PIX/ASA 7.x e mais tarde: VPN/IPsec com exemplo da configuração de OSPF

Transcrição

1 PIX/ASA 7.x e mais tarde: VPN/IPsec com exemplo da configuração de OSPF Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Convenções Configurar Diagrama de Rede Configurações Configurar a versão 7.x da ferramenta de segurança PIX/ASA Use o ASDM Permita o Reverse Route Injection (RRI) Verificar Veja os registros Troubleshooting Informações Relacionadas Introdução Este documento fornece uma configuração de exemplo para uma VPN/IPsec com Open Shortest Path First (OSPF) no Cisco PIX Security Appliance Software Version 7.x ou no Cisco Adaptive Security Appliance (ASA). O PIX/ASA 7.x permite que o unicast de OSPF execute em uma conexão de VPN existente. Não há mais a necessidade de configurar um túnel de Generic Routing Encapsulation (GRE). Pré-requisitos Requisitos Assegure-se de que você possa estabelecer a conexão de VPN antes que você tente esta configuração. Componentes Utilizados As informações neste documento são baseadas nestas versões de software e hardware: Cisco2500 que executa o Software Release 12.1 e Mais Recente de Cisco IOS Cisco2500 que executa o Cisco IOS Software Release 12.0 e Mais Recente Versão de software running 7.x da ferramenta de segurança ASA 5500 e mais tarde Nota: PIX 500 o Series Version 7.x/8.x executa o mesmo software considerado na versão 7.x/8.x ASA As configurações neste documento são aplicáveis a ambas as linhas de produto. As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando. Convenções Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos. Configurar Nesta seção, você encontrará informações para configurar os recursos descritos neste documento. Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

2 Diagrama de Rede Este documento utiliza a seguinte configuração de rede: Configurações Este documento utiliza as seguintes configurações: Roteador deixado Companhia do Roteador Roteador deixado version 12.1 no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption hostname Left ip subnet-zero ip tcp synwait-time 5 no ip domain-lookup interface Loopback11 ip address interface Ethernet0 ip address no keepalive interface Serial0 no ip address no keepalive no fair-queue ignore-dcd interface Serial1 no ip address shutdown ignore-dcd interface BRI0 no ip address shutdown router ospf 11 log-adjacency-changes network area 0 network area 0 ip classless ip route

3 ip http server logging trap debugging logging access-list 100 permit ip any any access-list 101 permit ip any any line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 privilege level 15 no login end Companhia do Roteador version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption hostname Right aaa new-model aaa authentication login default group tacacs+ none aaa authorization exec default group tacacs+ none ip subnet-zero no ip domain-lookup cns event-service server interface Loopback22 ip address no ip directed-broadcast interface Tunnel0 no ip address no ip directed-broadcast interface Ethernet0 ip address no ip directed-broadcast interface Serial0 no ip address no ip directed-broadcast no ip mroute-cache shutdown no fair-queue interface Serial1 no ip address no ip directed-broadcast shutdown interface Async1 no ip address no ip directed-broadcast encapsulation ppp router ospf 22 log-adjacency-changes network area 0 network area 0 ip classless ip route ip http server line con 0

4 transport input none line 1 8 line aux 0 line vty 0 4 end Configurar a versão 7.x da ferramenta de segurança PIX/ASA Você pode usar o gerenciador de dispositivo da segurança avançada (ASDM) a fim configurar a ferramenta de segurança PIX/ASA pelo comando line interface(cli) ou pelo GUI. A configuração nesta seção é para o ASA Local. Você configura o ASA telecontrole da mesma forma e ajusta-o somente para as diferenças no endereçamento de IP. Console no PIX/ASA para configurar a versão 7.x da ferramenta de segurança PIX/ASA. De uma configuração esclarecida, use as alertas interativas a fim permitir o ASDM GUI para o Gerenciamento do PIX/ASA da estação de trabalho Nota: Se o vizinho de OSPF não vem acima, considere a opção reduzir o tamanho da unidade de transmissão máxima (MTU). Tira de bota PIX/ASA-ASDM Pre-configure Firewall now through interactive prompts [yes]? Firewall Mode [Routed]: Enable password [<use current password>]: cisco Allow password recovery [yes]? Clock (UTC): Year [2006]: Month [May]: Day [25]: Time [06:00:44]: Inside IP address: Inside network mask: Host name: Local Domain name: cisco.com IP address of host running Device Manager: The following configuration will be used: Enable password: cisco Allow password recovery: yes Clock (UTC): 06:00:44 May Firewall Mode: Routed Inside IP address: Inside network mask: Host name: Local Domain name: cisco.com IP address of host running Device Manager: Use this configuration and write to flash? yes INFO: Security level for "inside" set to 100 by default. Cryptochecksum: 34f55366 a32e232d ebc32ac1 3bfa201a 969 bytes copied in secs Use o ASDM Termine estas etapas a fim configurar através do ASDM GUI: 1. Da estação de trabalho , abra um navegador e use o ASDM. Neste exemplo, você usa Clique sim nas alertas do certificado. Início de uma sessão com a senha da possibilidade. Este início de uma sessão aparece na configuração da tira de bota PIX/ASA-ASDM. 4. Faça uma seleção na alerta para usar a launcher ASDM ou o ASDM como uma Java App. Esta alerta aparece somente se esta é a primeira vez que você executou o ASDM no PC. Este exemplo selecionou e instalou a launcher ASDM. 5. Vá à janela ASDM Home e clique o guia de configuração.

5 6. Escolha a relação > editam a fim configurar a interface externa. 7. Clique em OK. 8. Incorpore os detalhes da relação e clique a APROVAÇÃO quando completo.

6 9. APROVAÇÃO do clique na caixa de diálogo da mudança do nível de segurança. 10. O clique aplica-se a fim aceitar a configuração da interface. A configuração igualmente obtem empurrada no PIX. Nota: Este exemplo usa rotas estáticas. 11. Escolha características > roteamento > rota estática e o clique adiciona.

7 12. Configurar o gateway padrão e clique a APROVAÇÃO. 13. Configurar uma estática baseada host para o peer remoto a fim evitar o roteamento recursivo possível quando o OSPF vem acima e clica então a APROVAÇÃO.

8 14. O clique aplica-se a fim aceitar a configuração de roteamento. A configuração igualmente obtem empurrada no PIX. 15. Escolha assistentes > wizard VPN a fim usar o wizard VPN e criar a conexão de LAN para LAN.

9 16. No indicador do wizard VPN, clique em seguida onde a site para site é a seleção da opção. 17. Adicionar a informação do endereço IP do peer, de nome de grupo de túneis (que é o endereço IP de Um ou Mais Servidores Cisco ICM NT), e de chave pré-compartilhada, e clique-a em seguida.

10 18. Adicionar o tipo de criptografia, tipo do autenticação, informação do grupo DH, e clique-o em seguida. 19. Adicionar os parâmetros IPSec, tipo de criptografia, informação do tipo do autenticação, e clique-os em seguida.

11 20. Configurar a rede do host interno. O clique adiciona a fim mover o endereço para o campo selecionado dos /Networks do host dentro deste indicador. Clique em seguida quando completo. 21. Configurar a rede do host exterior. O clique adiciona a fim mover o endereço para o campo selecionado dos /Networks do host dentro deste indicador. Clique em seguida quando completo.

12 22. Reveja o sumário quanto à precisão, a seguir clique-o em seguida. 23. Escolha a configuração > o VPN a fim verificar as configurações de túnel de Rede-para-Rede que o wizard VPN criou.

13 24. Crie uma lista de acessos a fim permitir que o tráfego OSPF vá através do VPN. Esta lista de acessos VPN é para as rotas de OSPF que são instruídas. Escolha a configuração > o VPN. 25. Escolha o IPsec > as regras do IPsec e o clique adiciona.

14 26. Adicionar os dados do vizinho de OSPF (endereço IP de Um ou Mais Servidores Cisco ICM NT) neste indicador e clique a APROVAÇÃO. Nota: Seja certo que você trabalha na interface externa. 27. Verifique que a informação está correta e clique aplicam-se.

15 28. Escolha a configuração > o NAT e clique regras da isenção da tradução a fim verificar as configurações do Network Address Translation (NAT) que o wizard VPN criou. 29. Porque este exemplo usa o NAT, desmarcar a caixa de verificação para o tráfego Enable com o Firewall sem tradução de endereços, a seguir clique-a adicionam. Esta etapa configura a regra NAT.

16 30. Configurar a rede da fonte. O clique consulta a fim definir os endereços do conjunto NAT para o interior. Selecione então a parte externa para o endereço Translate na relação e o clique controla associações. 31. Selecione a interface externa e o clique adiciona.

17 32. Porque a tradução de endereço de porta (PAT) usa o endereço IP de Um ou Mais Servidores Cisco ICM NT da relação neste exemplo, clique a tradução de endereço de porta (PAT) usando o endereço IP de Um ou Mais Servidores Cisco ICM NT da relação. 33. APROVAÇÃO do clique depois que você configura as associações da PANCADINHA.

18 34. No indicador da regra de tradução de endereço adicionar, selecione o conjunto de endereços que a rede da fonte configurada é se usar. 35. Clique em OK. Este indicador mostra a saída da configuração de NAT.

19 36. O clique aplica-se a fim salvar a configuração. 37. Escolha a configuração > o roteamento > o OSPF > Setup, vá aos exemplos aba do processo e a verificação permite este processo de OSPF a fim estabelecer o OSPF no PIX.

20 38. Escolha /Networks da área e o clique adiciona. 39. Inscreva o endereço IP de Um ou Mais Servidores Cisco ICM NT e a Máscara de rede de uma rede no campo do processo de OSPF e clique a APROVAÇÃO (o MD5 foi escolhido a mostrar como um elemento opcional, mas não é exigido).

21 40. Verifique que a informação está correta e clique editam. 41. Inscreva o endereço IP de Um ou Mais Servidores Cisco ICM NT e a Máscara de rede do segundo peer remoto da rede e da parte externa no campo do processo de OSPF e clique a APROVAÇÃO.

22 42. Verifique que a informação está correta e clique aplicam-se. 43. Escolha OSPF > relação > propriedades > fora e o clique edita.

23 44. Desmarcar a transmissão na interface externa. Nota: Este deve ser unicast. 45. Verifique a coluna da transmissão para ver se há a interface externa a fim verificar que a seleção é nenhuma e o clique se aplica.

24 46. Escolha OSPF > vizinho estático e o clique adiciona. 47. Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT ao campo vizinho e selecione a parte externa para a relação. Clique em OK. 48. Verifique que a informação está correta e clique aplicam-se. Esta ação termina a configuração.

25 Escolha o arquivo > configuração running da mostra na nova janela a fim ver a configuração de CLI. ASA Version 7.X no names interface GigabitEthernet0/0 nameif outside security-level 0 ip address Local ASA --- This line allows the unicast of OSPF over the IPsec tunnel. ospf network point-to-point non-broadcast --- This line is optional and not required for OSPF to work. --- Enable this option only if you want to enable MD5 digest for OSPF. ospf message-digest-key 10 md5 cisco interface GigabitEthernet0/1 nameif inside security-level 100 ip address interface GigabitEthernet0/2 shutdown no nameif no security-level no ip address interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address interface Management0/0 shutdown no nameif no security-level no ip address enable password cisco encrypted passwd cisco encrypted hostname Local ftp mode passive --- These access control list (ACL) entries define --- interesting traffic for IPsec encryption and allow --- the traffic to bypass NAT. Note that OSPF is permitted and only --- in the crypto ACL. same-security-traffic permit intra-interface access-list nonat extended permit ip access-list outside_cryptomap_10 extended permit ip access-list outside_cryptomap_10 extended permit ospf interface outside host

26 pager lines 24 mtu outside 1500 mtu inside 1500 no failover icmp permit any echo outside icmp permit any echo-reply outside icmp permit any echo inside icmp permit any echo-reply inside asdm image disk0:/asdm-502.bin no asdm history enable arp timeout global (outside) 10 interface --- Do not translate traffic with NAT. nat (inside) 0 access-list nonat nat (inside) This is OSPF. --- Note: You must define the outside network of the remote peer. router ospf 100 network area 0 network area 0 network area This is where OSPF is told where the --- PEER is located. neighbor interface outside log-adj-changes --- This is a host based static. This is not always --- necessary, but recommended to prevent recursive routing loops when --- OSPF comes up over the IPsec tunnel. route outside route outside timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute http server enable http inside no snmp-server location no snmp-server contact snmp-server enable traps snmp --- This is the IPsec and IKE/ISAKMP configuration. --- Make sure basic IPsec connectivity is present --- before you add in OSPF. crypto ipsec transform-set myset esp-3des esp-sha-hmac crypto map outside_map 10 match address outside_cryptomap_10 crypto map outside_map 10 set peer crypto map outside_map 10 set transform-set myset crypto map outside_map 10 set security-association lifetime seconds crypto map outside_map interface outside isakmp identity address isakmp enable outside isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash md5 isakmp policy 10 group 2 isakmp policy 10 lifetime isakmp policy authentication pre-share

27 isakmp policy encryption 3des isakmp policy hash sha isakmp policy group 2 isakmp policy lifetime telnet timeout 5 ssh timeout 5 console timeout 0 tunnel-group type ipsec-l2l tunnel-group ipsec-attributes pre-shared-key cisco class-map inspection_default match default-inspection-traffic policy-map asa_global_fw_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp service-policy asa_global_fw_policy global Cryptochecksum:3d5f16a67ec0fa20aa3882acaa348e28 : end ASA Version 7.X no names interface GigabitEthernet0/0 nameif outside security-level 0 ip address Telecontrole ASA --- This line allows the unicast of OSPF over to --- the IPsec tunnel. ospf network point-to-point non-broadcast --- This line is optional and not required for OSPF to work. --- Enable this option only if you want to enable MD5 digest for OSPF. ospf message-digest-key 10 md5 cisco interface GigabitEthernet0/1 nameif inside security-level 100 ip address interface GigabitEthernet0/2 shutdown no nameif no security-level no ip address interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address interface Management0/0 shutdown no nameif no security-level no ip address

28 enable password cisco encrypted passwd cisco encrypted hostname Remote ftp mode passive --- These ACL entries define interesting traffic for IPsec encryption and allow --- the traffic to bypass NAT. Note that OSPF is permitted and only in the crypto ACL. same-security-traffic permit intra-interface access-list nonat extended permit ip access-list crypto extended permit ip access-list crypto extended permit ospf interface outside host pager lines 24 mtu outside 1500 mtu inside 1500 no failover icmp permit any echo outside icmp permit any echo-reply outside icmp permit any echo inside icmp permit any echo-reply inside asdm image disk0:/asdm-502.bin no asdm history enable arp timeout global (outside) 20 interface --- Do not translate traffic with NAT. nat (inside) 0 access-list nonat nat (inside) This is OSPF. --- Note: You must define the remote peer's outside network. router ospf 100 network area 0 network area 0 network area This is where the OSPF is told where the PEER is located. neighbor interface outside log-adj-changes --- This is a host based static. This is not always necessary, but recommended to prevent recursive routing loops when OSPF comes up over the IPsec tunnel. route outside route outside timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute http server enable http inside no snmp-server location no snmp-server contact snmp-server enable traps snmp --- This is the IPsec configuration. Make sure basic IPsec connectivity is present before you add in OSPF. crypto ipsec transform-set myset esp-3des esp-sha-hmac crypto map vpn 10 match address crypto crypto map vpn 10 set peer crypto map vpn 10 set transform-set myset

29 crypto map vpn interface outside isakmp identity address isakmp enable outside isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash md5 isakmp policy 10 group 2 isakmp policy 10 lifetime isakmp policy authentication pre-share isakmp policy encryption 3des isakmp policy hash sha isakmp policy group 2 isakmp policy lifetime telnet timeout 5 ssh timeout 5 console timeout 0 tunnel-group type ipsec-l2l tunnel-group ipsec-attributes pre-shared-key cisco class-map inspection_default match default-inspection-traffic policy-map asa_global_fw_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp service-policy asa_global_fw_policy global Cryptochecksum:3d5f16a67ec0fa20aa3882acaa348e28 : end Permita o Reverse Route Injection (RRI) A fim injetar a informação das redes VPN remotas do LAN para LAN na rede running OSPF, consulte para verificar que distribuir está correta para a configuração de CLI e a rede de LAN RRI do ² LAN para a configuração ASDM. Verificar Use esta seção para confirmar se a sua configuração funciona corretamente. A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show. eliminação de erros do logging buffer Mostra o estabelecimento de conexões e a negação de conexões aos anfitriões que atravessam o PIX. As lojas de buffer de registro PIX a informação. Você pode ver a saída se você usa o comando show log. Você pode usar o ASDM a fim permitir o registo e ver os registros: mostre isakmp cripto sa Mostra a associação de segurança do Internet Security Association and Key Management Protocol (ISAKMP) (SA) que é construída entre pares. Local#show crypto isakmp sa Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)

30 Total IKE SA: 1 1 IKE Peer: Type : L2L Role : initiator Rekey : no State : MM_ACTIVE Remote#show crypto isa sa Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1 IKE Peer: Type : L2L Role : responder Rekey : no State : MM_ACTIVE mostre IPsec cripto sa Mostra cada fase 2 SA que é construída e a quantidade de tráfego que é enviada. Local#show crypto ipsec sa interface: outside Crypto map tag: vpn, local addr: local ident (addr/mask/prot/port): ( / /89/0) remote ident (addr/mask/prot/port): ( / /89/0) current_peer: #pkts encaps: 355, #pkts encrypt: 355, #pkts digest: 355 #pkts decaps: 355, #pkts decrypt: 355, #pkts verify: 355 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 355, #pkts comp failed: 0, #pkts decomp failed: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: , remote crypto endpt.: path mtu 1500, ipsec overhead 60, media mtu 1500 current outbound spi: inbound esp sas: spi: 0xAE9AB30C ( ) transform: esp-3des esp-sha-hmac in use settings ={L2L, Tunnel, } slot: 0, conn_id: 1, crypto-map: vpn sa timing: remaining key lifetime (kb/sec): ( /25399) IV size: 8 bytes replay detection support: Y outbound esp sas: spi: 0x ( ) transform: esp-3des esp-sha-hmac in use settings ={L2L, Tunnel, } slot: 0, conn_id: 1, crypto-map: vpn sa timing: remaining key lifetime (kb/sec): ( /25396) IV size: 8 bytes replay detection support: Y Remote#show crypto ipsec sa interface: outside Crypto map tag: vpn, local addr: local ident (addr/mask/prot/port): ( / /89/0) remote ident (addr/mask/prot/port): ( / /89/0) current_peer: #pkts encaps: 364, #pkts encrypt: 364, #pkts digest: 364 #pkts decaps: 364, #pkts decrypt: 364, #pkts verify: 364 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 364, #pkts comp failed: 0, #pkts decomp failed: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: , remote crypto endpt.: path mtu 1500, ipsec overhead 60, media mtu 1500 current outbound spi: AE9AB30C inbound esp sas: spi: 0x ( ) transform: esp-3des esp-sha-hmac in use settings ={L2L, Tunnel, } slot: 0, conn_id: 1, crypto-map: vpn sa timing: remaining key lifetime (kb/sec): ( /25301) IV size: 8 bytes replay detection support: Y

31 outbound esp sas: spi: 0xAE9AB30C ( ) transform: esp-3des esp-sha-hmac in use settings ={L2L, Tunnel, } slot: 0, conn_id: 1, crypto-map: vpn sa timing: remaining key lifetime (kb/sec): ( /25300) IV size: 8 bytes replay detection support: Y mostre o vizinho OSPF Os relacionamentos do vizinho de OSPF das mostras formaram. Local#show ospf neighbor Neighbor ID Pri State Dead Time Address Interface FULL/ - 0:00: outside FULL/DR 0:00: inside Remote#show ospf neighbor Neighbor ID Pri State Dead Time Address Interface FULL/ - 0:00: outside FULL/DR 0:00: inside a mostra debuga Indica o resultado do debug. Local(config)#show debug debug crypto ipsec enabled at level 1 debug crypto engine enabled at level 1 debug crypto isakmp enabled at level 1 May 25 12:49:21 [IKEv1 DEBUG]: Group = , IP = , IKE SA MM:ec9c234a rcv'd Terminate: state MM_ACTIVE flags 0x0021c042, ref2cnt 1, tuncnt 1 May 25 12:49:21 [IKEv1 DEBUG]: sending delete/delete with reason message May 25 12:49:21 [IKEv1 DEBUG]: Group = , IP = , constructing blank hash May 25 12:49:21 [IKEv1 DEBUG]: constructing IPSec delete payload May 25 12:49:21 [IKEv1 DEBUG]: Group = , IP = , constructing qm hash May 25 12:49:21 [IKEv1]: IP = , IKE DECODE SENDING Message (msgid=df6487d8) with payloads : HDR + HASH (8) + DELETE (12) + NONE (0) total length : 64 May 25 12:49:21 [IKEv1 DEBUG]: Group = , IP = , Active unit receives a delete event for remote peer May 25 12:49:21 [IKEv1 DEBUG]: Group = , IP = , IKE Deleting SA: Remote Proxy , Local Proxy May 25 12:49:21 [IKEv1 DEBUG]: Group = , IP = , IKE SA MM:ec9c234a terminating: flags 0x0121c002, refcnt 0, tuncnt 0 May 25 12:49:21 [IKEv1 DEBUG]: sending delete/delete with reason message May 25 12:49:21 [IKEv1 DEBUG]: Group = , IP = , constructing blank hash May 25 12:49:21 [IKEv1 DEBUG]: constructing IKE delete payload May 25 12:49:21 [IKEv1 DEBUG]: Group = , IP = , constructing qm hash May 25 12:49:21 [IKEv1]: IP = , IKE DECODE SENDING Message (msgid=ec167928) with payloads : HDR + HASH (8) + DELETE (12) + NONE (0) total length : 76 May 25 12:49:21 [IKEv1 DEBUG]: pitcher: received key delete msg, spi 0x504ea964 May 25 12:49:21 [IKEv1 DEBUG]: pitcher: received key delete msg, spi 0x79fbcb2d ASA5520-2(config)# May 25 12:49:39 [IKEv1 DEBUG]: IP = , processing SA payload May 25 12:49:39 [IKEv1 DEBUG]: IP = , Oakley proposal is acceptable May 25 12:49:39 [IKEv1 DEBUG]: IP = , processing VID payload May 25 12:49:39 [IKEv1 DEBUG]: IP = , Received Fragmentation VID May 25 12:49:39 [IKEv1 DEBUG]: IP = , IKE Peer included IKE fragmentation capability flags: Main Mode: True Aggressive Mode: True May 25 12:49:39 [IKEv1 DEBUG]: IP = , processing IKE SA May 25 12:49:39 [IKEv1 DEBUG]: IP = , IKE SA Proposal # 1, Transform # 1 acceptable Matches global IKE entry # 3 May 25 12:49:39 [IKEv1 DEBUG]: IP = , constructing ISA_SA for isakmp May 25 12:49:39 [IKEv1 DEBUG]: IP = , constructing Fragmentation VID + extended capabilities payload May 25 12:49:39 [IKEv1]: IP = , IKE DECODE SENDING Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + NONE (0) total length : 108 May 25 12:49:39 [IKEv1]: IP = , IKE DECODE RECEIVED Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 256 May 25 12:49:39 [IKEv1 DEBUG]: IP = , processing ke payload May 25 12:49:39 [IKEv1 DEBUG]: IP = , processing ISA_KE May 25 12:49:39 [IKEv1 DEBUG]: IP = , processing nonce payload May 25 12:49:39 [IKEv1 DEBUG]: IP = , processing VID payload May 25 12:49:39 [IKEv1 DEBUG]: IP = , Received Cisco Unity client VID May 25 12:49:39 [IKEv1 DEBUG]: IP = , processing VID payload

32 May 25 12:49:39 [IKEv1 DEBUG]: IP = , Received xauth V6 VID May 25 12:49:39 [IKEv1 DEBUG]: IP = , processing VID payload May 25 12:49:39 [IKEv1 DEBUG]: IP = , Processing VPN3000/ASA spoofing IOS Vendor ID payload (version: 1.0.0, capabilities: ) May 25 12:49:39 [IKEv1 DEBUG]: IP = , processing VID payload May 25 12:49:39 [IKEv1 DEBUG]: IP = , Received Altiga/Cisco VPN3000/Cisco ASA GW VID May 25 12:49:39 [IKEv1 DEBUG]: IP = , constructing ke payload May 25 12:49:39 [IKEv1 DEBUG]: IP = , constructing nonce payload May 25 12:49:39 [IKEv1 DEBUG]: IP = , constructing Cisco Unity VID payload May 25 12:49:39 [IKEv1 DEBUG]: IP = , constructing xauth V6 VID payload May 25 12:49:39 [IKEv1 DEBUG]: IP = , Send IOS VID May 25 12:49:39 [IKEv1 DEBUG]: IP = , Constructing ASA spoofing IOS Vendor ID payload (version: 1.0.0, capabilities: ) May 25 12:49:39 [IKEv1 DEBUG]: IP = , constructing VID payload May 25 12:49:39 [IKEv1 DEBUG]: IP = , Send Altiga/Cisco VPN3000/Cisco ASA GW VID May 25 12:49:39 [IKEv1]: IP = , Connection landed on tunnel_group May 25 12:49:39 [IKEv1 DEBUG]: Group = , IP = , Generating keys for Responder... May 25 12:49:39 [IKEv1]: IP = , IKE DECODE SENDING Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 256 May 25 12:49:39 [IKEv1]: IP = , IKE DECODE RECEIVED Message (msgid=0) with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (14) + VENDOR (13) + NONE (0) total length : 92 May 25 12:49:39 [IKEv1 DEBUG]: Group = , IP = , Processing ID May 25 12:49:39 [IKEv1 DECODE]: ID_IPV4_ADDR ID received May 25 12:49:39 [IKEv1 DEBUG]: Group = , IP = , processing hash May 25 12:49:39 [IKEv1 DEBUG]: Group = , IP = , computing hash May 25 12:49:39 [IKEv1 DEBUG]: IP = , Processing IOS keep alive payload: proposal=32767/32767 sec. May 25 12:49:39 [IKEv1 DEBUG]: Group = , IP = , processing VID payload May 25 12:49:39 [IKEv1 DEBUG]: Group = , IP = , Received DPD VID May 25 12:49:39 [IKEv1]: IP = , Connection landed on tunnel_group May 25 12:49:39 [IKEv1 DEBUG]: Group = , IP = , constructing ID May 25 12:49:39 [IKEv1 DEBUG]: Group = , IP = , construct hash payload May 25 12:49:39 [IKEv1 DEBUG]: Group = , IP = , computing hash May 25 12:49:39 [IKEv1 DEBUG]: IP = , Constructing IOS keep alive payload: proposal=32767/32767 sec. May 25 12:49:39 [IKEv1 DEBUG]: Group = , IP = , constructing dpd vid payload May 25 12:49:39 [IKEv1]: IP = , IKE DECODE SENDING Message (msgid=0) with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (14) + VENDOR (13) + NONE (0) total length : 92 May 25 12:49:39 [IKEv1]: Group = , IP = , PHASE 1 COMPLETED May 25 12:49:39 [IKEv1]: IP = , Keep-alive type for this connection: DPD May 25 12:49:39 [IKEv1 DEBUG]: Group = , IP = , Starting phase 1 rekey timer: (ms) May 25 12:49:39 [IKEv1 DECODE]: IP = , IKE Responder starting QM: msg id = 0529ac6b May 25 12:49:39 [IKEv1]: IP = , IKE DECODE RECEIVED Message (msgid=529ac6b) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NOTIFY (11) + NONE (0) total length : 184 May 25 12:49:39 [IKEv1 DEBUG]: Group = , IP = , processing hash May 25 12:49:39 [IKEv1 DEBUG]: Group = , IP = , processing SA payload May 25 12:49:39 [IKEv1 DEBUG]: Group = , IP = , processing nonce payload May 25 12:49:39 [IKEv1 DEBUG]: Group = , IP = , Processing ID May 25 12:49:39 [IKEv1 DECODE]: ID_IPV4_ADDR ID received May 25 12:49:39 [IKEv1]: Group = , IP = , Received remote Proxy Host data in ID Payload: Address , Protocol 89, Port 0 May 25 12:49:39 [IKEv1 DEBUG]: Group = , IP = , Processing ID May 25 12:49:39 [IKEv1 DECODE]: ID_IPV4_ADDR ID received

33 May 25 12:49:39 [IKEv1]: Group = , IP = , Received local Proxy Host data in ID Payload: Address , Protocol 89, Port 0 May 25 12:49:39 [IKEv1 DEBUG]: Group = , IP = , Processing Notify payload May 25 12:49:39 [IKEv1]: QM IsRekeyed old sa not found by addr May 25 12:49:39 [IKEv1]: Group = , IP = , Static Crypto Map check, checking map = vpn, seq = May 25 12:49:39 [IKEv1]: Group = , IP = , Static Crypto Map check, map vpn, seq = 10 is a successful match May 25 12:49:39 [IKEv1]: Group = , IP = , IKE Remote Peer configured for SA: vpn May 25 12:49:39 [IKEv1]: Group = , IP = , processing IPSEC SA May 25 12:49:39 [IKEv1 DEBUG]: Group = , IP = , IPSec SA Proposal # 1, Transform # 1 acceptable Matches global IPSec SA entry # 10 May 25 12:49:39 [IKEv1]: Group = , IP = , IKE: requesting SPI May 25 12:49:39 [IKEv1]: Received unexpected event EV_ACTIVATE_NEW_SA in state MM_ACTIVE May 25 12:49:40 [IKEv1 DEBUG]: IKE got SPI from key engine: SPI = 0xf629186e May 25 12:49:40 [IKEv1 DEBUG]: Group = , IP = , oakley constucting quick mode May 25 12:49:40 [IKEv1 DEBUG]: Group = , IP = , constructing blank hash May 25 12:49:40 [IKEv1 DEBUG]: Group = , IP = , constructing ISA_SA for ipsec May 25 12:49:40 [IKEv1 DEBUG]: Group = , IP = , constructing ipsec nonce payload May 25 12:49:40 [IKEv1 DEBUG]: Group = , IP = , constructing proxy ID May 25 12:49:40 [IKEv1 DEBUG]: Group = , IP = , Transmitting Proxy Id: Remote host: Protocol 89 Port 0 Local host: Protocol 89 Port 0 May 25 12:49:40 [IKEv1 DEBUG]: Group = , IP = , constructing qm hash May 25 12:49:40 [IKEv1 DECODE]: IKE Responder sending 2nd QM pkt: msg id = 0529ac6b May 25 12:49:40 [IKEv1]: IP = , IKE DECODE SENDING Message (msgid=529ac6b) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0) total length : 156 May 25 12:49:40 [IKEv1]: IP = , IKE DECODE RECEIVED Message (msgid=529ac6b) with payloads : HDR + HASH (8) + NONE (0) total length : 48 May 25 12:49:40 [IKEv1 DEBUG]: Group = , IP = , processing hash May 25 12:49:40 [IKEv1 DEBUG]: Group = , IP = , loading all IPSEC SAs May 25 12:49:40 [IKEv1 DEBUG]: Group = , IP = , Generating Quick Mode Key May 25 12:49:40 [IKEv1 DEBUG]: Group = , IP = , Generating Quick Mode Key May 25 12:49:40 [IKEv1]: Group = , IP = , Security negotiation complete for LAN-to-LAN Group ( ) Responder, Inbound SPI = 0xf629186e, Outbound SPI = 0x524e01e4 May 25 12:49:40 [IKEv1 DEBUG]: IKE got a KEY_ADD msg for SA: SPI = 0x524e01e4 May 25 12:49:40 [IKEv1 DEBUG]: pitcher: rcv KEY_UPDATE, spi 0xf629186e May 25 12:49:40 [IKEv1]: Group = , IP = , Starting P2 Rekey timer to expire in seconds May 25 12:49:40 [IKEv1]: Group = , IP = , PHASE 2 COMPLETED (msgid=0529ac6b) Verifique que a conexão de LAN para LAN passa o tráfego do roteamento verificando o Roteadores: show ip route - Exibe entradas de tabela de IP Routing. Left#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is to network O /24 is subnetted, 1 subnets [110/30] via , 00:59:37, Ethernet /32 is subnetted, 1 subnets

34 O [110/31] via , 00:59:37, Ethernet /24 is subnetted, 1 subnets O [110/30] via , 00:59:37, Ethernet /24 is subnetted, 1 subnets C is directly connected, Ethernet /24 is subnetted, 1 subnets C is directly connected, Loopback /24 is subnetted, 1 subnets O [110/20] via , 00:59:38, Ethernet0 S* /0 [1/0] via Left#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: Right#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is to network /24 is subnetted, 1 subnets C is directly connected, Ethernet /24 is subnetted, 1 subnets C is directly connected, Loopback /24 is subnetted, 1 subnets O [110/20] via , 01:01:45, Ethernet /24 is subnetted, 1 subnets O [110/30] via , 01:01:45, Ethernet /32 is subnetted, 1 subnets O [110/31] via , 01:01:45, Ethernet /24 is subnetted, 1 subnets O [110/30] via , 01:01:46, Ethernet0 S* /0 [1/0] via Veja os registros Right#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: Success rate is 100 percent (5/5), round-trip min/avg/max = 12/12/12 ms Termine estas etapas a fim ver os registros: 1. Escolha a configuração > as propriedades > instalação de registo > de registo, verifique Enable que registra, e o clique aplica-se.

35 2. Escolha a monitoração > registrando > buffer de registro > nível de registro, logging buffer seleto do menu suspenso, e opinião do clique. Está aqui um exemplo do buffer de registro:

36 A fim ver gráficos relacionados, escolha a monitoração > o VPN > os túneis de IPsec. Então, os túneis ativo do IPsec do movimento e os túneis ativo IKE aos gráficos selecionados, e escolhem gráficos da mostra. Troubleshooting Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

37 Informações Relacionadas Soluções de Troubleshooting Mais Comuns de VPN IPsec L2L e de Acesso Remoto Referências do comando Cisco Secure PIX Firewall Solicitações de Comentários (RFCs) Exemplos de Configuração e Notas Técnicas Cisco Systems Inc. Todos os direitos reservados. Data da Geração do PDF: 29 Julho