Коммутаторы : Устройства защиты Cisco PIX серии 500

PIX/ASA 7.x и более поздние: Пример улучшенной конфигурации IPsec VPN узел - узел

8 августа 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (16 октября 2008) | Отзыв

Содержание

Введение
Предварительные условия
     Требования
     Используемые компоненты
     Условные обозначения
Настройка
     Схема сети
     Конфигурации
     Hairpinning (возврат) или U-turn (разворот)
Проверка
Поиск и устранение неполадок
     Команды устранения неполадок
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

В данном документе описана конфигурация сеансов LAN - LAN между межсетевыми экранами PIX. Показана конфигурация для статических и динамических туннелей LAN - LAN с соединением узел - узел через межсетевой экран - концентратор PIX. PIX версии 7.0 улучшает поддержку для соединения VPN узел - узел, так как предоставляет возможность зашифрованному трафику поступать и уходить с одного и того же интерфейса.

С помощью команды same-security-traffic трафик поступает и уходит с одного и того же интерфейса, если использовать его с ключевым словом intra-interface, с помощью которого включается поддержка сети VPN узел - узел. Дополнительные сведения см. в разделе "Разрешение трафика внутри интерфейса" документа Руководство по конфигурации устройств обеспечения безопасности Cisco с помощью командной строки.

В данном документе представлен образец настройки устройства обеспечения безопасности концентратора PIX (PIX1) для принятия динамических связей IPsec с PIX2 и установления статических связей IPsec с PIX3. PIX1 или PIX3 не установит соединение IPsec с PIX2, пока PIX2 не инициирует соединение с PIX1.

Примечание. В PIX версии 7.2 и боле поздних, ключевое слово intra-interface позволяет всему трафику (а не только трафику IPSec) поступать и уходить с одного и того же интерфейса.

Предварительные условия

Требования

В межсетевом экране - концентраторе PIX необходимо запустить версию ПО 7.0 или более позднюю.

Примечание. Дополнительные сведения об обновлении межсетевого экрана PIX версии 7.0 см. разделе Руководство для пользователей Cisco PIX 6.2 и 6.3 по обновлению на ПО Cisco PIX версии 7.0.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • PIX - 515 версии 7.0.1 и более поздних (PIX1)

    Примечание. Данная конфигурация концентратора PIX (PIX1) также может использоваться в устройстве обеспечения безопасности Cisco ASA серии 5500.

  • PIX 501 версии 6.3.4 (PIX2)

  • PIX 515 версии 6.3.4 (PIX3)

Данные для документа были получены в специально созданных лабораторных условиях. Все устройства, используемые в этом документе, были запущены в исходной (заданной по умолчанию) конфигурации. Если ваша сеть работает в реальных условиях, убедитесь, что вы понимаете потенциальное воздействие каждой команды.

Условные обозначения

Подробные сведения о применяемых в документе обозначениях см. в статье Условные обозначения, используемые в технической документации Cisco.

Настройка

В данном разделе приводятся сведения о настройке функций, описанных в этом документе.

Примечание. Для получения дополнительных сведений о командах, используемых в данном разделе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Примечание. Для конфигурации VPN-туннеля LAN - LAN (L2L) на базе устройства обеспечения безопасности PIX/ASA 7.x необходимо указать <name> группы туннелей в качестве Remote peer IP Address (IP-адрес удаленного узла) в команде tunnel-group <имя>type ipsec-l2l для создания и управления базой данных записей о соединениях для IPsec.

Схема сети

В данном документе используется следующая схема сети:

enhance-vpn-pix70-1.gif

Примечание. Использованные в этой конфигурации схемы IP-адресов даны для примера и не годятся для использования в Интернете. Это адреса RFC 1918 leavingcisco.com, которые использовались в лабораторной среде.

Конфигурации

В данном документе используются следующие конфигурации:

PIX1

PIX Version 7.0(1) 
no names
!
interface Ethernet0
nameif outside
security-level 0
ip address 172.18.124.170 255.255.255.0 
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0 
!
!--- Вывод результата выполнения команды запрещен.

enable password 9jNfZuG3TC5tCVH0 encrypted
passwd OnTrBUG1Tp0edmkr encrypted
hostname PIX1
domain-name cisco.com
boot system flash:/image.bin
ftp mode passive
!--- Используйте данную команду, чтобы разрешить трафику поступать и уходить 
!--- с одного и того же интерфейса для трафика IPsec.

same-security-traffic permit intra-interface
!--- Список доступа для необходимого трафика необходимо 
!--- зашифровать между сетями концентратора и оконечного устройства (PIX3).

access-list 100 extended permit ip 10.10.10.0 255.255.255.0 10.30.30.0 255.255.255.0 
!--- Список доступа для необходимого трафика необходимо 
!--- зашифровать между сетями оконечных устройств (PIX2) и (PIX3).

access-list 100 extended permit ip 10.20.20.0 255.255.255.0 10.30.30.0 255.255.255.0 
!--- Список доступа для трафика, чтобы обойти процесс преобразования сетевых адресов (NAT).
 
access-list nonat extended permit ip 10.10.10.0 255.255.255.0 10.30.30.0 255.255.255.0 
access-list nonat extended permit ip 10.10.10.0 255.255.255.0 10.20.20.0 255.255.255.0 
access-list nonat extended permit ip 10.20.20.0 255.255.255.0 10.30.30.0 255.255.255.0

!--- Вывод результата выполнения команды запрещен.


nat-control
global (outside) 1 interface
!--- Обойдите процесс NAT для трафика IPsec.

nat (inside) 0 access-list nonat
nat (inside) 1 10.10.10.0 255.255.255.0
!--- Шлюз по умолчанию для Интернета.

route outside 0.0.0.0 0.0.0.0 172.18.124.1 1

!--- Вывод результата выполнения команды запрещен.


!--- Конфигурация IPSec, фаза 2.

crypto ipsec transform-set myset esp-3des esp-sha-hmac 
!--- Конфигурация IPsec для динамического туннеля LAN - LAN.

crypto dynamic-map cisco 20 set transform-set myset
!--- Конфигурация IPsec, которая связывает динамическую и криптографическую схемы.

crypto map mymap 20 ipsec-isakmp dynamic cisco

!--- Конфигурация IPsec для статического туннеля LAN - LAN.

crypto map mymap 10 match address 100
crypto map mymap 10 set peer 172.16.77.10 
crypto map mymap 10 set transform-set myset

!--- Криптографическая схема, применяемая к внешнему интерфейсу PIX.

crypto map mymap interface outside
isakmp identity address 
!--- Конфигурация IPSec, фаза 1.

isakmp enable outside
!--- Настройка политики ISAKMP.

isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 1
console timeout 0
!--- Настройка политики групп туннелей для 
!--- туннелей удаленного доступа (динамические туннели).

tunnel-group DefaultRAGroup type ipsec-ra
tunnel-group DefaultRAGroup general-attributes
!--- Отключает аутентификацию групп для динамических туннелей удаленного доступа.

authentication-server-group none
tunnel-group DefaultRAGroup ipsec-attributes
!--- Определяет предварительный общий ключ, который используется 
!--- для аутентификации IKE динамического туннеля.

pre-shared-key *
!--- Конфигурация группы туннелей для статического туннеля LAN - LAN.
!--- Имя группы туннелей ДОЛЖНО быть IP-адресом удаленного однорангового узла.
!--- Создание туннеля не удается, если у группы туннелей другое имя.

tunnel-group 172.16.77.10 type ipsec-l2l
tunnel-group 172.16.77.10 ipsec-attributes
!--- Определяет предварительный общий ключ, который используется 
!--- для аутентификации IKE статического туннеля.

pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512 
inspect ftp 
inspect h323 h225 
inspect h323 ras 
inspect http 
inspect netbios 
inspect rsh 
inspect rtsp 
inspect skinny 
inspect esmtp 
inspect sqlnet 
inspect sunrpc 
inspect tftp 
inspect sip 
inspect xdmcp 
!
service-policy global_policy global
Cryptochecksum:7167c0647778b77f8d1d2400d943b825

Примечание. Необходимо настроить команду sysopt connection permit-ipsec, чтобы разрешить все входящие аутентифицированные шифрованные сеансы IPsec. В версии ПО PIX 7.0 команды sysopt не отображаются в текущей конфигурации. Чтобы проверить, что команда sysopt connection permit-ipsec включена, выполните команду show running-config sysopt.

PIX2

PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PIX2
domain-name cisco.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
!--- Список доступа для шифрования трафика между сетями PIX2 и PIX1.

access-list 100 permit ip 10.20.20.0 255.255.255.0 10.10.10.0 255.255.255.0 
!--- Список доступа для шифрования трафика между сетями PIX2 и PIX3.

access-list 100 permit ip 10.20.20.0 255.255.255.0 10.30.30.0 255.255.255.0 
!--- Список доступа для обхождения процесса NAT.

access-list nonat permit ip 10.20.20.0 255.255.255.0 10.10.10.0 255.255.255.0 
access-list nonat permit ip 10.20.20.0 255.255.255.0 10.30.30.0 255.255.255.0 
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 172.18.124.172 255.255.255.0
ip address inside 10.20.20.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface
!--- Обойдите процесс NAT для трафика IPsec.

nat (inside) 0 access-list nonat
nat (inside) 1 10.20.20.0 255.255.255.0 0 0
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1


!--- Вывод результата выполнения команды запрещен.

!--- Разрешить все входящие аутентифицированные шифрованные сеансы IPsec.

sysopt connection permit-ipsec
!--- Определяет алгоритмы шифрования и аутентификации IPsec.

crypto ipsec transform-set myset esp-3des esp-sha-hmac 
!--- Определяет криптографическую схему.

crypto map mymap 10 ipsec-isakmp
crypto map mymap 10 match address 100
crypto map mymap 10 set peer 172.18.124.170
crypto map mymap 10 set transform-set myset
!--- Примените криптографическую схему на внешнем интерфейсе.

crypto map mymap interface outside
isakmp enable outside
!--- Определяет предварительный общий ключ, который используется для аутентификации IKE.

isakmp key ******** address 172.18.124.170 netmask 255.255.255.255 no-xauth 
isakmp identity address
!--- Конфигурация политики ISAKMP.

isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:fb2e89ab9da0ae93d69e345a4675ff38

PIX3

PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security4
nameif ethernet3 intf3 security6
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PIX3
domain-name cisco.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
!--- Список доступа для шифрования трафика между сетями PIX3 и PIX1.

access-list 100 permit ip 10.30.30.0 255.255.255.0 10.10.10.0 255.255.255.0
!--- Список доступа для шифрования трафика между сетями PIX3 и PIX2.

access-list 100 permit ip 10.30.30.0 255.255.255.0 10.20.20.0 255.255.255.0 
!--- Список доступа для обхождения процесса NAT.

access-list nonat permit ip 10.30.30.0 255.255.255.0 10.10.10.0 255.255.255.0 
access-list nonat permit ip 10.30.30.0 255.255.255.0 10.20.20.0 255.255.255.0 
pager lines 24
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 172.16.77.10 255.255.-255.0
ip address inside 10.30.30.1 255.255.255.0

!--- Вывод результата выполнения команды запрещен.

global (outside) 1 interface

!--- Связывает ACL nonat с выражением NAT, чтобы
!--- избежать NAT на пакетах IPsec.

nat (inside) 0 access-list nonat
nat (inside) 1 10.30.30.0 255.255.255.0 0 0
route outside 0.0.0.0 0.0.0.0 172.16.77.1 1


!--- Вывод результата выполнения команды запрещен.

!--- Разрешает все внутренние аутентифицированные шифрованные сеансы IPsec.

sysopt connection permit-ipsec
!--- Определяет алгоритмы шифрования и аутентификации IPsec.

crypto ipsec transform-set myset esp-3des esp-sha-hmac
!--- Определяет криптографическую схему.
 
crypto map mymap 10 ipsec-isakmp
crypto map mymap 10 match address 100
crypto map mymap 10 set peer 172.18.124.170
crypto map mymap 10 set transform-set myset
!--- Применяет криптографическую схему на внешнем интерфейсе.

crypto map mymap interface outside
isakmp enable outside
!--- Определяет предварительный общий ключ, который используется для аутентификации IKE.

isakmp key ******** address 172.18.124.170 netmask 255.255.255.0 no-xauth 
isakmp identity address
!--- Определяет политику ISAKMP. 

isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:cb5c245112db607e3a9a85328d1295db

Hairpinning (возврат) или U-turn (разворот)

Эту функцию можно использовать для входящего в интерфейс трафика VPN, который после этого направляется из этого интерфейса. Например, если имеется концентратор и оконечная сеть VPN, в которой устройствами защиты являются концентраторы, а удаленные сети VPN являются оконечными, для обеспечения взаимодействия между оконечными устройствами трафик должен переходить к устройству защиты, а затем к другому оконечному устройству.

Используйте команду same-security-traffic, чтобы разрешить трафику поступать и выходить из одного и того же интерфейса.

securityappliance(config)#same-security-traffic permit intra-interface

Проверка

В данном разделе содержатся сведения для проверки работы текущей конфигурации.

Средство Интерпретатор выходных данных (только для зарегистрированных клиентов) (OIT) поддерживает некоторые команды show. Используйте OIT для просмотра аналитики выходных данных команды show.

Чтобы проверить связь двух частных сетей между PIX3 и PIX1, необходимо инициировать ping (запрос "ICMP-эхо") в одной из частных сетей.

В данной конфигурации:

  • Для статического туннеля LAN - LAN запрос ICMP-эхо отправляется из сети PIX3 (10.30.30.x) в сеть PIX1 (10.10.10.x).

  • Для динамического туннеля LAN - LAN запрос ICMP-эхо отправляется из сети PIX2 (10.20.20.x) в сеть PIX1 (10.10.10.x).

  • show crypto isakmp sa – отображает все текущие сопоставления безопасности IKE (SA) на одноранговом узле.

  • show crypto ipsec sa – отображает все текущие SA.

В данном разделе показан пример конфигурации проверки для:

PIX1

show crypto isakmp sa

Active SA: 2
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 2
!--- Установка статических туннелей LAN - LAN.

1 IKE Peer: 172.16.77.10
Type: L2L Role : responder 
Rekey : no State: MM_ACTIVE 
!--- Установка динамических туннелей LAN - LAN.

2 IKE Peer: 172.18.124.172
Type: user Role: responder 
Rekey : no State: MM_ACTIVE 




PIX1(config)#show crypto ipsec sa
interface: outside
Crypto map tag: cisco, local addr: 172.18.124.170
!--- IPsec SA для сетей между PIX2 и PIX1.

local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
current_peer: 172.18.124.172
dynamic allocated peer ip: 0.0.0.0

#pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9
#pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 9, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.18.124.170, remote crypto endpt.: 172.18.124.172

path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 2C4400C7

inbound esp sas:
spi: 0x6D29993F (1831442751)
transform: esp-3des esp-sha-hmac 
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 7, crypto-map: cisco
sa timing: remaining key lifetime (sec): 28413
IV size: 8 bytes
replay detection support: Y
 

outbound esp sas:
spi: 0x2C4400C7 (742654151)
transform: esp-3des esp-sha-hmac 
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 7, crypto-map: cisco
sa timing: remaining key lifetime (sec): 28411
IV size: 8 bytes
replay detection support: Y
 
!--- IPsec SA для сетей между PIX2 и PIX3.

Crypto map tag: cisco, local addr: 172.18.124.170

local ident (addr/mask/prot/port): (10.30.30.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
current_peer: 172.18.124.172
dynamic allocated peer ip: 0.0.0.0

#pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9
#pkts decaps: 13, #pkts decrypt: 13, #pkts verify: 13
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 9, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.18.124.170, remote crypto endpt.: 172.18.124.172

path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 9D40B1DC

inbound esp sas:
spi: 0xEE6F6479 (4000277625)
transform: esp-3des esp-sha-hmac 
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 7, crypto-map: cisco
sa timing: remaining key lifetime (sec): 28777
IV size: 8 bytes
replay detection support: Y
 

outbound esp sas:
spi: 0x9D40B1DC (2638262748)
transform: esp-3des esp-sha-hmac 
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 7, crypto-map: cisco
sa timing: remaining key lifetime (sec): 28777
IV size: 8 bytes
replay detection support: Y

Crypto map tag: mymap, local addr: 172.18.124.170
!--- IPsec SA для сетей между PIX3 и PIX1.

local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.30.30.0/255.255.255.0/0/0)
current_peer: 172.16.77.10

#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.18.124.170, remote crypto endpt.: 172.16.77.10

path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: BE57D878

inbound esp sas:
spi: 0xAF25D7DB (2938492891)
transform: esp-3des esp-sha-hmac 
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 6, crypto-map: mymap
sa timing: remaining key lifetime (kB/sec): (4274999/27145)
IV size: 8 bytes
replay detection support: Y
 

outbound esp sas:
spi: 0xBE57D878 (3193428088)
transform: esp-3des esp-sha-hmac 
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 6, crypto-map: mymap
sa timing: remaining key lifetime (kB/sec): (4274999/27144)
IV size: 8 bytes
replay detection support: Y

Crypto map tag: cisco, local addr: 172.18.124.170
!--- IPsec SA для сетей между PIX2 и PIX3.

local ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.30.30.0/255.255.255.0/0/0)
current_peer: 172.16.77.10

#pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9
#pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 9, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.18.124.170, remote crypto endpt.: 172.16.77.10

path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: 963766A1

inbound esp sas:
spi: 0x1CD1B5B7 (483505591)
transform: esp-3des esp-sha-hmac 
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 6, crypto-map: cisco
sa timing: remaining key lifetime (kB/sec): (4274999/28780)
IV size: 8 bytes
replay detection support: Y
 

outbound esp sas:
spi: 0x963766A1 (2520213153)
transform: esp-3des esp-sha-hmac 
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 6, crypto-map: cisco
sa timing: remaining key lifetime (kB/sec): (4274999/28780)
IV size: 8 bytes
replay detection support: Y

PIX2

PIX2(config)#show crypto isakmp sa
Total : 1
Embryonic : 0
dst              src          state     pending created
172.18.124.170 172.18.124.172 QM_IDLE     0        2




PIX2(config)#show crypto ipsec sa


interface: outside
Crypto map tag: mymap, local addr. 172.18.124.172
!--- IPsec SA, созданное между сетями для PIX2 и PIX3.

local ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.30.30.0/255.255.255.0/0/0)
current_peer: 172.18.124.170:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0

local crypto endpt.: 172.18.124.172, remote crypto endpt.: 172.18.124.170
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: 38cf2399

inbound esp sas:
spi: 0xb37404c2(3010725058)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 4, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28765)
IV size: 8 bytes
replay detection support: Y


inbound ah sas:


inbound pcp sas:


outbound esp sas:
spi: 0x38cf2399(953099161)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 3, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28765)
IV size: 8 bytes
replay detection support: Y


outbound ah sas:


outbound pcp sas:


!--- IPsec SA, созданное между сетями для PIX1 и PIX2.

local ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
current_peer: 172.18.124.170:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0

local crypto endpt.: 172.18.124.172, remote crypto endpt.: 172.18.124.170
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: fffd0c20

inbound esp sas:
spi: 0x1a2a994b(438999371)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 1, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28717)
IV size: 8 bytes
replay detection support: Y


inbound ah sas:


inbound pcp sas:


outbound esp sas:
spi: 0xfffd0c20(4294773792)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28717)
IV size: 8 bytes
replay detection support: Y


outbound ah sas:


outbound pcp sas:

PIX3

PIX3(config)#show crypto isakmp sa
Total : 1
Embryonic : 0
dst                src       state        pending     created
172.18.124.170 172.16.77.10  QM_IDLE         0             2




PIX3(config)#show crypto ipsec sa


interface: outside
Crypto map tag: mymap, local addr. 172.16.77.10
!--- IPsec SA, созданное между сетями для PIX3 и PIX2.

local ident (addr/mask/prot/port): (10.30.30.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
current_peer: 172.18.124.170:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 9, #pkts encrypt: 9, #pkts digest 9
#pkts decaps: 9, #pkts decrypt: 9, #pkts verify 9
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0

local crypto endpt.: 172.16.77.10, remote crypto endpt.: 172.18.124.170
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: 8282748

inbound esp sas:
spi: 0x28c9b70a(684308234)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 1, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607998/28775)
IV size: 8 bytes
replay detection support: Y


inbound ah sas:


inbound pcp sas:


outbound esp sas:
spi: 0x8282748(136849224)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28775)
IV size: 8 bytes
replay detection support: Y


outbound ah sas:


outbound pcp sas:


!--- IPsec SA, созданное между сетями для PIX3 и PIX1.

local ident (addr/mask/prot/port): (10.30.30.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
current_peer: 172.18.124.170:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0

local crypto endpt.: 172.16.77.10, remote crypto endpt.: 172.18.124.170
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: f415cec9

inbound esp sas:
spi: 0x12c5caf1(314952433)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 3, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28763)
IV size: 8 bytes
replay detection support: Y


inbound ah sas:


inbound pcp sas:


outbound esp sas:
spi: 0xf415cec9(4095069897)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 4, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/28763)
IV size: 8 bytes
replay detection support: Y


outbound ah sas:


outbound pcp sas:

Поиск и устранение неполадок

Этот раздел содержит сведения, которые можно использовать для устранения неполадок в вашей конфигурации.

Команды устранения неполадок

Некоторые команды show поддерживаются Интерпретатором выходных данных (только для зарегистрированных пользователей); это позволяет выполнять анализ выходных данных команды show.

Примечание. Перед использованием команд debug см. статью Важные сведения о командах debug.

Выполните команды PIX в режиме конфигурации:

  • clear crypto isakmp sa – удаляет SA фазы 1.

  • clear crypto ipsec sa – удаляет SA фазы 2.

Команды debug для туннелей VPN:

  • debug crypto isakmp sa – для отладки согласований SA ISAKMP.

  • debug crypto ipsec sa – для отладки согласований SA IPSec.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 64692