De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft hoe u een site-to-site (LAN-to-LAN) IKEv1-tunnel via de CLI kunt configureren tussen een Cisco ASA en een router waarop Cisco IOS®-software wordt uitgevoerd.
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
In deze sectie wordt beschreven hoe de ASA en Cisco IOS router CLI-configuraties moeten worden voltooid.
Voor de informatie in dit document wordt gebruik gemaakt van deze netwerkinstelling:
Als de ASA interfaces niet geconfigureerd zijn, zorg er dan voor dat u ten minste de IP-adressen, interfacenamen en de beveiligingsniveaus configureert:
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 172.16.1.1 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
Opmerking: Zorg ervoor dat er connectiviteit is met zowel de interne als externe netwerken, met name met de externe peer die wordt gebruikt om een site-to-site VPN-tunnel te maken. U kunt gebruiken pingelt om basisconnectiviteit te verifiëren.
Om het beleid van Internet Security Association en Key Management Protocol (ISAKMP) voor de verbindingen met IPSec Internet Key Exchange versie 1 (IKEv1) te configureren, voert u het volgende in: crypto ikev1 policy
opdracht:
crypto ikev1 policy 10
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400
Opmerking: er bestaat een IKEv1-beleidsovereenkomst wanneer beide beleidsregels van de twee peers dezelfde authenticatie-, encryptie-, hash- en Diffie-Hellman-parameterwaarden bevatten. Voor IKEv1 moet het beleid van de externe peer ook een levensduur specificeren die kleiner is dan of gelijk is aan de levensduur in het beleid dat de initiator verzendt. Als de levensduur niet identiek is, gebruikt de ASA de kortere levensduur.
N.B.: Als u geen waarde opgeeft voor een bepaalde beleidsparameter, wordt de standaardwaarde toegepast.
U moet IKEv1 inschakelen op de interface die de VPN-tunnel beëindigt. Meestal is dit de externe (of openbare) interface. Als u IKEv1 wilt inschakelen, voert u de crypto ikev1 enable
opdracht in globale configuratiemodus:
crypto ikev1 enable outside
Voor een LAN-to-LAN-tunnel is het type verbindingsprofiel ipsec-l2l
. Om de IKEv1 preshared sleutel te configureren, voert u de tunnel-group ipsec-attributes
configuratiemodus:
tunnel-group 172.17.1.1 type ipsec-l2l
tunnel-group 172.17.1.1 ipsec-attributes
ikev1 pre-shared-key cisco123
ASA gebruikt ACL’s (Access Control Lists) om het verkeer dat met IPSec-encryptie moet worden beveiligd, te onderscheiden van het verkeer dat geen bescherming nodig heeft. Het beschermt de uitgaande pakketten die overeenkomen met een licentie Application Control Engine (ACE) en zorgt ervoor dat de inkomende pakketten die overeenkomen met een licentie ACE bescherming hebben.
object-group network local-network
network-object 10.10.10.0 255.255.255.0
object-group network remote-network
network-object 10.20.10.0 255.255.255.0
access-list asa-router-vpn extended permit ip object-group local-network
object-group remote-network
N.B.: Een ACL voor VPN-verkeer gebruikt de IP-adressen van bron en bestemming na netwerkadresomzetting (NAT).
Opmerking: er moet een ACL voor VPN-verkeer op beide VPN-peers worden gespiegeld.
Opmerking: Als er een noodzaak is om een nieuw subnetnummer toe te voegen aan het beveiligde verkeer, voeg dan gewoon een subnetnummer/host toe aan de betreffende objectgroep en voltooi een spiegelwijziging op de externe VPN-peer.
Opmerking: de configuratie die in deze sectie wordt beschreven, is optioneel.
Typisch, moet er geen NAT zijn die op het VPN-verkeer wordt uitgevoerd. Om dat verkeer vrij te stellen, moet u een NAT-regel voor identiteit maken. De identiteitsNAT-regel vertaalt eenvoudig een adres naar hetzelfde adres.
nat (inside,outside) source static local-network local-network destination static
remote-network remote-network no-proxy-arp route-lookup
Een IKEv1-transformatieset is een combinatie van beveiligingsprotocollen en algoritmen die definiëren hoe de ASA gegevens beschermt. Tijdens onderhandelingen met IPSec Security Association (SA) moeten de peers een transformatieset of voorstel identificeren die voor beide peers hetzelfde is. ASA past dan de aangepaste transformatieset of het voorstel toe om een SA te creëren die gegevensstromen in de toegangslijst voor die cryptokaart beschermt.
Typ de volgende informatie om de IKEv1-transformatieset te configureren: crypto ipsec ikev1 transform-set
opdracht:
crypto ipsec ikev1 transform-set ESP-AES-SHA esp-aes esp-sha-hmac
Een crypto-kaart definieert een IPSec-beleid waarover in IPSec SA moet worden onderhandeld, en omvat:
Hierna volgt een voorbeeld:
crypto map outside_map 10 match address asa-router-vpn
crypto map outside_map 10 set peer 172.17.1.1
crypto map outside_map 10 set ikev1 transform-set ESP-AES-SHA
U kunt dan de crypto kaart op de interface toepassen:
crypto map outside_map interface outside
Hier is de definitieve configuratie van de ASA:
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 172.16.1.1 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!
object-group network local-network
network-object 10.10.10.0 255.255.255.0
object-group network remote-network
network-object 10.20.10.0 255.255.255.0
!
access-list asa-router-vpn extended permit ip object-group local-network
object-group remote-network
!
nat (inside,outside) source static local-network local-network destination
static remote-network remote-network no-proxy-arp route-lookup
!
crypto ipsec ikev1 transform-set ESP-AES-SHA esp-aes esp-sha-hmac
!
crypto map outside_map 10 match address asa-router-vpn
crypto map outside_map 10 set peer 172.17.1.1
crypto map outside_map 10 set ikev1 transform-set ESP-AES-SHA
crypto map outside_map interface outside
Als de Cisco IOS-routerinterfaces nog niet zijn geconfigureerd, moeten ten minste de LAN- en WAN-interfaces worden geconfigureerd. Hierna volgt een voorbeeld:
interface GigabitEthernet0/0
ip address 172.17.1.1 255.255.255.0
no shutdown
!
interface GigabitEthernet0/1
ip address 10.20.10.1 255.255.255.0
no shutdown
Zorg ervoor dat er connectiviteit is met zowel de interne als externe netwerken, vooral met de externe peer die wordt gebruikt om een site-to-site VPN-tunnel te maken. U kunt gebruiken pingelt om basisconnectiviteit te verifiëren.
Om het ISAKMP-beleid voor de IKEv1-verbindingen te configureren, voert u het volgende in: crypto isakmp policy
opdracht in globale configuratiemodus. Hierna volgt een voorbeeld:
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
Opmerking: u kunt meerdere IKE-beleidsregels configureren op elke peer die deelneemt aan IPSec. Wanneer de IKE-onderhandeling begint, probeert deze een gemeenschappelijk beleid te vinden dat op beide peers is geconfigureerd, en begint de onderhandeling met de hoogste prioriteit die op de externe peer is gespecificeerd.
Om een vooraf gedeelde verificatiesleutel te configureren, voert u de crypto isakmp key
opdracht in globale configuratiemodus:
crypto isakmp key cisco123 address 172.16.1.1
Gebruik de uitgebreide of benoemde toegangslijst om het verkeer op te geven dat door codering moet worden beveiligd. Hierna volgt een voorbeeld:
access-list 110 remark Interesting traffic access-list
access-list 110 permit ip 10.20.10.0 0.0.0.255 10.10.10.0 0.0.0.255
N.B.: Een ACL voor VPN-verkeer gebruikt de IP-adressen van bron en bestemming na NAT.
Opmerking: er moet een ACL voor VPN-verkeer op beide VPN-peers worden gespiegeld.
Opmerking: de configuratie die in deze sectie wordt beschreven, is optioneel.
Typisch, moet er geen NAT zijn die op het VPN-verkeer wordt uitgevoerd. Als de NAT-overbelasting wordt gebruikt, moet een routekaart worden gebruikt om het VPN-verkeer dat van belang is, van vertaling vrij te stellen. Bericht dat in de toegang-lijst die in de route-kaart wordt gebruikt, het verkeer van VPN van belang moet worden ontkend.
access-list 111 remark NAT exemption access-list
access-list 111 deny ip 10.20.10.0 0.0.0.255 10.10.10.0 0.0.0.255
access-list 111 permit ip 10.20.10.0 0.0.0.255 any
route-map nonat permit 10
match ip address 111
ip nat inside source route-map nonat interface GigabitEthernet0/0 overload
Voer de volgende handelingen in om een IPSec-transformatieset (een aanvaardbare combinatie van beveiligingsprotocollen en -algoritmen) te definiëren: crypto ipsec transform-set
opdracht in globale configuratiemodus. Hierna volgt een voorbeeld:
crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha-hmac
mode tunnel
Om een crypto kaartingang te creëren of te wijzigen en de crypto kaartconfiguratiewijze in te gaan, ga het globale configuratiebevel van de kaart crypto in. Om de crypto-kaartvermelding volledig te maken, zijn er bepaalde aspecten die op zijn minst moeten worden gedefinieerd:
set peer
uit.set transform-set
uit.match address
uit.Hierna volgt een voorbeeld:
crypto map outside_map 10 ipsec-isakmp
set peer 172.16.1.1
set transform-set ESP-AES-SHA
match address 110
De laatste stap is om de eerder gedefinieerde crypto map toe te passen die is ingesteld op een interface. Om dit toe te passen, voert u de crypto map
opdracht voor interfaceconfiguratie:
interface GigabitEthernet0/0
crypto map outside_map
Hier is de definitieve CLI-configuratie van Cisco IOS-router:
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key cisco123 address 172.16.1.1
!
crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha-hmac
mode tunnel
!
crypto map outside_map 10 ipsec-isakmp
set peer 172.16.1.1
set transform-set ESP-AES-SHA
match address 110
!
interface GigabitEthernet0/0
ip address 172.17.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
crypto map outside_map
!
interface GigabitEthernet0/1
ip address 10.20.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
ip nat inside source route-map nonat interface GigabitEthernet0/0 overload
!
route-map nonat permit 10
match ip address 111
!
access-list 110 remark Interesting traffic access-list
access-list 110 permit ip 10.20.10.0 0.0.0.255 10.10.10.0 0.0.0.255
access-list 111 remark NAT exemption access-list
access-list 111 deny ip 10.20.10.0 0.0.0.255 10.10.10.0 0.0.0.255
access-list 111 permit ip 10.20.10.0 0.0.0.255 any
Alvorens u verifieert of de tunnel omhoog is en dat het het verkeer overgaat, moet u ervoor zorgen dat het verkeer van belang naar of ASA of de Cisco IOS router wordt verzonden.
Opmerking: op de ASA kan het pakkettracer-gereedschap dat overeenkomt met het verkeer van belang worden gebruikt om de IPSec-tunnel te openen (zoals packet-tracer input inside tcp 10.10.10.10 12345 10.20.10.10 80 detailed
bijvoorbeeld).
Om te verifiëren of IKEv1 Fase 1 op ASA is, ga de show crypto isakmp als bevel in. De verwachte output ziet de MM_ACTIVE
toestand:
ciscoasa# show crypto isakmp sa
IKEv1 SAs:
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 172.17.1.1
Type : L2L Role : responder
Rekey : no State : MM_ACTIVE
There are no IKEv2 SAs
ciscoasa#
Om te controleren of IKEv1 fase 1 op Cisco IOS is, voert u de show crypto isakmp sa
uit. De verwachte output ziet de ACTIVE
toestand:
Router#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
172.16.1.1 172.17.1.1 QM_IDLE 1005 ACTIVE
IPv6 Crypto ISAKMP SA
Router#
Om te verifiëren of IKEv1 fase 2 op de ASA is gestart, voert u de show crypto ipsec sa
uit. De verwachte output moet zowel de inkomende als uitgaande Security Parameter Index (SPI) zien. Als het verkeer door de tunnel gaat, moet u de toename van de tellers van encaps/decaps zien.
Opmerking: voor elke ACL-ingang wordt een afzonderlijke inkomende/uitgaande SA gemaakt, wat kan resulteren in een lange show crypto ipsec sa
opdrachtoutput (afhankelijk van het aantal ACE-vermeldingen in de crypto ACL).
Hierna volgt een voorbeeld:
ciscoasa# show crypto ipsec sa peer 172.17.1.1
peer address: 172.17.1.1
Crypto map tag: outside_map, seq num: 10, local addr: 172.16.1.1
access-list asa-router-vpn extended permit ip 10.10.10.0 255.255.255.0
10.20.10.0 255.255.255.0
local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.20.10.0/255.255.255.0/0/0)
current_peer: 172.17.1.1
#pkts encaps: 1005, #pkts encrypt: 1005, #pkts digest: 1005
#pkts decaps: 1014, #pkts decrypt: 1014, #pkts verify: 1014
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 1005, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 172.16.1.1/0, remote crypto endpt.: 172.17.1.1/0
path mtu 1500, ipsec overhead 74(44), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: 8A9FE619
current inbound spi : D8639BD0
inbound esp sas:
spi: 0xD8639BD0 (3630406608)
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, IKEv1, }
slot: 0, conn_id: 8192, crypto-map: outside_map
sa timing: remaining key lifetime (kB/sec): (3914900/3519)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0x8A9FE619 (2325734937)
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, IKEv1, }
slot: 0, conn_id: 8192, crypto-map: outside_map
sa timing: remaining key lifetime (kB/sec): (3914901/3519)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
ciscoasa#
Om te verifiëren of IKEv1 Phase 2 op Cisco IOS actief is, voert u de show crypto ipsec sa
uit. De verwachte output moet zowel de inkomende als uitgaande SPI zien. Als het verkeer door de tunnel gaat, moet u de toename van de tellers van encaps/decaps zien.
Hierna volgt een voorbeeld:
Router#show crypto ipsec sa peer 172.16.1.1
interface: GigabitEthernet0/0
Crypto map tag: outside_map, local addr 172.17.1.1
protected vrf: (none)
local ident (addr/mask/prot/port): (10.20.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
current_peer 172.16.1.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 2024, #pkts encrypt: 2024, #pkts digest: 2024
#pkts decaps: 2015, #pkts decrypt: 2015, #pkts verify: 2015
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 26, #recv errors 0
local crypto endpt.: 172.17.1.1, remote crypto endpt.: 172.16.1.1
path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0
current outbound spi: 0xD8639BD0(3630406608)
PFS (Y/N): N, DH group: none
inbound esp sas:
spi: 0x8A9FE619(2325734937)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2003, flow_id: Onboard VPN:3, sibling_flags 80000046,
crypto map: outside_map
sa timing: remaining key lifetime (k/sec): (4449870/3455)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xD8639BD0(3630406608)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2004, flow_id: Onboard VPN:4, sibling_flags 80000046,
crypto map: outside_map
sa timing: remaining key lifetime (k/sec): (4449868/3455)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
Router#
In deze sectie worden de opdrachten beschreven die u op de ASA of Cisco IOS kunt gebruiken om de details voor zowel fase 1 als 2 te verifiëren.
Voer het show vpn-sessiondb
opdracht op de ASA ter verificatie:
ciscoasa# show vpn-sessiondb detail l2l filter ipaddress 172.17.1.1
Session Type: LAN-to-LAN Detailed
Connection : 172.17.1.1
Index : 2 IP Addr : 172.17.1.1
Protocol : IKEv1 IPsec
Encryption : IKEv1: (1)AES128 IPsec: (1)AES128
Hashing : IKEv1: (1)SHA1 IPsec: (1)SHA1
Bytes Tx : 100500 Bytes Rx : 101400
Login Time : 18:06:02 UTC Wed Jul 22 2015
Duration : 0h:05m:07s
IKEv1 Tunnels: 1
IPsec Tunnels: 1
IKEv1:
Tunnel ID : 2.1
UDP Src Port : 500 UDP Dst Port : 500
IKE Neg Mode : Main Auth Mode : preSharedKeys
Encryption : AES128 Hashing : SHA1
Rekey Int (T): 86400 Seconds Rekey Left(T): 86093 Seconds
D/H Group : 2
Filter Name :
IPsec:
Tunnel ID : 2.2
Local Addr : 10.10.10.0/255.255.255.0/0/0
Remote Addr : 10.20.10.0/255.255.255.0/0/0
Encryption : AES128 Hashing : SHA1
Encapsulation: Tunnel
Rekey Int (T): 3600 Seconds Rekey Left(T): 3293 Seconds
Rekey Int (D): 4608000 K-Bytes Rekey Left(D): 4607901 K-Bytes
Idle Time Out: 30 Minutes Idle TO Left : 26 Minutes
Bytes Tx : 100500 Bytes Rx : 101400
Pkts Tx : 1005 Pkts Rx : 1014
NAC:
Reval Int (T): 0 Seconds Reval Left(T): 0 Seconds
SQ Int (T) : 0 Seconds EoU Age(T) : 309 Seconds
Hold Left (T): 0 Seconds Posture Token:
Redirect URL :
ciscoasa#
Voer het show crypto session
opdracht op Cisco IOS ter verificatie:
Router#show crypto session remote 172.16.1.1 detail
Crypto session current status
Code: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation
X - IKE Extended Authentication, F - IKE Fragmentation
Interface: GigabitEthernet0/0
Uptime: 00:03:36
Session status: UP-ACTIVE
Peer: 172.16.1.1 port 500 fvrf: (none) ivrf: (none)
Phase1_id: 172.16.1.1
Desc: (none)
IKE SA: local 172.17.1.1/500 remote 172.16.1.1/500 Active
Capabilities:(none) connid:1005 lifetime:23:56:23
IPSEC FLOW: permit ip 10.20.10.0/255.255.255.0 10.10.10.0/255.255.255.0
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 2015 drop 0 life (KB/Sec) 4449870/3383
Outbound: #pkts enc'ed 2024 drop 26 life (KB/Sec) 4449868/3383
Router#
Deze sectie verschaft informatie die u kunt gebruiken om problemen met uw configuratie op te lossen.
N.B.: Raadpleeg de belangrijke informatie over debug-opdrachten en probleemoplossing voor IP-beveiliging - Begrip en gebruik van debug-opdrachten voor Cisco-documenten voordat u deze gebruikt debug
opdrachten.
U kunt het IPSec LAN-to-LAN-gereedschap gebruiken om automatisch te controleren of de IPSec LAN-to-LAN-configuratie tussen de ASA en Cisco IOS geldig is. Het gereedschap is zo ontworpen dat het een show tech
of show running-config
opdracht van een ASA- of Cisco IOS-router. Het onderzoekt de configuratie en probeert te detecteren of een op crypto map gebaseerde LAN-to-LAN IPSec-tunnel is geconfigureerd. Indien geconfigureerd voert het een multi-point controle van de configuratie uit en markeert alle configuratiefouten en instellingen voor de tunnel die worden besproken.
Om problemen op te lossen met IPSec IKEv1-tunnelonderhandeling op een ASA-firewall, kunt u deze gebruiken debug
opdrachten:
debug crypto ipsec 127
debug crypto isakmp 127
debug ike-common 10
Opmerking: als het aantal VPN-tunnels op de ASA significant is, wordt de debug crypto condition peer A.B.C.D
Het bevel moet worden gebruikt alvorens u de debugs toelaat om te beperken zuivert output om slechts de gespecificeerde peer te omvatten.
Om problemen op te lossen met IPSec IKEv1-tunnelonderhandeling op een Cisco IOS-router, kunt u deze debug-opdrachten gebruiken:
debug crypto ipsec
debug crypto isakmp
N.B.: Als het aantal VPN-tunnels op Cisco IOS significant is, wordt het debug crypto condition peer ipv4 A.B.C.D
moet worden gebruikt voordat u de debugs activeert om de debug-uitgangen te beperken zodat alleen de gespecificeerde peer wordt opgenomen.
Tip: Raadpleeg het meest gebruikelijke Cisco-document voor L2L en externe toegang tot IPSec VPN-oplossingen voor probleemoplossing voor een site-to-site VPN.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
17-Feb-2023 |
Eerste vrijgave |