passant par le Tunnel IPSec PIX ASA 7.x - Interface DMZ faisant partie du trafic passant par le Tunnel IPSec ccnp_cch

Sommaire • Rappel • Configuration • Vérification • Introduction - Prérequis - Composants utilisés • Rappel • Configuration - Schéma du réseau - Configurations • Vérification • Résolution de problèmes - Effacement des associations de sécurité (SA) ccnp_cch

Introduction Rappel ccnp_cch Cette configuration permet à deux PIX Cisco avec la version logicielle PIX 7.x de former un tunnel VPN unique depuis l'interface interne et l'interface DMZ (Demilitarized Zone) d'un PIX vers l'autre PIX à travers Internet ou tout autre réseau public qui utilise IPSec. IPSec est une combinaison de standards ouverts qui fournissent confidentialité des données, intégrité des données et authentification de l'origine des données entre deux extrémités IPSec. Prérequis Assurez-vous d'avoir les prérequis avant de tenter cette configuration: ● Outils de base pour IPSec et VPN ● Connaissance de la configuration d'IPSec et d'ISAKMP Composants utilisés Les informations présentées dans ce document sont basées sur les pare-feux Cisco Secure PIX 515E avec PIX Security Appliance version 7.2(1) possédant des interfaces DMZ. Rappel La négociation IPSec peut être divisée en cinq étapes et comprend deux phases IKE (Internet Key Exchange). 1. Un tunnel IPSec est initié par du trafic particulier. Ce trafic est considéré comme particulier ou intéressant quand il passe entre les extrémités IPSec. 2. Dans la phase 1 IKE, les extrémités IPSec négocient la politique IKE Security Asso- ciation établie. Une fois que les extrémités sont authentifiées, un tunnel sécurisé est crée en utilisant ISAKMP (Internet Security Association and Key Management). 3. Dans IKE Phase 2, les extrémités IPSec utilisent le tunnel authentifié et sécurisé pour négocier les paramètres des SA IPSec. La négociation de la politique partagée détermine comment le tunnel IPSec est établi. 4. Le tunnel IPSec est crée et les données sont transférées entre les extrémités IPSec sur la base des paramètres IPSec configurés dans les "transform set" IPSec. 5. Le tunnel IPSec est fermé quand les SAs IPSec sont effacées ou lorsque leur durée de vie expire. Note: La négociation IPSec échoue entre les deux PIX si les Sas des deux phases IKE ne correspondent pas entre les extrémités. ccnp_cch

Configuration ccnp_cch Dans cette section sont présentées les informations nécessaires à la configuration du tunnel IPSec entre les interfaces interne et DMZ d'un PIX avec un autre PIX. Cette configuration suppose que la configuration du routage de base est déjà faite et que les équipements sont accessibles de bout en out. Dans ce document vous pouvez afficher la configuration avec ces commandes: ● show isakmp ● show isakmp policy ● show access−list ● show crypto ipsec transform−set ● show crypto isakmp sa ● show crypto ipsec sa La formation d'un tunnel sécurisé se produit dans les phases 1 et phase 2 d'IKE. Schéma du réseau PIX1 PIX2 10.6.6.0/24 10.2.2.0/24 10.2.2.1 Internet 172.16.2.5 .3 10.3.3.0/24 172.16.1.2 .5 10.6.6.6 Extrémités du tunnel .2 Serveur sur interface DMZ ccnp_cch

Configurations ccnp_cch Configuration IKE pour des clés pré-partagées Valider IKE sur les interfaces de terminaison IPSec en utilisant la commande isakmp enable. Dans ce scénario, l'interface outside est une interface de terminaison IPSec sur les deux PIX. IKE est configuré sur les deux PIX. Utilisez la commande isakmp enable outside sur les deux PIX. Utilisez la commande isakmp policy pour définir les politiques IKE qui sont utilisées pendant les négociations IKE. Quand vous utilisez cette commande, vous devez affec- ter un niveau de priorité pour que les politiques soient identifiées de manière unique. Dans cas la priorité 10 est affectée à cette politique. PIX1(config)#isakmp policy 10 authentication pre−share PIX1(config)#isakmp policy 10 encryption des PIX1(config)#isakmp policy 10 hash md5 PIX1(config)#isakmp policy 10 group 1 PIX1(config)#isakmp policy 10 lifetime 1000 Cette politique est également faite pour: ● Utiliser une clé pré-partagée ● Utiliser un algorithme de hachage MD5 pour l'authentification des données ● Utiliser DES pour ESP (Encapsulation Security Payload) ● Utiliser Diffie-Hellman groupe 1 ● Fixer la durée de vie de la SA Utilisez la commande show isakmp policy pour vérifier si la politique est actuellement configurée avec les paramètres de votre choix. Pour créer et gérer la base de données des enregistrements spécifiques-connexion pour les tunnels IPSec, utilisez la commande tunnel-group en mode de configuration global. le nom du groupe tunnel doit être l'adresse IP de l'autre extrémité. Le type doit être IPSec LAN-to-LAN. En mode de configuration tunnel IPSec, entrez la commande pre-shared-key <Password> comme cela est montré ci-dessous: PIX1(config)#tunnel−group 172.16.2.5 type ipsec−l2l PIX1(config)#tunnel−group 172.16.2.5 ipsec−attributes PIX1(config−tunnel−ipsec)#pre−shared−key cisco ccnp_cch

ccnp_cch Configuration de NAT (Network Address Translation) Cette configuration utilise l'exclusion NAT pour le trafic devant passer dans le tunnel. Ceci signifie que le trafic intéressant ne subira pas NAT. Tout autre trafic utilise PAT (Port Address Translation) pour changer l'adresse IP source du paquet par l'adresse IP de l'interface externe (outside). PIX1(config)#access−list NoNAT extended permit ip 10.2.2.0 255.255.255.0 10.6.6.0 255.255.255.0 PIX1(config)#access−list NoNAT extended permit ip 10.3.3.0 PIX1(config)#access−list PAT permit ip 10.2.2.0 255.255.255.0 any PIX1(config)#access−list PAT permit ip 10.3.3.0 255.255.255.0 any PIX1(config)#nat (inside) 0 access−list NoNAT PIX1(config)#nat (inside) 1 access−list PAT PIX1(config)#nat (DMZ) 0 access−list NoNAT De manière similaire sur le PIX2, NAT est configuré de manière identique pour le trafic devant passer par le tunnel et tout le reste du trafic est transmis en utilisant PAT. PIX2(config)#access−list NoNAT extended permit ip 10.6.6.0 255.255.255.0 10.2.2.0 255.255.255.0 255.255.255.0 10.3.3.0 255.255.255.0 PIX2(config)#nat (inside) 0 access−list NoNAT PIX2(config)#nat (inside) 1 10.6.6.0 255.255.255.0 PIX2(config)#global (outside) 1 interface Configuration IPSec IPSec est initié quand un des PIX reçoit du trafic qui est destiné au réseau interne de l'autre PIX. Ce trafic est le trafic intéressant qui doit être protégé par IPSec. Une liste d'accès est utilisée pour déterminer quel trafic initie IKE et les négociations IPSec. La liste d'accès nommée INTERESTING permet l'envoi du trafic issu des réseaux 10.2.2.0 et 10.3.3.0 sur le PIX1 vers le réseau 10.6.6.0 sur le pare-feu PIX2. PIX1(config)#access−list INTERESTING extended permit ip 10.2.2.0 PIX1(config)#access−list INTERESTING extended permit ip 10.3.3.0 Le "transform set" IPSec définit la politique de sécurité que les extrémités utilisent pour protéger le flux de données. Le "transform set" IPSec est défini par la commande crypto ipsec transform-set et jusqu'à trois "transform set" peuvent être sélectionnés pour définir les protocoles de sécurité IPSec. Cette configuration utilise uniquement deux "transform": ● esp-md5-hmac ● esp-des PIX1(config)#crypto ipsec transform−set my−set esp−des esp−md5−hmac ccnp_cch

Les crypto maps établissent les Sas pour le trafic crypté Les crypto maps établissent les Sas pour le trafic crypté. Vous devez affecter un nom de map, un numéro de séquence et définir les paramètres de la crypto map pour la créer. La crypto map "mymap" utilise IKE pour établir les Sas IPSec, crypter tout ce qui correspond à la liste d'accès INTERESTING, a une extrémité établie et utilise le "transform set" my-set pour mettre en action la politique de sécurité pour le trafic. PIX1(config)#crypto map mymap 20 match address INTERESTING PIX1(config)#crypto map mymap 20 set peer 172.16.2.5 PIX1(config)#crypto map mymap 20 set transform−set my−set Après avoir défini la crypto map, utilisez la commande crypto map mymap interface outside pour appliquer la crypto map à l'interface. L'interface que vous choisissez doit être une terminaison IPSec. PIX1(config)#crypto map mymap interface outside Configuration PIX1 Configuration PIX1 !−−− partie supprimée. interface Ethernet0 nameif outside security−level 0 ip address 172.16.1.2 255.255.255.0 ! interface Ethernet1 nameif inside security−level 100 ip address 10.2.2.2 255.255.255.0 interface Ethernet2 nameif DMZ1 security−level 50 ip address 10.3.3.2 255.255.255.0 !−−− C'est la liste de contrôle d'accès (ACL) pour NAT 0. access−list NoNAT extended permit ip 10.2.2.0 255.255.255.0 10.6.6.0 255.255.255.0 access−list NoNAT extended permit ip 10.3.3.0 255.255.255.0 !−−− Cette ACL définit le trafic intéressant. access−list INTERESTING extended permit ip 10.2.2.0 255.255.255.0 access−list INTERESTING extended permit ip 10.3.3.0 255.255.255.0 !−−− Cette liste d'accès est pour PAT. access−list PAT permit ip 10.2.2.0 255.255.255.0 any access−list PAT permit ip 10.3.3.0 255.255.255.0 any !−−− Partie supprimée. ccnp_cch

ccnp_cch !−−− nat-control requiert NAT pour les hosts inside ou DMZ !−−− quand ils accèdent à l'extérieur. nat−control !−−− C'est l'instruction global pour PAT. global (outside) 1 interface !−−− Cette commande est pour NAT 0 sur l'interface inside. nat (inside) 0 access−list NoNAT !−−− Cette commande est pour PAT sur l'interface inside. nat (inside) 1 access−list PAT !−−− Cette commande est pour NAT 0 sur l'interface DMZ. nat (DMZ) 0 access−list NoNAT !−−− Cette commande est pour PAT sur l'interface DMZ. nat (DMZ) 1 access−list PAT ! route outside 0.0.0.0 0.0.0.0 172.16.1.4 1 !−−− Partie supprimée. !−−− Cette commande définit le "transform set" IPsec avec la !−−− politique de sécurité que les extrémités utilisent !--- pour protéger le flux de données. crypto ipsec transform−set my−set esp−des esp−md5−hmac !−−− Ces commandes permettent à la crypto map de créer les !−−− SAs IPSec pour le trafic crypté. crypto map mymap 20 match address INTERESTING crypto map mymap 20 set peer 172.16.2.5 crypto map mymap 20 set transform−set my−set !−−− Cette commande applique la crypto map à l'interface outside. crypto map mymap interface outside !−−− Cette commande applies isakmp à l'interface outside. isakmp enable outside isakmp policy 10 authentication pre−share isakmp policy 10 encryption des isakmp policy 10 hash md5 isakmp policy 10 group 1 isakmp policy 10 lifetime 1000 !−−− Ces commandes créent et gèrent la base de données des !−−− enregistrements connexion-spécifique pour les tunnels IPsec. !−−− Entrez une clé pré-partagée qui doit être la même à l'autre !--- extrémité. tunnel−group 172.16.2.5 type ipsec−l2l tunnel−group 172.16.2.5 ipsec−attributes pre−shared−key * ccnp_cch

ccnp_cch Configuration PIX2 !−−− Partie supprimée. interface Ethernet0 nameif outside security−level 0 ip address 172.16.2.5 255.255.255.0 ! interface Ethernet1 nameif inside security−level 100 ip address 10.6.6.5 255.255.255.0 access−list NoNAT extended permit ip 10.6.6.0 255.255.255.0 10.2.2.0 255.255.255.0 10.3.3.0 255.255.255.0 access−list INTERESTING extended permit ip 10.6.6.0 255.255.255.0 global (outside) 1 interface nat (inside) 0 access−list NoNAT nat (inside) 1 10.6.6.0 255.255.255.0 route outside 0.0.0.0 0.0.0.0 172.16.2.4 1 crypto ipsec transform−set my−set esp−des esp−md5−hmac crypto map mymap 20 match address INTERESTING crypto map mymap 20 set peer 172.16.1.2 crypto map mymap 20 set transform−set my−set crypto map mymap interface outside isakmp enable outside isakmp policy 10 authentication pre−share isakmp policy 10 encryption des isakmp policy 10 hash md5 isakmp policy 10 group 1 isakmp policy 10 lifetime 1000 tunnel−group 172.16.1.2 type ipsec−l2l tunnel−group 172.16.1.2 ipsec−attributes pre−shared−key * telnet timeout 5 ccnp_cch

Vérification ccnp_cch Utilisez cette section pour confirmer que votre configuration fonctionne correctement. ● show crypto isakmp sa - Affiche les SAs ISAKMP en cours. PIX1#show crypto isakmp sa Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1 IKE Peer: 172.16.2.5 Type : L2L Role : initiator Rekey : no State : MM_ACTIVE ● show crypto ipsec sa - Affiche les paramètres des Sas IPSec. Dès que vous envoyez du trafic défini comme intéressant entre les réseaux, le tunnel IPsec est monté. Un "ping" entre deux hosts peut être utilisé pour tester la formation du tunnel. C'est la sortie de la commande show crypto ipsec sa sur le PIX1. PIX1#show crypto ipsec sa interface: outside Crypto map tag: mymap, seq num: 20, local addr: 172.16.1.2 access−list INTERESTING permit ip 10.2.2.0 255.255.255.0 10.6.6.0 255.255.255.0 local ident (addr/mask/prot/port): (10.2.2.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (10.6.6.0/255.255.255.0/0/0) current_peer: 172.16.2.5 !−−− This verifies that encrypted packets are !−−− sent and receive without any errors. #pkts encaps: 199, #pkts encrypt: 199, #pkts digest: 199 #pkts decaps: 199, #pkts decrypt: 199, #pkts verify: 199 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 199, #pkts comp failed: 0, #pkts decomp failed: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: 172.16.1.2, remote crypto endpt.: 172.16.2.5 path mtu 1500, ipsec overhead 60, media mtu 1500 current outbound spi: 80A00578 inbound esp sas: spi: 0xD92F129E (3643740830) transform: esp−des esp−md5−hmac in use settings ={L2L, Tunnel, } slot: 0, conn_id: 1, crypto−map: mymap sa timing: remaining key lifetime (kB/sec): (3824980/28593) IV size: 8 bytes replay detection support: Y ccnp_cch

ccnp_cch outbound esp sas: spi: 0x80A00578 (2157970808) transform: esp−des esp−md5−hmac in use settings ={L2L, Tunnel, } slot: 0, conn_id: 1, crypto−map: mymap sa timing: remaining key lifetime (kB/sec): (3824980/28591) IV size: 8 bytes replay detection support: Y Crypto map tag: mymap, seq num: 20, local addr: 172.16.1.2 access−list INTERESTING permit ip 10.3.3.0 255.255.255.0 10.6.6.0 255.255.255.0 local ident (addr/mask/prot/port): (10.3.3.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (10.6.6.0/255.255.255.0/0/0) current_peer: 172.16.2.5 #pkts encaps: 199, #pkts encrypt: 199, #pkts digest: 199 #pkts decaps: 199, #pkts decrypt: 199, #pkts verify: 199 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 199, #pkts comp failed: 0, #pkts decomp failed: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: 172.16.1.2, remote crypto endpt.: 172.16.2.5 path mtu 1500, ipsec overhead 60, media mtu 1500 current outbound spi: 3D0C2074 inbound esp sas: spi: 0x5B64B9D6 (1533327830) sa timing: remaining key lifetime (kB/sec): (3824980/28658) spi: 0x3D0C2074 (1024204916) ccnp_cch

C'est la sortie de la commande show crypto ipsec sa sur le PIX1. PIX2#show crypto ipsec sa interface: outside Crypto map tag: mymap, seq num: 20, local addr: 172.16.2.5 access−list INTERESTING permit ip 10.6.6.0 255.255.255.0 10.3.3.0 255.255.255.0 local ident (addr/mask/prot/port): (10.6.6.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (10.3.3.0/255.255.255.0/0/0) current_peer: 172.16.1.2 #pkts encaps: 199, #pkts encrypt: 199, #pkts digest: 199 #pkts decaps: 199, #pkts decrypt: 199, #pkts verify: 199 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 199, #pkts comp failed: 0, #pkts decomp failed: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: 172.16.2.5, remote crypto endpt.: 172.16.1.2 path mtu 1500, ipsec overhead 60, media mtu 1500 current outbound spi: 5B64B9D6 inbound esp sas: spi: 0x3D0C2074 (1024204916) transform: esp−des esp−md5−hmac in use settings ={L2L, Tunnel, } slot: 0, conn_id: 1, crypto−map: mymap sa timing: remaining key lifetime (kB/sec): (4274980/28465) IV size: 8 bytes replay detection support: Y outbound esp sas: spi: 0x5B64B9D6 (1533327830) sa timing: remaining key lifetime (kB/sec): (4274980/28463) access−list INTERESTING permit ip 10.6.6.0 255.255.255.0 10.2.2.0 remote ident (addr/mask/prot/port): (10.2.2.0/255.255.255.0/0/0) ccnp_cch

Résolution de problèmes local crypto endpt.: 172.16.2.5, remote crypto endpt.: 172.16.1.2 path mtu 1500, ipsec overhead 60, media mtu 1500 current outbound spi: D92F129E inbound esp sas: spi: 0x80A00578 (2157970808) transform: esp−des esp−md5−hmac in use settings ={L2L, Tunnel, } slot: 0, conn_id: 1, crypto−map: mymap sa timing: remaining key lifetime (kB/sec): (4274980/28393) IV size: 8 bytes replay detection support: Y outbound esp sas: spi: 0xD92F129E (3643740830) Résolution de problèmes Cette section fournit des informations que vous pouvez utiliser pour résoudre des pro- blèmes liés à votre configuration. ● debug crypto isakmp - Affiche les informations de debug sur les connexions IPSec. debug crypto isakmp pix3#debug crypto isakmp 7 Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Oakley proposal is acceptable Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, processing VID payload Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Received Fragmentation VID Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, IKE Peer included IKE fragmentation capability flags: Main Mode: True Aggressive Mode: True Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, constructing ke payload Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, constructing nonce payload Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, constructing Cisco Unity VID payload Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, constructing xauth V6 VID Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Send IOS VID Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Constructing ASA spoofing IOS Vendor ID payload (version: 1.0.0, capabilities: 20000001) Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, constructing VID payload Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Send Altiga/Cisco VPN3000/Cisco ASA GW VID ccnp_cch

Jan 01 04:34:49 [IKEv1]: IP = 172.16.2.5, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 224 Jan 01 04:34:49 [IKEv1]: IP = 172.16.2.5, IKE_DECODE RECEIVED Message Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, processing ke payload Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, processing ISA_KE payload Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, processing nonce payload Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, processing VID payload Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Received Cisco Unity client VID Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Received xauth V6 VID Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Processing VPN3000/ASA spoofing IOS Vendor ID payload (version: 1.0.0, capabilities: 20000001) Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Received Altiga/Cisco VPN3000/Cisco ASA GW VID Jan 01 04:34:49 [IKEv1]: IP = 172.16.2.5, Connection landed on tunnel_group 172.16.2.5 Jan 01 04:34:49 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, Generating keys for Initiator... constructing ID payload constructing hash payload Computing hash for ISAKMP Jan 01 04:34:49 [IKEv1 DEBUG]: IP = 172.16.2.5, Constructing IOS keep alive payload: proposal=32767/32767 sec. constructing dpd vid payload (msgid=0) with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) + VENDOR (13) + NONE (0) total length : 92 Jan 01 04:34:50 [IKEv1]: IP = 172.16.2.5, IKE_DECODE RECEIVED Message Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, processing ID payload processing hash payload Jan 01 04:34:50 [IKEv1 DEBUG]: IP = 172.16.2.5, Processing IOS keep processing VID payload Received DPD VID Jan 01 04:34:50 [IKEv1]: IP = 172.16.2.5, Connection landed on ccnp_cch

Jan 01 04:34:50 [IKEv1]: Group = 172.16.2.5, IP = 172.16.2.5, Freeing previously allocated memory for authorization−dn−attributes Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, Oakley begin quick mode Jan 01 04:34:50 [IKEv1]: Group = 172.16.2.5, IP = 172.16.2.5, PHASE 1 COMPLETED Jan 01 04:34:50 [IKEv1]: IP = 172.16.2.5, Keep−alive type for this connection: DPD Starting P1 rekey timer: 850 seconds. IKE got SPI from key engine: SPI = 0x1cd9ec0c oakley constucting quick mode constructing blank hash payload constructing IPSec SA payload constructing IPSec nonce payload constructing proxy ID Transmitting Proxy Id: Local subnet: 10.2.2.0 mask 255.255.255.0 Protocol 0 Port 0 Remote subnet: 10.6.6.0 Mask 255.255.255.0 Protocol 0 Port 0 constructing qm hash payload Jan 01 04:34:50 [IKEv1]: IP = 172.16.2.5, IKE_DECODE SENDING Message (msgid=75aa2cf6) with payloads: HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NOTIFY (11) + NONE (0) total length : 192 Jan 01 04:34:50 [IKEv1]: IP = 172.16.2.5, IKE_DECODE RECEIVED Message (msgid=75aa2cf6) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0) total length : 164 processing hash payload processing SA payload processing nonce payload processing ID payload loading all IPSEC SAs Generating Quick Mode Key! Jan 01 04:34:50 [IKEv1]: Group = 172.16.2.5, IP = 172.16.2.5, Security negotiation complete for LAN−to−LAN Group (172.16.2.5) Initiator, Inbound SPI = 0x1cd9ec0c, Outbound SPI = 0x489fb7ca ccnp_cch

Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, oakley constructing final quickmode Jan 01 04:34:50 [IKEv1]: IP = 172.16.2.5, IKE_DECODE SENDING Message (msgid=75aa2cf6) with payloads: HDR + HASH (8) + NONE (0) total length : 72 Jan 01 04:34:50 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, IKE got a KEY_ADD msg for SA: SPI = 0x489fb7ca Pitcher: received KEY_UPDATE, spi 0x1cd9ec0c Starting P2 rekey timer: 24480 seconds. Jan 01 04:34:50 [IKEv1]: Group = 172.16.2.5, IP = 172.16.2.5, PHASE 2 COMPLETED (msgid=75aa2cf6) Jan 01 04:35:05 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, Sending keep−alive of type DPD R−U−THERE (seq number 0x52fec0b7) constructing blank hash payload constructing qm hash payload Jan 01 04:35:05 [IKEv1]: IP = 172.16.2.5, IKE_DECODE SENDING Message (msgid=e3dd9a55) with payloads: HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80 Jan 01 04:35:05 [IKEv1]: IP = 172.16.2.5, IKE_DECODE RECEIVED Message (msgid=1f40840c) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80 processing hash payload processing notify payload Received keep−alive of type DPD R−U−THERE−ACK (seq number 0x52fec0b7) Jan 01 04:35:15 [IKEv1 DEBUG]: Group = 172.16.2.5, IP = 172.16.2.5, Sending keep−alive of type DPD R−U−THERE (seq number 0x52fec0b8) Jan 01 04:35:15 [IKEv1]: IP = 172.16.2.5, IKE_DECODE SENDING Message (msgid=928bbc7f) with payloads: HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80 Jan 01 04:35:15 [IKEv1]: IP = 172.16.2.5, IKE_DECODE RECEIVED Message (msgid=b4745eeb) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) R−U−THERE−ACK (seq number 0x52fec0b8) ccnp_cch

● debug crypto ipsec - Affiche les informations de debug sur les connexions IPSec. pix1#debug crypto ipsec 7 IPSEC: New embryonic SA created @ 0x01AEAB40, SCB: 0x028CF0C8, Direction: inbound SPI : 0xEFFE8E91 Session ID: 0x00000009 VPIF num : 0x00000002 Tunnel type: l2l Protocol : esp Lifetime : 240 seconds IPSEC: New embryonic SA created @ 0x028F27E0, SCB: 0x02842188, Direction: outbound SPI : 0xEB62E7B0 IPSEC: Completed host OBSA update, SPI 0xEB62E7B0 IPSEC: Updating outbound VPN context 0x00076B84, SPI 0xEB62E7B0 Flags: 0x00000005 SA : 0x028F27E0 SPI : 0xEB62E7B0 MTU : 1500 bytes VCID : 0x00000000 Peer : 0x00000000 SCB : 0x02842188 Channel: 0x01693DE8 IPSEC: Completed outbound VPN context, SPI 0xEB62E7B0 VPN handle: 0x00076B84 IPSEC: Completed outbound inner rule, SPI 0xEB62E7B0 Rule ID: 0x026AAAF0 IPSEC: New outbound permit rule, SPI 0xEB62E7B0 !−−− Extrémités du Tunnel Src addr: 172.16.1.2 Src mask: 255.255.255.255 Dst addr: 172.16.2.5 Dst mask: 255.255.255.255 Src ports Upper: 0 Lower: 0 Op : ignore Dst ports ccnp_cch

ccnp_cch Use protocol: true SPI: 0xEB62E7B0 Use SPI: true IPSEC: Completed outbound permit rule, SPI 0xEB62E7B0 Rule ID: 0x028A45F8 IPSEC: Completed host IBSA update, SPI 0xEFFE8E91 IPSEC: Creating inbound VPN context, SPI 0xEFFE8E91 Flags: 0x00000006 SA : 0x01AEAB40 SPI : 0xEFFE8E91 MTU : 0 bytes VCID : 0x00000000 Peer : 0x00076B84 SCB : 0x028CF0C8 Channel: 0x01693DE8 IPSEC: Completed inbound VPN context, SPI 0xEFFE8E91 VPN handle: 0x0007801C IPSEC: Updating outbound VPN context 0x00076B84, SPI 0xEB62E7B0 Flags: 0x00000005 SA : 0x028F27E0 SPI : 0xEB62E7B0 MTU : 1500 bytes Peer : 0x0007801C SCB : 0x02842188 IPSEC: Completed outbound VPN context, SPI 0xEB62E7B0 VPN handle: 0x00076B84 IPSEC: Completed outbound inner rule, SPI 0xEB62E7B0 Rule ID: 0x026AAAF0 IPSEC: Completed outbound outer SPD rule, SPI 0xEB62E7B0 IPSEC: New inbound tunnel flow rule, SPI 0xEFFE8E91 !−−− Session IPSec à partir de l'interface inside Src addr: 10.6.6.0 Src mask: 255.255.255.0 Dst addr: 10.2.2.0 Dst mask: 255.255.255.0 Src ports Upper: 0 Lower: 0 Op : ignore Dst ports Protocol: 0 Use protocol: false SPI: 0x00000000 Use SPI: false ccnp_cch

ccnp_cch IPSEC: Completed inbound tunnel flow rule, SPI 0xEFFE8E91 Rule ID: 0x01A88838 IPSEC: New inbound decrypt rule, SPI 0xEFFE8E91 Src addr: 172.16.2.5 Src mask: 255.255.255.255 Dst addr: 172.16.1.2 Dst mask: 255.255.255.255 Src ports Upper: 0 Lower: 0 Op : ignore Dst ports Protocol: 50 Use protocol: true SPI: 0xEFFE8E91 Use SPI: true IPSEC: Completed inbound decrypt rule, SPI 0xEFFE8E91 Rule ID: 0x028F2710 IPSEC: New inbound permit rule, SPI 0xEFFE8E91 IPSEC: Completed inbound permit rule, SPI 0xEFFE8E91 Rule ID: 0x028F3F70 IPSEC: New embryonic SA created @ 0x01AFA2E8, SCB: 0x028F4318, Direction: inbound SPI : 0x9E53EEA4 Session ID: 0x00000009 VPIF num : 0x00000002 Tunnel type: l2l Protocol : esp Lifetime : 240 seconds ccnp_cch

ccnp_cch IPSEC: New embryonic SA created @ 0x0281FEA8, SCB: 0x01AFA6C0, Direction: outbound SPI : 0x430107DD Session ID: 0x00000009 VPIF num : 0x00000002 Tunnel type: l2l Protocol : esp Lifetime : 240 seconds IPSEC: Completed host OBSA update, SPI 0x430107DD IPSEC: Updating outbound VPN context 0x0007DB1C, SPI 0x430107DD Flags: 0x00000005 SA : 0x0281FEA8 SPI : 0x430107DD MTU : 1500 bytes VCID : 0x00000000 Peer : 0x00000000 SCB : 0x01AFA6C0 Channel: 0x01693DE8 IPSEC: Completed outbound VPN context, SPI 0x430107DD VPN handle: 0x0007DB1C IPSEC: Completed outbound inner rule, SPI 0x430107DD Rule ID: 0x028FA880 IPSEC: New outbound permit rule, SPI 0x430107DD Src addr: 172.16.1.2 Src mask: 255.255.255.255 Dst addr: 172.16.2.5 Dst mask: 255.255.255.255 Src ports Upper: 0 Lower: 0 Op : ignore Dst ports Protocol: 50 Use protocol: true SPI: 0x430107DD Use SPI: true IPSEC: Completed outbound permit rule, SPI 0x430107DD Rule ID: 0x028055B0 IPSEC: Completed host IBSA update, SPI 0x9E53EEA4 ccnp_cch

ccnp_cch IPSEC: Creating inbound VPN context, SPI 0x9E53EEA4 Flags: 0x00000006 SA : 0x01AFA2E8 SPI : 0x9E53EEA4 MTU : 0 bytes VCID : 0x00000000 Peer : 0x0007DB1C SCB : 0x028F4318 Channel: 0x01693DE8 IPSEC: Completed inbound VPN context, SPI 0x9E53EEA4 VPN handle: 0x000813D4 IPSEC: Updating outbound VPN context 0x0007DB1C, SPI 0x430107DD Flags: 0x00000005 SA : 0x0281FEA8 SPI : 0x430107DD MTU : 1500 bytes Peer : 0x000813D4 SCB : 0x01AFA6C0 Channel: 0x01693DE8 IPSEC: Completed outbound VPN context, SPI 0x430107DD VPN handle: 0x0007DB1C IPSEC: Completed outbound inner rule, SPI 0x430107DD Rule ID: 0x028FA880 IPSEC: Completed outbound outer SPD rule, SPI 0x430107DD Rule ID: 0x028055B0 IPSEC: New inbound tunnel flow rule, SPI 0x9E53EEA4 !−−− Session IPSec de l'interface DMZ Src addr: 10.6.6.0 Src mask: 255.255.255.0 Dst addr: 10.3.3.0 Dst mask: 255.255.255.0 Src ports Upper: 0 Lower: 0 Op : ignore Dst ports Protocol: 0 Use protocol: false SPI: 0x00000000 Use SPI: false IPSEC: Completed inbound tunnel flow rule, SPI 0x9E53EEA4 Rule ID: 0x02850040 ccnp_cch

ccnp_cch IPSEC: New inbound decrypt rule, SPI 0x9E53EEA4 Src addr: 172.16.2.5 Src mask: 255.255.255.255 Dst addr: 172.16.1.2 Dst mask: 255.255.255.255 Src ports Upper: 0 Lower: 0 Op : ignore Dst ports Protocol: 50 Use protocol: true SPI: 0x9E53EEA4 Use SPI: true IPSEC: Completed inbound decrypt rule, SPI 0x9E53EEA4 Rule ID: 0x0284ACF8 IPSEC: New inbound permit rule, SPI 0x9E53EEA4 IPSEC: Completed inbound permit rule, SPI 0x9E53EEA4 Rule ID: 0x0281FDA8 ccnp_cch

Effacement les associations de sécurité clear crypto isakmp sa peer 10.6.6.6 efface toutes les SA IPSecpour une extrémité identifiée par un nom de host ou une adresse IP. ● clear [crypto] ipsec sa - Efface les SAs IPsec actives. Le mot-clé crypto est optionnel. ● clear [crypto] isakmp sa - Efface les SAs IKE actives. Le mot-clé crypto est ccnp_cch