Качество обслуживания (QoS) : Устройства защиты Cisco PIX серии 500

Пример настройки PIX/ASA 7.x и Cisco VPN Client 4.x с аутентификацией Windows 2003 IAS RADIUS (в Active Directory)

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (7 апреля 2008) | Английский (22 августа 2015) | Отзыв


Содержание


Введение

На этом примере конфигурирования показано, как настраивать соединение сети VPN удаленного доступа между Cisco VPN Client (версии 4.x для Windows) и PIX 500 Series Security Appliance версии 7.x. Пользователь удаленного клиента VPN autheticates против Active Directory с помощью сервера RADIUS Интернет-сервиса проверки подлинности (IAS) Microsoft Windows 2003 года.

Дополнительные сведения о реализации данного сценария для PIX 6.x с Cisco VPN Client 3.5 см. в Cisco Secure PIX Firewall 6.x и Cisco VPN Client 3.5 для Windows с проверкой подлинности Microsoft Windows 2000 и 2003 IAS RADIUS.

См. IPsec Между VPN 3000 Concentrator и Клиентом VPN 4.x для Windows с помощью RADIUS для Проверки подлинности пользователя и Считая Пример конфигурации для установления Туннеля IPSec между Cisco VPN 3000 Concentrator и Cisco VPN Client 4.x для Windows с помощью RADIUS для проверки подлинности пользователя и учета.

См. IPsec Настройки Между маршрутизатором Cisco IOS и Cisco VPN Client 4.x для Windows Using RADIUS для Проверки подлинности пользователя для настройки соединения между маршрутизатором и Cisco VPN Client 4.x использование RADIUS для проверки подлинности пользователя.

Предварительные условия

Требования

Перед попыткой применения конфигурации убедитесь в том, что следующие требования выполняются:

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • PIX 515E выпуск ПО устройства безопасности серии 7.1 (1)

  • Версия клиентской части Cisco VPN 4.8 для Windows

  • Windows 2003 Server с IAS

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Родственные продукты

Эта конфигурация может также использоваться с Устройством безопасности серии 5500 Cisco ASA.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Общие сведения

VPN адреса удалённого доступа требуются для мобильных сотрудников для безопасного соединения с сетью организации. Мобильные пользователи могут настроить безопасное соединение с помощью программного обеспечения VPN Client, установленного на их ПК. VPN Client инициирует подключение к устройству центрального узла, настроенному для приема таких запросов. В данном примере устройством центрального узла является устройство PIX 500 Series Security Appliance, в котором используются динамические криптокарты.

В этом примере конфигурации туннель IPsec настроен со следующими элементами:

  • Криптокарты, применяемые к внешним интерфейсам PIX.

  • Расширенная проверка подлинности (XAUTH) Клиентов VPN против Базы данных RADIUS.

  • Динамическое назначение частного IP-адреса из пула для клиентов VPN.

  • Функциональность команды nat 0 access-list позволяет хостам локальной сети использовать частные IP-адреса для удаленных пользователей и при этом получить NAT-адрес от PIX для доступа к ненадежным сетям.

Настройка

В этом разделе вам предоставляют информацию по настройке соединение VPN для удаленного доступа с xauth использование Windows 2003 IAS server.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Схема сети

В настоящем документе используется следующая схема сети:

/image/gif/paws/70330/pix7x-vpn4x-w2k-ias-1.gif

Конфигурации

Эти конфигурации используются в данном документе:

PIX 515E Security Appliance
PIX Version 7.1(1)
!
hostname PIX

!--- Specify the domain name for the Security Appliance.

domain-name cisco.com
enable password 9jNfZuG3TC5tCVH0 encrypted
names


!--- Configure the outside and inside interfaces.

!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.10.1.2 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.11.1.1 255.255.255.0
!

!--- Output is suppressed.

!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive


!--- Specify the interface which points toward the DNS server
!--- to enable the PIX to use DNS.

dns domain-lookup inside
dns server-group DefaultDNS
 timeout 30


!--- Specify the location of the DNS server in the DefaultDNS group.


 name-server 172.16.1.1

 domain-name cisco.com


!--- This access list is used for a nat zero command that prevents 
!--- traffic which matches the access list from undergoing NAT.


access-list 101 extended permit ip 172.16.0.0 255.255.0.0 10.16.20.0 255.255.255.00

pager lines 24
logging buffer-size 500000
logging console debugging
logging monitor errors
mtu outside 1500
mtu inside 1500

!--- Create a pool of addresses from which IP addresses are assigned 
!--- dynamically to the remote VPN Clients.


ip local pool vpnclient 10.16.20.1-10.16.20.5

no failover
icmp permit any outside
icmp permit any inside
no asdm history enable
arp timeout 14400


!--- NAT 0 prevents NAT for networks specified in the ACL 101.
!--- The nat 1 command specifies Port Address Translation (PAT)
!--- using 10.10.1.5 for all other traffic.


global (outside) 1 10.10.1.5
nat (inside) 0 access-list 101
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 10.10.0.0 255.255.255.0 10.10.1.1 1
route outside 0.0.0.0 0.0.0.0 10.11.1.1 1
route inside 172.16.0.0 255.255.0.0 10.11.1.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute


!--- Create the AAA server group "vpn" and specify the protocol as RADIUS.
!--- Specify the IAS server as a member of the "vpn" group and provide the
!--- location and key.


aaa-server vpn protocol radius
aaa-server vpn host 10.11.1.2
 key cisco123


!--- Create the VPN users' group policy and specify the DNS server IP address
!--- and the domain name in the group policy.

group-policy vpn3000 internal
group-policy vpn3000 attributes
 dns-server value 172.16.1.1
 default-domain value cisco.com


!--- In order to identify remote access users to the Security Appliance, 
!--- you can also configure usernames and passwords on the device
!--- in addition to using AAA. 


username vpn3000 password nPtKy7KDCerzhKeX encrypted
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart


!--- PHASE 2 CONFIGURATION ---!
!--- The encryption types for Phase 2 are defined here.  
!--- A single DES encryption with
!--- the md5 hash algorithm is used.


crypto ipsec transform-set my-set esp-des esp-md5-hmac


!--- Defines a dynamic crypto map with 
!--- the specified encryption settings.


crypto dynamic-map dynmap 10 set transform-set my-set


!--- Enable Reverse Route Injection (RRI), which allows the Security Appliance 
!--- to learn routing information for connected clients.


crypto dynamic-map dynmap 10 set reverse-route


!--- Binds the dynamic map to the IPsec/ISAKMP process.


crypto map mymap 10 ipsec-isakmp dynamic dynmap


!--- Specifies the interface to be used with 
!--- the settings defined in this configuration.


crypto map mymap interface outside


!--- PHASE 1 CONFIGURATION ---!

!--- This configuration uses ISAKMP policy 10.   
!--- Policy 65535 is included in the configuration by default.
!--- The configuration commands here define the Phase 
!--- 1 policy parameters that are used.


isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 1000

isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400


!--- The Security Appliance provides the default tunnel groups
!--- for remote access (DefaultRAGroup). 


tunnel-group DefaultRAGroup general-attributes
 authentication-server-group (outside) vpn


!--- Create a new tunnel group and set the connection 
!--- type to IPsec remote access (ipsec-ra).


tunnel-group vpn3000 type ipsec-ra
 

!--- Associate the vpnclient pool to the tunnel group using the address pool.
!--- Associate the AAA server group (VPN) with the tunnel group.


tunnel-group vpn3000 general-attributes
 address-pool vpnclient
 authentication-server-group vpn
 default-group-policy vpn3000
 

!--- Enter the pre-shared-key to configure the authentication method.


tunnel-group vpn3000 ipsec-attributes
 pre-shared-key *

telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:ecb58c5d8ce805b3610b198c73a3d0cf
: end

Настройка VPN Client 4.8

Выполните эти шаги для настройки Клиента VPN 4.8.

  1. Выберите Start> Programs> Cisco Systems VPN Client> VPN Client.

  2. Нажмите кнопку New (Создать), чтобы открыть окно Create New VPN Connection Entry (Создание записи нового VPN-подключения).

    pix7x-vpn4x-w2k-ias-2.gif

  3. Введите имя записи и описание подключения. Введите внешний IP-адрес PIX firewall в поле Host. Затем введите имя группы VPN и нажмите кнопку Save (Сохранить).

    /image/gif/paws/70330/pix7x-vpn4x-w2k-ias-3.gif

  4. Выберите подключение, которое необходимо использовать, и нажмите Connect в главном окне VPN Client.

    /image/gif/paws/70330/pix7x-vpn4x-w2k-ias-4.gif

  5. При появлении соответствующего запроса введите имя пользователя и пароль для аутентификации Xauth и нажмите ОК для подключения к удаленной сети.

    /image/gif/paws/70330/pix7x-vpn4x-w2k-ias-5.gif

  6. Клиент VPN связан с PIX в центральном узле.

    /image/gif/paws/70330/pix7x-vpn4x-w2k-ias-6.gif

  7. Выберите Status> Statistics для проверки статистики туннеля Клиента VPN.

    pix7x-vpn4x-w2k-ias-7.gif

Конфигурация Microsoft Windows 2003 Server с IAS

Выполните данные шаги для настройки сервера Microsoft Windows 2003 с IAS.

Примечание: Эти шаги предполагают, что IAS уже установлен на локальном компьютере. В противном случае добавьте это через Панель управления> Добавления/удаления программы.

  1. Выберите Administrative Tools> Internet Authentication Service и щелкните правой кнопкой мыши на КЛИЕНТЕ RADIUS для добавления нового Клиента RADIUS. При вводе сведений о клиенте нажмите OK.

    Данный пример показывает клиенту под названием Pix с IP-адресом 10.11.1.1. Client-Vendor установлен на RADIUS Standard, а общий секрет - "cisco123.".

    pix7x-vpn4x-w2k-ias-14.gif

  2. Перейдите к Remote Access Policies, нажмите правой кнопкой мыши кнопку Connections to Other Access Servers и выберите Properties.

  3. Убедитесь, что выбран параметр для Grant Remote Access Permissions.

  4. Нажмите кнопку Edit Profile и установите флажки в следующих настройках:

    • На вкладке Authentication проверьте Незашифрованную проверку подлинности (PAP, SPAP), MS-CHAP и MSCHAPv2.

    • Убедитесь, что на вкладке Encryption выбран параметр No Encryption.

    Закончив все действия, нажмите кнопку OK.

    /image/gif/paws/70330/pix7x-vpn4x-w2k-ias-15.gif

  5. Выберите Administrative Tools> Computer Management> System Tools> Local Users и Groups, щелкните правой кнопкой мыши на Пользователях и выберите New Users для добавления пользователя в учетную запись локального компьютера.

  6. Добавьте пользователя с Паролем Cisco password1 и проверьте эти данные профиля:

    • Убедитесь, что на вкладке General выбран параметр Password Never Expired вместо параметра User Must Change Password.

    • На Вкладке наборный (телефонный) доступ выберите опцию для, Предоставляют доступ (или оставьте настройку по умолчанию доступа Контроля через Политику Удаленного доступа).

    Закончив все действия, нажмите кнопку OK.

    /image/gif/paws/70330/pix7x-vpn4x-w2k-ias-16.gif

Характеристика проверки срока действия пароля

Устройство безопасности поддерживает управление паролями для RADIUS и Протоколов LDAP. Это поддерживает опцию password-expire-in-days для LDAP только.

Можно настроить управление паролями для удаленного доступа IPSec и туннельных групп VPN SSL.

При настройке команды password-management устройство безопасности уведомляет удаленного пользователя при входе в систему, что текущий пароль пользователя собирается истечь или истек. Устройство безопасности тогда предлагает пользователю возможность изменить пароль. Если текущий пароль еще не истек, пользователь может все еще войти с тем паролем.

Эта команда допустима для AAA-серверов, которые поддерживают такое уведомление. Если RADIUS или проверка подлинности LDAP не были настроены, устройство безопасности игнорирует эту команду.

Когда пароль пользователя истекает, и пользователь пытается регистрировать с клиентом VPN к ASA, сообщение об ошибках Password needs to be changed but password management disabled появляется на программном обеспечении клиента Cisco. Включите Управление паролями с командой password-management в туннельной группе общий режим атрибутов для решения этого вопроса.

Это - пример конфигурации для настройки LDAP:

aaa-server LDAP-AD protocol ldap
aaa-server LDAP-AD host <IP-of-Windows-AD>
server-port 636
ldap-base-dn <AD base DN>
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-dn <login user DN>
ldap-login-password <password for login user DN>
ldap-over-ssl enable

Это - пример конфигурации для Истечения Пароля:

tunnel-group <Tunnel-group> type remote-access
tunnel-group <Tunnel-group> general-attributes
authentication-server-group LDAP-AD
default-group-policy DfltGrpPolicy
password-management password-expire-in-days <number of days>

Примечание: В PIX/ASA CHAP, MSCHAPv1 и MSCHAPv2 могут использоваться для Проверки подлинности RADIUS с сервером IAS как PAP. Для использования этих протоколов необходимо использовать Характеристику проверки срока действия Пароля. Используйте команду password-management для устанавливания характеристики истечение срока действия пароля в туннельной группе общий режим атрибутов.

Проверка

Аутентификация AAA (проверка подлинности, авторизация и учет)

От PIX используйте Тестовое ключевое слово с командой aaa authentication в режиме глобальной конфигурации для проверки проверки подлинности пользователя с AAA-сервером. После ввода данной команды устройство PIX предлагает ввести имя пользователя и пароль для выполнения проверки. Когда мандат пользователя проверен, и это допустимо, вы получаете сообщение Authentication Successful.

pix(config-aaa-server-host)#test aaa authentication radius host 10.11.1.2

Username: administrator
Password: *****

INFO: Attempting Authentication test to IP address <10.11.1.2> (timeout: 12 sec
onds)
INFO: Authentication Successful

команды "show"

Используйте этот раздел, чтобы подтвердить, что ваша конфигурация работает должным образом.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

  • show crypto isakmp sa — Показывает все текущие ассоциации безопасности (SA) протокола IKE для узла.

  • show crypto ipsec sa—отображает параметры, используемые текущими SA.

PIX#show crypto ipsec sa
				interface: outside
    Crypto map tag: dynmap, seq num: 10, local addr: 10.10.1.2

      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (10.16.20.1/255.255.255.255/0/0)
      current_peer: 10.0.0.1, username: administrator
      dynamic allocated peer ip: 10.16.20.1

      #pkts encaps: 33, #pkts encrypt: 33, #pkts digest: 33
      #pkts decaps: 33, #pkts decrypt: 33, #pkts verify: 33
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 10.10.1.2, remote crypto endpt.: 10.0.0.1

      path mtu 1500, ipsec overhead 60, media mtu 1500
      current outbound spi: CA8BF3BC

    inbound esp sas:
      spi: 0xE4F08D9F (3840970143)
         transform: esp-des esp-md5-hmac
         in use settings ={RA, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: dynmap
         sa timing: remaining key lifetime (sec): 28689
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0xCA8BF3BC (3398169532)
         transform: esp-des esp-md5-hmac
         in use settings ={RA, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: dynmap
         sa timing: remaining key lifetime (sec): 28687
         IV size: 8 bytes
         replay detection support: Y

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации. Также показан пример выходных данных команды debug.

Очистка ассоциаций безопасности

При работе по устранению неполадок не забывайте очищать существующие ассоциации безопасности после выполнения изменений. В привилегированном режиме PIX используйте следующие команды:

  • clear [crypto] ipsec sa— удаляет все активные ассоциации безопасности IPSec. Ключевое слово crypto является необязательным.

  • clear crypto isakmp sa— удаляет активные ассоциации безопасности IKE. Ключевое слово crypto является необязательным.

Команды для устранения неполадок

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Примечание: Обратитесь к документу Важная информация о командах отладки, прежде чем использовать команды debug.

  • debug crypto ipsec – отображает согласования IPSec на Этапе 2.

  • debug crypto isakmp – отображает согласования ISAKMP на 1-м этапе.

Пример результата отладки

Сетевой экран PIX

PIX#debug crypto isakmp 7
PIX# May 22 22:32:25 [IKEv1]: IP = 10.0.0.1, IKE_DECODE RECEIVED Message (msgid=
9117fc3d) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length :
 80
May 22 22:32:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing hash payload
May 22 22:32:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing notify payload
May 22 22:32:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1


!--- Dead-Peer-Detection Exchange

0.0.0.1, Received keep-alive of type DPD R-U-THERE (seq number 0x36a6342)
May 22 22:32:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x36a6342)
May 22 22:32:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing blank hash payload
May 22 22:32:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing qm hash payload
May 22 22:32:25 [IKEv1]: IP = 10.0.0.1, IKE_DECODE SENDING Message (msgid=4c047e
39) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:32:36 [IKEv1]: IP = 10.0.0.1, IKE_DECODE RECEIVED Message (msgid=a1063
306) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:32:36 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing hash payload
May 22 22:32:36 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing notify payload
May 22 22:32:36 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Received keep-alive of type DPD R-U-THERE (seq number 0x36a6343)
May 22 22:32:36 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x36a6343)
May 22 22:32:36 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing blank hash payload
May 22 22:32:36 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing qm hash payload
May 22 22:32:36 [IKEv1]: IP = 10.0.0.1, IKE_DECODE SENDING Message (msgid=ceada9
19) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:32:47 [IKEv1]: IP = 10.0.0.1, IKE_DECODE RECEIVED Message (msgid=ab66b
5e2) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:32:47 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing hash payload
May 22 22:32:47 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing notify payload
May 22 22:32:47 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Received keep-alive of type DPD R-U-THERE (seq number 0x36a6344)
May 22 22:32:47 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x36a6344)
May 22 22:32:47 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing blank hash payload
May 22 22:32:47 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing qm hash payload
May 22 22:32:47 [IKEv1]: IP = 10.0.0.1, IKE_DECODE SENDING Message (msgid=b5341b
a5) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:32:58 [IKEv1]: IP = 10.0.0.1, IKE_DECODE RECEIVED Message (msgid=22d77
ee7) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:32:58 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing hash payload
May 22 22:32:58 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing notify payload
May 22 22:32:58 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Received keep-alive of type DPD R-U-THERE (seq number 0x36a6345)
May 22 22:32:58 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x36a6345)
May 22 22:32:58 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing blank hash payload
May 22 22:32:58 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing qm hash payload
May 22 22:32:58 [IKEv1]: IP = 10.0.0.1, IKE_DECODE SENDING Message (msgid=8d688b
d2) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:33:14 [IKEv1]: IP = 10.0.0.1, IKE_DECODE RECEIVED Message (msgid=f949a
e6) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:33:14 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing hash payload
May 22 22:33:14 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing notify payload
May 22 22:33:14 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Received keep-alive of type DPD R-U-THERE (seq number 0x36a6346)
May 22 22:33:14 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x36a6346)
May 22 22:33:14 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing blank hash payload
May 22 22:33:14 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing qm hash payload
May 22 22:33:14 [IKEv1]: IP = 10.0.0.1, IKE_DECODE SENDING Message (msgid=fd9fef
25) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:33:25 [IKEv1]: IP = 10.0.0.1, IKE_DECODE RECEIVED Message (msgid=54d3b
543) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:33:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing hash payload
May 22 22:33:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing notify payload
May 22 22:33:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Received keep-alive of type DPD R-U-THERE (seq number 0x36a6347)
May 22 22:33:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x36a6347)
May 22 22:33:26 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing blank hash payload
May 22 22:33:26 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing qm hash payload
May 22 22:33:26 [IKEv1]: IP = 10.0.0.1, IKE_DECODE SENDING Message (msgid=4d4102
0b) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:33:37 [IKEv1]: IP = 10.0.0.1, IKE_DECODE RECEIVED Message (msgid=af7ad
910) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
May 22 22:33:37 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing hash payload
May 22 22:33:37 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, processing notify payload
May 22 22:33:37 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Received keep-alive of type DPD R-U-THERE (seq number 0x36a6348)
May 22 22:33:37 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x36a6348)
May 22 22:33:37 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing blank hash payload
May 22 22:33:37 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = 1
0.0.0.1, constructing qm hash payload
May 22 22:33:37 [IKEv1]: IP = 10.0.0.1, IKE_DECODE SENDING Message (msgid=84cd22
35) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80

PIX#debug crypto ipsec 7


!--- Deletes the old SAs.

PIX# IPSEC: Deleted inbound decrypt rule, SPI 0xA7E3E225
    Rule ID: 0x0243DD38
IPSEC: Deleted inbound permit rule, SPI 0xA7E3E225
    Rule ID: 0x024BA720
IPSEC: Deleted inbound tunnel flow rule, SPI 0xA7E3E225
    Rule ID: 0x02445A48
IPSEC: Deleted inbound VPN context, SPI 0xA7E3E225
    VPN handle: 0x018F68A8
IPSEC: Deleted outbound encrypt rule, SPI 0xB9C97D06
    Rule ID: 0x024479B0
IPSEC: Deleted outbound permit rule, SPI 0xB9C97D06
    Rule ID: 0x0243E9E0
IPSEC: Deleted outbound VPN context, SPI 0xB9C97D06
    VPN handle: 0x0224F490


!--- Creates new SAs.

IPSEC: New embryonic SA created @ 0x02448B38,
    SCB: 0x024487E0,
    Direction: inbound
    SPI      : 0xE4F08D9F
    Session ID: 0x00000001
    VPIF num  : 0x00000001
    Tunnel type: ra
    Protocol   : esp
    Lifetime   : 240 seconds
IPSEC: New embryonic SA created @ 0x02446750,
    SCB: 0x02511DD8,
    Direction: outbound
    SPI      : 0xCA8BF3BC
    Session ID: 0x00000001
    VPIF num  : 0x00000001
    Tunnel type: ra
    Protocol   : esp
    Lifetime   : 240 seconds
IPSEC: Completed host OBSA update, SPI 0xCA8BF3BC
IPSEC: Creating outbound VPN context, SPI 0xCA8BF3BC
    Flags: 0x00000005
    SA   : 0x02446750
    SPI  : 0xCA8BF3BC
    MTU  : 1500 bytes
    VCID : 0x00000000
    Peer : 0x00000000
    SCB  : 0x02511DD8
    Channel: 0x014A42F0
IPSEC: Completed outbound VPN context, SPI 0xCA8BF3BC
    VPN handle: 0x024B9868
IPSEC: New outbound encrypt rule, SPI 0xCA8BF3BC
    Src addr: 0.0.0.0
    Src mask: 0.0.0.0
    Dst addr: 10.16.20.1
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 0
    Use protocol: false
    SPI: 0x00000000
    Use SPI: false
IPSEC: Completed outbound encrypt rule, SPI 0xCA8BF3BC
    Rule ID: 0x024B9B58
IPSEC: New outbound permit rule, SPI 0xCA8BF3BC
    Src addr: 10.10.1.2
    Src mask: 255.255.255.255
    Dst addr: 10.0.0.1
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0xCA8BF3BC
    Use SPI: true
IPSEC: Completed outbound permit rule, SPI 0xCA8BF3BC
    Rule ID: 0x024E7D18
IPSEC: Completed host IBSA update, SPI 0xE4F08D9F
IPSEC: Creating inbound VPN context, SPI 0xE4F08D9F
    Flags: 0x00000006
    SA   : 0x02448B38
    SPI  : 0xE4F08D9F
    MTU  : 0 bytes
    VCID : 0x00000000
    Peer : 0x024B9868
    SCB  : 0x024487E0
    Channel: 0x014A42F0
IPSEC: Completed inbound VPN context, SPI 0xE4F08D9F
    VPN handle: 0x024D90A8
IPSEC: Updating outbound VPN context 0x024B9868, SPI 0xCA8BF3BC
    Flags: 0x00000005
    SA   : 0x02446750
    SPI  : 0xCA8BF3BC
    MTU  : 1500 bytes
    VCID : 0x00000000
    Peer : 0x024D90A8
    SCB  : 0x02511DD8
    Channel: 0x014A42F0
IPSEC: Completed outbound VPN context, SPI 0xCA8BF3BC
    VPN handle: 0x024B9868
IPSEC: Completed outbound inner rule, SPI 0xCA8BF3BC
    Rule ID: 0x024B9B58
IPSEC: Completed outbound outer SPD rule, SPI 0xCA8BF3BC
    Rule ID: 0x024E7D18
IPSEC: New inbound tunnel flow rule, SPI 0xE4F08D9F
    Src addr: 10.16.20.1
    Src mask: 255.255.255.255
    Dst addr: 0.0.0.0
    Dst mask: 0.0.0.0
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 0
    Use protocol: false
    SPI: 0x00000000
    Use SPI: false
IPSEC: Completed inbound tunnel flow rule, SPI 0xE4F08D9F
    Rule ID: 0x0243DD38
IPSEC: New inbound decrypt rule, SPI 0xE4F08D9F
    Src addr: 10.0.0.1
    Src mask: 255.255.255.255
    Dst addr: 10.10.1.2
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0xE4F08D9F
    Use SPI: true
IPSEC: Completed inbound decrypt rule, SPI 0xE4F08D9F
    Rule ID: 0x02440628
IPSEC: New inbound permit rule, SPI 0xE4F08D9F
    Src addr: 10.0.0.1
    Src mask: 255.255.255.255
    Dst addr: 10.10.1.2
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0xE4F08D9F
    Use SPI: true
IPSEC: Completed inbound permit rule, SPI 0xE4F08D9F
    Rule ID: 0x0251A970

Клиент VPN 4.8 для Windows

Выберите Log> Настройки журнала для включения регистрационных уровней в Клиенте VPN.

pix7x-vpn4x-w2k-ias-12.gif

Выберите Log> Log Window для просмотра записей журнала в Клиенте VPN.

pix7x-vpn4x-w2k-ias-13.gif


Дополнительные сведения


Document ID: 70330