تكوين نفق IPSec بين جدار حماية PIX الآمن من Cisco وجدار حماية NG لنقطة التحقق

خيارات التنزيل

PDF (609.7 KB)
عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
ePub (470.0 KB)
العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
Mobi (Kindle) (1.1 MB)
عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة

تم التحديث:١٢ مايو ٢٠٠٦

معرّف المستند:23785

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

المقدمة

المتطلبات الأساسية

المتطلبات

المكونات المستخدمة

الرسم التخطيطي للشبكة

الاصطلاحات

تكوين PIX

تكوين NG لنقطة التحقق

التحقق من الصحة

التحقق من تكوين PIX

عرض حالة النفق على نقطة التحقق NG

استكشاف الأخطاء وإصلاحها

أستكشاف أخطاء تكوين PIX وإصلاحها

تلخيص الشبكة

عرض سجلات NG لنقطة التحقق

معلومات ذات صلة

المقدمة

يوضح هذا المستند كيفية تكوين نفق IPsec بمفاتيح مشتركة مسبقا للاتصال بين شبكتين خاصتين. في هذا المثال، شبكات الاتصال هي الشبكة الخاصة 192.168.10.x داخل جدار حماية Cisco Secure PIX والشبكة الخاصة 10.32.x.x داخل جدار حماية ^CheckpointTM من الجيل التالي (NG).

المتطلبات الأساسية

المتطلبات

تأكد من استيفاء المتطلبات التالية قبل أن تحاول إجراء هذا التكوين:

يجب تدفق حركة المرور من داخل PIX ومن داخل ^CheckpointTM NG إلى الإنترنت (ممثلة هنا بشبكات 172.18.124.x) قبل بدء هذا التكوين.
يجب أن يكون المستخدمون على دراية بتفاوض IPsec. يمكن تقسيم هذه العملية إلى خمس خطوات، تتضمن مرحلتين من عملية تبادل مفتاح الإنترنت (IKE).
1. يتم بدء نفق IPsec بواسطة حركة مرور مثيرة للاهتمام. تعتبر حركة المرور مثيرة للاهتمام عندما تنتقل بين نظائر IPsec.
2. في المرحلة الأولى من IKE، يتفاوض نظراء IPsec على سياسة اقتران أمان IKE (SA) التي تم إنشاؤها. بمجرد مصادقة النظراء، يتم إنشاء نفق آمن باستخدام بروتوكول إدارة المفاتيح وارتباط أمان الإنترنت (ISAKMP).
3. في المرحلة 2 من IKE، يستخدم نظراء IPsec النفق الآمن والمصدع للتفاوض على تحويلات IPsec SA. يحدد التفاوض على السياسة المشتركة كيفية إنشاء نفق IPsec.
4. يتم إنشاء نفق IPsec ويتم نقل البيانات بين نظائر IPsec استنادا إلى معلمات IPsec التي تم تكوينها في مجموعات تحويل IPsec.
5. ينتهي نفق IPsec عند حذف وحدات IPsec SAs أو عند انتهاء صلاحية مدة حياتها.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

برنامج PIX الإصدار 6.2.1
جدار حماية ^CheckpointTM NG

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الرسم التخطيطي للشبكة

يستخدم هذا المستند إعداد الشبكة التالي:

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

تكوين PIX

يقدم لك هذا القسم معلومات تكوين الميزات الموضحة في هذا المستند.

تكوين PIX
PIX Version 6.2(1) nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname PIXRTPVPN domain-name cisco.com fixup protocol ftp 21 fixup protocol http 80 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol ils 389 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol sip 5060 fixup protocol skinny 2000 names !--- Interesting traffic to be encrypted to the Checkpoint™ NG. access-list 101 permit ip 192.168.10.0 255.255.255.0 10.32.0.0 255.255.128.0 !--- Do not perform Network Address Translation (NAT) on traffic to the Checkpoint™ NG. access-list nonat permit ip 192.168.10.0 255.255.255.0 10.32.0.0 255.255.128.0 pager lines 24 interface ethernet0 10baset interface ethernet1 10full mtu outside 1500 mtu inside 1500 ip address outside 172.18.124.158 255.255.255.0 ip address inside 192.168.10.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm history enable arp timeout 14400 global (outside) 1 interface !--- Do not perform NAT on traffic to the Checkpoint™ NG. nat (inside) 0 access-list nonat nat (inside) 1 0.0.0.0 0.0.0.0 0 0 route outside 0.0.0.0 0.0.0.0 172.18.124.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server LOCAL protocol local no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable !--- Permit all inbound IPsec authenticated cipher sessions. sysopt connection permit-ipsec no sysopt route dnat !--- Defines IPsec encryption and authentication algorithms. crypto ipsec transform-set rtptac esp-3des esp-md5-hmac !--- Defines crypto map. crypto map rtprules 10 ipsec-isakmp crypto map rtprules 10 match address 101 crypto map rtprules 10 set peer 172.18.124.157 crypto map rtprules 10 set transform-set rtptac !--- Apply crypto map on the outside interface. crypto map rtprules interface outside isakmp enable outside !--- Defines pre-shared secret used for IKE authentication. isakmp key **** address 172.18.124.157 netmask 255.255.255.255 !--- Defines ISAKMP policy. isakmp policy 1 authentication pre-share isakmp policy 1 encryption 3des isakmp policy 1 hash md5 isakmp policy 1 group 2 isakmp policy 1 lifetime 86400 telnet timeout 5 ssh timeout 5 terminal width 80 Cryptochecksum:089b038c8e0dbc38d8ce5ca72cf920a5 : end

تكوين PIX

PIX Version 6.2(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PIXRTPVPN
domain-name cisco.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names

!--- Interesting traffic to be encrypted to the Checkpoint™ NG.

access-list 101 permit ip 192.168.10.0 255.255.255.0 10.32.0.0 255.255.128.0

!--- Do not perform Network Address Translation (NAT) on traffic to the Checkpoint™ NG.

access-list nonat permit ip 192.168.10.0 255.255.255.0 10.32.0.0 255.255.128.0
pager lines 24
interface ethernet0 10baset
interface ethernet1 10full
mtu outside 1500
mtu inside 1500
ip address outside 172.18.124.158 255.255.255.0
ip address inside 192.168.10.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface

!--- Do not perform NAT on traffic to the Checkpoint™ NG.

nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 
   h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable

!--- Permit all inbound IPsec authenticated cipher sessions.

sysopt connection permit-ipsec
no sysopt route dnat

!--- Defines IPsec encryption and authentication algorithms.

crypto ipsec transform-set rtptac esp-3des esp-md5-hmac

!--- Defines crypto map.

crypto map rtprules 10 ipsec-isakmp
crypto map rtprules 10 match address 101
crypto map rtprules 10 set peer 172.18.124.157
crypto map rtprules 10 set transform-set rtptac

!--- Apply crypto map on the outside interface.

crypto map rtprules interface outside
isakmp enable outside

!--- Defines pre-shared secret used for IKE authentication.

isakmp key ******** address 172.18.124.157 netmask 255.255.255.255

!--- Defines ISAKMP policy.

isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash md5
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:089b038c8e0dbc38d8ce5ca72cf920a5
: end

تكوين NG لنقطة التحقق

يتم تحديد كائنات الشبكة وقواعدها على ^CheckpointTM NG لتكوين السياسة المتعلقة بتكوين VPN الذي سيتم إعداده. يتم بعد ذلك تثبيت هذا النهج باستخدام محرر نهج NG ^CheckpointTM لإكمال جانب NG ^CheckpointTM من التكوين.

قم بإنشاء كائني الشبكة لشبكة نقطة التفتيش وشبكة جدار حماية PIX التي تقوم بتشفير حركة المرور المفيدة.

للقيام بذلك، حدد إدارة > كائنات الشبكة، ثم حدد جديد > الشبكة. أدخل معلومات الشبكة المناسبة، ثم انقر على موافق.

تظهر هذه الأمثلة مجموعة من كائنات الشبكة تسمى CP_Inside (داخل شبكة ^CheckpointTM NG) و Pixinside (داخل شبكة PIX).
إنشاء كائنات محطة العمل ل ^CheckpointTM NG و PIX. للقيام بذلك، حدد إدارة > كائنات الشبكة > جديد > محطة العمل.

لاحظ أنه يمكنك إستخدام كائن محطة العمل ^CheckpointTM NG الذي تم إنشاؤه أثناء إعداد ^CheckpointTM الأولي. حدد الخيارات لتعيين محطة العمل كبوابة وجهاز VPN قابل للتشغيل البيني، ثم انقر فوق موافق.

تظهر هذه الأمثلة مجموعة من الكائنات تسمى CiscoCCP (CheckpointTM NG) و PIX (جدار حماية PIX).
حدد إدارة>كائنات الشبكة>تحرير لفتح نافذة خصائص محطة العمل ل CheckpointTM NG Workstation (CiscoP في هذا المثال).

حدد المخطط من الخيارات الموجودة على الجانب الأيسر من النافذة، ثم حدد الشبكة التي سيتم تشفيرها. انقر فوق تحرير لتعيين خصائص الواجهة.
حدد الخيار الخاص بتعيين محطة العمل كمحطة عمل داخلية، ثم حدد عنوان IP المناسب. وانقر فوق OK.

في هذا تشكيل، cp_inside هو الشبكة الداخلية من ال ^CheckpointTM NG. تعين تحديدات المخطط الموضحة هنا محطة العمل كمحطة عمل داخلية وتحدد العنوان كبروتوكول CP_Inside.
من نافذة "خصائص محطة العمل"، حدد الواجهة الخارجية الموجودة على NG ^CheckpointTM التي تؤدي إلى الإنترنت، ثم انقر فوق Edit" لتعيين خصائص الواجهة. حدد الخيار لتعيين المخطط كمخطط خارجي، ثم انقر فوق موافق.
من نافذة خصائص محطة العمل على ^CheckpointTM NG، حدد VPN من الخيارات الموجودة على الجانب الأيسر من النافذة، ثم حدد معلمات IKE لخوارزميات التشفير والمصادقة. انقر فوق تحرير لتكوين خصائص IKE.
تكوين خصائص IKE:
- حدد الخيار لتشفير 3DES بحيث تكون خصائص IKE متوافقة مع الأمر isakmp policy # encryption 3des.
- حدد الخيار ل MD5 حتى تكون خصائص IKE متوافقة مع الأمر crypto isakmp policy # hash MD5.
حدد خيار المصادقة للأسرار المشتركة مسبقا، ثم انقر فوق تحرير الأسرار لتعيين المفتاح المشترك مسبقا على أنه متوافق مع أمر PIX عنوان مفتاح ISAKMP لعنوان قناع الشبكة قناع الشبكة. طقطقة يحرر أن يدخل مفتاحك كما هو موضح هنا وطقطقة مجموعة، ok.
من نافذة خصائص IKE، انقر على خيارات متقدمة... وقم بتغيير هذه الإعدادات:
- قم بإلغاء تحديد خيار دعم الوضع المتداخل.
- حدد الخيار لتبادل مفتاح الدعم للشبكات الفرعية.
انقر فوق موافق عند الانتهاء.
حدد إدارة > كائنات الشبكة > تحرير لفتح نافذة خصائص محطة العمل ل PIX. حدد طوبولوجيا من الخيارات الموجودة على الجانب الأيسر من النافذة لتعريف مجال VPN يدويا.

في هذا التكوين، يتم تعريف Pixinside (داخل شبكة PIX) على أنه مجال VPN.
حدد VPN من الخيارات الموجودة على الجانب الأيسر من النافذة، ثم حدد IKE كمخطط تشفير. انقر فوق تحرير لتكوين خصائص IKE.
قم بتكوين خصائص IKE كما هو موضح هنا:
- حدد الخيار لتشفير 3DES بحيث تكون خصائص IKE متوافقة مع الأمر isakmp policy # encryption 3des.
- حدد الخيار ل MD5 حتى تكون خصائص IKE متوافقة مع الأمر crypto isakmp policy # hash MD5.
حدد خيار المصادقة للأسرار المشتركة مسبقا، ثم انقر فوق تحرير الأسرار لتعيين المفتاح المشترك مسبقا كمتوافق مع أمر PIX مفتاح عنوان قناع الشبكة قناع الشبكة. انقر فوق تحرير لإدخال مفتاحك، ثم انقر فوق تعيين، موافق.
من نافذة خصائص IKE، انقر على خيارات متقدمة... وقم بتغيير هذه الإعدادات.
- حدد مجموعة Diffie-Hellman المناسبة لخصائص IKE.
- قم بإلغاء تحديد خيار دعم الوضع المتداخل.
- حدد الخيار لتبادل مفتاح الدعم للشبكات الفرعية.
وانقر فوق موافق، موافق عند الانتهاء.
حدد قواعد>إضافة قواعد>Top لتكوين قواعد التشفير للنهج.

في نافذة محرر النهج، قم بإدراج قاعدة بمصدر CP_Inside (داخل شبكة من نقطة التفتيش ^TM NG) و Pixinside (داخل شبكة PIX) على كل من أعمدة المصدر والوجهة. قم بتعيين قيم للخدمة = أي، الإجراء = تشفير، والمسار = السجل. عندما تقوم بإضافة قسم إجراء التشفير من القاعدة، انقر بزر الماوس الأيمن فوق الإجراء وحدد تحرير الخصائص.
مع تحديد IKE وإبرازه، انقر تحرير.
على نافذة خصائص IKE، قم بتغيير الخصائص لتوافق مع تحويلات PIX IPsec في أمر crypto ipSec transform-set rtptac esp-3des esp-md5-hmac.

قم بتعيين خيار التحويل إلى التشفير + تكامل البيانات (ESP)، وتعيين خوارزمية التشفير إلى 3DES، وتعيين تكامل البيانات إلى MD5، وتعيين بوابة النظير المسموح بها لمطابقة بوابة PIX الخارجية (المعروفة باسم PIX هنا). وانقر فوق OK.
بعد تكوين ^CheckpointTM NG، احفظ النهج وحدد النهج > Install لتمكينه.

تعرض نافذة التثبيت ملاحظات التقدم أثناء تحويل النهج برمجيا.

عندما تشير نافذة التثبيت إلى اكتمال تثبيت النهج. انقر فوق إغلاق" لإنهاء الإجراء.

التحقق من الصحة

التحقق من تكوين PIX

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

تدعم أداة مترجم الإخراج (للعملاءالمسجلين فقط) بعض أوامر show. استخدم أداة مترجم الإخراج (OIT) لعرض تحليل مُخرَج الأمر show .

بدء إختبار اتصال من إحدى الشبكات الخاصة إلى الشبكة الخاصة الأخرى لاختبار الاتصال بين الشبكتين الخاصتين. في هذا التكوين، تم إرسال إختبار اتصال من جانب PIX (192.168.10.2) إلى الشبكة الداخلية ^CheckpointTM NG (10.32.50.51).

show crypto isakmp sa— يعرض جميع شبكات IKE الحالية في نظير.

show crypto isakmp sa
Total    : 1
Embryonic : 0
             dst                      src                     state     pending   created
  172.18.124.157   172.18.124.158   QM_IDLE         0          1

show crypto ipSec—يعرض الإعدادات المستخدمة من قبل SAs الحالية.

PIX501A#show cry ipsec sa

interface: outside
    Crypto map tag: rtprules, local addr. 172.18.124.158

   local  ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (10.32.0.0/255.255.128.0/0/0)
   current_peer: 172.18.124.157
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 19, #pkts encrypt: 19, #pkts digest 19
    #pkts decaps: 19, #pkts decrypt: 19, #pkts verify 19
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
    #send errors 1, #recv errors 0

     local crypto endpt.: 172.18.124.158, remote crypto endpt.: 172.18.124.157
     path mtu 1500, ipsec overhead 56, media mtu 1500
     current outbound spi: 6b15a355

     inbound esp sas:
      spi: 0xced238c7(3469883591)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        slot: 0, conn id: 3, crypto map: rtprules
        sa timing: remaining key lifetime (k/sec): (4607998/27019)
        IV size: 8 bytes
        replay detection support: Y

     inbound ah sas:
     inbound pcp sas:

     outbound esp sas:
      spi: 0x6b15a355(1796580181)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        slot: 0, conn id: 4, crypto map: rtprules
        sa timing: remaining key lifetime (k/sec): (4607998/27019)
        IV size: 8 bytes
        replay detection support: Y


     outbound ah sas:

     outbound pcp sas:

عرض حالة النفق على نقطة التحقق NG

انتقل إلى "محرر النهج" وحدد نافذة > حالة النظام لعرض حالة النفق.

استكشاف الأخطاء وإصلاحها

أستكشاف أخطاء تكوين PIX وإصلاحها

ملاحظة: ارجع إلى معلومات مهمة حول أوامر التصحيح قبل إستخدام أوامر debug.

أستخدم هذه الأوامر لتمكين تصحيح الأخطاء على جدار حماية PIX.

debug crypto engine—يعرض رسائل تصحيح الأخطاء حول محركات التشفير، التي تقوم بالتشفير وفك التشفير.
debug crypto isakmp—يعرض الرسائل المتعلقة بأحداث IKE.

VPN Peer: ISAKMP: Added new peer: ip:172.18.124.157 Total VPN Peers:1
VPN Peer: ISAKMP: Peer ip:172.18.124.157 Ref cnt incremented to:1 Total VPN Peers:1
ISAKMP (0): beginning Main Mode exchange
crypto_isakmp_process_block: src 172.18.124.157, dest 172.18.124.158
OAK_MM exchange
ISAKMP (0): processing SA payload. message ID = 0
ISAKMP (0): Checking ISAKMP transform 1 against priority 1 policy
ISAKMP: encryption 3DES-CBC
ISAKMP: hash MD5
ISAKMP: default group 2
ISAKMP: auth pre-share
ISAKMP: life type in seconds
ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
ISAKMP (0): atts are acceptable. Next payload is 0
ISAKMP (0): SA is doing pre-shared key authentication using id type ID_IPV4_ADDR
return status is IKMP_NO_ERROR
crypto_isakmp_process_block: src 172.18.124.157, dest 172.18.124.158
OAK_MM exchange
ISAKMP (0): processing KE payload. message ID = 0
ISAKMP (0): processing NONCE payload. message ID = 0
ISAKMP (0): ID payload
next-payload : 8
type : 1
protocol : 17
port : 500
length : 8
ISAKMP (0): Total payload length: 12
return status is IKMP_NO_ERROR
crypto_isakmp_process_block: src 172.18.124.157, dest 172.18.124.158
OAK_MM exchange
ISAKMP (0): processing ID payload. message ID = 0
ISAKMP (0): processing HASH payload. message ID = 0
ISAKMP (0): SA has been authenticated
ISAKMP (0): beginning Quick Mode exchange, M-ID of 322868148:133e93b4 IPSEC(key_engine): got a queue event...
IPSEC(spi_response): getting spi 0xced238c7(3469883591) for SA
from 172.18.124.157 to 172.18.124.158 for prot 3
return status is IKMP_NO_ERROR
ISAKMP (0): sending INITIAL_CONTACT notify
ISAKMP (0): sending NOTIFY message 24578 protocol 1
ISAKMP (0): sending INITIAL_CONTACT notify
crypto_isakmp_process_block: src 172.18.124.157, dest 172.18.124.158
OAK_QM exchange
oakley_process_quick_mode:
OAK_QM_IDLE
ISAKMP (0): processing SA payload. message ID = 322868148
ISAKMP : Checking IPSec proposal 1
ISAKMP: transform 1, ESP_3DES
ISAKMP: attributes in transform:
ISAKMP: encaps is 1
ISAKMP: SA life type in seconds
ISAKMP: SA life duration (basic) of 28800
ISAKMP: SA life type in kilobytes
ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0
ISAKMP: authenticator is HMAC-MD5
ISAKMP (0): atts are acceptable. IPSEC(validate_proposal_request): proposal part #1,
(key eng. msg.) dest= 172.18.124.157, src= 172.18.124.158,
dest_proxy= 10.32.0.0/255.255.128.0/0/0 (type=4),
src_proxy= 192.168.10.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac ,
lifedur= 0s and 0kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
ISAKMP (0): processing NONCE payload. message ID = 322868148
ISAKMP (0): processing ID payload. message ID = 322868148
ISAKMP (0): processing ID payload. message ID = 322868148
ISAKMP (0): processing NOTIFY payload 24576 protocol 3
spi 3469883591, message ID = 322868148
ISAKMP (0): processing responder lifetime
ISAKMP (0): processing NOTIFY payload 24576 protocol 3
spi 3469883591, message ID = 322868148
ISAKMP (0): processing responder lifetime
ISAKMP (0): Creating IPSec SAs
inbound SA from 172.18.124.157 to 172.18.124.158 (proxy 10.32.0.0 to 192.168.10.0)
has spi 3469883591 and conn_id 3 and flags 4
lifetime of 28800 seconds
lifetime of 4608000 kilobytes
outbound SA from 172.18.124.158 to 172.18.124.157 (proxy 192.168.10.0 to 10.32.0.0)
has spi 1796580181 and conn_id 4 and flags 4
lifetime of 28800 seconds
lifetime of 4608000 kilobytesIPSEC(key_engine): got a queue event...
IPSEC(initialize_sas): ,
(key eng. msg.) dest= 172.18.124.158, src= 172.18.124.157,
dest_proxy= 192.168.10.0/255.255.255.0/0/0 (type=4),
src_proxy= 10.32.0.0/255.255.128.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac ,
lifedur= 28800s and 4608000kb,
spi= 0xced238c7(3469883591), conn_id= 3, keysize= 0, flags= 0x4
IPSEC(initialize_sas): ,
(key eng. msg.) src= 172.18.124.158, dest= 172.18.124.157,
src_proxy= 192.168.10.0/255.255.255.0/0/0 (type=4),
dest_proxy= 10.32.0.0/255.255.128.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac ,
lifedur= 28800s and 4608000kb,
spi= 0x6b15a355(1796580181), conn_id= 4, keysize= 0, flags= 0x4
VPN Peer: IPSEC: Peer ip:172.18.124.157 Ref cnt incremented to:2 Total VPN Peers:1
VPN Peer: IPSEC: Peer ip:172.18.124.157 Ref cnt incremented to:3 Total VPN Peers:1
return status is IKMP_NO_ERROR

تلخيص الشبكة

عندما يتم تكوين شبكات داخلية متجاورة متعددة في مجال التشفير على نقطة التحقق، قد يقوم الجهاز بتلخيصها تلقائيا فيما يتعلق بحركة المرور المفيدة. إذا لم يتم تكوين قائمة التحكم في الوصول إلى التشفير (ACL) على PIX للمطابقة، فمن المحتمل أن يفشل النفق. على سبيل المثال، إذا تم تكوين الشبكات الداخلية من 10.0.0.0 /24 و 10.0.1.0 /24 لتضمينها في النفق، فيمكن تلخيصها إلى 10.0.0.0 /23.