECODE SENDING 
    Message (msgid=0) with payloads : HDR + ID (5) + HASH (8) + 
    IOS KEEPALIVE (14) + VENDOR (13) + NONE (0) total length : 92
    May 25 12:49:39 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    PHASE 1 COMPLETED
    May 25 12:49:39 [IKEv1]: IP = 40.40.40.2, Keep-alive type for 
    this connection: DPD
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Starting phase 1 rekey timer: 73440000 (ms)
    May 25 12:49:39 [IKEv1 DECODE]: IP = 40.40.40.2, IKE Responder starting 
    QM: msg id = 0529ac6b
    May 25 12:49:39 [IKEv1]: IP = 40.40.40.2, IKE DECODE RECEIVED Message 
    (msgid=529ac6b) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) 
    + ID (5) + ID (5) + NOTIFY (11) + NONE (0) total length : 184
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    processing hash
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    processing SA payload
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    processing nonce payload
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Processing ID
    May 25 12:49:39 [IKEv1 DECODE]: ID_IPV4_ADDR ID received
    40.40.40.2
    May 25 12:49:39 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Received remote Proxy Host data in ID Payload:  Address 40.40.40.2, 
    Protocol 89, Port 0
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Processing ID
    May 25 12:49:39 [IKEv1 DECODE]: ID_IPV4_ADDR ID received
    30.30.30.1
    May 25 12:49:39 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Received local Proxy Host data in ID Payload:  Address 30.30.30.1, 
    Protocol 89, Port 0
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Processing Notify payload
    May 25 12:49:39 [IKEv1]: QM IsRekeyed old sa not found by addr
    May 25 12:49:39 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Static Crypto Map check, checking map = vpn, seq = 10...
    May 25 12:49:39 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Static Crypto Map check, map vpn, seq = 10 is a successful match
    May 25 12:49:39 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    IKE Remote Peer configured for SA: vpn
    May 25 12:49:39 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    processing IPSEC SA
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    IPSec SA Proposal # 1, Transform # 1 acceptable  Matches global 
    IPSec SA entry # 10
    May 25 12:49:39 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    IKE: requesting SPI!
    May 25 12:49:39 [IKEv1]: Received unexpected event 
    EV_ACTIVATE_NEW_SA in state MM_ACTIVE
    May 25 12:49:40 [IKEv1 DEBUG]: IKE got SPI from key engine: SPI = 0xf629186e
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    oakley constucting quick mode
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing blank hash
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing ISA_SA for ipsec
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing ipsec nonce payload
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing proxy ID
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Transmitting Proxy Id:
      Remote host: 40.40.40.2  Protocol 89  Port 0
      Local host:  30.30.30.1  Protocol 89  Port 0
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing qm hash
    May 25 12:49:40 [IKEv1 DECODE]: IKE Responder sending 2nd QM pkt: 
    msg id = 0529ac6b
    May 25 12:49:40 [IKEv1]: IP = 40.40.40.2, IKE DECODE SENDING Message 
    (msgid=529ac6b) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) 
    + ID (5) + ID (5) + NONE (0) total length : 156
    May 25 12:49:40 [IKEv1]: IP = 40.40.40.2, IKE DECODE RECEIVED Message 
    (msgid=529ac6b) with payloads : HDR + HASH (8) + NONE (0) total length : 48
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    processing hash
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    loading all IPSEC SAs
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Generating Quick Mode Key!
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Generating Quick Mode Key!
    May 25 12:49:40 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Security negotiation complete for LAN-to-LAN Group (40.40.40.2)  
    Responder, Inbound SPI = 0xf629186e, Outbound SPI = 0x524e01e4
    May 25 12:49:40 [IKEv1 DEBUG]: IKE got a KEY_ADD msg for SA: SPI = 0x524e01e4
    May 25 12:49:40 [IKEv1 DEBUG]: pitcher: rcv KEY_UPDATE, spi 0xf629186e
    May 25 12:49:40 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Starting P2 Rekey timer to expire in 24480 seconds
    May 25 12:49:40 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    PHASE 2 COMPLETED (msgid=0529ac6b)

Проверьте, что соединение LAN - LAN передает маршрутируемый трафик, проверив маршрутизаторы:

  • show ip route – отображает записи таблиц IP-маршрутизации.

    Left#show ip route
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route
    
    Gateway of last resort is 10.10.10.1 to network 0.0.0.0
    
         20.0.0.0/24 is subnetted, 1 subnets
    O       20.20.20.0 [110/30] via 10.10.10.1, 00:59:37, Ethernet0
         22.0.0.0/32 is subnetted, 1 subnets
    O       22.22.22.22 [110/31] via 10.10.10.1, 00:59:37, Ethernet0
         40.0.0.0/24 is subnetted, 1 subnets
    O       40.40.40.0 [110/30] via 10.10.10.1, 00:59:37, Ethernet0
         10.0.0.0/24 is subnetted, 1 subnets
    C       10.10.10.0 is directly connected, Ethernet0
         11.0.0.0/24 is subnetted, 1 subnets
    C       11.11.11.0 is directly connected, Loopback11
         30.0.0.0/24 is subnetted, 1 subnets
    O       30.30.30.0 [110/20] via 10.10.10.1, 00:59:38, Ethernet0
    S*   0.0.0.0/0 [1/0] via 10.10.10.1
    
    
    Left#ping 20.20.20.2
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 20.20.20.2, timeout is 2 seconds:
    !!!!!
    
    Right#show ip route
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route
    
    Gateway of last resort is 20.20.20.1 to network 0.0.0.0
    
         20.0.0.0/24 is subnetted, 1 subnets
    C       20.20.20.0 is directly connected, Ethernet0
         22.0.0.0/24 is subnetted, 1 subnets
    C       22.22.22.0 is directly connected, Loopback22
         40.0.0.0/24 is subnetted, 1 subnets
    O       40.40.40.0 [110/20] via 20.20.20.1, 01:01:45, Ethernet0
         10.0.0.0/24 is subnetted, 1 subnets
    O       10.10.10.0 [110/30] via 20.20.20.1, 01:01:45, Ethernet0
         11.0.0.0/32 is subnetted, 1 subnets
    O       11.11.11.11 [110/31] via 20.20.20.1, 01:01:45, Ethernet0
         30.0.0.0/24 is subnetted, 1 subnets
    O       30.30.30.0 [110/30] via 20.20.20.1, 01:01:46, Ethernet0
    S*   0.0.0.0/0 [1/0] via 20.20.20.1
    
    
    Right#ping 10.10.10.2
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 10.10.10.2, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 12/12/12 ms

Просмотр журналов

Чтобы просмотреть журналы выполните следующие действия:

  1. Выберите Configuration > Properties > Logging > Logging Setup, установите флажок Enable logging (включить регистрацию) и нажмите Apply.

    gre-ipsec-ospf-47.gif

  2. Выберите Monitoring > Logging > Log Buffer > Logging Level, в раскрывающемся меню выберите Logging Buffer (буфер регистрации) и нажмите View.

    gre-ipsec-ospf-48.gif

    Пример буфера журнала:

    gre-ipsec-ospf-49.gif

    Чтобы просмотреть соответствующие графики, выберите Monitoring > VPN > IPSEC Tunnels. Потом переместите IPsec Active Tunnels и IKE Active Tunnels в Selected Graphs и выберите Show Graphs.

    gre-ipsec-ospf-50.gif

Поиск и устранение неполадок

Для этой конфигурации отсутствуют сведения об устранении неполадок.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 63882