In diesem Dokument werden die erforderlichen Schritte beschrieben, um einen neuen L2L-VPN-Tunnel oder ein Remotezugriffs-VPN zu einer L2L-VPN-Konfiguration hinzuzufügen, die bereits in einem IOS-Router vorhanden ist.
Stellen Sie sicher, dass Sie den derzeit betriebsbereiten L2L IPSec VPN-Tunnel richtig konfigurieren, bevor Sie diese Konfiguration vornehmen.
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Zwei IOS-Router mit den Softwareversionen 12.4 und 12.2
Eine Cisco Adaptive Security Appliance (ASA) mit Softwareversion 8.0
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).
In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:
Dies sind die aktuellen Konfigurationen des HQ (HUB)-Routers und der ASA der Außenstelle 1 (BO1). In dieser Konfiguration gibt es einen IPSec-L2L-Tunnel, der zwischen dem Hauptsitz und BO1 ASA konfiguriert ist.
Aktuelle Router-Konfiguration im Hauptsitz (HUB) |
---|
HQ_HUB#show running-config Building configuration... Current configuration : 1680 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname HQ_HUB ! boot-start-marker boot-end-marker ! ! no aaa new-model ! resource policy ! !--- Output is suppressed. ! ip cef ! ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 crypto isakmp key cisco123 address 192.168.11.2 ! ! crypto ipsec transform-set newset esp-3des esp-md5-hmac ! crypto map map1 5 ipsec-isakmp set peer 192.168.11.2 set transform-set newset match address VPN_BO1 ! ! ! ! interface Ethernet0/0 ip address 10.10.10.1 255.255.255.0 ip nat inside interface Serial2/0 ip address 192.168.10.10 255.255.255.0 ip nat outside ip virtual-reassembly clock rate 64000 crypto map map1 ! interface Serial2/1 no ip address shutdown ! ip http server no ip http secure-server ! ip route 0.0.0.0 0.0.0.0 192.168.10.1 ! ip nat inside source route-map nonat interface Serial2/0 overload ! ip access-list extended NAT_Exempt deny ip 10.10.10.0 0.0.0.255 172.16.1.0 0.0.0.255 permit ip 10.10.10.0 0.0.0.255 any ip access-list extended VPN_BO1 permit ip 10.10.10.0 0.0.0.255 172.16.1.0 0.0.0.255 ! route-map nonat permit 10 match ip address NAT_Exempt ! ! control-plane ! line con 0 line aux 0 line vty 0 4 ! ! end HQ_HUB# |
BO1 ASA-Konfiguration |
---|
CiscoASA#show running-config : Saved : ASA Version 8.0(2) ! hostname CiscoASA enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0 nameif inside security-level 100 ip address 172.16.1.1 255.255.255.0 ! interface Ethernet1 nameif outside security-level 0 ip address 192.168.11.2 255.255.255.0 ! !--- Output is suppressed. ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive access-list 100 extended permit ip 172.16.1.0 255.255.255.0 10.10.10.0 255.255.255.0 access-list nonat extended permit ip 172.16.1.0 255.255.255.0 10.10.10.0 255.255.255.0 access-list ICMP extended permit icmp any any pager lines 24 mtu outside 1500 mtu inside 1500 no failover icmp unreachable rate-limit 1 burst-size 1 asdm image flash:/asdm-602.bin no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list nonat nat (inside) 1 10.10.10.0 255.255.255.0 access-group ICMP in interface outside route outside 0.0.0.0 0.0.0.0 192.168.11.1 1 snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set newset esp-3des esp-md5-hmac crypto map map1 5 match address 100 crypto map map1 5 set peer 192.168.10.10 crypto map map1 5 set transform-set newset crypto map map1 interface outside crypto isakmp enable outside crypto isakmp policy 1 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto isakmp policy 65535 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global tunnel-group 192.168.10.10 type ipsec-l2l tunnel-group 192.168.10.10 ipsec-attributes pre-shared-key * prompt hostname context Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e : end CiscoASA# |
Derzeit ist ein bestehender L2L-Tunnel zwischen der Hauptniederlassung und der BO1-Niederlassung eingerichtet. Ihr Unternehmen hat kürzlich eine neue Zweigstelle (BO2) eröffnet. Diese neue Niederlassung erfordert eine Verbindung zu den lokalen Ressourcen, die sich im Hauptsitz befinden. Darüber hinaus müssen Mitarbeiter die Möglichkeit haben, von zu Hause aus zu arbeiten und sicher auf Ressourcen im internen Netzwerk zuzugreifen. In diesem Beispiel wird ein neuer VPN-Tunnel sowie ein VPN-Server für den Remote-Zugriff konfiguriert, der sich im Hauptsitz befindet.
Dies ist das Netzwerkdiagramm für diese Konfiguration:
In diesem Abschnitt werden die erforderlichen Verfahren beschrieben, die auf dem HUB-HQ-Router ausgeführt werden müssen.
Führen Sie diese Schritte aus:
Erstellen Sie diese neue Zugriffsliste, die von der Crypto Map verwendet werden soll, um interessanten Datenverkehr zu definieren:
HQ_HUB(config)#ip access-list extended VPN_BO2 HQ_HUB(config-ext-nacl)#permit ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255 HQ_HUB(config-ext-nacl)#exit
Warnung: Damit die Kommunikation stattfinden kann, muss auf der anderen Seite des Tunnels das Gegenteil dieses Zugriffskontrolllisten-Eintrags (ACL) für das jeweilige Netzwerk vorhanden sein.
Fügen Sie die folgenden Einträge zur no nat-Anweisung hinzu, um die Vernatierung zwischen diesen Netzwerken auszunehmen:
HQ_HUB(config)#ip access-list extended NAT_Exempt HQ_HUB(config-ext-nacl)#deny ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255 HQ_HUB(config-ext-nacl)#permit ip 10.10.10.0 0.0.0.255 any
Fügen Sie diese ACLs der vorhandenen Routing-Map hinzu (nicht at)
HQ_HUB(config)#route-map nonat permit 10 HQ_HUB(config-route-map)#match ip address NAT_Exempt HQ_HUB(config)#ip nat inside source route-map nonat interface Serial2/0 overload
Warnung: Damit die Kommunikation stattfinden kann, muss auf der anderen Seite des Tunnels das Gegenteil dieses ACL-Eintrags für das jeweilige Netzwerk vorhanden sein.
Geben Sie die Peer-Adresse in der Konfiguration für Phase 1 wie folgt an:
HQ_HUB(config)#crypto isakmp key cisco123 address 192.168.12.2
Hinweis: Der Pre-Shared Key muss auf beiden Seiten des Tunnels genau übereinstimmen.
Erstellen Sie die Crypto Map-Konfiguration für den neuen VPN-Tunnel. Verwenden Sie den gleichen Transformationssatz, der in der ersten VPN-Konfiguration verwendet wurde, da alle Phase-2-Einstellungen identisch sind.
HQ_HUB(config)#crypto map map1 10 ipsec-isakmp HQ_HUB(config-crypto-map)#set peer 192.168.12.2 HQ_HUB(config-crypto-map)#set transform-set newset HQ_HUB(config-crypto-map)#match address VPN_BO2
Nachdem Sie den neuen Tunnel konfiguriert haben, müssen Sie interessanten Datenverkehr durch den Tunnel leiten, um ihn hochzufahren. Führen Sie dazu den erweiterten Befehl ping aus, um einen Host im Netzwerk des Remote-Tunnels zu pingen.
In diesem Beispiel wird eine Workstation auf der anderen Seite des Tunnels mit der Adresse 10.20.20.16 angepingt. Dadurch wird der Tunnel zwischen HQ und BO2 hochgefahren. Jetzt sind zwei Tunnel mit der Zentrale verbunden. Wenn Sie keinen Zugriff auf ein System hinter dem Tunnel haben, finden Sie unter Häufigste Lösungen zur Fehlerbehebung für L2L- und Remote Access IPSec-VPNs eine alternative Lösung mit Management-Zugriff.
HUB_HQ - Neue L2L VPN-Tunnelkonfiguration hinzugefügt |
---|
HQ_HUB#show running-config Building configuration... Current configuration : 2230 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname HQ_HUB ! boot-start-marker boot-end-marker ! ! no aaa new-model ! resource policy ! ip cef ! crypto isakmp policy 10 authentication pre-share encryption 3des group 2 crypto isakmp key cisco123 address 192.168.11.2 crypto isakmp key cisco123 address 192.168.12.2 ! ! crypto ipsec transform-set newset esp-3des esp-md5-hmac ! crypto map map1 5 ipsec-isakmp set peer 192.168.11.2 set transform-set newset match address VPN_BO1 crypto map map1 10 ipsec-isakmp set peer 192.168.12.2 set transform-set newset match address VPN_BO2 ! ! interface Ethernet0/0 ip address 10.10.10.1 255.255.255.0 ip nat inside ip virtual-reassembly ! interface Serial2/0 ip address 192.168.10.10 255.255.255.0 ip nat outside ip virtual-reassembly clock rate 64000 crypto map map1 ! ! ip http server no ip http secure-server ! ip route 0.0.0.0 0.0.0.0 192.168.10.1 ! ip nat inside source route-map nonat interface Serial2/0 overload ! ip access-list extended NAT_Exempt deny ip 10.10.10.0 0.0.0.255 172.16.1.0 0.0.0.255 deny ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255 permit ip 10.10.10.0 0.0.0.255 any ip access-list extended VPN_BO1 permit ip 10.10.10.0 0.0.0.255 172.16.1.0 0.0.0.255 ip access-list extended VPN_BO2 permit ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255 ! route-map nonat permit 10 match ip address NAT_Exempt ! ! control-plane ! ! ! line con 0 line aux 0 line vty 0 4 ! ! end HQ_HUB# |
BO2 L2L VPN-Tunnelkonfiguration |
---|
BO2#show running-config Building configuration... 3w3d: %SYS-5-CONFIG_I: Configured from console by console Current configuration : 1212 bytes ! version 12.1 no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname BO2 ! ! ! ! ! ! ip subnet-zero ! ! ! crypto isakmp policy 10 authentication pre-share encryption 3des group 2 crypto isakmp key cisco123 address 192.168.10.10 ! ! crypto ipsec transform-set newset esp-3des esp-md5-hmac ! crypto map map1 5 ipsec-isakmp set peer 192.168.10.10 set transform-set newset match address 100 ! ! ! ! interface Ethernet0 ip address 10.20.20.10 255.255.255.0 ip nat inside ! ! interface Ethernet1 ip address 192.168.12.2 255.255.255.0 ip nat outside crypto map map1 ! interface Serial0 no ip address no fair-queue ! interface Serial1 no ip address shutdown ! ip nat inside source route-map nonat interface Ethernet1 overload ip classless ip route 0.0.0.0 0.0.0.0 192.168.12.1 ip http server ! access-list 100 permit ip 10.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255 access-list 150 deny ip 10.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255 access-list 150 permit ip 10.20.20.0 0.0.0.255 any route-map nonat permit 10 match ip address 150 ! ! ! line con 0 line aux 0 line vty 0 4 login ! end BO2# |
Dies ist das Netzwerkdiagramm für diese Konfiguration:
In diesem Beispiel wird die Funktion Split-Tunneling verwendet. Diese Funktion ermöglicht es einem Remote-Access-IPSec-Client, Pakete in verschlüsselter Form bedingt über einen IPSec-Tunnel oder in Klartextform an eine Netzwerkschnittstelle zu leiten. Wenn Split-Tunneling aktiviert ist, müssen Pakete, die nicht für Ziele auf der anderen Seite des IPSec-Tunnels gebunden sind, nicht verschlüsselt, über den Tunnel gesendet, entschlüsselt und dann an ein endgültiges Ziel weitergeleitet werden. Bei diesem Konzept wird die Split-Tunneling-Richtlinie auf ein angegebenes Netzwerk angewendet. Standardmäßig wird der gesamte Datenverkehr getunnelt. Um eine Split-Tunneling-Richtlinie festzulegen, geben Sie eine ACL an, auf der der für das Internet bestimmte Datenverkehr vermerkt werden kann.
In diesem Abschnitt werden die erforderlichen Verfahren beschrieben, um Remote-Zugriffsfunktionen hinzuzufügen und Remote-Benutzern den Zugriff auf alle Standorte zu ermöglichen.
Führen Sie diese Schritte aus:
Erstellen Sie einen IP-Adresspool für Clients, die über den VPN-Tunnel eine Verbindung herstellen. Erstellen Sie einen einfachen Benutzer, um nach Abschluss der Konfiguration auf das VPN zuzugreifen.
HQ_HUB(config)#ip local pool ippool 10.10.120.10 10.10.120.50
HQ_HUB(config)#username vpnuser password 0 vpnuser123
Befreien Sie bestimmten Datenverkehr von der Nation.
HQ_HUB(config)#ip access-list extended NAT_Exempt HQ_HUB(config-ext-nacl)#deny ip 10.10.10.0 0.0.0.255 10.10.120.0 0.0.0.255 HQ_HUB(config-ext-nacl)#deny ip 10.10.120.0 0.0.0.255 10.20.20.0 0.0.0.255 HQ_HUB(config-ext-nacl)#deny ip 10.10.120.0 0.0.0.255 172.16.1.0 0.0.0.255 HQ_HUB(config-ext-nacl)#permit ip host 10.10.10.0 any HQ_HUB(config-ext-nacl)#exit
Fügen Sie diese ACLs der vorhandenen Routing-Map hinzu (nicht at)
HQ_HUB(config)#route-map nonat permit 10 HQ_HUB(config-route-map)#match ip address NAT_Exempt HQ_HUB(config)#ip nat inside source route-map nonat interface Serial2/0 overload
Beachten Sie, dass die NAT-Kommunikation zwischen VPN-Tunneln in diesem Beispiel ausgenommen ist.
Ermöglicht die Kommunikation zwischen den vorhandenen L2L-Tunneln und den Remotezugriff-VPN-Benutzern.
HQ_HUB(config)#ip access-list extended VPN_BO1 HQ_HUB(config-ext-nacl)#permit ip 10.10.120.0 0.0.0.255 172.16.1.0 0.0.0.255 HQ_HUB(config-ext-nacl)#exit HQ_HUB(config)#ip access-list extended VPN_BO2 HQ_HUB(config-ext-nacl)#permit ip 10.10.120.0 0.0.0.255 10.20.20.0 0.0.0.255 HQ_HUB(config-ext-nacl)#exit
Dies ermöglicht Benutzern mit Remote-Zugriff die Kommunikation mit Netzwerken hinter den angegebenen Tunneln.
Warnung: Damit die Kommunikation stattfinden kann, muss auf der anderen Seite des Tunnels das Gegenteil dieses ACL-Eintrags für das jeweilige Netzwerk vorhanden sein.
Split-Tunneling konfigurieren
Um Split-Tunneling für die VPN-Verbindungen zu aktivieren, müssen Sie eine ACL auf dem Router konfigurieren. In diesem Beispiel ist der Befehl access-list split_tunnel der Gruppe für Split-Tunneling zugeordnet, und der Tunnel wird in die Netzwerke 10.10.10.0 /24 und 10.20.20.0/24 sowie 172.16.1.0/24 geformt. Der Datenverkehr fließt unverschlüsselt zu Geräten, die sich nicht im ACL-Split-Tunnel befinden (z. B. das Internet).
HQ_HUB(config)#ip access-list extended split_tunnel HQ_HUB(config-ext-nacl)#permit ip 10.10.10.0 0.0.0.255 10.10.120.0 0.0.0.255 HQ_HUB(config-ext-nacl)#permit ip 10.20.20.0 0.0.0.255 10.10.120.0 0.0.0.255 HQ_HUB(config-ext-nacl)#permit ip 172.16.1.0 0.0.0.255 10.10.120.0 0.0.0.255 HQ_HUB(config-ext-nacl)#exit
Konfigurieren Sie lokale Authentifizierungs-, Autorisierungs- und Client-Konfigurationsinformationen für die VPN-Clients, z. B. wins, dns. interessanter Datenverkehr, acl und ip pool.
HQ_HUB(config)#aaa new-model HQ_HUB(config)#aaa authentication login userauthen local HQ_HUB(config)#aaa authorization network groupauthor local HQ_HUB(config)#crypto isakmp client configuration group vpngroup HQ_HUB(config-isakmp-group)#key cisco123 HQ_HUB(config-isakmp-group)#dns 10.10.10.10 HQ_HUB(config-isakmp-group)#wins 10.10.10.20 HQ_HUB(config-isakmp-group)#domain cisco.com HQ_HUB(config-isakmp-group)#pool ippool HQ_HUB(config-isakmp-group)#acl split_tunnel HQ_HUB(config-isakmp-group)#exit
Konfigurieren Sie die dynamische Zuordnung und die Cryto-Zuordnung der für die Erstellung des VPN-Tunnels erforderlichen Informationen.
HQ_HUB(config)#crypto isakmp profile vpnclient HQ_HUB(config-isakmp-group)#match identity group vpngroup HQ_HUB(config-isakmp-group)#client authentication list userauthen HQ_HUB(config-isakmp-group)#isakmp authorization list groupauthor HQ_HUB(config-isakmp-group)#client configuration address respond HQ_HUB(config-isakmp-group)#exit HQ_HUB(config)#crypto dynamic-map dynmap 10 HQ_HUB(config-crypto-map)#set transform-set newset HQ_HUB(config-crypto-map)#set isakmp-profile vpnclient HQ_HUB(config-crypto-map)#reverse-route HQ_HUB(config-crypto-map)#exit HQ_HUB(config)#crypto map map1 65535 ipsec-isakmp dynamic dynmap HQ_HUB(config)#interface serial 2/0 HQ_HUB(config-if)#crypto map map1
Beispielkonfiguration 2 |
---|
HQ_HUB#show running-config Building configuration... Current configuration : 3524 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname HQ_HUB ! boot-start-marker boot-end-marker ! ! aaa new-model ! ! aaa authentication login userauthen local aaa authorization network groupauthor local ! aaa session-id common ! resource policy ! ! ! ip cef ! ! !--- Output is suppressed ! username vpnuser password 0 vpnuser123 ! ! ! crypto isakmp policy 10 authentication pre-share encryption 3des group 2 crypto isakmp key cisco123 address 192.168.11.2 crypto isakmp key cisco123 address 192.168.12.2 ! crypto isakmp client configuration group vpngroup key cisco123 dns 10.10.10.10 wins 10.10.10.20 domain cisco.com pool ippool acl split_tunnel crypto isakmp profile vpnclient match identity group vpngroup client authentication list userauthen isakmp authorization list groupauthor client configuration address respond ! ! crypto ipsec transform-set newset esp-3des esp-md5-hmac crypto ipsec transform-set remote-set esp-3des esp-md5-hmac ! crypto dynamic-map dynmap 10 set transform-set remote-set set isakmp-profile vpnclient reverse-route ! ! crypto map map1 5 ipsec-isakmp set peer 192.168.11.2 set transform-set newset match address VPN_BO1 crypto map map1 10 ipsec-isakmp set peer 192.168.12.2 set transform-set newset match address VPN_BO2 crypto map map1 65535 ipsec-isakmp dynamic dynmap ! ! interface Ethernet0/0 ip address 10.10.10.1 255.255.255.0 ip nat inside ip virtual-reassembly ! interface Serial2/0 ip address 192.168.10.10 255.255.255.0 ip nat outside ip virtual-reassembly clock rate 64000 crypto map map1 ! ! ip local pool ippool 10.10.120.10 10.10.120.50 ip http server no ip http secure-server ! ip route 0.0.0.0 0.0.0.0 192.168.10.1 ! ip nat inside source route-map nonat interface Serial2/0 overload ! ip access-list extended NAT_Exempt deny ip 10.10.10.0 0.0.0.255 172.16.1.0 0.0.0.255 deny ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255 deny ip 10.10.10.0 0.0.0.255 10.10.120.0 0.0.0.255 deny ip 10.10.120.0 0.0.0.255 10.20.20.0 0.0.0.255 deny ip 10.10.120.0 0.0.0.255 172.16.1.0 0.0.0.255 permit ip host 10.10.10.0 any ip access-list extended VPN_BO1 permit ip 10.10.10.0 0.0.0.255 172.16.1.0 0.0.0.255 permit ip 10.10.120.0 0.0.0.255 172.16.1.0 0.0.0.255 ip access-list extended VPN_BO2 permit ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255 permit ip 10.10.120.0 0.0.0.255 10.20.20.0 0.0.0.255 ip access-list extended split_tunnel permit ip 10.10.10.0 0.0.0.255 10.10.120.0 0.0.0.255 permit ip 10.20.20.0 0.0.0.255 10.10.120.0 0.0.0.255 permit ip 172.16.1.0 0.0.0.255 10.10.120.0 0.0.0.255 ! route-map nonat permit 10 match ip address NAT_Exempt ! ! control-plane ! line con 0 line aux 0 line vty 0 4 ! ! end HQ_HUB# |
Nutzen Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.
Das Output Interpreter-Tool (OIT) (nur registrierte Kunden) unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der show-Befehlsausgabe anzuzeigen.
ping - Mit diesem Befehl können Sie den L2L VPN-Tunnel wie dargestellt initiieren.
Erweiterter Ping |
---|
HQ_HUB#ping !--- In order to make the L2L VPN tunnel with BO1 !--- to be established. Protocol [ip]: Target IP address: 172.16.1.2 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 10.10.10.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.1.2, timeout is 2 seconds: Packet sent with a source address of 10.10.10.1 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 132/160/172 ms HQ_HUB#ping !--- In order to make the L2L VPN tunnel with BO2 !--- to be established. Protocol [ip]: Target IP address: 10.20.20.10 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 10.10.10.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.20.20.10, timeout is 2 seconds: Packet sent with a source address of 10.10.10.1 ....! Success rate is 20 percent (1/5), round-trip min/avg/max = 64/64/64 ms |
show crypto isakmp sa |
---|
HQ_HUB#show crypto isakmp sa dst src state conn-id slot status 192.168.12.2 192.168.10.10 QM_IDLE 2 0 ACTIVE 192.168.11.2 192.168.10.10 QM_IDLE 1 0 ACTIVE |
show crypto ipsec sa |
---|
HQ_HUB#show crypto ipsec sa interface: Serial2/0 Crypto map tag: map1, local addr 192.168.10.10 protected vrf: (none) local ident (addr/mask/prot/port): (10.10.120.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0) current_peer 192.168.11.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.11.22 path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0 current outbound spi: 0x0(0) inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.12.2 path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0 current outbound spi: 0x0(0) inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: protected vrf: (none) local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0) current_peer 192.168.12.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 1, #pkts encrypt: 1, #pkts digest: 1 #pkts decaps: 1, #pkts decrypt: 1, #pkts verify: 1 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 4, #recv errors 0 local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.12.2 path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0 current outbound spi: 0xF1328(987944) inbound esp sas: spi: 0xAD07C262(2902966882) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2004, flow_id: SW:4, crypto map: map1 sa timing: remaining key lifetime (k/sec): (4601612/3292) IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0xF1328(987944) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2003, flow_id: SW:3, crypto map: map1 sa timing: remaining key lifetime (k/sec): (4601612/3291) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas: protected vrf: (none) local ident (addr/mask/prot/port): (10.10.120.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0) current_peer 192.168.12.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.12.2 path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0 current outbound spi: 0x0(0) inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: protected vrf: (none) local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0) current_peer 192.168.11.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4 #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 11, #recv errors 0 local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.11.2 path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0 current outbound spi: 0x978B3F93(2542485395) inbound esp sas: spi: 0x2884F32(42487602) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2002, flow_id: SW:2, crypto map: map1 sa timing: remaining key lifetime (k/sec): (4421529/3261) IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x978B3F93(2542485395) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2001, flow_id: SW:1, crypto map: map1 sa timing: remaining key lifetime (k/sec): (4421529/3261) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas: local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.12.2 path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0 current outbound spi: 0x0(0) inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: protected vrf: (none) local ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0) current_peer 192.168.12.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.12.2 path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0 current outbound spi: 0x0(0) inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: protected vrf: (none) local ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0) current_peer 192.168.11.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.11.2 path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0 current outbound spi: 0x0(0) inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.12.2 path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0 current outbound spi: 0x0(0) inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: HQ_HUB# |
Informationen zur Fehlerbehebung bei Ihrer Konfiguration finden Sie in den folgenden Dokumenten:
Gängigste Lösungen für die Behebung von Problemen mit L2L- und Remote Access IPSec VPN
Problembehebung für IP-Sicherheit – Verständnis und Verwendung von Debug-Befehlen
Tipp: Wenn Sie Sicherheitszuordnungen löschen und ein IPsec-VPN-Problem nicht behoben wird, entfernen Sie die entsprechende Crypto Map, und wenden Sie sie erneut an, um eine Vielzahl von Problemen zu beheben.
Warnung: Wenn Sie eine Crypto Map von einer Schnittstelle entfernen, werden alle dieser Crypto Map zugeordneten IPSec-Tunnel deaktiviert. Befolgen Sie diese Schritte mit Bedacht und berücksichtigen Sie die Änderungskontrollrichtlinie Ihrer Organisation, bevor Sie fortfahren.
Beispiel
HQ_HUB(config)#interface s2/0 HQ_HUB(config-if)#no crypto map map1 *Sep 13 13:36:19.449: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is OFF HQ_HUB(config-if)#crypto map map1 *Sep 13 13:36:25.557: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
14-Jul-2008 |
Erstveröffentlichung |