Беспроводные сети / Мобильные решения : Устройства защиты Cisco PIX серии 500

PIX/ASA 7.x и выше: пример конфигурации простого VPN-туннеля PIX-PIX

8 августа 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (21 октября 2009) | Отзыв

Содержание

Введение
Предварительные условия
     Требования
     Используемые компоненты
     Схема сети
     Условные обозначения
Базовые сведения
Настройка
     Настройка диспетчера ASDM
     Настройка PIX с помощью CLI
     Резервный туннель типа "узел-узел"
Очистка сопоставлений безопасности (SA)
Проверка
Поиск и устранение неполадок
     Безопасная пересылка (PFS)
     Управление доступом
     Команды debug
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

В данном документе описывается процедура настройки VPN-туннелей между двумя межсетевыми экранами PIX с помощью диспетчера Cisco ASDM (Adaptive Security Device Manager). ASDM является средством настройки на основе приложений, предназначенным для установки, настройки и мониторинга межсетевого экрана PIX с помощью GUI (графический интерфейс пользователя). Межсетевые экраны PIX располагаются на двух различных узлах.

Туннель формируется с помощью протокола IPSec (IP Security, межсетевой протокол безопасности). IPsec представляет собой совокупность открытых стандартов, обеспечивающих конфиденциальность и целостность данных, а также аутентификацию источника данных между равноправными узлами IPsec.

Примечание. В PIX версии 7.1 и более поздних версий команда sysopt connection permit-ipsec заменена на sysopt connection permit-vpn. Эта команда разрешает трафику, который поступает в устройство защиты через VPN-туннель для последующей дешифровки, обходить списки доступа к интерфейсам. Групповая политика и списки доступа с авторизацией на уровне пользователя продолжают применяться к трафику. Чтобы отключить эту функцию, используйте эту команду с ключом no. Эта команда не отображается в конфигурации CLI.

См. документ PIX 6.x: пример конфигурации простого VPN-туннеля PIX-PIX для получения дополнительных сведений о сценарии, в котором устройство защиты Cisco PIX работает под управлением ПО версии 6.x.

Предварительные условия

Требования

Для данного документа нет особых требований.

Используемые компоненты

Согласно информации, представленной в данном документе, следующий равноправный узел инициирует первый частный обмен данными, чтобы определить соответствующий равноправный узел для подключения.

  • Устройство защиты Cisco PIX 500 версии 7.x и выше;

  • ASDM версии 5.5.x и выше

Примечание. См. документ Разрешение HTTPS-доступа для ASDM для получения сведений о настройке устройства адаптивной защиты (Adaptive Security Appliance, ASA) с помощью диспетчера ASDM.

Примечание. Модуль ASA серии 5500 версий 7.x/8.x работает под управлением того же ПО, что и в межсетевом экране PIX версий 7.x/8.x. Конфигурации, указанные в данном документе, применимы к обеим линейкам продуктов.

Данные для этого документа были получены при тестировании указанных устройств в специально созданных лабораторных условиях. Все устройства, используемые в этом документе, запускались с чистой (заданной по умолчанию) конфигурацией. Если сеть работает в реальных условиях, следует адекватно оценивать возможные последствия использования каждой команды.

Схема сети

В данном документе используется следующая схема сети.

pix2pix-vpn-pix70-asdm-1.gif

Условные обозначения

Дополнительную информацию об используемых в документе обозначениях см. в разделе Условные обозначения, используемые в технической документации Cisco.

Базовые сведения

Процесс согласования IPSec можно разделить на пять этапов, он включает две фазы IKE (Internet Key Exchange, Обмен ключами в Интернете).

  1. Туннель IPSec инициируется содержательным трафиком. Трафик считается содержательным, когда он передается между двумя равноправными узлами IPsec.

  2. На 1-ой фазе протокола IKE равноправные узлы IPSec согласуют установленную политику сопоставления безопасности (Security Association, SA) по протоколу IKE. После проверки подлинности равноправных узлов создается защищенный туннель с помощью протокола ISAKMP (Internet Security Association and Key Management Protocol, протокол сопоставления безопасности и управления ключами в Интернете).

  3. На 2-ой фазе протокола IKE равноправные узлы IPSec используют аутентифицированный и защищенный туннель для согласования преобразований контекстов безопасности IPSec. Согласование общей политики определяет характер установки туннеля IPSec.

  4. Туннель IPsec создается, а данные передаются между равноправными узлами IPsec на основе параметров протокола IPsec, настроенных в наборах преобразований IPsec.

  5. Туннель IPSec разрывается при удалении контекстов безопасности IPSec или по истечении срока их действия.

    Примечание. Согласование IPSec между двумя PIX не работает, если контексты безопасности на обеих фазах IKE не совпадают на равноправных узлах.

Настройка

Настройка диспетчера ASDM

Выполните следующие шаги:

  1. Откройте веб-обозреватель и введите https://<Внутренний_IP-адрес_PIX>, чтобы получить доступ к диспетчеру ASDM на межсетевом экране PIX.

    Требуется разрешить все предупреждения веб-обозревателя, связанные с проверкой подлинности сертификата SSL (Secure Sockets Layer, протокол безопасных соединений). Имя пользователя и пароль по умолчанию не определены.

    Это окно межсетевого экрана PIX предназначается для запуска загрузки приложения ASDM. В данном примере приложение загружается на локальный компьютер, а не запускается в приложении Java.

    pix2pix-vpn-pix70-asdm-2.gif

  2. Нажмите кнопку Download ASDM Launcher and Start ASDM, чтобы загрузить установщик приложения ASDM.

  3. После загрузки средства запуска ASDM следуйте подсказкам системы по установке программного обеспечения, а затем запустите средство запуска диспетчера Cisco ASDM.

  4. Введите в поле Device IP Address IP-адрес настроенного интерфейса с помощью команды http -, а также имя пользователя (в поле Username) и пароль (в поле Password), если они были заданы.

    В данном примере используются неопределенные имя пользователя и пароль, заданные по умолчанию.

    pix2pix-vpn-pix70-asdm-3.gif

  5. После подключения приложения ASDM к межсетевому экрану PIX запустите VPN Wizard.

    pix2pix-vpn-pix70-asdm-4.gif

  6. Выберите тип VPN-туннеля Site-to-Site.

    pix2pix-vpn-pix70-asdm-5.gif

  7. Укажите внешний IP-адрес удаленного равноправного узла. Введите данные аутентификации для последующего использования (в данном примере – предварительный общий ключ в поле Pre-shared Key).

    pix2pix-vpn-pix70-asdm-6.gif

  8. Укажите используемые для протокола IKE атрибуты, также известные как "Phase 1" (фаза 1). Такие атрибуты должны быть одинаковыми на обеих сторонах туннеля.

    pix2pix-vpn-pix70-asdm-7.gif

  9. Укажите используемые для IPsec атрибуты, также известные как "Phase 2" (фаза 2). Такие атрибуты должны совпадать на обеих сторонах.

    pix2pix-vpn-pix70-asdm-8.gif

  10. Укажите хосты, трафику которых разрешается проходить через данный VPN-туннель. На данном этапе указываются хосты, локальные для pix515-704.

    pix2pix-vpn-pix70-asdm-9.gif

  11. Указываются хосты и сети на удаленной стороне туннеля.

    pix2pix-vpn-pix70-asdm-10.gif

  12. В данной сводке отображаются атрибуты, определенные с помощью мастера VPN. Внимательно просмотрите конфигурацию и после проверки значений параметров нажмите кнопку Finish.

    pix2pix-vpn-pix70-asdm-11.gif

Настройка PIX с помощью CLI

pix515-704

pixfirewall#show run
: Saved
PIX Version 7.1(1)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names

!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.10.10.1 255.255.255.0
!--- Настройка внешнего интерфейса.
!

interface Ethernet1
 nameif inside
 security-level 100
 ip address 172.22.1.163 255.255.255.0
!--- Настройка внутреннего интерфейса.
!



!-- Выходные данные команды опущены.
!

passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid



access-list inside_nat0_outbound extended permit ip 172.22.1.0 255.255.255.0 172
.16.1.0 255.255.255.0
!--- Этот список доступа (inside_nat0_outbound) используется вместе с командой nat zero.
!--- Это защищает трафик, соответствующий списку доступа, от процедуры
!--- преобразования сетевых адресов (NAT). Трафик, задаваемый этим списком ACL, 
!--- предполагается зашифровать и 
!--- отправить через VPN-туннель. Этот список ACL намеренно  
!--- совпадает с (outside_cryptomap_20).
!--- Два отдельных списка доступа всегда должны использоваться в данной конфигурации.

access-list outside_cryptomap_20 extended permit ip 172.22.1.0 255.255.255.0 172
.16.1.0 255.255.255.0
!--- Этот список доступа (outside_cryptomap_20) используется с криптокартой
!--- outside_map для определения трафика, который необходимо зашифровать и отправить 
!--- через туннель.
!--- Этот список ACL намеренно совпадает с (inside_nat0_outbound).  
!--- Два отдельных списка доступа всегда должны использоваться в данной конфигурации.

pager lines 24
mtu inside 1500
mtu outside 1500
no failover

asdm image flash:/asdm-511.bin
!--- Введите эту команду для указания местоположения образа ASDM.

asdm history enable
arp timeout 14400


nat (inside) 0 access-list inside_nat0_outbound
!--- NAT 0 предотвращает NAT для сетей, указанных в списке ACL inside_nat0_outbound.


route outside 0.0.0.0 0.0.0.0 10.10.10.2 1

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute


http server enable
!--- Введите эту команду для включения HTTPS-сервера для диспетчера ASDM.


http 172.22.1.1 255.255.255.255 inside
!--- Определение IP-адресов, с которых устройство защиты 
!--- принимает HTTPS-соединения.


no snmp-server location
no snmp-server contact

!--- 2-АЯ ФАЗА НАСТРОЙКИ ---!
!--- Здесь определяются типы шифрования для 2-ой фазы.  


crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
!--- Определение набора преобразований для 2-ой фазы.



crypto map outside_map 20 match address outside_cryptomap_20
!--- Определение трафика, необходимого для отправки на равноправный узел IPsec.


crypto map outside_map 20 set peer 10.20.20.1
!--- Установка равноправного узла IPsec.


crypto map outside_map 20 set transform-set ESP-AES-256-SHA
!--- Установка набора преобразований IPsec "ESP-AES-256-SHA",
!--- который будет использоваться с записью криптокарты "outside_map".


crypto map outside_map interface outside
!--- Задается интерфейс, который будет использоваться 
!--- вместе с параметрами, определенными в этой конфигурации.

!--- 1-АЯ ФАЗА НАСТРОЙКИ ---!

!--- В этой конфигурации используется политика isakmp10.
!--- Политика 65535 включается в конфигурацию по умолчанию.
!--- Команды конфигурации определяют 
!--- используемые параметры политики 1-ой фазы.


isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption aes-256
isakmp policy 10 hash sha
isakmp policy 10 group 5
isakmp policy 10 lifetime 86400

isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400

 

tunnel-group 10.20.20.1 type ipsec-l2l
!--- Для создания и управления базой данных записей о подключениях 
!--- для туннелей ipsec-l2l-IPsec (LAN-LAN) используется команда tunnel-group 
!--- в режиме глобальной конфигурации.
!--- Для подключений L2L имя группы туннелей ДОЛЖНО быть 
!--- IP-адресом равноправного узла IPsec.



tunnel-group 10.20.20.1 ipsec-attributes
 pre-shared-key *
!--- Вводится предварительный общий ключ для настройки метода аутентификации.


telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:ecb58c5d8ce805b3610b198c73a3d0cf
: end

PIX-02

PIX Version 7.1(1)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.20.20.1 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 172.16.1.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid

access-list inside_nat0_outbound extended permit ip 172.16.1.0 255.255.255.0 172
.22.1.0 255.255.255.0
!--- Обратите внимание: этот список является зеркалом списка ACL inside_nat0_outbound
!--- на pix515-704.

access-list outside_cryptomap_20 extended permit ip 172.16.1.0 255.255.255.0 172
.22.1.0 255.255.255.0
!--- Обратите внимание: этот список является зеркалом списка ACL outside_cryptomap_20
!--- на pix515-704.

pager lines 24
mtu inside 1500
mtu outside 1500
no failover
asdm image flash:/asdm-511.bin
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list inside_nat0_outbound
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set peer 10.10.10.1
crypto map outside_map 20 set transform-set ESP-AES-256-SHA
crypto map outside_map interface outside
isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption aes-256
isakmp policy 10 hash sha
isakmp policy 10 group 5
isakmp policy 10 lifetime 86400
tunnel-group 10.10.10.1 type ipsec-l2l
tunnel-group 10.10.10.1 ipsec-attributes
 pre-shared-key *
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:6774691244870705f858ad4e9b810874
: end
pixfirewall#

Резервный туннель типа "узел-узел"

Для указания типа подключения для функции резервного соединения типа "узел-узел" данной записи криптографической карты используется команда crypto map set connection-type в режиме глобальной конфигурации. Чтобы вернуться к настройке по умолчанию, следует использовать данную команду с ключом no.

Синтаксис:

crypto map map-name seq-num set connection-type {answer-only | originate-only | bidirectional} 

  • Параметр answer-only указывает, что данный равноправный узел сначала только отвечает на входящие IKE-соединения во время первоначального частного обмена данными, чтобы определить соответствующий равноправный узел для подключения.

  • Параметр bidirectional указывает, что данный равноправный узел может принимать и инициировать соединения на основе данной записи криптографической карты. Это тип подключения по умолчанию для всех соединений "узел-узел".

  • Параметр originate-only указывает, что данный равноправный узел инициирует первый частный обмен данными, чтобы определить соответствующий равноправный узел для подключения.

Команда crypto map set connection-type указывает типы подключения для функции резервирования соединения "LAN-LAN". Она позволяет на одном конце соединения указать несколько резервных равноправных узлов. Эта функция обеспечивает взаимодействие только между следующими платформами:

  • два устройства защиты Cisco ASA серии 5500;

  • устройство защиты Cisco ASA серии 5500 и концентратор Cisco VPN 3000;

  • устройство защиты Cisco ASA серии 5500 и устройство защиты под управлением ПО Cisco PIX Security Appliance версии 7.0 или выше.

Для настройки резервного соединения между локальными сетями рекомендуется один конец соединения настроить как тип "только источник" с помощью ключевого слова originate-only, а конец с несколькими резервными равноправными узлами – как тип "только ответ" с помощью ключевого слова answer-only. На конце типа "только источник" выполните команду crypto map set peer, чтобы упорядочить приоритет равноправных узлов. Устройство защиты типа "только источник" попытается выполнить согласование с первым в списке равноправным узлом. Если равноправный узел не отвечает, устройство защиты последовательно переберет весь список, пока какой-либо из равноправных узлов не ответит или пока данный список не закончится.

Настроенный таким образом равноправный узел типа "только источник" сначала пытается установить частный туннель и выполнить согласование с равноправным узлом. Затем каждый из равноправных узлов может установить обычное соединение типа "LAN-LAN", а передача данных с любого конца может инициировать туннельное соединение.

Поддерживаемые типы резервных соединений "LAN-LAN"

Удаленная сторона

Центральная сторона

Originate-Only
Answer-Only
Bi-Directional
Answer-Only
Bi-Directional
Bi-Directional

Пример

В данном примере осуществляется переход в режим глобальной конфигурации, выполняется команда crypto map mymap и задается тип подключения originate-only (только источник).

hostname(config)#crypto map outside_map 20 connection-type originate-only

Очистка сопоставлений безопасности (SA)

В привилегированном режиме PIX возможно применение следующих команд.

  • Команда clear [crypto] ipsec sa удаляет активные контексты безопасности IPsec. Ключевое слово crypto является необязательным.

  • Команда clear [crypto] isakmp sa удаляет активные контексты безопасности IKE. Ключевое слово crypto является необязательным.

Проверка

В этом разделе приведена информация о способах проверки настроенной конфигурации.

Интерпретатор выходных данных (только для зарегистрированных пользователей) (Output Interpreter Tool, OIT) поддерживает некоторые команды show. Используйте OIT для просмотра аналитики выходных данных команды show.

Если к равноправному узлу поступает содержательный трафик, между устройствами pix515-704 и PIX-02 устанавливается туннель.

  1. Для проверки формирования туннеля узнайте состояние VPN в разделе Home приложения ASDM.

    pix2pix-vpn-pix70-asdm-12.gif

  2. Выберите Monitoring > VPN > VPN Connection Graphs > IPSec Tunnels, чтобы получить более подробные сведения об установке туннелей.

    pix2pix-vpn-pix70-asdm-13.gif

  3. Нажмите кнопку Add, чтобы выбрать доступные графики и открыть их в специальном окне.

    pix2pix-vpn-pix70-asdm-14.gif

  4. Нажмите кнопку Show Graphs, чтобы отобразить графики активных туннелей IKE и IPsec.

    pix2pix-vpn-pix70-asdm-15.gif

  5. Выберите Monitoring > VPN > VPN Statistics > Global IKE/IPSec Statistics, чтобы получить статистическую информацию о VPN-туннеле.

    pix2pix-vpn-pix70-asdm-16.gif

Формирование каналов также можно проверить с помощью интерфейса командной строки (CLI). Задайте команду show crypto isakmp sa, чтобы проверить формирование туннелей, и выполните команду show crypto ipsec sa, чтобы узнать количество инкапсулированных, шифрованных и т. д. пакетов.

pix515-704

pixfirewall(config)#show crypto isakmp sa

   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 10.20.20.1
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE

pix515-704

pixfirewall(config)#show crypto ipsec sa
interface: outside
    Crypto map tag: outside_map, seq num: 20, local addr: 10.10.10.1

     access-list outside_cryptomap_20 permit ip 172.22.1.0 
       255.255.255.0 172.16.1.0 255.255.255.0
     local ident (addr/mask/prot/port): (172.22.1.0/255.255.255.0/0/0)
     remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
     current_peer: 10.20.20.1

      #pkts encaps: 20, #pkts encrypt: 20, #pkts digest: 20
      #pkts decaps: 20, #pkts decrypt: 20, #pkts verify: 20
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 20, #pkts comp failed: 0, #pkts decomp failed: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 10.10.10.1, remote crypto endpt.: 10.20.20.1

      path mtu 1500, ipsec overhead 76, media mtu 1500
      current outbound spi: 44532974

    inbound esp sas:
      spi: 0xA87AD6FA (2826622714)
         transform: esp-aes-256 esp-sha-hmac
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: outside_map
         sa timing: remaining key lifetime (kB/sec): (3824998/28246)
         IV size: 16 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x44532974 (1146300788)
         transform: esp-aes-256 esp-sha-hmac
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: outside_map
         sa timing: remaining key lifetime (kB/sec): (3824998/28245)
         IV size: 16 bytes
         replay detection support: Y

Поиск и устранение неполадок

Безопасная пересылка (PFS)

При согласовании IPsec безопасная пересылка (Perfect Forward Secrecy, PFS) позволяет гарантировать отсутствие связи нового ключа шифрования со всеми предыдущими ключами. Включите или отключите PFS на обоих равноправных узлах туннеля, в противном случае туннель L2L IPsec не устанавливается в PIX/ASA.

По умолчанию безопасная пересылка отключена. Для включения PFS используйте команду pfs с ключевым словом enable в режиме настройки групповой политики. Чтобы отключить PFS, введите ключевое слово disable.

hostname(config-group-policy)#pfs {enable | disable}

Чтобы удалить атрибут PFS из текущей конфигурации, введите эту команду с ключом no. Групповая политика может наследовать значение PFS из другой групповой политики. Введите эту команду с ключом no, чтобы предотвратить наследование значения.

hostname(config-group-policy)#no pfs 

Управление доступом

В этом разделе описывается процесс устранения неполадок конфигурации.

Внутренний интерфейс устройства PIX недоступен для команд ping с другого конца туннеля, если команда management-access не настроена в режиме глобальной конфигурации.

PIX-02(config)#management-access inside
PIX-02(config)#show management-access
management-access inside

Команды debug

Примечание. Дополнительные сведения о командах debug см. в документе Важные сведения о командах debug.

Команда debug crypto isakmp отображает данные отладки подключений IPsec и первый набор атрибутов, отклоняемых из-за несовместимости на обоих концах.

debug crypto isakmp

pixfirewall(config)#debug crypto isakmp 7
Nov 27 12:01:59 [IKEv1 DEBUG]: Pitcher: received a key acquire message, 
spi 0x0
Nov 27 12:01:59 [IKEv1]: IP = 10.20.20.1, IKE Initiator: New Phase 1, 
Intf 2, IKE Peer 10.20.20.1  local Proxy Address 172.22.1.0, remote 
Proxy Address 172.16.1.0,  Crypto map (outside_map)
Nov 27 12:01:59 [IKEv1 DEBUG]: IP = 10.20.20.1, constructing ISAKMP SA payload
Nov 27 12:01:59 [IKEv1 DEBUG]: IP = 10.20.20.1, constructing Fragmentation 
VID + extended capabilities payload
Nov 27 12:01:59 [IKEv1]: IP = 10.20.20.1, IKE_DECODE SENDING Message 
(msgid=0) with payloads : HDR +
 SA (1) + VENDOR (13) + NONE (0) total length : 148
Nov 27 12:01:59 [IKEv1]: IP = 10.20.20.1, IKE_DECODE RECEIVED Message (msgid=0) 
with payloads : HDR + SA (1) + VENDOR (13) + NONE (0) total length : 112
Nov 27 12:01:59 [IKEv1 DEBUG]: IP = 10.20.20.1, processing SA payload
Nov 27 12:01:59 [IKEv1 DEBUG]: IP = 10.20.20.1, Oakley proposal is acceptable
Nov 27 12:01:59 [IKEv1 DEBUG]: IP = 10.20.20.1, processing VID payload
Nov 27 12:01:59 [IKEv1 DEBUG]: IP = 10.20.20.1, Received Fragmentation VID
Nov 27 12:01:59 [IKEv1 DEBUG]: IP = 10.20.20.1, IKE Peer included 
IKE fragmentation capability flags
:  Main Mode:        True  Aggressive Mode:  True
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, constructing ke payload
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, constructing nonce payload
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, constructing Cisco Unity VID payload
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, constructing xauth V6 VID payload
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, Send IOS VID
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, Constructing ASA spoofing IOS 
Vendor ID payload (version: 1.0.0, capabilities: 20000001)
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, constructing VID payload
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, Send Altiga/
Cisco VPN3000/Cisco ASA GW VID
Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, IKE_DECODE SENDING Message (msgid=0) 
with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) 
+ VENDOR (13) + NONE (0) total length
 : 320
Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, IKE_DECODE RECEIVED Message 
(msgid=0) with payloads : HDR
+ KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + 
NONE (0) total length : 320
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, processing ke payload
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, processing ISA_KE payload
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, processing nonce payload
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, processing VID payload
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, Received Cisco Unity client VID
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, processing VID payload
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, Received xauth V6 VID
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, processing VID payload
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, Processing VPN3000/ASA 
spoofing IOS Vendor ID payload (version: 1.0.0, capabilities: 20000001)
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, processing VID payload
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, Received Altiga/Cisco VPN3000/Cisco ASA 
GW VID
Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, Connection landed on tunnel_group 10.20.20.1
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, Generating keys 
for Initiator...
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
constructing ID payload
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
constructing hash payload
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
Computing hash for ISAKMP
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, 
Constructing IOS keep alive payload: proposal=32767/32767 sec.
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
constructing dpd vid payload
Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, IKE_DECODE SENDING Message (msgid=0) 
with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (14) + VENDOR (13) + 
NONE (0) total length : 119
Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, IKE_DECODE RECEIVED Message (msgid=0) 
with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (14) + VENDOR (13) +
NONE (0) total length : 96
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
processing ID payload
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
processing hash payload
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
Computing hash for ISAKMP
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, 
Processing IOS keep alive payload: proposal=32767/32767 sec.
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
processing VID payload
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
Received DPD VID
Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, Connection landed on tunnel_group 10.20.20.1
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
Oakley begin quick mode
Nov 27 12:02:00 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, PHASE 1 COMPLETED
Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, Keep-alive type for this connection: DPD
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
Starting phase 1 rekey timer: 73440000 (ms)
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, IKE got 
SPI from key engine: SPI = 0x44ae0956
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
oakley constucting quick mode
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
constructing blank hash payload
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
constructing IPSec SA payload
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
constructing IPSec nonce payload
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
constructing proxy ID
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
Transmitting Proxy Id:
  Local subnet:  172.22.1.0  mask 255.255.255.0 Protocol 0  Port 0
  Remote subnet: 172.16.1.0  Mask 255.255.255.0 Protocol 0  Port 0
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
constructing qm hash payload
Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, IKE_DECODE SENDING Message 
(msgid=d723766b) with payloads
: HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NOTIFY (11) + 
NONE (0) total length : 200
Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, IKE_DECODE RECEIVED Message 
(msgid=d723766b) with payloads
 : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0) 
 total length : 172
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
processing hash payload
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
processing SA payload
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
processing nonce payload
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
processing ID payload
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
processing ID payload
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
loading all IPSEC SAs
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
Generating Quick Mode Key!
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
Generating Quick Mode Key!
Nov 27 12:02:00 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, 
Security negotiation complete for LAN-to-LAN Group (10.20.20.1)  
Initiator, Inbound SPI = 0x44ae0956, Outbound SPI = 0x4a6429ba
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
oakley constructing final quick mode
Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, IKE_DECODE SENDING Message 
(msgid=d723766b) with payloads
: HDR + HASH (8) + NONE (0) total length : 76
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
IKE got a KEY_ADD msg for SA: SPI = 0x4a6429ba
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, 
Pitcher: received KEY_UPDATE, spi 0x44ae0956
Nov 27 12:02:00 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1,
 Starting P2 Rekey timer to expire in 24480 seconds
Nov 27 12:02:00 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, 
PHASE 2 COMPLETED (msgid=d723766b)

Команда debug crypto ipsec отображает данные отладки подключений IPsec.

debug crypto ipsec

pix1(config)#debug crypto ipsec 7

exec mode commands/options:
  <1-255>  Specify an optional debug level (default is 1)
  <cr>
pix1(config)# debug crypto ipsec 7
pix1(config)# IPSEC: New embryonic SA created @ 0x024211B0,
    SCB: 0x0240AEB0,
    Direction: inbound
    SPI      : 0x2A3E12BE
    Session ID: 0x00000001
    VPIF num  : 0x00000001
    Tunnel type: l2l
    Protocol   : esp
    Lifetime   : 240 seconds
IPSEC: New embryonic SA created @ 0x0240B7A0,
    SCB: 0x0240B710,
    Direction: outbound
    SPI      : 0xB283D32F
    Session ID: 0x00000001
    VPIF num  : 0x00000001
    Tunnel type: l2l
    Protocol   : esp
    Lifetime   : 240 seconds
IPSEC: Completed host OBSA update, SPI 0xB283D32F
IPSEC: Updating outbound VPN context 0x02422618, SPI 0xB283D32F
    Flags: 0x00000005
    SA   : 0x0240B7A0
    SPI  : 0xB283D32F
    MTU  : 1500 bytes
    VCID : 0x00000000
    Peer : 0x00000000
    SCB  : 0x0240B710
    Channel: 0x014A45B0
IPSEC: Completed outbound VPN context, SPI 0xB283D32F
    VPN handle: 0x02422618
IPSEC: Completed outbound inner rule, SPI 0xB283D32F
    Rule ID: 0x01FA0290
IPSEC: New outbound permit rule, SPI 0xB283D32F
    Src addr: 10.10.10.1
    Src mask: 255.255.255.255
    Dst addr: 10.20.20.1
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0xB283D32F
    Use SPI: true
IPSEC: Completed outbound permit rule, SPI 0xB283D32F
    Rule ID: 0x0240AF40
IPSEC: Completed host IBSA update, SPI 0x2A3E12BE
IPSEC: Creating inbound VPN context, SPI 0x2A3E12BE
    Flags: 0x00000006
    SA   : 0x024211B0
    SPI  : 0x2A3E12BE
    MTU  : 0 bytes
    VCID : 0x00000000
    Peer : 0x02422618
    SCB  : 0x0240AEB0
    Channel: 0x014A45B0
IPSEC: Completed inbound VPN context, SPI 0x2A3E12BE
    VPN handle: 0x0240BF80
IPSEC: Updating outbound VPN context 0x02422618, SPI 0xB283D32F
    Flags: 0x00000005
    SA   : 0x0240B7A0
    SPI  : 0xB283D32F
    MTU  : 1500 bytes
    VCID : 0x00000000
    Peer : 0x0240BF80
    SCB  : 0x0240B710
    Channel: 0x014A45B0
IPSEC: Completed outbound VPN context, SPI 0xB283D32F
    VPN handle: 0x02422618
IPSEC: Completed outbound inner rule, SPI 0xB283D32F
    Rule ID: 0x01FA0290
IPSEC: Completed outbound outer SPD rule, SPI 0xB283D32F
    Rule ID: 0x0240AF40
IPSEC: New inbound tunnel flow rule, SPI 0x2A3E12BE
    Src addr: 172.16.1.0
    Src mask: 255.255.255.0
    Dst addr: 172.22.1.0
    Dst mask: 255.255.255.0
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 0
    Use protocol: false
    SPI: 0x00000000
    Use SPI: false
IPSEC: Completed inbound tunnel flow rule, SPI 0x2A3E12BE
    Rule ID: 0x0240B108
IPSEC: New inbound decrypt rule, SPI 0x2A3E12BE
    Src addr: 10.20.20.1
    Src mask: 255.255.255.255
    Dst addr: 10.10.10.1
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0x2A3E12BE
    Use SPI: true
IPSEC: Completed inbound decrypt rule, SPI 0x2A3E12BE
    Rule ID: 0x02406E98
IPSEC: New inbound permit rule, SPI 0x2A3E12BE
    Src addr: 10.20.20.1
    Src mask: 255.255.255.255
    Dst addr: 10.10.10.1
    Dst mask: 255.255.255.255
    Src ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Dst ports
      Upper: 0
      Lower: 0
      Op   : ignore
    Protocol: 50
    Use protocol: true
    SPI: 0x2A3E12BE
    Use SPI: true
IPSEC: Completed inbound permit rule, SPI 0x2A3E12BE
    Rule ID: 0x02422C78

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 67912