IOS VPN (router): voeg een nieuwe L2L-tunnel of externe toegang toe aan een bestaande L2L VPN
Inhoud
Inleiding
Dit document bevat de stappen die nodig zijn om een nieuwe L2L VPN-tunnel of een externe VPN-toegang aan een L2L VPN-configuratie toe te voegen die al in een IOS-router bestaat.
Voorwaarden
Vereisten
Zorg ervoor dat u de L2L IPSec VPN-tunnel correct configureert die momenteel operationeel is voordat u deze configuratie probeert.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
-
Twee IOS-routers waarop softwareversies 12.4 en 12.2 worden uitgevoerd
-
Eén Cisco adaptieve security applicatie (ASA) die softwareversie 8.0 uitvoert
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Conventies
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Netwerkdiagram
Het netwerk in dit document is als volgt opgebouwd:
Deze outputs zijn de huidige lopende configuraties van de HQ (HUB) router en de Branch Office 1 (BO1) ASA. In deze configuratie is er een IPSec L2L-tunnel geconfigureerd tussen HQ en BO1 ASA.
| Configuratie van huidige HQ (HUB) router |
|---|
HQ_HUB#show running-config Building configuration... Current configuration : 1680 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname HQ_HUB ! boot-start-marker boot-end-marker ! ! no aaa new-model ! resource policy ! !--- Output is suppressed. ! ip cef ! ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 crypto isakmp key cisco123 address 192.168.11.2 ! ! crypto ipsec transform-set newset esp-3des esp-md5-hmac ! crypto map map1 5 ipsec-isakmp set peer 192.168.11.2 set transform-set newset match address VPN_BO1 ! ! ! ! interface Ethernet0/0 ip address 10.10.10.1 255.255.255.0 ip nat inside interface Serial2/0 ip address 192.168.10.10 255.255.255.0 ip nat outside ip virtual-reassembly clock rate 64000 crypto map map1 ! interface Serial2/1 no ip address shutdown ! ip http server no ip http secure-server ! ip route 0.0.0.0 0.0.0.0 192.168.10.1 ! ip nat inside source route-map nonat interface Serial2/0 overload ! ip access-list extended NAT_Exempt deny ip 10.10.10.0 0.0.0.255 172.16.1.0 0.0.0.255 permit ip 10.10.10.0 0.0.0.255 any ip access-list extended VPN_BO1 permit ip 10.10.10.0 0.0.0.255 172.16.1.0 0.0.0.255 ! route-map nonat permit 10 match ip address NAT_Exempt ! ! control-plane ! line con 0 line aux 0 line vty 0 4 ! ! end HQ_HUB# |
| Configuratie BO1 ASA |
|---|
CiscoASA#show running-config : Saved : ASA Version 8.0(2) ! hostname CiscoASA enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0 nameif inside security-level 100 ip address 172.16.1.1 255.255.255.0 ! interface Ethernet1 nameif outside security-level 0 ip address 192.168.11.2 255.255.255.0 ! !--- Output is suppressed. ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive access-list 100 extended permit ip 172.16.1.0 255.255.255.0 10.10.10.0 255.255.255.0 access-list nonat extended permit ip 172.16.1.0 255.255.255.0 10.10.10.0 255.255.255.0 access-list ICMP extended permit icmp any any pager lines 24 mtu outside 1500 mtu inside 1500 no failover icmp unreachable rate-limit 1 burst-size 1 asdm image flash:/asdm-602.bin no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list nonat nat (inside) 1 10.10.10.0 255.255.255.0 access-group ICMP in interface outside route outside 0.0.0.0 0.0.0.0 192.168.11.1 1 snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set newset esp-3des esp-md5-hmac crypto map map1 5 match address 100 crypto map map1 5 set peer 192.168.10.10 crypto map map1 5 set transform-set newset crypto map map1 interface outside crypto isakmp enable outside crypto isakmp policy 1 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto isakmp policy 65535 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global tunnel-group 192.168.10.10 type ipsec-l2l tunnel-group 192.168.10.10 ipsec-attributes pre-shared-key * prompt hostname context Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e : end CiscoASA# |
Achtergrondinformatie
Momenteel is er een bestaande L2L-tunnel opgezet tussen het hoofdkantoor en het BO1-kantoor. Uw bedrijf heeft onlangs een nieuw filiaal geopend (BO2). Dit nieuwe kantoor vereist verbinding met lokale bronnen die zich in het hoofdkantoor bevinden. Daarnaast is er een extra vereiste om werknemers de mogelijkheid te bieden om thuis te werken en veilig toegang te krijgen tot resources die zich op afstand op het interne netwerk bevinden. In dit voorbeeld wordt een nieuwe VPN-tunnel geconfigureerd, evenals een VPN-server voor externe toegang die zich in het hoofdkantoor bevindt.
Voeg een extra L2L-tunnel toe aan de configuratie
Dit is het netwerkdiagram voor deze configuratie:
Stapsgewijze instructies
Deze sectie verschaft de vereiste procedures die op de HUB HQ router moeten worden uitgevoerd.
Voer de volgende stappen uit:
-
Maak deze nieuwe toegangslijst die gebruikt moet worden door de crypto-kaart om interessant verkeer te definiëren:
HQ_HUB(config)#ip access-list extended VPN_BO2 HQ_HUB(config-ext-nacl)#permit ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255 HQ_HUB(config-ext-nacl)#exit
Waarschuwing: om de communicatie te laten plaatsvinden, moet de andere kant van de tunnel het tegenovergestelde hebben van deze toegangscontrolelijst (ACL) voor dat specifieke netwerk. -
Voeg deze vermeldingen toe aan de nat-verklaring om de nating tussen deze netwerken vrij te stellen:
HQ_HUB(config)#ip access-list extended NAT_Exempt HQ_HUB(config-ext-nacl)#deny ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255 HQ_HUB(config-ext-nacl)#permit ip 10.10.10.0 0.0.0.255 any
Voeg deze ACL’s toe aan de bestaande routekaart non-at:
HQ_HUB(config)#route-map nonat permit 10 HQ_HUB(config-route-map)#match ip address NAT_Exempt HQ_HUB(config)#ip nat inside source route-map nonat interface Serial2/0 overload
Waarschuwing: om de communicatie te laten plaatsvinden, moet de andere kant van de tunnel het tegenovergestelde hebben van deze ACL-ingang voor dat specifieke netwerk. -
Specificeer het peer-adres in de configuratie van fase 1 zoals aangegeven:
HQ_HUB(config)#crypto isakmp key cisco123 address 192.168.12.2
Opmerking: de vooraf gedeelde sleutel moet exact overeenkomen aan beide zijden van de tunnel.
-
Maak de crypto-kaartconfiguratie voor de nieuwe VPN-tunnel. Gebruik dezelfde transformatieset die werd gebruikt in de eerste VPN-configuratie, aangezien alle fase 2-instellingen hetzelfde zijn.
HQ_HUB(config)#crypto map map1 10 ipsec-isakmp HQ_HUB(config-crypto-map)#set peer 192.168.12.2 HQ_HUB(config-crypto-map)#set transform-set newset HQ_HUB(config-crypto-map)#match address VPN_BO2
-
Nu u de nieuwe tunnel hebt geconfigureerd, moet u interessant verkeer door de tunnel sturen om het te kunnen aanspreken. Om dit uit te voeren, geef het uitgebreide ping bevel uit om een gastheer op het binnennetwerk van de verre tunnel te pingelen.
In dit voorbeeld, is een werkstation aan de andere kant van de tunnel met het adres 10.20.20.16 pinged. Dit brengt de tunnel omhoog tussen HQ en BO2. Er zijn twee tunnels verbonden met het hoofdkantoor. Als u geen toegang tot een systeem achter de tunnel hebt, raadpleeg dan Meest voorkomende L2L- en Remote Access IPSec VPN Probleemoplossing om een alternatieve oplossing te vinden met behulp van beheer-toegang.
Voorbeeldconfiguratie
| HUB_HQ - Toegevoegd een nieuwe L2L VPN-tunnelconfiguratie |
|---|
HQ_HUB#show running-config Building configuration... Current configuration : 2230 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname HQ_HUB ! boot-start-marker boot-end-marker ! ! no aaa new-model ! resource policy ! ip cef ! crypto isakmp policy 10 authentication pre-share encryption 3des group 2 crypto isakmp key cisco123 address 192.168.11.2 crypto isakmp key cisco123 address 192.168.12.2 ! ! crypto ipsec transform-set newset esp-3des esp-md5-hmac ! crypto map map1 5 ipsec-isakmp set peer 192.168.11.2 set transform-set newset match address VPN_BO1 crypto map map1 10 ipsec-isakmp set peer 192.168.12.2 set transform-set newset match address VPN_BO2 ! ! interface Ethernet0/0 ip address 10.10.10.1 255.255.255.0 ip nat inside ip virtual-reassembly ! interface Serial2/0 ip address 192.168.10.10 255.255.255.0 ip nat outside ip virtual-reassembly clock rate 64000 crypto map map1 ! ! ip http server no ip http secure-server ! ip route 0.0.0.0 0.0.0.0 192.168.10.1 ! ip nat inside source route-map nonat interface Serial2/0 overload ! ip access-list extended NAT_Exempt deny ip 10.10.10.0 0.0.0.255 172.16.1.0 0.0.0.255 deny ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255 permit ip 10.10.10.0 0.0.0.255 any ip access-list extended VPN_BO1 permit ip 10.10.10.0 0.0.0.255 172.16.1.0 0.0.0.255 ip access-list extended VPN_BO2 permit ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255 ! route-map nonat permit 10 match ip address NAT_Exempt ! ! control-plane ! ! ! line con 0 line aux 0 line vty 0 4 ! ! end HQ_HUB# |
| Configuratie BO2 L2L VPN-tunnel |
|---|
BO2#show running-config Building configuration... 3w3d: %SYS-5-CONFIG_I: Configured from console by console Current configuration : 1212 bytes ! version 12.1 no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname BO2 ! ! ! ! ! ! ip subnet-zero ! ! ! crypto isakmp policy 10 authentication pre-share encryption 3des group 2 crypto isakmp key cisco123 address 192.168.10.10 ! ! crypto ipsec transform-set newset esp-3des esp-md5-hmac ! crypto map map1 5 ipsec-isakmp set peer 192.168.10.10 set transform-set newset match address 100 ! ! ! ! interface Ethernet0 ip address 10.20.20.10 255.255.255.0 ip nat inside ! ! interface Ethernet1 ip address 192.168.12.2 255.255.255.0 ip nat outside crypto map map1 ! interface Serial0 no ip address no fair-queue ! interface Serial1 no ip address shutdown ! ip nat inside source route-map nonat interface Ethernet1 overload ip classless ip route 0.0.0.0 0.0.0.0 192.168.12.1 ip http server ! access-list 100 permit ip 10.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255 access-list 150 deny ip 10.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255 access-list 150 permit ip 10.20.20.0 0.0.0.255 any route-map nonat permit 10 match ip address 150 ! ! ! line con 0 line aux 0 line vty 0 4 login ! end BO2# |
Voeg een externe VPN-toegang aan de configuratie toe
Dit is het netwerkdiagram voor deze configuratie:
In dit voorbeeld wordt de functie gesplitste tunneling gebruikt. Deze eigenschap staat een ver-toegangsIPSec cliënt toe om pakketten over een IPSec tunnel in gecodeerde vorm voorwaardelijk te leiden, of aan een netwerkinterface in duidelijke tekstvorm. Als gesplitste tunneling is ingeschakeld, hoeven pakketten die niet bestemd zijn voor bestemmingen aan de andere kant van de IPSec-tunnel niet te worden versleuteld, over de tunnel worden verzonden, gedecrypteerd en vervolgens naar een eindbestemming worden gerouteerd. Dit concept past het beleid voor gesplitste tunneling op een gespecificeerd netwerk toe. De standaardinstelling is om al het verkeer te tunnelen. Specificeer een ACL waarin het voor internet bedoelde verkeer kan worden vermeld om een beleid voor gesplitste tunneling in te stellen.
Stapsgewijze instructies
Dit deel bevat de vereiste procedures om toegang op afstand mogelijk te maken en externe gebruikers toegang te verlenen tot alle sites.
Voer de volgende stappen uit:
-
Maak een IP-adrespool die gebruikt kan worden voor clients die verbinding maken via de VPN-tunnel. Maak ook een basisgebruiker om toegang tot VPN te krijgen zodra de configuratie is voltooid.
-
HQ_HUB(config)#ip local pool ippool 10.10.120.10 10.10.120.50
-
HQ_HUB(config)#username vpnuser password 0 vpnuser123
-
-
Ervaar dat specifiek verkeer geen natie heeft.
HQ_HUB(config)#ip access-list extended NAT_Exempt HQ_HUB(config-ext-nacl)#deny ip 10.10.10.0 0.0.0.255 10.10.120.0 0.0.0.255 HQ_HUB(config-ext-nacl)#deny ip 10.10.120.0 0.0.0.255 10.20.20.0 0.0.0.255 HQ_HUB(config-ext-nacl)#deny ip 10.10.120.0 0.0.0.255 172.16.1.0 0.0.0.255 HQ_HUB(config-ext-nacl)#permit ip host 10.10.10.0 any HQ_HUB(config-ext-nacl)#exit
Voeg deze ACL’s toe aan de bestaande routekaart non-at:
HQ_HUB(config)#route-map nonat permit 10 HQ_HUB(config-route-map)#match ip address NAT_Exempt HQ_HUB(config)#ip nat inside source route-map nonat interface Serial2/0 overload
Bericht dat de NAT communicatie tussen VPN-tunnels in dit voorbeeld is vrijgesteld.
-
Toestaan van communicatie tussen de bestaande L2L-tunnels en externe VPN-gebruikers.
HQ_HUB(config)#ip access-list extended VPN_BO1 HQ_HUB(config-ext-nacl)#permit ip 10.10.120.0 0.0.0.255 172.16.1.0 0.0.0.255 HQ_HUB(config-ext-nacl)#exit HQ_HUB(config)#ip access-list extended VPN_BO2 HQ_HUB(config-ext-nacl)#permit ip 10.10.120.0 0.0.0.255 10.20.20.0 0.0.0.255 HQ_HUB(config-ext-nacl)#exit
Dit geeft gebruikers van externe toegang de mogelijkheid om te communiceren met netwerken achter de gespecificeerde tunnels.
Waarschuwing: om de communicatie te laten plaatsvinden, moet de andere kant van de tunnel het tegenovergestelde hebben van deze ACL-ingang voor dat specifieke netwerk. -
Split-tunneling configureren
Om gesplitste tunneling voor de VPN-verbindingen mogelijk te maken, moet u een ACL op de router configureren. In dit voorbeeld wordt de toegangslijst split_tunnel opdracht geassocieerd met de groep voor split-tunneling doeleinden, en de tunnel wordt gevormd aan de 10.10.10.0 /24 en 10.20.20.0/24 en 172.16.1.0/24 netwerken. Verkeerstromen niet versleuteld naar apparaten niet in een gesplitste ACL-tunnel (bijvoorbeeld het internet).
HQ_HUB(config)#ip access-list extended split_tunnel HQ_HUB(config-ext-nacl)#permit ip 10.10.10.0 0.0.0.255 10.10.120.0 0.0.0.255 HQ_HUB(config-ext-nacl)#permit ip 10.20.20.0 0.0.0.255 10.10.120.0 0.0.0.255 HQ_HUB(config-ext-nacl)#permit ip 172.16.1.0 0.0.0.255 10.10.120.0 0.0.0.255 HQ_HUB(config-ext-nacl)#exit
-
Configureer lokale verificatie-, autorisatie- en clientconfiguratiegegevens, zoals wins, dns. interessante verkeersknooppunt en ip-pool, voor de VPN-clients.
HQ_HUB(config)#aaa new-model HQ_HUB(config)#aaa authentication login userauthen local HQ_HUB(config)#aaa authorization network groupauthor local HQ_HUB(config)#crypto isakmp client configuration group vpngroup HQ_HUB(config-isakmp-group)#key cisco123 HQ_HUB(config-isakmp-group)#dns 10.10.10.10 HQ_HUB(config-isakmp-group)#wins 10.10.10.20 HQ_HUB(config-isakmp-group)#domain cisco.com HQ_HUB(config-isakmp-group)#pool ippool HQ_HUB(config-isakmp-group)#acl split_tunnel HQ_HUB(config-isakmp-group)#exit
-
Configureer de dynamische kaart en cryto-kaartinformatie die vereist is voor het maken van de VPN-tunnel.
HQ_HUB(config)#crypto isakmp profile vpnclient HQ_HUB(config-isakmp-group)#match identity group vpngroup HQ_HUB(config-isakmp-group)#client authentication list userauthen HQ_HUB(config-isakmp-group)#isakmp authorization list groupauthor HQ_HUB(config-isakmp-group)#client configuration address respond HQ_HUB(config-isakmp-group)#exit HQ_HUB(config)#crypto dynamic-map dynmap 10 HQ_HUB(config-crypto-map)#set transform-set newset HQ_HUB(config-crypto-map)#set isakmp-profile vpnclient HQ_HUB(config-crypto-map)#reverse-route HQ_HUB(config-crypto-map)#exit HQ_HUB(config)#crypto map map1 65535 ipsec-isakmp dynamic dynmap HQ_HUB(config)#interface serial 2/0 HQ_HUB(config-if)#crypto map map1
Voorbeeldconfiguratie
| Voorbeeldconfiguratie 2 |
|---|
HQ_HUB#show running-config Building configuration... Current configuration : 3524 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname HQ_HUB ! boot-start-marker boot-end-marker ! ! aaa new-model ! ! aaa authentication login userauthen local aaa authorization network groupauthor local ! aaa session-id common ! resource policy ! ! ! ip cef ! ! !--- Output is suppressed ! username vpnuser password 0 vpnuser123 ! ! ! crypto isakmp policy 10 authentication pre-share encryption 3des group 2 crypto isakmp key cisco123 address 192.168.11.2 crypto isakmp key cisco123 address 192.168.12.2 ! crypto isakmp client configuration group vpngroup key cisco123 dns 10.10.10.10 wins 10.10.10.20 domain cisco.com pool ippool acl split_tunnel crypto isakmp profile vpnclient match identity group vpngroup client authentication list userauthen isakmp authorization list groupauthor client configuration address respond ! ! crypto ipsec transform-set newset esp-3des esp-md5-hmac crypto ipsec transform-set remote-set esp-3des esp-md5-hmac ! crypto dynamic-map dynmap 10 set transform-set remote-set set isakmp-profile vpnclient reverse-route ! ! crypto map map1 5 ipsec-isakmp set peer 192.168.11.2 set transform-set newset match address VPN_BO1 crypto map map1 10 ipsec-isakmp set peer 192.168.12.2 set transform-set newset match address VPN_BO2 crypto map map1 65535 ipsec-isakmp dynamic dynmap ! ! interface Ethernet0/0 ip address 10.10.10.1 255.255.255.0 ip nat inside ip virtual-reassembly ! interface Serial2/0 ip address 192.168.10.10 255.255.255.0 ip nat outside ip virtual-reassembly clock rate 64000 crypto map map1 ! ! ip local pool ippool 10.10.120.10 10.10.120.50 ip http server no ip http secure-server ! ip route 0.0.0.0 0.0.0.0 192.168.10.1 ! ip nat inside source route-map nonat interface Serial2/0 overload ! ip access-list extended NAT_Exempt deny ip 10.10.10.0 0.0.0.255 172.16.1.0 0.0.0.255 deny ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255 deny ip 10.10.10.0 0.0.0.255 10.10.120.0 0.0.0.255 deny ip 10.10.120.0 0.0.0.255 10.20.20.0 0.0.0.255 deny ip 10.10.120.0 0.0.0.255 172.16.1.0 0.0.0.255 permit ip host 10.10.10.0 any ip access-list extended VPN_BO1 permit ip 10.10.10.0 0.0.0.255 172.16.1.0 0.0.0.255 permit ip 10.10.120.0 0.0.0.255 172.16.1.0 0.0.0.255 ip access-list extended VPN_BO2 permit ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255 permit ip 10.10.120.0 0.0.0.255 10.20.20.0 0.0.0.255 ip access-list extended split_tunnel permit ip 10.10.10.0 0.0.0.255 10.10.120.0 0.0.0.255 permit ip 10.20.20.0 0.0.0.255 10.10.120.0 0.0.0.255 permit ip 172.16.1.0 0.0.0.255 10.10.120.0 0.0.0.255 ! route-map nonat permit 10 match ip address NAT_Exempt ! ! control-plane ! line con 0 line aux 0 line vty 0 4 ! ! end HQ_HUB# |
Verifiëren
Gebruik deze sectie om te controleren of uw configuratie goed werkt.
De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.
-
ping—Met deze opdracht kunt u de L2L VPN-tunnel openen zoals aangegeven op de afbeelding.
Uitgebreide ping HQ_HUB#ping !--- In order to make the L2L VPN tunnel with BO1 !--- to be established. Protocol [ip]: Target IP address: 172.16.1.2 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 10.10.10.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.1.2, timeout is 2 seconds: Packet sent with a source address of 10.10.10.1 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 132/160/172 ms HQ_HUB#ping !--- In order to make the L2L VPN tunnel with BO2 !--- to be established. Protocol [ip]: Target IP address: 10.20.20.10 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 10.10.10.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.20.20.10, timeout is 2 seconds: Packet sent with a source address of 10.10.10.1 ....! Success rate is 20 percent (1/5), round-trip min/avg/max = 64/64/64 ms
show crypto isakmp sa HQ_HUB#show crypto isakmp sa dst src state conn-id slot status 192.168.12.2 192.168.10.10 QM_IDLE 2 0 ACTIVE 192.168.11.2 192.168.10.10 QM_IDLE 1 0 ACTIVE
crypto ipsec tonen HQ_HUB#show crypto ipsec sa interface: Serial2/0 Crypto map tag: map1, local addr 192.168.10.10 protected vrf: (none) local ident (addr/mask/prot/port): (10.10.120.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0) current_peer 192.168.11.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.11.22 path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0 current outbound spi: 0x0(0) inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.12.2 path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0 current outbound spi: 0x0(0) inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: protected vrf: (none) local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0) current_peer 192.168.12.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 1, #pkts encrypt: 1, #pkts digest: 1 #pkts decaps: 1, #pkts decrypt: 1, #pkts verify: 1 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 4, #recv errors 0 local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.12.2 path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0 current outbound spi: 0xF1328(987944) inbound esp sas: spi: 0xAD07C262(2902966882) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2004, flow_id: SW:4, crypto map: map1 sa timing: remaining key lifetime (k/sec): (4601612/3292) IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0xF1328(987944) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2003, flow_id: SW:3, crypto map: map1 sa timing: remaining key lifetime (k/sec): (4601612/3291) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas: protected vrf: (none) local ident (addr/mask/prot/port): (10.10.120.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0) current_peer 192.168.12.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.12.2 path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0 current outbound spi: 0x0(0) inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: protected vrf: (none) local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0) current_peer 192.168.11.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4 #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 11, #recv errors 0 local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.11.2 path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0 current outbound spi: 0x978B3F93(2542485395) inbound esp sas: spi: 0x2884F32(42487602) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2002, flow_id: SW:2, crypto map: map1 sa timing: remaining key lifetime (k/sec): (4421529/3261) IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x978B3F93(2542485395) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2001, flow_id: SW:1, crypto map: map1 sa timing: remaining key lifetime (k/sec): (4421529/3261) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas: local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.12.2 path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0 current outbound spi: 0x0(0) inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: protected vrf: (none) local ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0) current_peer 192.168.12.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.12.2 path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0 current outbound spi: 0x0(0) inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: protected vrf: (none) local ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0) current_peer 192.168.11.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.11.2 path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0 current outbound spi: 0x0(0) inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: local crypto endpt.: 192.168.10.10, remote crypto endpt.: 192.168.12.2 path mtu 1500, ip mtu 1500, ip mtu idb Serial2/0 current outbound spi: 0x0(0) inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: HQ_HUB#
Problemen oplossen
Raadpleeg deze documenten voor informatie die u kunt gebruiken om problemen met uw configuratie op te lossen:
-
Meest gebruikelijke oplossingen voor probleemoplossing in L2L en IPSec VPN met externe toegang
-
IP-beveiligingsprobleemoplossing - Begrijpen en gebruiken van debug-opdrachten
Tip: Wanneer u veiligheidsassociaties opheldert en het lost geen IPsec VPN probleem op, verwijder en reapplication dan de relevante crypto kaart om een grote verscheidenheid aan problemen op te lossen.
Waarschuwing: Als u een cryptokaart verwijdert van een interface, worden alle IPSec-tunnels die aan die cryptokaart zijn gekoppeld, uitgeschakeld. Volg deze stappen voorzichtig en overweeg het wijzigingsbeheerbeleid van uw organisatie voordat u verder gaat.
Voorbeeld
HQ_HUB(config)#interface s2/0 HQ_HUB(config-if)#no crypto map map1 *Sep 13 13:36:19.449: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is OFF HQ_HUB(config-if)#crypto map map1 *Sep 13 13:36:25.557: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
14-Jul-2008 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)