Een IPSec IKEv1-tunnel tussen ASA en Cisco IOS XE-router configureren

Inleiding

In dit document wordt beschreven hoe u een site-to-site IKEv1-tunnel kunt configureren via de CLI tussen een Cisco ASA en een router waarop Cisco IOS® XE-software wordt uitgevoerd.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Cisco IOS® XE
• Cisco Adaptive Security Appliance (ASA)
• Algemene IPSec-concepten

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Cisco ASAv met ciscosoftware versie 9.20(2)2
• Cisco CSRv met Cisco IOS® XE-software Versie 17.03.03

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Configureren

In dit gedeelte wordt beschreven hoe u de CLI-configuraties van de ASA- en Cisco IOS® XE-router kunt voltooien.

Netwerkdiagram

De informatie in dit document maakt gebruik van deze netwerkconfiguratie:

ASA-configuratie

De ASA-interfaces configureren

Als de ASA-interfaces niet zijn geconfigureerd, moet u ervoor zorgen dat u ten minste de IP-adressen, interfacenamen en de beveiligingsniveaus configureert:

interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.255.0
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 10.10.10.1 255.255.255.0

Opmerking: Zorg ervoor dat er connectiviteit is met zowel de interne als externe netwerken, met name met de externe peer die wordt gebruikt om een site-to-site VPN-tunnel te maken. U kunt een ping gebruiken om basisconnectiviteit te verifiëren.

Configureer het IKEv1-beleid en schakel IKEv1 in op de externe interface

Voer de volgende opdracht in om het ISAKMP-beleid (Internet Security Association and Key Management Protocol) voor de IPSec Internet Key Exchange Version 1 (IKEv1)-verbindingen tecrypto ikev1 policy configureren:

crypto ikev1 policy 10
 authentication pre-share
 encryption aes-256
 hash sha
 group 14
 lifetime 86400

Opmerking: Er bestaat een IKEv1-beleidsovereenkomst wanneer beide beleidsregels van de twee peers dezelfde waarden voor verificatie, codering, hash en Diffie-Hellman bevatten. Voor IKEv1 moet het externe peer-beleid ook een levensduur opgeven die kleiner is dan of gelijk is aan de levensduur in het beleid dat de initiator verzendt. Als de levensduur niet identiek is, gebruikt de ASA de kortere levensduur.

Opmerking: Als u geen waarde opgeeft voor een bepaalde beleidsparameter, wordt de standaardwaarde toegepast.

U moet IKEv1 inschakelen op de interface die de VPN-tunnel beëindigt. Meestal is dit de externe (of openbare) interface. Om IKEv1 in te schakelen, voert u decrypto ikev1 enable opdracht in globale configuratiemodus in:

crypto ikev1 enable outside

De tunnelgroep configureren (LAN-naar-LAN-verbindingsprofiel)

Voor een LAN-naar-LAN-tunnel wordt het type verbindingsprofielipsec-l2lweergegeven. Voer de volgende configuratiemodus in om de IKEv1-voordeelsleutel tetunnel-group ipsec-attributesconfigureren:

tunnel-group 172.17.1.1 type ipsec-l2l
tunnel-group 172.17.1.1 ipsec-attributes
 ikev1 pre-shared-key cisco123

Configureer de ACL voor het VPN-verkeer van belang

De ASA maakt gebruik van Access Control Lists (ACL's) om het verkeer dat moet worden beveiligd met IPSec-codering te onderscheiden van het verkeer dat geen bescherming vereist. Het beschermt de uitgaande pakketten die overeenkomen met een vergunning Application Control Engine (ACE) en zorgt ervoor dat de inkomende pakketten die overeenkomen met een vergunning ACE bescherming hebben.

object-group network local-network
 network-object 10.10.10.0 255.255.255.0
object-group network remote-network
 network-object 10.20.10.0 255.255.255.0

access-list asa-router-vpn extended permit ip object-group local-network 
 object-group remote-network

Opmerking: Een ACL voor VPN-verkeer gebruikt de IP-adressen van de bron en bestemming na Network Address Translation (NAT).

Opmerking: Een ACL voor VPN-verkeer moet worden gespiegeld op beide VPN-peers.

Opmerking: Als er een nieuw subnet moet worden toegevoegd aan het beveiligde verkeer, voegt u eenvoudig een subnet/host toe aan de betreffende objectgroep en voltooit u een spiegelwijziging op de externe VPN-peer.

Een NAT-vrijstelling configureren

Opmerking: de configuratie die in dit gedeelte wordt beschreven, is optioneel.

Normaal gesproken mag er geen NAT worden uitgevoerd op het VPN-verkeer. Om dat verkeer uit te sluiten, moet u een NAT-identiteitsregel maken. De NAT-regel voor identiteit vertaalt eenvoudig een adres naar hetzelfde adres.

nat (inside,outside) source static local-network local-network destination static
 remote-network remote-network no-proxy-arp route-lookup

De IKEv1-transformatieset configureren

Een IKEv1-transformatieset is een combinatie van beveiligingsprotocollen en algoritmen die bepalen hoe de ASA gegevens beschermt. Tijdens de IPSec Security Association (SA) onderhandelingen moeten de peers een transformatieset of voorstel identificeren dat hetzelfde is voor beide peers. De ASA past vervolgens de overeenkomende transformatieset of het voorstel toe om een SA te maken die gegevensstromen beschermt in de toegangslijst voor die cryptografische kaart.

Om de IKEv1-transformatieset te configureren, voert u decrypto ipsec ikev1 transform-setopdracht:

crypto ipsec ikev1 transform-set ESP-AES256-SHA esp-aes-256 esp-sha-hmac

Een Crypto-kaart configureren en toepassen op een interface

Een cryptografische kaart definieert een IPSec-beleid waarover in de IPSec SA moet worden onderhandeld en omvat:

• Een toegangslijst om de pakketten te identificeren die de IPSec-verbinding toestaat en beschermt
• Peer-identificatie
• Een lokaal adres voor het IPSec-verkeer
• De IKEv1-transformatiesets
• Perfect Forward Secrecy (optioneel)

Hierna volgt een voorbeeld:

crypto map outside_map 10 match address asa-router-vpn
crypto map outside_map 10 set peer 172.17.1.1
crypto map outside_map 10 set ikev1 transform-set ESP-AES256-SHA

U kunt vervolgens de crypto-kaart toepassen op de interface:

crypto map outside_map interface outside

Definitieve configuratie ASA

Hier is de definitieve configuratie van de ASA:

interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.255.0
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 10.10.10.1 255.255.255.0
!
object-group network local-network
 network-object 10.10.10.0 255.255.255.0
object-group network remote-network
 network-object 10.20.10.0 255.255.255.0
!
access-list asa-router-vpn extended permit ip object-group local-network
 object-group remote-network
!
nat (inside,outside) source static local-network local-network destination
 static remote-network remote-network no-proxy-arp route-lookup
!
crypto ikev1 policy 10
 authentication pre-share
 encryption aes-256
 hash sha
 group 14
 lifetime 86400
!
crypto ikev1 enable outside
!
crypto ipsec ikev1 transform-set ESP-AES256-SHA esp-aes-256 esp-sha-hmac
!
crypto map outside_map 10 match address asa-router-vpn
crypto map outside_map 10 set peer 172.17.1.1
crypto map outside_map 10 set ikev1 transform-set ESP-AES256-SHA
crypto map outside_map interface outside
!
tunnel-group 172.17.1.1 type ipsec-l2l
tunnel-group 172.17.1.1 ipsec-attributes
 ikev1 pre-shared-key cisco123
!

Cisco IOS XE Router CLI-configuratie

De interfaces configureren

Als de Cisco IOS XE-routerinterfaces nog niet zijn geconfigureerd, moeten ten minste de LAN- en WAN-interfaces worden geconfigureerd. Hierna volgt een voorbeeld:

interface GigabitEthernet0/0
 ip address 172.17.1.1 255.255.255.0
 no shutdown
!
interface GigabitEthernet0/1
 ip address 10.20.10.1 255.255.255.0
 no shutdown

Zorg ervoor dat er connectiviteit is met zowel de interne als externe netwerken, met name met de externe peer die wordt gebruikt om een site-to-site VPN-tunnel te maken. U kunt een ping gebruiken om basisconnectiviteit te verifiëren.

Het ISAKMP-beleid (IKEv1) configureren

Om het ISAKMP-beleid voor de IKEv1-verbindingen te configureren, voert u decrypto isakmp policy opdracht in globale configuratiemodus in. Hierna volgt een voorbeeld:

crypto isakmp policy 10
 encryption aes 256
 hash sha
 authentication pre-share
 group 14

Opmerking: U kunt meerdere IKE-beleidsregels configureren voor elke peer die deelneemt aan IPSec. Wanneer de IKE-onderhandeling begint, probeert het een gemeenschappelijk beleid te vinden dat is geconfigureerd op beide peers, en het begint met het beleid met de hoogste prioriteit dat is opgegeven op de externe peer.

Een Crypto ISAKMP-sleutel configureren

Als u een vooraf gedeelde verificatiesleutel wilt configureren, voert u de opdrachtcrypto isakmp keyin globale configuratiemodus in:

crypto isakmp key cisco123 address 172.16.1.1

Een ACL configureren voor VPN-verkeer van belang

Gebruik de lijst met uitgebreide of benoemde toegang om het verkeer op te geven dat moet worden beveiligd met codering. Hierna volgt een voorbeeld:

access-list 110 remark Interesting traffic access-list
access-list 110 permit ip 10.20.10.0 0.0.0.255 10.10.10.0 0.0.0.255 

Opmerking: Een ACL voor VPN-verkeer gebruikt de bron- en bestemmings-IP-adressen na NAT.

Opmerking: Een ACL voor VPN-verkeer moet worden gespiegeld op beide VPN-peers.

Een NAT-vrijstelling configureren

Opmerking: de configuratie die in dit gedeelte wordt beschreven, is optioneel.

Normaal gesproken mag er geen NAT worden uitgevoerd op het VPN-verkeer. Als de NAT-overload wordt gebruikt, moet een routekaart worden gebruikt om het VPN-verkeer van belang vrij te stellen van vertaling. Merk op dat in de toegangslijst die wordt gebruikt in de routekaart, het VPN-verkeer van belang moet worden geweigerd.

access-list 111 remark NAT exemption access-list
access-list 111 deny   ip 10.20.10.0 0.0.0.255 10.10.10.0 0.0.0.255
access-list 111 permit ip 10.20.10.0 0.0.0.255 any

route-map nonat permit 10
 match ip address 111

ip nat inside source route-map nonat interface GigabitEthernet0/0 overload

Een transformatieset configureren

Om een IPSec-transformatieset (een aanvaardbare combinatie van beveiligingsprotocollen en algoritmen) te definiëren, voert u de opdrachtcrypto ipsec transform-setin globale configuratiemodus in. Hierna volgt een voorbeeld:

crypto ipsec transform-set ESP-AES256-SHA esp-aes 256 esp-sha-hmac
 mode tunnel

Een Crypto-kaart configureren en toepassen op een interface

Als u een cryptografische kaartinvoer wilt maken of wijzigen en de configuratiemodus voor de cryptografische kaart wilt invoeren, voert u de opdracht voor de globale configuratie van de cryptografische kaart in. Om de crypto-kaartinvoer volledig te laten zijn, zijn er enkele aspecten die minimaal moeten worden gedefinieerd:

• De IPsec-peers waarnaar het beveiligde verkeer kan worden doorgestuurd, moeten worden gedefinieerd. Dit zijn de peers waarmee een SA kan worden opgericht. Als u een IPSec-peer wilt opgeven in een cryptografische kaartinvoer, voert u de opdrachtset peerin.
• De transformatiesets die aanvaardbaar zijn voor gebruik met het beveiligde verkeer moeten worden gedefinieerd. Voer de opdracht in om de transformatiesets op te geven die kunnen worden gebruikt met het crypto-set transform-setkaartitem.
• Het verkeer dat moet worden beschermd, moet worden gedefinieerd. Als u een uitgebreide toegangslijst voor een crypto-kaartinvoer wilt opgeven, voert u de opdracht inmatch address.

Hierna volgt een voorbeeld:

crypto map outside_map 10 ipsec-isakmp
 set peer 172.16.1.1
 set transform-set ESP-AES256-SHA
 match address 110

De laatste stap is het toepassen van de eerder gedefinieerde crypto-kaartset op een interface. Om dit toe te passen, voert u de opdracht voorcrypto mapinterfaceconfiguratie in:

interface GigabitEthernet0/0
 crypto map outside_map

Definitieve configuratie Cisco IOS XE

Hier is de definitieve Cisco IOS XE router CLI configuratie:

crypto isakmp policy 10
 encryption aes 256
 authentication pre-share
 group 14
crypto isakmp key cisco123 address 172.16.1.1
!
crypto ipsec transform-set ESP-AES256-SHA esp-aes 256 esp-sha-hmac
 mode tunnel
!
crypto map outside_map 10 ipsec-isakmp
 set peer 172.16.1.1
 set transform-set ESP-AES256-SHA
 match address 110
!
interface GigabitEthernet0/0
 ip address 172.17.1.1 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
 crypto map outside_map
!
interface GigabitEthernet0/1
 ip address 10.20.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
ip nat inside source route-map nonat interface GigabitEthernet0/0 overload
!
route-map nonat permit 10
 match ip address 111
!
access-list 110 remark Interesting traffic access-list
access-list 110 permit ip 10.20.10.0 0.0.0.255 10.10.10.0 0.0.0.255
access-list 111 remark NAT exemption access-list
access-list 111 deny   ip 10.20.10.0 0.0.0.255 10.10.10.0 0.0.0.255
access-list 111 permit ip 10.20.10.0 0.0.0.255 any

Verifiëren

Voordat u controleert of de tunnel is geopend en of deze het verkeer passeert, moet u ervoor zorgen dat het verkeer van belang wordt verzonden naar de ASA of de Cisco IOS XE-router.

Opmerking: Op de ASA kan de packet-tracer tool die overeenkomt met het verkeer van belang worden gebruikt om de IPSec tunnel te initiëren (zoalspacket-tracer input inside tcp 10.10.10.10 12345 10.20.10.10 80 detailedbijvoorbeeld).

Verificatie in fase 1

Om te controleren of IKEv1 Fase 1 op de ASA staat, voert u de opdracht show crypto isakmp sa in. De verwachte output is om de staat te zienMM_ACTIVE:

ciscoasa# show crypto isakmp sa

IKEv1 SAs:

   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 172.17.1.1
    Type    : L2L             Role    : responder
    Rekey   : no              State   : MM_ACTIVE

There are no IKEv2 SAs
ciscoasa#

Voer de opdracht in om te controleren of IKEv1 Phase 1 is ingeschakeld in Cisco IOS XEshow crypto isakmp sa. De verwachte output is om de staat te zienACTIVE:

Router#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
172.16.1.1      172.17.1.1      QM_IDLE           2003 ACTIVE

IPv6 Crypto ISAKMP SA

Router#

Verificatie in fase 2

Om te controleren of IKEv1 Fase 2 op de ASA staat, voert u de opdracht inshow crypto ipsec sa. De verwachte output is om zowel de inkomende als uitgaande Security Parameter Index (SPI) te zien. Als het verkeer door de tunnel gaat, moet u de encaps / decaps-tellers zien toenemen.

Opmerking: Voor elke ACL-vermelding wordt een afzonderlijke inkomende/uitgaande SA gemaakt, wat kan resulteren in een langeshow crypto ipsec saopdrachtuitvoer (afhankelijk van het aantal ACE-vermeldingen in de crypto-ACL).

Hierna volgt een voorbeeld:

ciscoasa# show crypto ipsec sa peer 172.17.1.1
peer address: 172.17.1.1
    Crypto map tag: outside_map, seq num: 10, local addr: 172.16.1.1

access-list asa-router-vpn extended permit ip 10.10.10.0 255.255.255.0
   10.20.10.0 255.255.255.0
      local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (10.20.10.0/255.255.255.0/0/0)
      current_peer: 172.17.1.1

#pkts encaps: 989, #pkts encrypt: 989, #pkts digest: 989
#pkts decaps: 989, #pkts decrypt: 989, #pkts verify: 989
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 989, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 172.16.1.1/0, remote crypto endpt.: 172.17.1.1/0
path mtu 1500, ipsec overhead 74(44), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: 5397114D
current inbound spi : 9B592959

inbound esp sas:
spi: 0x9B592959 (2606311769)
SA State: active
transform: esp-aes-256 esp-sha-hmac no compression 
in use settings ={L2L, Tunnel, IKEv1, }
slot: 0, conn_id: 2, crypto-map: outside_map
sa timing: remaining key lifetime (kB/sec): (4373903/3357)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap: 
0xFFFFFFFF 0xFFFFD7FF

outbound esp sas:
spi: 0x5397114D (1402409293)
SA State: active
transform: esp-aes-256 esp-sha-hmac no compression 
in use settings ={L2L, Tunnel, IKEv1, }
slot: 0, conn_id: 2, crypto-map: outside_map
sa timing: remaining key lifetime (kB/sec): (4373903/3357)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap: 
0x00000000 0x00000001

ciscoasa# 

Voer de opdracht in om te controleren of IKEv1 Phase 2 is ingeschakeld in Cisco IOS XEshow crypto ipsec sa. De verwachte output is om zowel de inkomende als uitgaande SPI te zien. Als het verkeer door de tunnel gaat, moet u de encaps / decaps-tellers zien toenemen.

Hierna volgt een voorbeeld:

Router#show crypto ipsec sa peer 172.16.1.1

interface: GigabitEthernet0/0
    Crypto map tag: outside_map, local addr 172.17.1.1

   protected vrf: (none)
local  ident (addr/mask/prot/port): (10.20.10.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
   current_peer 172.16.1.1 port 500
     PERMIT, flags={origin_is_acl,}
#pkts encaps: 989, #pkts encrypt: 989, #pkts digest: 989
#pkts decaps: 989, #pkts decrypt: 989, #pkts verify: 989
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 172.17.1.1, remote crypto endpt.: 172.16.1.1
plaintext mtu 1438, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet3
current outbound spi: 0x9B592959(2606311769)
PFS (Y/N): N, DH group: none

inbound esp sas:
spi: 0x5397114D(1402409293)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2003, flow_id: CSR:3, sibling_flags FFFFFFFF80004048, crypto map: outside_map
sa timing: remaining key lifetime (k/sec): (4607857/3385)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)

inbound ah sas:

inbound pcp sas:

outbound esp sas:
spi: 0x9B592959(2606311769)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2004, flow_id: CSR:4, sibling_flags FFFFFFFF80004048, crypto map: outside_map
sa timing: remaining key lifetime (k/sec): (4607901/3385)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)

outbound ah sas:

outbound pcp sas:

Router#

Fase 1 en 2 verificatie

In deze sectie worden de opdrachten beschreven die u kunt gebruiken op de ASA of Cisco IOS XE om de details voor zowel fase 1 als 2 te verifiëren.

Voer hetshow vpn-sessiondbcommando in op de ASA voor verificatie:

ciscoasa# show vpn-sessiondb detail l2l filter ipaddress 172.17.1.1

Session Type: LAN-to-LAN Detailed

Connection   : 172.17.1.1
Index        : 2                      IP Addr      : 172.17.1.1
Protocol     : IKEv1 IPsec
Encryption   : IKEv1: (1)AES256  IPsec: (1)AES256
Hashing      : IKEv1: (1)SHA1  IPsec: (1)SHA1
Bytes Tx     : 98900                Bytes Rx     : 134504
Login Time   : 06:15:52 UTC Fri Sep 6 2024
Duration     : 0h:15m:07s
IKEv1 Tunnels: 1
IPsec Tunnels: 1

IKEv1:
  Tunnel ID    : 2.1
  UDP Src Port : 500                    UDP Dst Port : 500
  IKE Neg Mode : Main                   Auth Mode    : preSharedKeys
  Encryption   : AES256                 Hashing      : SHA1
  Rekey Int (T): 86400 Seconds          Rekey Left(T): 84093 Seconds
  D/H Group    : 14
  Filter Name  :

IPsec:
  Tunnel ID    : 2.2
  Local Addr   : 10.10.10.0/255.255.255.0/0/0
  Remote Addr  : 10.20.10.0/255.255.255.0/0/0
  Encryption   : AES256                 Hashing      : SHA1
  Encapsulation: Tunnel
  Rekey Int (T): 3600 Seconds           Rekey Left(T): 3293 Seconds
  Rekey Int (D): 4608000 K-Bytes        Rekey Left(D): 4607901 K-Bytes
  Idle Time Out: 30 Minutes             Idle TO Left : 26 Minutes
  Bytes Tx     : 98900                 Bytes Rx     : 134504
  Pkts Tx      : 989                   Pkts Rx      : 989

NAC:
  Reval Int (T): 0 Seconds              Reval Left(T): 0 Seconds
  SQ Int (T)   : 0 Seconds              EoU Age(T)   : 309 Seconds
  Hold Left (T): 0 Seconds              Posture Token:
  Redirect URL :

ciscoasa#

Voer de opdrachtshow crypto sessionin op de Cisco IOS XE voor verificatie:

Router#show crypto session remote 172.16.1.1 detail
Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation
X - IKE Extended Authentication, F - IKE Fragmentation

Interface: GigabitEthernet0/0
Uptime: 00:03:36
Session status: UP-ACTIVE
Peer: 172.16.1.1 port 500 fvrf: (none) ivrf: (none)
      Phase1_id: 172.16.1.1
      Desc: (none)
  IKE SA: local 172.17.1.1/500 remote 172.16.1.1/500 Active
          Capabilities:(none) connid:1005 lifetime:23:56:23
  IPSEC FLOW: permit ip 10.20.10.0/255.255.255.0 10.10.10.0/255.255.255.0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 989 drop 0 life (KB/Sec) 4449870/3383
        Outbound: #pkts enc'ed 989 drop 0 life (KB/Sec) 4449868/3383

Router#

Problemen oplossen

Dit gedeelte bevat informatie die u kunt gebruiken om problemen met uw configuratie op te lossen.

Opmerking: Raadpleeg de Belangrijke informatie over foutopsporingsopdrachten en probleemoplossing voor IP-beveiliging - Foutopsporingsopdrachten begrijpen en gebruiken Cisco-documenten voordat u opdrachten gebruiktdebug.

IPSec LAN-to-LAN Checker Tool

Om automatisch te controleren of de IPSec LAN-to-LAN-configuratie tussen de ASA en Cisco IOS XE geldig is, kunt u de IPSec LAN-to-LANCchecker-tool gebruiken. De tool is zo ontworpen dat het eenshow techof opdracht van een ASA- of Cisco IOS XE-router accepteertshow running-config. Het onderzoekt de configuratie en probeert te detecteren of een op cryptografische kaarten gebaseerde LAN-naar-LAN IPSec-tunnel is geconfigureerd. Indien geconfigureerd, voert het een meerpuntcontrole van de configuratie uit en benadrukt het eventuele configuratiefouten en instellingen voor de tunnel waarover zou worden onderhandeld.

ASA Debugs

Om problemen met IPSec IKEv1-tunnelonderhandelingen op een ASA-firewall op te lossen, kunt u dezedebugopdrachten gebruiken:

debug crypto ipsec 127
debug crypto isakmp 127
debug ike-common 10

Opmerking: Als het aantal VPN-tunnels op de ASA aanzienlijk is, moet dedebug crypto condition peer A.B.C.Dopdracht worden gebruikt voordat u de debugs inschakelt om de debug-uitgangen te beperken tot alleen de opgegeven peer.

Cisco IOS XE Router Debugs

Om problemen met IPSec IKEv1-tunnelonderhandelingen op een Cisco IOS XE-router op te lossen, kunt u deze foutopsporingsopdrachten gebruiken:

debug crypto ipsec
debug crypto isakmp

Opmerking: Als het aantal VPN-tunnels op de Cisco IOS XE aanzienlijk is,debug crypto condition peer ipv4 A.B.C.Dmoet de foutopsporingsfunctie worden gebruikt voordat u de foutopsporingsfuncties inschakelt om de foutopsporingsuitvoer te beperken tot alleen de opgegeven peer.

Tip: raadpleeg het meest voorkomende Cisco-document van L2L en Remote Access IPSec VPN Troubleshooting Solutions voor meer informatie over het oplossen van problemen met een site-to-site VPN.

Referenties

• Important Information on Debug Commands (Belangrijke informatie over debug-opdrachten)
• Problemen met IP-beveiliging oplossen - Foutopsporingsopdrachten begrijpen en gebruiken
• Meest voorkomende L2L- en Remote Access IPSec VPN-oplossingen voor probleemoplossing
• IPSec LAN-naar-LAN-controle
• Technische ondersteuning en documentatie – Cisco Systems