Безопасность : Устройства защиты Cisco PIX серии 500

PIX/ASA 7.x и более поздние: Пример конфигурации VPN/IPsec с OSPF

28 июля 2013 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (8 августа 2008) | Английский (14 октября 2008) | Отзыв


Содержание


Введение

В данном документе представлен образец конфигурации для VPN/IPsec с первоочередным открытием кратчайших маршрутов (OSPF) в ПО устройства защиты Cisco PIX версии 7.x или в устройстве адаптивной защиты Cisco (ASA). С помощью PIX/ASA 7.x можно запустить одноадресную рассылку OSPF в существующем соединении VPN. Больше нет необходимости настраивать туннель общей инкапсуляции маршрутов (GRE).

Предварительные условия

Требования

Прежде чем выполнить данную конфигурацию, убедитесь, что можно установить соединение VPN.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Cisco 2500 с ПО Cisco IOS® версии 12.1 и более поздние

  • Cisco 2500 с ПО Cisco IOS версии 12.0 и более поздние

  • Устройство защиты ASA 5500 с ПО версии 7.x и более поздними

    Примечание. В PIX 500 версии 7.x/8.x работает то же ПО, что и в ASA 5500 версии 7.x/8.x. Настройки, приведенные в этом документе, применимы к обеим линиям продуктов.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Подробные сведения об условных обозначениях см. в документе "Условные обозначения технических терминов Cisco".

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в данном документе.

 Примечание. Используйте Средство поиска команд (только для зарегистрированных клиентов) для получения дополнительной информации по используемым в данном разделе командам.

Схема сети

В этом документе использованы параметры данной сети.

/image/gif/paws/63882/gre-ipsec-ospf-1.gif

Конфигурации

В настоящем документе используются следующие конфигурации.

Маршрутизатор слева
version 12.1
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Left
!
!
!
!
!
!
ip subnet-zero
ip tcp synwait-time 5
no ip domain-lookup
!
!
!
!
interface Loopback11
 ip address 11.11.11.11 255.255.255.0
!
interface Ethernet0
 ip address 10.10.10.2 255.255.255.0
 no keepalive
!
interface Serial0
 no ip address
 no keepalive
 no fair-queue
 ignore-dcd
!
interface Serial1
 no ip address
 shutdown
 ignore-dcd
!
interface BRI0
 no ip address
 shutdown
!
router ospf 11
 log-adjacency-changes
 network 10.10.10.0 0.0.0.255 area 0
 network 11.11.11.0 0.0.0.255 area 0
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.10.10.1
ip http server
!
logging trap debugging
logging 20.20.20.2
access-list 100 permit ip any any
access-list 101 permit ip any any
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 privilege level 15
 no login
!
end

Маршрутизатор house
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Right
!
aaa new-model
aaa authentication login default group tacacs+ none
aaa authorization exec default group tacacs+ none
!
!
!
!
!
ip subnet-zero
no ip domain-lookup
!
cns event-service server
!
!
!
!
!
interface Loopback22
 ip address 22.22.22.22 255.255.255.0
 no ip directed-broadcast
!
interface Tunnel0
 no ip address
 no ip directed-broadcast
!
interface Ethernet0
 ip address 20.20.20.2 255.255.255.0
 no ip directed-broadcast
!
interface Serial0
 no ip address
 no ip directed-broadcast
 no ip mroute-cache
 shutdown
 no fair-queue
!
interface Serial1
 no ip address
 no ip directed-broadcast
 shutdown
!
interface Async1
 no ip address
 no ip directed-broadcast
 encapsulation ppp
!
router ospf 22
 log-adjacency-changes
 network 20.20.20.0 0.0.0.255 area 0
 network 22.22.22.0 0.0.0.255 area 0
!
ip classless
ip route 0.0.0.0 0.0.0.0 20.20.20.1
ip http server
!
!
!
line con 0
 transport input none
line 1 8
line aux 0
line vty 0 4
!
end

Настройка устройства защиты PIX/ASA версии 7.x

Можно использовать диспетчер устройств дополнительной защиты (ASDM; Advanced Security Device Manager), чтобы настроить устройство защиты PIX/ASA с помощью интерфейса командной строки (CLI) или GUI. Настройка в данном разделе представлена для локального ASA. Настройте удаленное ASA ("Remote") таким же образом. Необходимо настроить только различия в IP-адресации.

Войдите с консоли в PIX/ASA, чтобы настроить устройство защиты PIX/ASA версии 7.x. В очищенной конфигурации используйте интерактивные приглашения, чтобы включить ASDM GUI для управления PIX/ASA из рабочей станции 10.10.10.3.

Примечание. Если сосед OSPF не подключается, необходимо уменьшить максимальный размер передаваемого блока данных (MTU).

Начальная загрузка PIX/ASA-ASDM
Pre-configure Firewall now through interactive prompts [yes]? 
Firewall Mode [Routed]: 
Enable password [<use current password>]: cisco
Allow password recovery [yes]? 
Clock (UTC):
  Year [2006]: 
  Month [May]: 
  Day [25]: 
  Time [06:00:44]: 
Inside IP address: 10.10.10.1
Inside network mask: 255.255.255.0
Host name: Local
Domain name: cisco.com
IP address of host running Device Manager: 10.10.10.3

The following configuration will be used:
Enable password: cisco
Allow password recovery: yes
Clock (UTC): 06:00:44 May 25 2006
Firewall Mode: Routed
Inside IP address: 10.10.10.1
Inside network mask: 255.255.255.0
Host name: Local
Domain name: cisco.com
IP address of host running Device Manager: 10.10.10.3

Use this configuration and write to flash? yes
INFO: Security level for "inside" set to 100 by default.
Cryptochecksum: 34f55366 a32e232d ebc32ac1 3bfa201a 

969 bytes copied in 0.880 secs

Использование ASDM

Для настройки при помощи графического интерфейса пользователя ASDM выполните следующие действия.

  1. В рабочей станции 10.10.10.3 откройте браузер и используйте ASDM.

    В следующем примере используется https://10.10.10.1.

  2. В запросах сертификата нажмите Yes.

  3. Войдите в систему с помощью пароля для режима enable.

    Данный вход появляется в конфигурации PIX/ASA-ASDM Bootstrap.

  4. В приглашении выберите использование средства запуска ASDM или ASDM в качестве приложения Java.

    Данное приглашение отображается только при первом запуске ASDM на компьютере. В данном примере выбрано и установлено средство запуска ASDM.

  5. Перейдите к окну ASDM Home и выберите вкладку Configuration.

    /image/gif/paws/63882/gre-ipsec-ospf-2.gif

  6. Чтобы настроить внешний интерфейс, выберите Interface > Edit.

    gre-ipsec-ospf-3.gif

  7. Нажмите кнопку ОК.

    gre-ipsec-ospf-4.gif

  8. Введите все данные интерфейса и после завершения нажмите кнопку OK.

    /image/gif/paws/63882/gre-ipsec-ospf-5.gif

  9. В диалоговом окне Security Level Change нажмите OK.

    /image/gif/paws/63882/gre-ipsec-ospf-6.gif

  10. Чтобы принять конфигурацию интерфейса, нажмите Apply.

    gre-ipsec-ospf-7.gif

    При этом конфигурация загружается в PIX.

    Примечание. В этом примере используются статические маршруты.

  11. Выберите Features > Routing > Static Route и нажмите Add.

    gre-ipsec-ospf-8.gif

  12. Настройте шлюз по умолчанию и нажмите OK.

    /image/gif/paws/63882/gre-ipsec-ospf-9.gif

  13. Настройте статический хост для удаленного однорангового узла, чтобы избежать возможной рекурсивной маршрутизации при подключении OSPF, а потом нажмите OK.

    gre-ipsec-ospf-10.gif

  14. Чтобы принять конфигурацию маршрутизации, нажмите Apply.

    gre-ipsec-ospf-11.gif

    При этом конфигурация загружается в PIX.

  15. Выберите Wizards > VPN Wizard, чтобы использовать мастер VPN и создать соединение LAN - LAN.

    gre-ipsec-ospf-12.gif

  16. В окне VPN Wizard нажмите Next, где по умолчанию выбрано Site-to-Site.

    gre-ipsec-ospf-13.gif

  17. Добавьте IP-адрес однорангового узла, имя туннельной группы (которое является IP-адресом) и сведения о предварительном общем ключе и нажмите Next.

    /image/gif/paws/63882/gre-ipsec-ospf-14.gif

  18. Добавьте тип шифрования, тип аутентификации, сведения о группе DH и нажмите Next.

    gre-ipsec-ospf-15.gif

  19. Добавьте сведения о параметрах IPsec: тип шифрования и тип аутентификации, и нажмите Next.

    gre-ipsec-ospf-16.gif

  20. Настройте сеть внутренних хостов. Чтобы переместить адрес в поле Selected Host/Networks в данном окне, нажмите Add. Щелкните Next по завершении.

    gre-ipsec-ospf-17.gif

  21. Настройте сеть внешних хостов. Чтобы переместить адрес в поле Selected Host/Networks в данном окне, нажмите Add. Щелкните Next по завершении.

    gre-ipsec-ospf-18.gif

  22. Просмотрите поле Summary для точности и нажмите Next.

    /image/gif/paws/63882/gre-ipsec-ospf-19.gif

  23. Чтобы проверить конфигурацию туннелей LAN - LAN, созданную с помощью мастера VPN, выберите Configuration > VPN.

    /image/gif/paws/63882/gre-ipsec-ospf-20.gif

  24. Создайте список доступа, чтобы позволить трафику OSPF проходить между VPN.

    Данный список доступа VPN предназначен для изученных маршрутов OSPF. Выберите Configuration > VPN.

    gre-ipsec-ospf-21.gif

  25. Выберите IPSec > IPSec Rules и нажмите Add.

    gre-ipsec-ospf-22.gif

  26. В данном окне добавьте данные о соседе OSPF (IP-адрес) и нажмите OK.

    Примечание. Убедитесь, что вы работаете на внешнем интерфейсе.

    /image/gif/paws/63882/gre-ipsec-ospf-23.gif

  27. Проверьте правильность сведений и нажмите Apply.

    gre-ipsec-ospf-24.gif

  28. Выберите Configuration > NAT и нажмите Translation Exemption Rules (правила исключения преобразований), чтобы проверить конфигурации преобразований сетевых адресов (NAT), созданные с помощью мастера VPN.

    /image/gif/paws/63882/gre-ipsec-ospf-25.gif

  29. Так как в данном примере используется NAT, снимите флажок для Enable traffic through the firewall without address translation (включить трафик через межсетевой экран без преобразования адресов), а потом нажмите Add. В следующем шаге настраивается правило NAT.

    /image/gif/paws/63882/gre-ipsec-ospf-26.gif

  30. Настройте исходную сеть. Нажмите Browse, чтобы определить адреса пулов NAT для внутреннего использования. А потом выберите outside (внешний) для преобразования адреса на интерфейсе и нажмите Manage Pools.

    gre-ipsec-ospf-27.gif

  31. Выберите outside интерфейс и нажмите Add.

    gre-ipsec-ospf-28.gif

  32. Так как в данном примере в преобразовании адресов портов (PAT) используется IP-адрес интерфейса, нажмите Port Address Translation (PAT) using the IP address of the interface (преобразование адресов портов (PAT) с помощью IP-адреса интерфейса).

    gre-ipsec-ospf-29.gif

  33. После настройки пулов PAT нажмите OK.

    /image/gif/paws/63882/gre-ipsec-ospf-30.gif

  34. В окне Add Address Translation Rule выберите Address Pool (пул адресов), который необходимо использовать в исходной сети.

    gre-ipsec-ospf-31.gif

  35. Нажмите кнопку ОК. В данном окне отображены выходные данные конфигурации NAT.

    gre-ipsec-ospf-32.gif

  36. Нажмите Apply, чтобы сохранить данную конфигурацию.

    /image/gif/paws/63882/gre-ipsec-ospf-33.gif

  37. Выберите Configuration > Routing > OSPF > Setup, перейдите к вкладке Process Instances и установите флажок Enable this OSPF Process, чтобы установить OSPF на PIX.

    /image/gif/paws/63882/gre-ipsec-ospf-34.gif

  38. Выберите Area/Networks и нажмите Add.

    gre-ipsec-ospf-35.gif

  39. Введите IP-адрес и сетевую маску одной сети в поле OSPF process и нажмите OK (MD5 был выбран, чтобы отобразить его в качестве дополнительного элемента, но необязательного).

    gre-ipsec-ospf-36.gif

  40. Проверьте правильность сведений и нажмите Edit.

    gre-ipsec-ospf-37.gif

  41. Введите IP-адрес и сетевую маску второй сети и внешнего удаленного однорангового узла в поле OSPF process и нажмите OK.

    /image/gif/paws/63882/gre-ipsec-ospf-38.gif

  42. Проверьте правильность сведений и нажмите Apply.

    gre-ipsec-ospf-39.gif

  43. Выберите OSPF > Interface > Properties > Outside и нажмите Edit.

    gre-ipsec-ospf-40.gif

  44. Снимите флажок Broadcast на внешнем интерфейсе.

    Примечание. Это должно быть индивидуальной рассылкой.

    /image/gif/paws/63882/gre-ipsec-ospf-41.gif

  45. Проверьте столбец Broadcast для внешнего интерфейса, чтобы убедиться, что выбрано no и нажмите Apply.

    /image/gif/paws/63882/gre-ipsec-ospf-42.gif

  46. Выберите OSPF > Static Neighbor и нажмите Add.

    gre-ipsec-ospf-43.gif

  47. Введите IP-адрес в поле Neighbor и выберите outside (внешний) для интерфейса. Нажмите кнопку ОК.

    /image/gif/paws/63882/gre-ipsec-ospf-44.gif

  48. Проверьте правильность сведений и нажмите Apply. Этим действием процесс настройки завершается.

    /image/gif/paws/63882/gre-ipsec-ospf-45.gif

Выберите File > Show Running Configuration in New Window, чтобы просмотреть конфигурацию CLI.

/image/gif/paws/63882/gre-ipsec-ospf-46.gif

Локальное ASA
ASA Version 7.X
no names
!
interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 30.30.30.1 255.255.255.0

!--- This line allows the unicast of OSPF over the IPsec tunnel.

 ospf network point-to-point non-broadcast

!--- This line is optional and not required for OSPF to work.
!--- Enable this option only if you want to enable MD5 digest for OSPF.

 ospf message-digest-key 10 md5 cisco
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 10.10.10.1 255.255.255.0
!
interface GigabitEthernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
enable password cisco encrypted
passwd cisco encrypted
hostname Local
ftp mode passive


!--- These access control list (ACL) entries define 
!--- interesting traffic for IPsec encryption and allow
!--- the traffic to bypass NAT. Note that OSPF is permitted and only 
!--- in the crypto ACL. 


same-security-traffic permit intra-interface
access-list nonat extended permit ip 10.10.10.0 255.255.255.0 20.20.20.0 255.255.255.0
access-list outside_cryptomap_10 extended permit ip 10.10.10.0 255.255.255.0 20.20.20.0 255.255.255.0
access-list outside_cryptomap_10 extended permit ospf interface outside host 40.40.40.2
pager lines 24
mtu outside 1500
mtu inside 1500
no failover
icmp permit any echo outside
icmp permit any echo-reply outside
icmp permit any echo inside
icmp permit any echo-reply inside
asdm image disk0:/asdm-502.bin
no asdm history enable
arp timeout 14400
global (outside) 10 interface



!--- Do not translate traffic with NAT.


nat (inside) 0 access-list nonat
nat (inside) 10 10.10.10.0 255.255.255.0
!


!--- This is OSPF. 
!--- Note: You must define the outside network of the remote peer.


router ospf 100
 network 10.10.10.0 255.255.255.0 area 0
 network 30.30.30.0 255.255.255.0 area 0
 network 40.40.40.0 255.255.255.0 area 0


!--- This is where OSPF is told where the 
!--- PEER is located.



 neighbor 40.40.40.2 interface outside
 log-adj-changes
!


!--- This is a host based static. This is not always 
!--- necessary, but recommended to prevent recursive routing loops when 
!--- OSPF comes up over the IPsec tunnel. 





route outside 40.40.40.2 255.255.255.255 30.30.30.2 1
route outside 0.0.0.0 0.0.0.0 30.30.30.2 1

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00
h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.4.50 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp         


!--- This is the IPsec and IKE/ISAKMP configuration. 
!--- Make sure basic IPsec connectivity is present
!--- before you add in OSPF. 


crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto map outside_map 10 match address outside_cryptomap_10
crypto map outside_map 10 set peer 40.40.40.2
crypto map outside_map 10 set transform-set myset
crypto map outside_map 10 set security-association lifetime seconds 86400
crypto map outside_map interface outside
isakmp identity address
isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400

telnet timeout 5
ssh timeout 5
console timeout 0



tunnel-group 40.40.40.2 type ipsec-l2l
tunnel-group 40.40.40.2 ipsec-attributes
 pre-shared-key cisco

class-map inspection_default
match default-inspection-traffic

policy-map asa_global_fw_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy asa_global_fw_policy global
Cryptochecksum:3d5f16a67ec0fa20aa3882acaa348e28
: end

Удаленное ASA
ASA Version 7.X
no names
!
interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 40.40.40.2 255.255.255.0

!--- This line allows the unicast of OSPF over to
!--- the IPsec tunnel.

 ospf network point-to-point non-broadcast

!--- This line is optional and not required for OSPF to work.
!--- Enable this option only if you want to enable MD5 digest for OSPF.

 ospf message-digest-key 10 md5 cisco


!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 20.20.20.1 255.255.255.0
!
interface GigabitEthernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
enable password cisco encrypted
passwd cisco encrypted
hostname Remote
ftp mode passive


!--- These ACL entries define interesting traffic for IPsec encryption and allow
!--- the traffic to bypass NAT. Note that OSPF is permitted and only in the crypto ACL.


same-security-traffic permit intra-interface
access-list nonat extended permit ip 20.20.20.0 255.255.255.0 10.10.10.0 255.255.255.0
access-list crypto extended permit ip 20.20.20.0 255.255.255.0 10.10.10.0 255.255.255.0
access-list crypto extended permit ospf interface outside host 30.30.30.1


pager lines 24
mtu outside 1500
mtu inside 1500
no failover
icmp permit any echo outside
icmp permit any echo-reply outside
icmp permit any echo inside
icmp permit any echo-reply inside
asdm image disk0:/asdm-502.bin
no asdm history enable
arp timeout 14400
global (outside) 20 interface



!--- Do not translate traffic with NAT.

nat (inside) 0 access-list nonat
nat (inside) 20 20.20.20.0 255.255.255.0
!


!--- This is OSPF. 
!--- Note: You must define the remote peer's outside network.


router ospf 100
 network 20.20.20.0 255.255.255.0 area 0
 network 30.30.30.0 255.255.255.0 area 0
 network 40.40.40.0 255.255.255.0 area 0


!--- This is where the OSPF is told where the PEER is located.



 neighbor 30.30.30.1 interface outside
 log-adj-changes
!


!--- This is a host based static. This is not always necessary, but recommended to
prevent recursive routing loops when OSPF comes up over the IPsec tunnel.


route outside 0.0.0.0 0.0.0.0 40.40.40.1 1
route outside 30.30.30.1 255.255.255.255 40.40.40.1 1

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00
h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.4.50 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp         


!--- This is the IPsec configuration. Make sure basic IPsec connectivity is present
before you add in OSPF. 


crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto map vpn 10 match address crypto
crypto map vpn 10 set peer 30.30.30.1
crypto map vpn 10 set transform-set myset
crypto map vpn interface outside

isakmp identity address
isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400

isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400


telnet timeout 5
ssh timeout 5
console timeout 0




tunnel-group 30.30.30.1 type ipsec-l2l
tunnel-group 30.30.30.1 ipsec-attributes
 pre-shared-key cisco

class-map inspection_default
match default-inspection-traffic

policy-map asa_global_fw_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy asa_global_fw_policy global
Cryptochecksum:3d5f16a67ec0fa20aa3882acaa348e28
: end

Включение ввода обратной маршрутизации (RRI; Reverse Route Injection)

Чтобы ввести сведения об удаленных сетях VPN LAN - LAN в сеть с OSPF, см. раздел Проверка правильности маршрутизации для конфигурации CLI и RRI сети между локальными сетями для конфигурации ASDM.

Проверка

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Интерпретатор выходных данных – OIT (только для зарегистрированных пользователей) поддерживает ряд команд show. Посредством OIT можно анализировать выходные данные команд show.

  • регистрация перед отладкой — Показывает установку соединения и отказ в соединениях к хостам, которые проходят через PIX. Сведения хранятся в буфере журнала PIX. Можно увидеть выходные данные, если использовать команду show log.

Используйте ASDM для включения функции регистрации данных в журнале и просмотра журналов.

  • show crypto isakmp sa — Показывает Ассоциацию Защиты в сети Интернет и Протокол управления ключами (ISAKMP) сопоставление безопасности (SA), которое создано между узлами.

    Local#show crypto isakmp sa
    
    Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 40.40.40.2
        Type    : L2L             Role    : initiator
        Rekey   : no              State   : MM_ACTIVE
    
    
    Remote#show crypto isa sa
    
    Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 30.30.30.1
        Type    : L2L             Role    : responder
        Rekey   : no              State   : MM_ACTIVE
  • show crypto ipsec sa — Показывает каждый SA Фазы 2, который создан и объем трафика, который передается.

    Local#show crypto ipsec sa
    interface: outside
        Crypto map tag: vpn, local addr: 30.30.30.1
    
          local ident (addr/mask/prot/port): (30.30.30.1/255.255.255.255/89/0)
          remote ident (addr/mask/prot/port): (40.40.40.2/255.255.255.255/89/0)
          current_peer: 40.40.40.2
    
          #pkts encaps: 355, #pkts encrypt: 355, #pkts digest: 355
          #pkts decaps: 355, #pkts decrypt: 355, #pkts verify: 355
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 355, #pkts comp failed: 0, #pkts decomp failed: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 30.30.30.1, remote crypto endpt.: 40.40.40.2
    
          path mtu 1500, ipsec overhead 60, media mtu 1500
          current outbound spi: 83444440
    
        inbound esp sas:
          spi: 0xAE9AB30C (2929373964)
             transform: esp-3des esp-sha-hmac
             in use settings ={L2L, Tunnel, }
             slot: 0, conn_id: 1, crypto-map: vpn
             sa timing: remaining key lifetime (kB/sec): (3824976/25399)
             IV size: 8 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0x83444440 (2202289216)
             transform: esp-3des esp-sha-hmac
             in use settings ={L2L, Tunnel, }
             slot: 0, conn_id: 1, crypto-map: vpn
             sa timing: remaining key lifetime (kB/sec): (3824975/25396)
             IV size: 8 bytes
             replay detection support: Y
    
    
    Remote#show crypto ipsec sa
    interface: outside
        Crypto map tag: vpn, local addr: 40.40.40.2
    
          local ident (addr/mask/prot/port): (40.40.40.2/255.255.255.255/89/0)
          remote ident (addr/mask/prot/port): (30.30.30.1/255.255.255.255/89/0)
          current_peer: 30.30.30.1
    
          #pkts encaps: 364, #pkts encrypt: 364, #pkts digest: 364
          #pkts decaps: 364, #pkts decrypt: 364, #pkts verify: 364
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 364, #pkts comp failed: 0, #pkts decomp failed: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 40.40.40.2, remote crypto endpt.: 30.30.30.1
    
          path mtu 1500, ipsec overhead 60, media mtu 1500
          current outbound spi: AE9AB30C
    
        inbound esp sas:
          spi: 0x83444440 (2202289216)
             transform: esp-3des esp-sha-hmac
             in use settings ={L2L, Tunnel, }
             slot: 0, conn_id: 1, crypto-map: vpn
             sa timing: remaining key lifetime (kB/sec): (4274975/25301)
             IV size: 8 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0xAE9AB30C (2929373964)
             transform: esp-3des esp-sha-hmac
             in use settings ={L2L, Tunnel, }
             slot: 0, conn_id: 1, crypto-map: vpn
             sa timing: remaining key lifetime (kB/sec): (4274975/25300)
             IV size: 8 bytes
             replay detection support: Y
  • show ospf neighbor — Отношения окружения OSPF Показов сформировались.

    Local#show ospf neighbor
    Neighbor ID     Pri   State           Dead Time   Address         Interface
    40.40.40.2        1   FULL/  -        0:00:38     40.40.40.2      outside
    11.11.11.11       1   FULL/DR         0:00:33     10.10.10.2      inside
    
    Remote#show ospf neighbor
    Neighbor ID     Pri   State           Dead Time   Address         Interface
    30.30.30.1        1   FULL/  -        0:00:38     30.30.30.1      outside
    22.22.22.22       1   FULL/DR         0:00:38     20.20.20.2      inside
  • show debug — Отображает выходные данные отладки.

    Local(config)#show debug
    debug crypto ipsec enabled at level 1
    debug crypto engine enabled at level 1
    debug crypto isakmp enabled at level 1
    
    May 25 12:49:21 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    IKE SA MM:ec9c234a rcv'd Terminate: state MM_ACTIVE  flags 0x0021c042, 
    ref2cnt 1, tuncnt 1
    May 25 12:49:21 [IKEv1 DEBUG]: sending delete/delete with reason message
    May 25 12:49:21 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing blank hash
    May 25 12:49:21 [IKEv1 DEBUG]: constructing IPSec delete payload
    May 25 12:49:21 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing qm hash
    May 25 12:49:21 [IKEv1]: IP = 40.40.40.2, IKE DECODE SENDING Message 
    (msgid=df6487d8) with payloads : HDR + HASH (8) + DELETE (12) + NONE 
    (0) total length : 64
    May 25 12:49:21 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Active unit receives a delete event for remote peer 40.40.40.2.
    
    May 25 12:49:21 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    IKE Deleting SA: Remote Proxy 40.40.40.2, Local Proxy 30.30.30.1
    May 25 12:49:21 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    IKE SA MM:ec9c234a terminating:  flags 0x0121c002, refcnt 0, tuncnt 0
    May 25 12:49:21 [IKEv1 DEBUG]: sending delete/delete with reason message
    May 25 12:49:21 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing blank hash
    May 25 12:49:21 [IKEv1 DEBUG]: constructing IKE delete payload
    May 25 12:49:21 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing qm hash
    May 25 12:49:21 [IKEv1]: IP = 40.40.40.2, IKE DECODE SENDING Message 
    (msgid=ec167928) with payloads : HDR + HASH (8) + DELETE (12) + NONE 
    (0) total length : 76
    May 25 12:49:21 [IKEv1 DEBUG]: pitcher: received key delete msg, spi 0x504ea964
    May 25 12:49:21 [IKEv1 DEBUG]: pitcher: received key delete msg, spi 0x79fbcb2d
    28-05-05-ASA5520-2(config)# May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, 
    processing SA payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Oakley proposal is acceptable
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, processing VID payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Received Fragmentation VID
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, IKE Peer included IKE 
    fragmentation capability flags:  Main Mode:        True  Aggressive Mode:  True
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, processing IKE SA
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, IKE SA Proposal # 1, 
    Transform # 1 acceptable  Matches global IKE entry # 3
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, constructing ISA_SA for isakmp
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, constructing Fragmentation 
    VID + extended capabilities payload
    May 25 12:49:39 [IKEv1]: IP = 40.40.40.2, IKE DECODE SENDING Message 
    (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + NONE (0) total 
    length : 108
    May 25 12:49:39 [IKEv1]: IP = 40.40.40.2, IKE DECODE RECEIVED Message 
    (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR 
    (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 256
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, processing ke payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, processing ISA_KE
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, processing nonce payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, processing VID payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Received Cisco Unity client VID
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, processing VID payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Received xauth V6 VID
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, processing VID payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Processing VPN3000/ASA 
    spoofing IOS Vendor ID payload (version: 1.0.0, capabilities: 20000001)
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, processing VID payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Received Altiga/Cisco 
    VPN3000/Cisco ASA GW VID
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, constructing ke payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, constructing nonce payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, constructing Cisco Unity 
    VID payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, constructing xauth V6 VID payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Send IOS VID
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Constructing ASA spoofing IOS 
    Vendor ID payload (version: 1.0.0, capabilities: 20000001)
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, constructing VID payload
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Send Altiga/Cisco 
    VPN3000/Cisco ASA GW VID
    May 25 12:49:39 [IKEv1]: IP = 40.40.40.2, Connection landed on tunnel_group 
    40.40.40.2
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Generating keys for Responder...
    May 25 12:49:39 [IKEv1]: IP = 40.40.40.2, IKE DECODE SENDING Message 
    (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + 
    VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 256
    May 25 12:49:39 [IKEv1]: IP = 40.40.40.2, IKE DECODE RECEIVED Message 
    (msgid=0) with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (14) 
    + VENDOR (13) + NONE (0) total length : 92
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Processing ID
    May 25 12:49:39 [IKEv1 DECODE]: ID_IPV4_ADDR ID received
    40.40.40.2
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    processing hash
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    computing hash
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Processing IOS keep 
    alive payload: proposal=32767/32767 sec.
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    processing VID payload
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Received DPD VID
    May 25 12:49:39 [IKEv1]: IP = 40.40.40.2, Connection landed on 
    tunnel_group 40.40.40.2
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing ID
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    construct hash payload
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    computing hash
    May 25 12:49:39 [IKEv1 DEBUG]: IP = 40.40.40.2, Constructing IOS 
    keep alive payload: proposal=32767/32767 sec.
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing dpd vid payload
    May 25 12:49:39 [IKEv1]: IP = 40.40.40.2, IKE DECODE SENDING 
    Message (msgid=0) with payloads : HDR + ID (5) + HASH (8) + 
    IOS KEEPALIVE (14) + VENDOR (13) + NONE (0) total length : 92
    May 25 12:49:39 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    PHASE 1 COMPLETED
    May 25 12:49:39 [IKEv1]: IP = 40.40.40.2, Keep-alive type for 
    this connection: DPD
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Starting phase 1 rekey timer: 73440000 (ms)
    May 25 12:49:39 [IKEv1 DECODE]: IP = 40.40.40.2, IKE Responder starting 
    QM: msg id = 0529ac6b
    May 25 12:49:39 [IKEv1]: IP = 40.40.40.2, IKE DECODE RECEIVED Message 
    (msgid=529ac6b) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) 
    + ID (5) + ID (5) + NOTIFY (11) + NONE (0) total length : 184
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    processing hash
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    processing SA payload
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    processing nonce payload
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Processing ID
    May 25 12:49:39 [IKEv1 DECODE]: ID_IPV4_ADDR ID received
    40.40.40.2
    May 25 12:49:39 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Received remote Proxy Host data in ID Payload:  Address 40.40.40.2, 
    Protocol 89, Port 0
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Processing ID
    May 25 12:49:39 [IKEv1 DECODE]: ID_IPV4_ADDR ID received
    30.30.30.1
    May 25 12:49:39 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Received local Proxy Host data in ID Payload:  Address 30.30.30.1, 
    Protocol 89, Port 0
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Processing Notify payload
    May 25 12:49:39 [IKEv1]: QM IsRekeyed old sa not found by addr
    May 25 12:49:39 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Static Crypto Map check, checking map = vpn, seq = 10...
    May 25 12:49:39 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Static Crypto Map check, map vpn, seq = 10 is a successful match
    May 25 12:49:39 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    IKE Remote Peer configured for SA: vpn
    May 25 12:49:39 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    processing IPSEC SA
    May 25 12:49:39 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    IPSec SA Proposal # 1, Transform # 1 acceptable  Matches global 
    IPSec SA entry # 10
    May 25 12:49:39 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    IKE: requesting SPI!
    May 25 12:49:39 [IKEv1]: Received unexpected event 
    EV_ACTIVATE_NEW_SA in state MM_ACTIVE
    May 25 12:49:40 [IKEv1 DEBUG]: IKE got SPI from key engine: SPI = 0xf629186e
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    oakley constucting quick mode
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing blank hash
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing ISA_SA for ipsec
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing ipsec nonce payload
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing proxy ID
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Transmitting Proxy Id:
      Remote host: 40.40.40.2  Protocol 89  Port 0
      Local host:  30.30.30.1  Protocol 89  Port 0
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    constructing qm hash
    May 25 12:49:40 [IKEv1 DECODE]: IKE Responder sending 2nd QM pkt: 
    msg id = 0529ac6b
    May 25 12:49:40 [IKEv1]: IP = 40.40.40.2, IKE DECODE SENDING Message 
    (msgid=529ac6b) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) 
    + ID (5) + ID (5) + NONE (0) total length : 156
    May 25 12:49:40 [IKEv1]: IP = 40.40.40.2, IKE DECODE RECEIVED Message 
    (msgid=529ac6b) with payloads : HDR + HASH (8) + NONE (0) total length : 48
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    processing hash
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    loading all IPSEC SAs
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Generating Quick Mode Key!
    May 25 12:49:40 [IKEv1 DEBUG]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Generating Quick Mode Key!
    May 25 12:49:40 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Security negotiation complete for LAN-to-LAN Group (40.40.40.2)  
    Responder, Inbound SPI = 0xf629186e, Outbound SPI = 0x524e01e4
    May 25 12:49:40 [IKEv1 DEBUG]: IKE got a KEY_ADD msg for SA: SPI = 0x524e01e4
    May 25 12:49:40 [IKEv1 DEBUG]: pitcher: rcv KEY_UPDATE, spi 0xf629186e
    May 25 12:49:40 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    Starting P2 Rekey timer to expire in 24480 seconds
    May 25 12:49:40 [IKEv1]: Group = 40.40.40.2, IP = 40.40.40.2, 
    PHASE 2 COMPLETED (msgid=0529ac6b)

Проверьте, что соединение LAN - LAN передает маршрутируемый трафик, проверив маршрутизаторы:

  • show ip route - отображаются элементы таблицы IP-маршрутизации.

    Left#show ip route
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route
    
    Gateway of last resort is 10.10.10.1 to network 0.0.0.0
    
         20.0.0.0/24 is subnetted, 1 subnets
    O       20.20.20.0 [110/30] via 10.10.10.1, 00:59:37, Ethernet0
         22.0.0.0/32 is subnetted, 1 subnets
    O       22.22.22.22 [110/31] via 10.10.10.1, 00:59:37, Ethernet0
         40.0.0.0/24 is subnetted, 1 subnets
    O       40.40.40.0 [110/30] via 10.10.10.1, 00:59:37, Ethernet0
         10.0.0.0/24 is subnetted, 1 subnets
    C       10.10.10.0 is directly connected, Ethernet0
         11.0.0.0/24 is subnetted, 1 subnets
    C       11.11.11.0 is directly connected, Loopback11
         30.0.0.0/24 is subnetted, 1 subnets
    O       30.30.30.0 [110/20] via 10.10.10.1, 00:59:38, Ethernet0
    S*   0.0.0.0/0 [1/0] via 10.10.10.1
    
    
    Left#ping 20.20.20.2
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 20.20.20.2, timeout is 2 seconds:
    !!!!!
    
    Right#show ip route
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route
    
    Gateway of last resort is 20.20.20.1 to network 0.0.0.0
    
         20.0.0.0/24 is subnetted, 1 subnets
    C       20.20.20.0 is directly connected, Ethernet0
         22.0.0.0/24 is subnetted, 1 subnets
    C       22.22.22.0 is directly connected, Loopback22
         40.0.0.0/24 is subnetted, 1 subnets
    O       40.40.40.0 [110/20] via 20.20.20.1, 01:01:45, Ethernet0
         10.0.0.0/24 is subnetted, 1 subnets
    O       10.10.10.0 [110/30] via 20.20.20.1, 01:01:45, Ethernet0
         11.0.0.0/32 is subnetted, 1 subnets
    O       11.11.11.11 [110/31] via 20.20.20.1, 01:01:45, Ethernet0
         30.0.0.0/24 is subnetted, 1 subnets
    O       30.30.30.0 [110/30] via 20.20.20.1, 01:01:46, Ethernet0
    S*   0.0.0.0/0 [1/0] via 20.20.20.1
    
    
    Right#ping 10.10.10.2
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 10.10.10.2, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 12/12/12 ms

Просмотр журналов

Чтобы просмотреть журналы выполните следующие действия:

  1. Выберите Configuration > Properties > Logging > Logging Setup, установите флажок Enable logging (включить регистрацию) и нажмите Apply.

    gre-ipsec-ospf-47.gif

  2. Выберите Monitoring > Logging > Log Buffer > Logging Level, в раскрывающемся меню выберите Logging Buffer (буфер регистрации) и нажмите View.

    gre-ipsec-ospf-48.gif

    Пример буфера журнала:

    gre-ipsec-ospf-49.gif

    Чтобы просмотреть соответствующие графики, выберите Monitoring > VPN > IPSEC Tunnels. Потом переместите IPsec Active Tunnels и IKE Active Tunnels в Selected Graphs и выберите Show Graphs.

    /image/gif/paws/63882/gre-ipsec-ospf-50.gif

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении неполадок.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 63882