Безопасность : Устройства защиты Cisco PIX серии 500

PIX/ASA 7.X : Пример конфигурации интерфейсной части DMZ туннеля IPsec для представляющего интерес трафика

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Эта конфигурация позволяет двум межсетевым экранам Cisco Secure PIX с PIX 7.x выполнять простой VPN-туннель от внутренней части и Демилитаризованной зоны (DMZ) интерфейсы одного PIX к другому PIX по Интернету или любой открытой сети, которая использует IPSec.

IPSec - это комбинация открытых стандартов, которые обеспечивают конфиденциальность и целостность данных и проверку их происхождения между равноправными узлами IPSec.

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

Используемые компоненты

Сведения в этом документе основываются на Cisco Secure PIX 515E Межсетевой экран с версией программного обеспечения 7.2 (1) Cisco PIX Security Appliance с интерфейсами DMZ.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Общие сведения

Согласование IPsec может быть разделено на пять этапов и включает две фазы Протокола IKE.

  1. Туннель IPSec инициирован содержательным трафиком. Трафик считается содержательным при передаче между двумя одноранговыми узлами IPsec.

  2. На первом этапе обмена ключами (IKE) одноранговые узлы IPSec согласуют установленную политику сопоставлений безопасности (SA) IKE. Как только узлы заверены, безопасный туннель создан с помощью ISAKMP.

  3. На втором этапе обмена ключами (IKE) одноранговые узлы IPsec используют проверенный и безопасный туннель для согласования преобразований IPSec SA. Согласование общей политики определяет то, как будет установлен туннель IPSec.

  4. Туннель IPsec создан, и данные передаются между узлами IPsec на основании параметров IPsec, настроенных в наборах преобразования IPsec.

  5. Разъединение туннеля IPSec выполняется при удалении сопоставлений безопасности (IPSec SA) или по истечении срока их действия.

    Примечание: Если SA на обеих из фаз IKE не совпадают на узлах, согласование IPsec между этими двумя PIX отказывает.

Настройка

В этом разделе вам предоставляют информацию по настройке Туннель IPSec и между внутренним интерфейсом и между интерфейсом DMZ на одном PIX к другому PIX.

Эта конфигурация предполагает, что конфигурация базовой маршрутизации уже на месте и что устройства достижимы от начала до конца. Всюду по этому документу можно проверить конфигурацию с этими командами показа.

  • show isakmp

  • show isakmp policy

  • show access-list

  • show crypto ipsec transform-set

  • show crypto isakmp sa

  • show crypto ipsec sa

Обратитесь к справочникам по командам для межсетевого экрана Cisco Secure PIX для получения дополнительной информации об этих командах показа.

Формирование безопасного Туннеля IPSec происходит в 1-ой фазе протокола IKE и 2-ой фазе протокола IKE.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Схема сети

В этом документе использованы параметры данной сети:

/image/gif/paws/69385/pix-asa-7x-dmz-ipsec-tunnel-1.gif

Конфигурации

Эти конфигурации используются в данном документе:

IKE для конфигурации общих ключей

Включите IKE на Оконечных интерфейсах IPSec при помощи команды enable isakmp. В этом сценарии внешним интерфейсом является Оконечный интерфейс IPSec на обоих PIX. IKE настроен на обоих PIX. Используйте команду isakmp enable outside на обоих PIX.

Используйте команду политики ISAKMP для определения Наборов правил IKE, которые используются во время Ike согласование. При использовании этой команды необходимо назначить уровень приоритета так, чтобы была однозначно определена политика. В этом случае приоритет 10 назначен на политику.

PIX1(config)#isakmp policy 10 authentication pre-share
PIX1(config)#isakmp policy 10 encryption des
PIX1(config)#isakmp policy 10 hash md5
PIX1(config)#isakmp policy 10 group 1
PIX1(config)#isakmp policy 10 lifetime 1000

Эта политика также установлена в:

  • Используйте общий ключ

  • Используйте алгоритм хеширования MD5 для проверки подлинности данных

  • Используйте DES для безопасного закрытия полезной нагрузки (ESP)

  • Используйте group1 Диффи-Хеллмана

  • Установите срок действия SA

Используйте команду show isakmp policy, чтобы проверить, настроена ли политика фактически со всеми параметрами по Вашему выбору.

Чтобы создать и управлять базой данных записей о подключениях для Туннелей IPSec, используйте команду tunnel-group в режиме глобальной конфигурации. Названием туннельной группы должен быть IP-адрес узла. Тип должен быть LAN-LAN IPSec. Под режимом конфигурации Туннеля IPSec выполните команду <password> предварительного общего ключа как показано:

PIX1(config)#tunnel-group 172.16.2.5 type ipsec-l2l
PIX1(config)#tunnel-group 172.16.2.5 ipsec-attributes
PIX1(config-tunnel-ipsec)#pre-shared-key cisco

Конфигурация технологии NAT

Эта настройка использует освобождение NAT для трафика, который будет туннелирован. Это означает, что представляющий интерес трафик идет непреобразованный посредством NAT. Весь другой трафик использует Преобразование адресов портов (PAT) для изменения IP - адреса источника пакета к IP-адресу внешнего интерфейса.

PIX1(config)#access-list NoNAT extended permit ip 10.2.2.0 255.255.255.0 10.6.6.0 255.255.255.0
PIX1(config)#access-list NoNAT extended permit ip 10.3.3.0 255.255.255.0 10.6.6.0 255.255.255.0
PIX1(config)#access-list PAT permit ip 10.2.2.0 255.255.255.0 any
PIX1(config)#access-list PAT permit ip 10.3.3.0 255.255.255.0 any
PIX1(config)#nat (inside) 0 access-list NoNAT
PIX1(config)#nat (inside) 1 access-list PAT
PIX1(config)#nat (DMZ) 0 access-list NoNAT
PIX1(config)#nat (DMZ) 1 access-list PAT 
PIX1(config)#global (outside) 1 interface

Точно так же на PIX2, идентификационный NAT настроен для трафика, который будет туннелирован, и весь другой трафик передается с помощью PAT.

PIX2(config)#access-list NoNAT extended permit ip 10.6.6.0 255.255.255.0 10.2.2.0 255.255.255.0
PIX2(config)#access-list NoNAT extended permit ip 10.6.6.0 255.255.255.0 10.3.3.0 255.255.255.0
PIX2(config)#nat (inside) 0 access-list NoNAT
PIX2(config)#nat (inside) 1 10.6.6.0 255.255.255.0
PIX2(config)#global (outside) 1 interface

--- Конфигурация IPSec

IPSec инициируется, когда один из PIX получает трафик, который предназначен для внутренней сети другого PIX. Данный трафик считается содержательным трафиком, для которого требуется защита по протоколу IPSec. Список доступа используется для определения того, какой трафик инициирует соглашения IKE и IPSec. Список доступа под названием СОДЕРЖАТЕЛЬНЫЕ разрешения трафик, который будет передаваться от 10.2.2.0 и 10.3.3.0 сетей на Межсетевом экране PIX1 к 10.6.6.0 сетям на Межсетевом экране PIX2.

PIX1(config)#access-list INTERESTING extended permit ip 10.2.2.0 255.255.255.0 10.6.6.0 255.255.255.0
PIX1(config)#access-list INTERESTING extended permit ip 10.3.3.0 255.255.255.0 10.6.6.0 255.255.255.0

Набор преобразования IPSec определяет политику безопасности, которую одноранговые узлы используют для защиты потока данных. Преобразование IPSec определяется через использование команды crypto IPSec transform-set. Необходимо выбрать уникальное имя для настройки преобразования, а для определения протоколов безопасности IPSec можно выбрать до трех преобразований. В этой конфигурации используются только два преобразования:

  • esp-md5-hmac

  • особенно-des

PIX1(config)#crypto ipsec transform-set my-set esp-des esp-md5-hmac

С помощью криптокарт осуществляется настройка сопоставлений IPSec SA для зашифрованного трафика. Необходимо назначить имя карты и порядковый номер, и определить параметры криптокарты для создания криптокарты. Криптокарта "mymap" IKE использования для установления контекстов безопасности IPSec, шифрует что-либо, что совпадает с СОДЕРЖАТЕЛЬНЫМ списком доступа, имеет узел набора и использует моего-set-transform-set для предписания его политики безопасности для трафика.

PIX1(config)#crypto map mymap 20 match address INTERESTING
PIX1(config)#crypto map mymap 20 set peer 172.16.2.5
PIX1(config)#crypto map mymap 20 set transform-set my-set

После определения криптокарты используйте команду crypto map mymap interface outside для применения криптокарты к интерфейсу. Интерфейсом, который вы выбираете, должен быть Оконечный интерфейс IPSec.

PIX1(config)#crypto map mymap interface outside

Конфигурация PIX1

PIX1

!--- Output is suppressed.


interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.16.1.2 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.2.2.2 255.255.255.0
!
interface Ethernet2
 nameif DMZ1
 security-level 50
 ip address 10.3.3.2 255.255.255.0


!--- Output is suppressed.



!--- This access control list (ACL) is for NAT 0.

access-list NoNAT extended permit ip 10.2.2.0 255.255.255.0 10.6.6.0 255.255.255.0
access-list NoNAT extended permit ip 10.3.3.0 255.255.255.0 10.6.6.0 255.255.255.0


!--- This ACL defines the interesting traffic.

access-list INTERESTING extended permit ip 10.2.2.0 255.255.255.0 10.6.6.0 255.255.255.0
access-list INTERESTING extended permit ip 10.3.3.0 255.255.255.0 10.6.6.0 255.255.255.0


!--- This ACL is for PAT.

access-list PAT permit ip 10.2.2.0 255.255.255.0 any
access-list PAT permit ip 10.3.3.0 255.255.255.0 any


!--- Output is suppressed.



!--- NAT control requires NAT for inside or DMZ hosts 
!--- when they access the outside.

nat-control




!--- This is the global statement for PAT.

global (outside) 1 interface


!--- This command is for the NAT 0 entry on the inside interface.

nat (inside) 0 access-list NoNAT


!--- This command is for the PAT entry on the inside interface.

nat (inside) 1 access-list PAT 


!--- This command is for the NAT 0 entry on the DMZ interface.

nat (DMZ) 0 access-list NoNAT


!--- This command is for the PAT entry on the DMZ interface.

nat (DMZ) 1 access-list PAT


route outside 0.0.0.0 0.0.0.0 172.16.1.4 1



!--- Output is suppressed.




!--- This command defines the IPsec transform set with the 
!--- security policy that the peers use to protect the data flow.

crypto ipsec transform-set my-set esp-des esp-md5-hmac


!--- These commands allow crypto map to set up IPsec SAs
!--- for the encrypted traffic.

crypto map mymap 20 match address INTERESTING
crypto map mymap 20 set peer 172.16.2.5
crypto map mymap 20 set transform-set my-set


!--- This command applies the crypto map to the outside interface.

crypto map mymap interface outside


!--- This command applies the crypto map to the outside interface.

isakmp enable outside


!--- These commands apply the crypto map to the outside interface.

isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 1
isakmp policy 10 lifetime 1000


!--- Output is suppressed.




!--- These commands create and manage the database of connection-specific 
!--- records for IPsec tunnels. Issue a preshared key, which should be the same as 
!--- that on the peer.

tunnel-group 172.16.2.5 type ipsec-l2l
tunnel-group 172.16.2.5 ipsec-attributes
 pre-shared-key *


!--- Output is suppressed.

Конфигурация PIX2

Конфигурация на PIX2

!--- Output is suppressed.


interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.16.2.5 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.6.6.5 255.255.255.0


!--- Output is suppressed.


access-list NoNAT extended permit ip 10.6.6.0 255.255.255.0 10.2.2.0 255.255.255.0
access-list NoNAT extended permit ip 10.6.6.0 255.255.255.0 10.3.3.0 255.255.255.0
access-list INTERESTING extended permit ip 10.6.6.0 255.255.255.0 10.2.2.0 255.255.255.0
access-list INTERESTING extended permit ip 10.6.6.0 255.255.255.0 10.3.3.0 255.255.255.0


!--- Output is suppressed.



global (outside) 1 interface
nat (inside) 0 access-list NoNAT
nat (inside) 1 10.6.6.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 172.16.2.4 1


!--- Output is suppressed.


crypto ipsec transform-set my-set esp-des esp-md5-hmac
crypto map mymap 20 match address INTERESTING
crypto map mymap 20 set peer 172.16.1.2
crypto map mymap 20 set transform-set my-set
crypto map mymap interface outside
isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 1
isakmp policy 10 lifetime 1000


!--- Output is suppressed.


tunnel-group 172.16.1.2 type ipsec-l2l
tunnel-group 172.16.1.2 ipsec-attributes
 pre-shared-key *
telnet timeout 5


!--- Output is suppressed.

Проверка.

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

  • show crypto isakmp sa текущие SA IKE.

    PIX1#show crypto isakmp sa
    
       Active SA: 1
        Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 172.16.2.5
        Type    : L2L             Role    : initiator
        Rekey   : no              State   : MM_ACTIVE
  • show crypto ipsec sa — отображает настройки, используемые текущими SA.

    Как только вы передаете трафик между сетями, определенными как представляющий интерес трафик, Туннель IPSec вызван. Эхо-запрос между двумя хостами может использоваться для тестирования формирования туннеля.


!--- This is show crypto ipsec sa command output on PIX1.

PIX1#show crypto ipsec sa
interface: outside
    Crypto map tag: mymap, seq num: 20, local addr: 172.16.1.2

      access-list INTERESTING permit ip 10.2.2.0 255.255.255.0 10.6.6.0 255.255.255.0
      local ident (addr/mask/prot/port): (10.2.2.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (10.6.6.0/255.255.255.0/0/0)
      current_peer: 172.16.2.5


!--- This verifies that encrypted packets are 
!--- sent and recede without any errors.


      #pkts encaps: 199, #pkts encrypt: 199, #pkts digest: 199
      #pkts decaps: 199, #pkts decrypt: 199, #pkts verify: 199
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 199, #pkts comp failed: 0, #pkts decomp failed: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.16.1.2, remote crypto endpt.: 172.16.2.5

      path mtu 1500, ipsec overhead 60, media mtu 1500
      current outbound spi: 80A00578

    inbound esp sas:
      spi: 0xD92F129E (3643740830)
         transform: esp-des esp-md5-hmac
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: mymap
         sa timing: remaining key lifetime (kB/sec): (3824980/28593)
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x80A00578 (2157970808)
         transform: esp-des esp-md5-hmac
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: mymap
         sa timing: remaining key lifetime (kB/sec): (3824980/28591)
         IV size: 8 bytes
         replay detection support: Y

    Crypto map tag: mymap, seq num: 20, local addr: 172.16.1.2

      access-list INTERESTING permit ip 10.3.3.0 255.255.255.0 10.6.6.0 255.255.255.0
      local ident (addr/mask/prot/port): (10.3.3.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (10.6.6.0/255.255.255.0/0/0)
      current_peer: 172.16.2.5

      #pkts encaps: 199, #pkts encrypt: 199, #pkts digest: 199
      #pkts decaps: 199, #pkts decrypt: 199, #pkts verify: 199
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 199, #pkts comp failed: 0, #pkts decomp failed: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.16.1.2, remote crypto endpt.: 172.16.2.5

      path mtu 1500, ipsec overhead 60, media mtu 1500
      current outbound spi: 3D0C2074

    inbound esp sas:
      spi: 0x5B64B9D6 (1533327830)
         transform: esp-des esp-md5-hmac
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: mymap
         sa timing: remaining key lifetime (kB/sec): (3824980/28658)
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x3D0C2074 (1024204916)
         transform: esp-des esp-md5-hmac
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: mymap
         sa timing: remaining key lifetime (kB/sec): (3824980/28658)
         IV size: 8 bytes
         replay detection support: Y




!--- This is show crypto ipsec sa command output on PIX2.


PIX2#show crypto ipsec sa
interface: outside
    Crypto map tag: mymap, seq num: 20, local addr: 172.16.2.5

      access-list INTERESTING permit ip 10.6.6.0 255.255.255.0 10.3.3.0 255.255.255.0
      local ident (addr/mask/prot/port): (10.6.6.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (10.3.3.0/255.255.255.0/0/0)
      current_peer: 172.16.1.2

      #pkts encaps: 199, #pkts encrypt: 199, #pkts digest: 199
      #pkts decaps: 199, #pkts decrypt: 199, #pkts verify: 199
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 199, #pkts comp failed: 0, #pkts decomp failed: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.16.2.5, remote crypto endpt.: 172.16.1.2

      path mtu 1500, ipsec overhead 60, media mtu 1500
      current outbound spi: 5B64B9D6

    inbound esp sas:
      spi: 0x3D0C2074 (1024204916)
         transform: esp-des esp-md5-hmac
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: mymap
         sa timing: remaining key lifetime (kB/sec): (4274980/28465)
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x5B64B9D6 (1533327830)
         transform: esp-des esp-md5-hmac
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: mymap
         sa timing: remaining key lifetime (kB/sec): (4274980/28463)
         IV size: 8 bytes
         replay detection support: Y

    Crypto map tag: mymap, seq num: 20, local addr: 172.16.2.5

      access-list INTERESTING permit ip 10.6.6.0 255.255.255.0 10.2.2.0 255.255.255.0
      local ident (addr/mask/prot/port): (10.6.6.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (10.2.2.0/255.255.255.0/0/0)
      current_peer: 172.16.1.2

      #pkts encaps: 199, #pkts encrypt: 199, #pkts digest: 199
      #pkts decaps: 199, #pkts decrypt: 199, #pkts verify: 199
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 199, #pkts comp failed: 0, #pkts decomp failed: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.16.2.5, remote crypto endpt.: 172.16.1.2

      path mtu 1500, ipsec overhead 60, media mtu 1500
      current outbound spi: D92F129E

    inbound esp sas:
      spi: 0x80A00578 (2157970808)
         transform: esp-des esp-md5-hmac
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: mymap
         sa timing: remaining key lifetime (kB/sec): (4274980/28393)
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0xD92F129E (3643740830)
         transform: esp-des esp-md5-hmac
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: mymap
         sa timing: remaining key lifetime (kB/sec): (4274980/28393)
         IV size: 8 bytes
         replay detection support: Y

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Некоторые команды show поддерживаются Средством интерпретации выходных данных(только зарегистрированные клиенты), которое позволяет просматривать аналитику выходных данных команды show.

Примечание: Обратитесь к документу Важная информация о командах отладки, прежде чем использовать команды debug.

debug crypto isakmp о IP - безопасных соединениях.

debug crypto isakmp
pix3#debug crypto isakmp 7

Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Oakley proposal is acceptable
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, processing VID payload
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Received Fragmentation VID
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, IKE Peer included 
IKE fragmentation capability flags:  Main Mode:        True  Aggressive Mode:  True
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, constructing ke payload
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, constructing nonce payload
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, constructing Cisco Unity VID payload
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, constructing xauth V6 VID payload
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Send IOS VID
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Constructing ASA spoofing 
IOS Vendor ID payload (version: 1.0.0, capabilities: 20000001)
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, constructing VID payload
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Send Altiga/Cisco VPN3000/Cisco ASA GW VID
Jan 01 04:34:49 [IKEv1]: IP = 172.16.2.5, IKE_DECODE SENDING Message 
(msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + 
VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 224
Jan 01 04:34:49 [IKEv1]: IP = 172.16.2.5, IKE_DECODE RECEIVED Message 
(msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + 
VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 224
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, processing ke payload
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, processing ISA_KE payload
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, processing nonce payload
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, processing VID payload
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Received Cisco Unity client VID
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, processing VID payload
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Received xauth V6 VID
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, processing VID payload
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Processing VPN3000/ASA 
spoofing IOS Vendor ID payload (version: 1.0.0, capabilities: 20000001)
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, processing VID payload
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Received Altiga/Cisco 
VPN3000/Cisco ASA GW VID
Jan 01 04:34:49 [IKEv1]: IP = 172.16.2.5, Connection landed on tunnel_group 172.16.2.5
Jan 01 04:34:49 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Generating keys for Initiator...
Jan 01 04:34:49 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
constructing ID payload
Jan 01 04:34:49 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
constructing hash payload
Jan 01 04:34:49 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Computing hash for ISAKMP
Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Constructing IOS keep 
alive payload: proposal=32767/32767 sec.
Jan 01 04:34:49 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
constructing dpd vid payload
Jan 01 04:34:49 [IKEv1]: IP = 172.16.2.5, IKE_DECODE SENDING Message (msgid=0) 
with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) + VENDOR (13)
 + NONE (0) total length : 92
Jan 01 04:34:50 [IKEv1]: IP = 172.16.2.5, IKE_DECODE RECEIVED Message 
(msgid=0) with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) 
+ VENDOR (13) + NONE (0) total length : 92
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
processing ID payload
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
processing hash payload
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Computing hash for ISAKMP
Jan 01 04:34:50 [IKEv1 DEBUG]: IP = 172.16.2.5, Processing IOS keep 
alive payload: proposal=32767/32767 sec.
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
processing VID payload
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Received DPD VID
Jan 01 04:34:50 [IKEv1]: IP = 172.16.2.5, Connection landed on tunnel_group 172.16.2.5
Jan 01 04:34:50 [IKEv1]: Group = 172.16.2.5, IP = 172.16.2.5, Freeing 
previously allocated memory for authorization-dn-attributes
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Oakley begin quick mode
Jan 01 04:34:50 [IKEv1]: Group = 172.16.2.5, IP = 172.16.2.5, PHASE 1 COMPLETED
Jan 01 04:34:50 [IKEv1]: IP = 172.16.2.5, Keep-alive type for this connection: DPD
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Starting P1 rekey timer: 850 seconds.
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
IKE got SPI from key engine: SPI = 0x1cd9ec0c
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
oakley constucting quick mode
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
constructing blank hash payload
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
constructing IPSec SA payload
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
constructing IPSec nonce payload
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
constructing proxy ID
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Transmitting Proxy Id:
  Local subnet:  10.2.2.0  mask 255.255.255.0 Protocol 0  Port 0
  Remote subnet: 10.6.6.0  Mask 255.255.255.0 Protocol 0  Port 0
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
constructing qm hash payload
Jan 01 04:34:50 [IKEv1]: IP = 172.16.2.5, IKE_DECODE SENDING Message 
(msgid=75aa2cf6) with payloads: HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + 
ID (5) + NOTIFY (11) + NONE (0) total length : 192
Jan 01 04:34:50 [IKEv1]: IP = 172.16.2.5, IKE_DECODE RECEIVED Message 
(msgid=75aa2cf6) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + 
ID (5) + ID (5) + NONE (0) total length : 164
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
processing hash payload
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
processing SA payload
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
processing nonce payload
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
processing ID payload
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
processing ID payload
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
loading all IPSEC SAs
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Generating Quick Mode Key!
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Generating Quick Mode Key!
Jan 01 04:34:50 [IKEv1]: Group = 172.16.2.5, IP = 172.16.2.5, Security negotiation 
complete for LAN-to-LAN Group (172.16.2.5)  Initiator, Inbound SPI = 0x1cd9ec0c, 
Outbound SPI = 0x489fb7ca
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
oakley constructing final quickmode
Jan 01 04:34:50 [IKEv1]: IP = 172.16.2.5, IKE_DECODE SENDING Message 
(msgid=75aa2cf6) with payloads: HDR + HASH (8) + NONE (0) total length : 72
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, IKE got 
a KEY_ADD msg for SA: SPI = 0x489fb7ca
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Pitcher: received KEY_UPDATE, spi 0x1cd9ec0c
Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Starting P2 rekey timer: 24480 seconds.
Jan 01 04:34:50 [IKEv1]: Group = 172.16.2.5, IP = 172.16.2.5, PHASE 2 COMPLETED 
(msgid=75aa2cf6)
Jan 01 04:35:05 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Sending keep-alive of type DPD R-U-THERE (seq number 0x52fec0b7)
Jan 01 04:35:05 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
constructing blank hash payload
Jan 01 04:35:05 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
constructing qm hash payload
Jan 01 04:35:05 [IKEv1]: IP = 172.16.2.5, IKE_DECODE SENDING Message 
(msgid=e3dd9a55) with payloads: HDR + HASH (8) + NOTIFY (11) 
+ NONE (0) total length : 80
Jan 01 04:35:05 [IKEv1]: IP = 172.16.2.5, IKE_DECODE RECEIVED 
Message (msgid=1f40840c) with payloads : HDR + HASH (8) + NOTIFY (11) + 
NONE (0) total length : 80
Jan 01 04:35:05 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
processing hash payload
Jan 01 04:35:05 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
processing notify payload
Jan 01 04:35:05 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Received keep-alive of type DPD
R-U-THERE-ACK (seq number 0x52fec0b7)
Jan 01 04:35:15 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Sending keep-alive of type DPD R-U-THERE (seq number 0x52fec0b8)
Jan 01 04:35:15 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
constructing blank hash payload
Jan 01 04:35:15 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
constructing qm hash payload
Jan 01 04:35:15 [IKEv1]: IP = 172.16.2.5, IKE_DECODE SENDING Message 
(msgid=928bbc7f) with payloads: HDR + HASH (8) + NOTIFY (11) + NONE (0) 
total length : 80
Jan 01 04:35:15 [IKEv1]: IP = 172.16.2.5, IKE_DECODE RECEIVED Message 
(msgid=b4745eeb) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) 
total length : 80
Jan 01 04:35:15 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
processing hash payload
Jan 01 04:35:15 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
processing notify payload
Jan 01 04:35:15 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, 
Received keep-alive of type DPD
R-U-THERE-ACK (seq number 0x52fec0b8)

debug crypto ipsec – отображает отладочную информацию о подключениях IPSec.

debug crypto ipsec
pix1#debug crypto ipsec 7

IPSEC: New embryonic SA created @ 0x01AEAB40,
    SCB: 0x028CF0C8,
    Direction: inbound
    SPI      : 0xEFFE8E91
    Session ID: 0x00000009
    VPIF num  : 0x00000002
    Tunnel type: l2l
    Protocol   : esp
    Lifetime   : 240 seconds
IPSEC: New embryonic SA created @ 0x028F27E0,
    SCB: 0x02842188,
    Direction: outbound
    SPI      : 0xEB62E7B0
    Session ID: 0x00000009
    VPIF num  : 0x00000002
    Tunnel type: l2l
    Protocol   : esp
    Lifetime   : 240 seconds
IPSEC: Completed host OBSA update, SPI 0xEB62E7B0
IPSEC: Updating outbound VPN context 0x00076B84, SPI 0xEB62E7B0
    Flags: 0x00000005
    SA   : 0x028F27E0
    SPI  : 0xEB62E7B0
    MTU  : 1500 bytes
    VCID : 0x00000000
    Peer : 0x00000000
    SCB  : 0x02842188
    Channel: 0x01693DE8
IPSEC: Completed outbound VPN context, SPI 0xEB62E7B0
    VPN handle: 0x00076B84
IPSEC: Completed outbound inner rule, SPI 0xEB62E7B0
    Rule ID: 0x026AAAF0
IPSEC: New outbound permit rule, SPI 0xEB62E7B0

!--- Tunnel endpoints

    Src addr: 172.16.1.2
    Src mask: 255.255.255.255
    Dst addr: 172.16.2.5
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0xEB62E7B0
    Use SPI: true
IPSEC: Completed outbound permit rule, SPI 0xEB62E7B0
    Rule ID: 0x028A45F8
IPSEC: Completed host IBSA update, SPI 0xEFFE8E91
IPSEC: Creating inbound VPN context, SPI 0xEFFE8E91
    Flags: 0x00000006
    SA   : 0x01AEAB40
    SPI  : 0xEFFE8E91
    MTU  : 0 bytes
    VCID : 0x00000000
    Peer : 0x00076B84
    SCB  : 0x028CF0C8
    Channel: 0x01693DE8
IPSEC: Completed inbound VPN context, SPI 0xEFFE8E91
    VPN handle: 0x0007801C
IPSEC: Updating outbound VPN context 0x00076B84, SPI 0xEB62E7B0
    Flags: 0x00000005
    SA   : 0x028F27E0
    SPI  : 0xEB62E7B0
    MTU  : 1500 bytes
    VCID : 0x00000000
    Peer : 0x0007801C
    SCB  : 0x02842188
    Channel: 0x01693DE8
IPSEC: Completed outbound VPN context, SPI 0xEB62E7B0
    VPN handle: 0x00076B84
IPSEC: Completed outbound inner rule, SPI 0xEB62E7B0
    Rule ID: 0x026AAAF0
IPSEC: Completed outbound outer SPD rule, SPI 0xEB62E7B0
    Rule ID: 0x028A45F8
IPSEC: New inbound tunnel flow rule, SPI 0xEFFE8E91

!--- IPsec session by inside interface

    Src addr: 10.6.6.0
    Src mask: 255.255.255.0
    Dst addr: 10.2.2.0
    Dst mask: 255.255.255.0
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 0
    Use protocol: false
    SPI: 0x00000000
    Use SPI: false
IPSEC: Completed inbound tunnel flow rule, SPI 0xEFFE8E91
    Rule ID: 0x01A88838
IPSEC: New inbound decrypt rule, SPI 0xEFFE8E91
    Src addr: 172.16.2.5
    Src mask: 255.255.255.255
    Dst addr: 172.16.1.2
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0xEFFE8E91
    Use SPI: true
IPSEC: Completed inbound decrypt rule, SPI 0xEFFE8E91
    Rule ID: 0x028F2710
IPSEC: New inbound permit rule, SPI 0xEFFE8E91
    Src addr: 172.16.2.5
    Src mask: 255.255.255.255
    Dst addr: 172.16.1.2
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0xEFFE8E91
    Use SPI: true
IPSEC: Completed inbound permit rule, SPI 0xEFFE8E91
    Rule ID: 0x028F3F70
IPSEC: New embryonic SA created @ 0x01AFA2E8,
    SCB: 0x028F4318,
    Direction: inbound
    SPI      : 0x9E53EEA4
    Session ID: 0x00000009
    VPIF num  : 0x00000002
    Tunnel type: l2l
    Protocol   : esp
    Lifetime   : 240 seconds
IPSEC: New embryonic SA created @ 0x0281FEA8,
    SCB: 0x01AFA6C0,
    Direction: outbound
    SPI      : 0x430107DD
    Session ID: 0x00000009
    VPIF num  : 0x00000002
    Tunnel type: l2l
    Protocol   : esp
    Lifetime   : 240 seconds
IPSEC: Completed host OBSA update, SPI 0x430107DD
IPSEC: Updating outbound VPN context 0x0007DB1C, SPI 0x430107DD
    Flags: 0x00000005
    SA   : 0x0281FEA8
    SPI  : 0x430107DD
    MTU  : 1500 bytes
    VCID : 0x00000000
    Peer : 0x00000000
    SCB  : 0x01AFA6C0
    Channel: 0x01693DE8
IPSEC: Completed outbound VPN context, SPI 0x430107DD
    VPN handle: 0x0007DB1C
IPSEC: Completed outbound inner rule, SPI 0x430107DD
    Rule ID: 0x028FA880
IPSEC: New outbound permit rule, SPI 0x430107DD
    Src addr: 172.16.1.2
    Src mask: 255.255.255.255
    Dst addr: 172.16.2.5
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0x430107DD
    Use SPI: true
IPSEC: Completed outbound permit rule, SPI 0x430107DD
    Rule ID: 0x028055B0
IPSEC: Completed host IBSA update, SPI 0x9E53EEA4
IPSEC: Creating inbound VPN context, SPI 0x9E53EEA4
    Flags: 0x00000006
    SA   : 0x01AFA2E8
    SPI  : 0x9E53EEA4
    MTU  : 0 bytes
    VCID : 0x00000000
    Peer : 0x0007DB1C
    SCB  : 0x028F4318
    Channel: 0x01693DE8
IPSEC: Completed inbound VPN context, SPI 0x9E53EEA4
    VPN handle: 0x000813D4
IPSEC: Updating outbound VPN context 0x0007DB1C, SPI 0x430107DD
    Flags: 0x00000005
    SA   : 0x0281FEA8
    SPI  : 0x430107DD
    MTU  : 1500 bytes
    VCID : 0x00000000
    Peer : 0x000813D4
    SCB  : 0x01AFA6C0
    Channel: 0x01693DE8
IPSEC: Completed outbound VPN context, SPI 0x430107DD
    VPN handle: 0x0007DB1C
IPSEC: Completed outbound inner rule, SPI 0x430107DD
    Rule ID: 0x028FA880
IPSEC: Completed outbound outer SPD rule, SPI 0x430107DD
    Rule ID: 0x028055B0
IPSEC: New inbound tunnel flow rule, SPI 0x9E53EEA4

!--- IPsec session by DMZ interface

    Src addr: 10.6.6.0
    Src mask: 255.255.255.0
    Dst addr: 10.3.3.0
    Dst mask: 255.255.255.0
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 0
    Use protocol: false
    SPI: 0x00000000
    Use SPI: false
IPSEC: Completed inbound tunnel flow rule, SPI 0x9E53EEA4
    Rule ID: 0x02850040
IPSEC: New inbound decrypt rule, SPI 0x9E53EEA4
    Src addr: 172.16.2.5
    Src mask: 255.255.255.255
    Dst addr: 172.16.1.2
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0x9E53EEA4
    Use SPI: true
IPSEC: Completed inbound decrypt rule, SPI 0x9E53EEA4
    Rule ID: 0x0284ACF8
IPSEC: New inbound permit rule, SPI 0x9E53EEA4
    Src addr: 172.16.2.5
    Src mask: 255.255.255.255
    Dst addr: 172.16.1.2
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0x9E53EEA4
    Use SPI: true
IPSEC: Completed inbound permit rule, SPI 0x9E53EEA4
    Rule ID: 0x0281FDA8

Очистка ассоциаций безопасности

узел clear crypto ipsec sa 10.6.6.6 — Удаляет все контексты безопасности IPSec к узлу, как определено хостом с указанным именем или IP-адресом.

очиститесь isakmp sa — Удаляет все базы данных SA времени выполнения IKE.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 69385