Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
Configuration Tunnel VPN
PIX ASA 7.x - Configuration Tunnel VPN simple PIX à PIX avec ASDM ccnp_cch
2
Sommaire • Rappel • Configuration
• Introduction - Composants utilisés - Schéma du réseau • Rappel • Configuration - Configuration avec ASDM - Configuration avec la CLI • Effacement des associations de sécurité • Vérification • Résolution de problèmes - Management-access - Commandes debug ccnp_cch
3
Introduction ccnp_cch
Ce document décrit la procédure de configuration des tunnels VPN entre deux pare- feux PIX en utilisant Cisco ASDM (Adaptive Security Device Manager). ASDM est un outil de configuration basé application conçu pour vous aider à initialiser, configurer et superviser votre pare-feu PIX avec une interface graphique. Les pare-feux PIX sont placés sur deux sites différents. Un tunnel est formé en utilisant IPSec. IPSec est une combinaison de deux standards ouverts qui fournissent confidentialité des données, intégrité des données et authenti- fication de l'origine des données entre les deux extrémités IPSec. Note: Dans le PIX 7.1 et suivants, la commande sysopt connection permit-ipsec est changée en sysopt connection permit vpn. Cette commande autorise le trafic qui en- tre dans l'appliance de sécurité et qui est ensuite décrypté à bypasser les listes d'accès de l'interface. La politique de groupe et les listes d'accès d'autorisation par-utilisateur s'appliquent toujours au trafic. Pour dévalider cette fonctionnalité, utilisez la forme no de cette commande. Cette commande n'est pas visible dans la configuration CLI. Composants utilisés Les informations présentées dans ce document sont basées sur les pare-feux Cisco Secure PIX 515 avec PIX version 7.x et ASDM version 5.x. Note: Référez-vous à "Allowing HTTPS access for ASDM" pour autoriser l'ASA à être configuré par l'ASDM. Schéma du réseau x x pix PIX-02 Internet /24 /24 ccnp_cch
4
Rappel La négociation IPSec peut être divisée en cinq étapes et comprend deux phases IKE (Internet Key Exchange) Un tunnel IPSec est initié par du trafic particulier. Ce trafic est considéré comme particulier ou intéressant quand il passe entre les extrémités IPSec Dans la phase 1 IKE, les extrémités IPSec négocient la politique IKE Security Asso ciation établie. Une fois que les extrémités sont authentifiées, un tunnel sécurisé est crée en utilisant ISAKMP (Internet Security Association and Key Management) Dans IKE Phase 2, les extrémités IPSec utilisent le tunnel authentifié et sécurisé pour négocier les paramètres des SA IPSec. La négociation de la politique partagée détermine comment le tunnel IPSec est établi. 4. Le tunnel IPSec est crée et les données sont transférées entre les extrémités IPSec sur la base des paramètres IPSec configurés dans les "transform set" IPSec. 5. Le tunnel IPSec est fermé quand les SAs IPSec sont effacées ou lorsque leur durée de vie expire. Note: La négociation IPSec échoue entre les deux PIX si les Sas des deux phases IKE ne correspondent pas entre les extrémités. ccnp_cch
5
Configuration ccnp_cch Configuration avec ASDM
Exécutez ces étapes: 1. Ouvrez votre navigateur web et tapez: pour accéder à l'ASDM sur le PIX. Assurez-vous d'autoriser toutes les alertes que vous donne votre navigateur, relati- ves à l'authenticité du certificat SSL. Le nom d'utilisateur et le mot de passe par dé- faut sont vides Le PIX présente cette fenêtre pour autoriser le chargement de l'application ASDM Cet exemple charge l'application sur l'ordinateur local et n'opère pas avec un applet Java. 2. Cliquez sur Download ASDM Lancher and Start ASDM pour charger et installer l'application ASDM. 3. Une fois que l'ASDM Launcher se charge suivre les prompts pour installer le logiciel et lancer Cisco ASDM Launcher. 4. Entrez l'adresse IP de l'interface que vous avez configurée avec la commande http et le nom d'utilisateur et le mot de passe si vous en spécifiez un Cet exemple utilise un nom d'utilisateur et un mot de passe vides par défaut. ccnp_cch
6
5. Lancez VPN Wizard une fois que l'application ASDM se connecte au PIX.
ccnp_cch
7
6. Choisissez le type de tunnel VPN Site-to-Site puis cliquez sur Next.
7. Spécifiez l'adresse IP externe de l'extrémité distante. Entrez l'information d'authen- tification à utiliser (pre-shared key dans cet exemple). - Cliquez sur Next pour continuer ccnp_cch
8
8. Spécifiez les attributs à utiliser pour IKE, connu aussi comme Phase 1. Ces attributs
doivent être les mêmes aux deux extrémités du tunnel. - Cliquez sur Next pour continuer 9. Spécifiez les attributs à utiliser pour IPSec, connu aussi comme Phase 2. Ces attributs doivent correspondre des deux côtés. - Cliquez sur Next pour continuer ccnp_cch
9
10. Spécifiez les hosts dont le trafic doit passer par le tunnel VPN
10. Spécifiez les hosts dont le trafic doit passer par le tunnel VPN. Dans cet exemple, les hosts locaux au pix sont spécifiés. - Cliquez sur Next pour continuer 11. Les hosts et les réseaux de l'extrémité distante sont spécifiés. - Cliquez sur Next pour continuer ccnp_cch
10
12. Les attributs définis par VPN Wizard sont affichés dans ce résumé
12. Les attributs définis par VPN Wizard sont affichés dans ce résumé. Revérifiez la configuration et cliquez sur Finish . Configuration avec la CLI pix pixfirewall#show run : Saved PIX Version 7.1(1) ! hostname pixfirewall domain−name default.domain.invalid enable password 8Ry2YjIyt7RRXU24 encrypted names interface Ethernet0 nameif outside security−level 0 ip address !−−− Configure l'interface externe. interface Ethernet1 nameif inside security−level 100 ip address !−−− Configure l'interface interne. !−−- Partie supprimée passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server−group DefaultDNS ccnp_cch
11
ccnp_cch domain−name default.domain.invalid
access−list inside_nat0_outbound extended permit ip !−−− Cette liste d'accès (inside_nat0_outbound) est utilisée !--- avec la commande nat zero. Ceci évite que le trafic qui !−−− correspond à la liste d'accès de subir le NAT. Le trafic !−−− spécifié par cette ACL est le trafic qui doit être crypté !−−− et transmis dans le tunnel VPN. Cette ACL is intentionnel- !−−− lement la même que (outside_cryptomap_20). Deux listes !−−− d'accès séparées doivent toujours être utilisées dans cette !--- configuration. access−list outside_cryptomap_20 extended permit ip !−−− Cette liste d'accès (outside_cryptomap_20) est utilisée avec !--- la crypto map outside_map pour déterminer quel trafic doit !--- être crypté et transmis à travers le tunnel. !−−− Cette ACL is intentionnellement la même que !-- (inside_nat0_outbound). Deux listes d'accès séparées doivent !--- toujours être utilisées dans cette configuration. pager lines 24 mtu inside 1500 mtu outside 1500 no failover asdm image flash:/asdm−511.bin !−−− Entrez cette commande pour spécifier la localisation de !--- l'image ASDM. asdm history enable arp timeout 14400 nat (inside) 0 access−list inside_nat0_outbound !−−− nat 0 évite NAT pour les réseaux spécifiés dans l'ACL !--- inside_nat0_outbound. route outside timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp−pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute http server enable !−−− Entrez cette commande pour valider le serveur HTTPS pour !--- ASDM. http inside !−−− Identifie les adresses à partir desquelles l'appliance !--- de sécurité accepte les connexions HTTPS. no snmp−server location no snmp−server contact ccnp_cch
12
ccnp_cch !−−− CONFIGURATION PHASE 2 −−−!
!−−− Les types de cryptage pour la Phase 2 sont définis ici. crypto ipsec transform−set ESP−AES−256−SHA esp−aes−256 esp−sha−hmac !−−− Définit le transform set pour la Phase 2. crypto map outside_map 20 match address outside_cryptomap_20 !−−− Définit quel trafic doit être transmis à l'extrémité IPSec. crypto map outside_map 20 set peer !−−− Définit l'extrémité IPSec crypto map outside_map 20 set transform−set ESP−AES−256−SHA !−−− Indique que le transform set IPsec "ESP−AES−256−SHA" !−−− doit être utilisé avec l'entrée de crypto map "outside_map". crypto map outside_map interface outside !−−− Spécifie l'interface à utiliser avec les paramètres !−−− définis dans cette configuration. !−−− CONFIGURATION PHASE 1 −−−! !−−− Cette configuration utilise isakmp policy 10. !−−− Policy est incluse dans la configuration par défaut. !−−− Les commandes de configuration ici définissent les paramètres !−−− utilisés par la politique de Phase 1. isakmp enable outside isakmp policy 10 authentication pre−share isakmp policy 10 encryption aes−256 isakmp policy 10 hash sha isakmp policy 10 group 5 isakmp policy 10 lifetime 86400 isakmp policy authentication pre−share isakmp policy encryption 3des isakmp policy hash sha isakmp policy group 2 isakmp policy lifetime 86400 tunnel−group type ipsec−l2l !−−− Pour créer et gérer la base de données des enregistrements !--- spécifiques-connexion pour les tunnelsipsec-l2l (LAN−to−LAN) !--- utilisez la commande tunnel−group en mode de configuration !--- global. Pour les connexions L2L le nom de groupe du tunnel !--- doit être l'adresse de l'extrémité IPSec. tunnel−group ipsec−attributes pre−shared−key * !−−− Entrez la clé pré−partagée pour configurer la méthode !--- d'authentification. telnet timeout 5 ssh timeout 5 console timeout 0 ccnp_cch
13
ccnp_cch ! class−map inspection_default
match default−inspection−traffic policy−map global_policy class inspection_default inspect dns maximum−length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp service−policy global_policy global Cryptochecksum:ecb58c5d8ce805b3610b198c73a3d0cf : end PIX-02 PIX Version 7.1(1) ! hostname pixfirewall domain−name default.domain.invalid enable password 8Ry2YjIyt7RRXU24 encrypted names interface Ethernet0 nameif outside security−level 0 ip address interface Ethernet1 nameif inside security−level 100 ip address passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server−group DefaultDNS access−list inside_nat0_outbound extended permit ip ccnp_cch
14
!−−− Notez que cette ACL est un mirroir de inside_nat0_outbound
!−−− sur le pix515−704. access−list outside_cryptomap_20 extended permit ip !--- Notez que cette ACL est un mirroir de outside_cryptomap_20 pager lines 24 mtu inside 1500 mtu outside 1500 no failover asdm image flash:/asdm−511.bin no asdm history enable arp timeout 14400 nat (inside) 0 access−list inside_nat0_outbound timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp−pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute http server enable http inside no snmp−server location no snmp−server contact crypto ipsec transform−set ESP−AES−256−SHA esp−aes−256 esp−sha−hmac crypto map outside_map 20 match address outside_cryptomap_20 crypto map outside_map 20 set peer crypto map outside_map 20 set transform−set ESP−AES−256−SHA crypto map outside_map interface outside isakmp enable outside isakmp policy 10 authentication pre−share isakmp policy 10 encryption aes−256 isakmp policy 10 hash sha isakmp policy 10 group 5 isakmp policy 10 lifetime 86400 tunnel−group type ipsec−l2l tunnel−group ipsec−attributes pre−shared−key * telnet timeout 5 ssh timeout 5 console timeout 0 ! class−map inspection_default match default−inspection−traffic ccnp_cch
15
Effacement les associations de sécurité
policy−map global_policy class inspection_default inspect dns maximum−length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service−policy global_policy global Cryptochecksum: f858ad4e9b810874 : end pixfirewall# Effacement les associations de sécurité Utilisez les commandes suivantes en mode privilégié : ● clear [crypto] ipsec sa - Efface les SAs IPsec actives. Le mot-clé crypto est optionnel. ● clear [crypto] isakmp sa - Efface les SAs IKE actives. Le mot-clé crypto est ccnp_cch
16
Vérification ccnp_cch
Utilisez cette section pour confirmer que votre configuration fonctionne correctement. S'il y a du trafic "intéressant" vers l'autre extrémité, le tunnel est établi entre le pix et le PIX Afficher l'état du VPN sous Home dans l'ASDM pour vérifier les informations du tunnel. ccnp_cch
17
2. Choisissez Monitoring>VPN>VPN Connection Graphs> IPSec Tunnels pour véri-
fier les détails sur l'établissement du tunnel. 3. Cliquez sur Add pour sélectionner les graphiques disponibles afin de voir la fenêtre du graphique. ccnp_cch
18
4. Cliquez sur Show Graphs pour afficher les graphiques IKE et les tunnels actifs.
ccnp_cch
19
5. Choisissez Monitoring>VPN>VPN Statistics> Global IKE/ IPSec Statistics pour
afficher les statistiques du tunnel VPN. Vous pouvez également vérifier la formation du tunnel avec la CLI. Entrez la comman- de show crypto isakmp sa pour vérifier la formation de tunnels et entrez la comman- de show crypto ipsec sa pour observer le nombre de paquets encapsulés, cryptés, ... pix pixfirewall(config)#show crypto isakmp sa Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1 IKE Peer: Type : L2L Role : initiator Rekey : no State : MM_ACTIVE ccnp_cch
20
ccnp_cch PIX-02 pixfirewall(config)#show crypto ipsec sa
interface: outside Crypto map tag: outside_map, seq num: 20, local addr: access−list outside_cryptomap_20 permit ip local ident (addr/mask/prot/port): ( / /0/0) remote ident (addr/mask/prot/port): ( / /0/0) current_peer: #pkts encaps: 20, #pkts encrypt: 20, #pkts digest: 20 #pkts decaps: 20, #pkts decrypt: 20, #pkts verify: 20 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 20, #pkts comp failed: 0, #pkts decomp failed: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: , remote crypto endpt.: path mtu 1500, ipsec overhead 76, media mtu 1500 current outbound spi: inbound esp sas: spi: 0xA87AD6FA ( ) transform: esp−aes−256 esp−sha−hmac in use settings ={L2L, Tunnel, } slot: 0, conn_id: 1, crypto−map: outside_map sa timing: remaining key lifetime (kB/sec): ( /28246) IV size: 16 bytes replay detection support: Y outbound esp sas: spi: 0x ( ) sa timing: remaining key lifetime (kB/sec): ( /28245) ccnp_cch
21
Résolution de problèmes
Management-access Cette section fournit des informations que vous pouvez utiliser pour résoudre des pro- blèmes liés à votre configuration. L'interface interne du PIX ne peut pas être pinguée depuis l'autre extrémité du tunnel à moins que la commande management-access soit configurée en mode de configura- tion global. PIX−02(config)# management−access inside PIX−02(config)# show management−access management−access inside Commandes debug debug crypto isakmp - Affiche les informations de debug sur les connexions IPSec et montre le premier ensemble d'attributs qui sont rejetés à cause d'un incompatibilité entre les deux extrémités. debug crytpo isakmp pixfirewall(config)#debug crypto isakmp 7 Nov 27 12:01:59 [IKEv1 DEBUG]: Pitcher: received a key acquire message,spi 0x0 Nov 27 12:01:59 [IKEv1]: IP = , IKE Initiator: New Phase 1, Intf 2, IKE Peer local Proxy Address , remote Proxy Address , Crypto map (outside_map) Nov 27 12:01:59 [IKEv1 DEBUG]: IP = , constructing ISAKMP SA payload Nov 27 12:01:59 [IKEv1 DEBUG]: IP = , constructing Fragmentation VID + extended capabilities payload Nov 27 12:01:59 [IKEv1]: IP = , IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + NONE (0) total length : 148 Nov 27 12:01:59 [IKEv1]: IP = , IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + NONE (0) total length : 112 Nov 27 12:01:59 [IKEv1 DEBUG]: IP = , processing SA payload Nov 27 12:01:59 [IKEv1 DEBUG]: IP = , Oakley proposal is acceptable Nov 27 12:01:59 [IKEv1 DEBUG]: IP = , processing VID payload Nov 27 12:01:59 [IKEv1 DEBUG]: IP = , Received Fragmentation VID Nov 27 12:01:59 [IKEv1 DEBUG]: IP = , IKE Peer included IKE fragmentation capability flags : Main Mode: True Aggressive Mode: True Nov 27 12:02:00 [IKEv1 DEBUG]: IP = , constructing ke payload Nov 27 12:02:00 [IKEv1 DEBUG]: IP = , constructing nonce payload Nov 27 12:02:00 [IKEv1 DEBUG]: IP = , constructing Cisco Unity VID payload Nov 27 12:02:00 [IKEv1 DEBUG]: IP = , constructing xauth V6 VID Nov 27 12:02:00 [IKEv1 DEBUG]: IP = , Send IOS VID Nov 27 12:02:00 [IKEv1 DEBUG]: IP = , Constructing ASA spoofing IOS ccnp_cch
22
ccnp_cch Vendor ID payload (version: 1.0.0, capabilities: 20000001)
Nov 27 12:02:00 [IKEv1 DEBUG]: IP = , constructing VID payload Nov 27 12:02:00 [IKEv1 DEBUG]: IP = , Send Altiga/ Cisco VPN3000/Cisco ASA GW VID Nov 27 12:02:00 [IKEv1]: IP = , IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 320 Nov 27 12:02:00 [IKEv1]: IP = , IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 320 Nov 27 12:02:00 [IKEv1 DEBUG]: IP = , processing ke payload Nov 27 12:02:00 [IKEv1 DEBUG]: IP = , processing ISA_KE payload Nov 27 12:02:00 [IKEv1 DEBUG]: IP = , processing nonce payload Nov 27 12:02:00 [IKEv1 DEBUG]: IP = , processing VID payload Nov 27 12:02:00 [IKEv1 DEBUG]: IP = , Received Cisco Unity client VID Nov 27 12:02:00 [IKEv1 DEBUG]: IP = , Received xauth V6 VID Nov 27 12:02:00 [IKEv1 DEBUG]: IP = , Processing VPN3000/ASA spoofing IOS Vendor ID payload (version: 1.0.0, capabilities: ) Nov 27 12:02:00 [IKEv1 DEBUG]: IP = , Received Altiga/Cisco VPN3000/Cisco ASA GW VID Nov 27 12:02:00 [IKEv1]: IP = , Connection landed on tunnel_group Nov 27 12:02:00 [IKEv1 DEBUG]: Group = , IP = , Generating keys for Initiator... Nov 27 12:02:00 [IKEv1 DEBUG]: Group = , IP = , constructing ID payload constructing hash payload Computing hash for ISAKMP Nov 27 12:02:00 [IKEv1 DEBUG]: IP = , Constructing IOS keep alive payload: proposal=32767/32767 sec. constructing dpd vid payload with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (14) + VENDOR (13) + NONE (0) total length : 119 Nov 27 12:02:00 [IKEv1]: IP = , IKE_DECODE RECEIVED Message (msgid=0) NONE (0) total length : 96 processing ID payload ccnp_cch
23
ccnp_cch processing hash payload
Nov 27 12:02:00 [IKEv1 DEBUG]: Group = , IP = , Computing hash for ISAKMP Nov 27 12:02:00 [IKEv1 DEBUG]: IP = , Processing IOS keep alive payload: proposal=32767/32767 sec. processing VID payload Received DPD VID Nov 27 12:02:00 [IKEv1]: IP = , Connection landed on tunnel_group Oakley begin quick mode Nov 27 12:02:00 [IKEv1]: Group = , IP = , PHASE 1 COMPLETED Nov 27 12:02:00 [IKEv1]: IP = , Keep−alive type for this connection: DPD Starting phase 1 rekey timer: (ms) Nov 27 12:02:00 [IKEv1 DEBUG]: Group = , IP = , IKE got SPI from key engine: SPI = 0x44ae0956 oakley constucting quick mode constructing blank hash payload constructing IPSec SA payload constructing IPSec nonce payload constructing proxy ID Transmitting Proxy Id: Local subnet: mask Protocol 0 Port 0 Remote subnet: Mask Protocol 0 Port 0 constructing qm hash payload Nov 27 12:02:00 [IKEv1]: IP = , IKE_DECODE SENDING Message (msgid=d723766b) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NOTIFY (11) + NONE (0) total length : 200 Nov 27 12:02:00 [IKEv1]: IP = , IKE_DECODE RECEIVED Message : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0) total length : 172 processing SA payload ccnp_cch
24
ccnp_cch debug crytpo isakmp
processing nonce payload Nov 27 12:02:00 [IKEv1 DEBUG]: Group = , IP = , processing ID payload loading all IPSEC SAs Generating Quick Mode Key! Nov 27 12:02:00 [IKEv1]: Group = , IP = , Security negotiation complete for LAN−to−LAN Group ( ) Initiator, Inbound SPI = 0x44ae0956, Outbound SPI = 0x4a6429ba oakley constructing final quick mode Nov 27 12:02:00 [IKEv1]: IP = , IKE_DECODE SENDING Message (msgid=d723766b) with payloads : HDR + HASH (8) + NONE (0) total length : 76 IKE got a KEY_ADD msg for SA: SPI = 0x4a6429ba Pitcher: received KEY_UPDATE, spi 0x44ae0956 Starting P2 Rekey timer to expire in seconds PHASE 2 COMPLETED (msgid=d723766b) debug crypto ipsec - Affiche les informations de debug sur les connexions IPSec. debug crytpo isakmp pix1(config)#debug crypto ipsec 7 exec mode commands/options: <1−255> Specify an optional debug level (default is 1) <cr> pix1(config)# debug crypto ipsec 7 pix1(config)# IPSEC: New embryonic SA 0x024211B0, SCB: 0x0240AEB0, Direction: inbound SPI : 0x2A3E12BE Session ID: 0x VPIF num : 0x Tunnel type: l2l Protocol : esp Lifetime : 240 seconds ccnp_cch
25
ccnp_cch IPSEC: New embryonic SA created @ 0x0240B7A0,
SCB: 0x0240B710, Direction: outbound SPI : 0xB283D32F Session ID: 0x VPIF num : 0x Tunnel type: l2l Protocol : esp Lifetime : 240 seconds IPSEC: Completed host OBSA update, SPI 0xB283D32F IPSEC: Updating outbound VPN context 0x , SPI 0xB283D32F Flags: 0x SA : 0x0240B7A0 SPI : 0xB283D32F MTU : 1500 bytes VCID : 0x Peer : 0x SCB : 0x0240B710 Channel: 0x014A45B0 IPSEC: Completed outbound VPN context, SPI 0xB283D32F VPN handle: 0x IPSEC: Completed outbound inner rule, SPI 0xB283D32F Rule ID: 0x01FA0290 IPSEC: New outbound permit rule, SPI 0xB283D32F Src addr: Src mask: Dst addr: Dst mask: Src ports Upper: 0 Lower: 0 Op : ignore Dst ports Protocol: 50 Use protocol: true SPI: 0xB283D32F Use SPI: true IPSEC: Completed outbound permit rule, SPI 0xB283D32F Rule ID: 0x0240AF40 IPSEC: Completed host IBSA update, SPI 0x2A3E12BE IPSEC: Creating inbound VPN context, SPI 0x2A3E12BE Flags: 0x SA : 0x024211B0 SPI : 0x2A3E12BE MTU : 0 bytes Peer : 0x SCB : 0x0240AEB0 ccnp_cch
26
ccnp_cch IPSEC: Completed inbound VPN context, SPI 0x2A3E12BE
VPN handle: 0x0240BF80 IPSEC: Updating outbound VPN context 0x , SPI 0xB283D32F Flags: 0x SA : 0x0240B7A0 SPI : 0xB283D32F MTU : 1500 bytes VCID : 0x Peer : 0x0240BF80 SCB : 0x0240B710 Channel: 0x014A45B0 IPSEC: Completed outbound VPN context, SPI 0xB283D32F VPN handle: 0x IPSEC: Completed outbound inner rule, SPI 0xB283D32F Rule ID: 0x01FA0290 IPSEC: Completed outbound outer SPD rule, SPI 0xB283D32F Rule ID: 0x0240AF40 IPSEC: New inbound tunnel flow rule, SPI 0x2A3E12BE Src addr: Src mask: Dst addr: Dst mask: Src ports Upper: 0 Lower: 0 Op : ignore Dst ports Protocol: 0 Use protocol: false SPI: 0x Use SPI: false IPSEC: Completed inbound tunnel flow rule, SPI 0x2A3E12BE Rule ID: 0x0240B108 IPSEC: New inbound decrypt rule, SPI 0x2A3E12BE Src addr: Src mask: Dst addr: Dst mask: Op : ignore Protocol: 50 Use protocol: true SPI: 0x2A3E12BE Use SPI: true IPSEC: Completed inbound decrypt rule, SPI 0x2A3E12BE Rule ID: 0x02406E98 ccnp_cch
27
ccnp_cch IPSEC: New inbound permit rule, SPI 0x2A3E12BE
Src addr: Src mask: Dst addr: Dst mask: Src ports Upper: 0 Lower: 0 Op : ignore Dst ports Protocol: 50 Use protocol: true SPI: 0x2A3E12BE Use SPI: true IPSEC: Completed inbound permit rule, SPI 0x2A3E12BE Rule ID: 0x02422C78 ccnp_cch
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.