인증서를 사용하여 PIX 방화벽과 Windows 2000 PC 간에 L2TP Over IPSec 구성

소개

L2TP(Layer 2 Tunneling Protocol) over IPsec은 Cisco Secure PIX Firewall Software Release 6.x 이상에서 지원됩니다.Windows 2000을 실행하는 사용자는 PIX 방화벽에 대한 L2TP 터널을 설정하기 위해 네이티브 IPsec 클라이언트 및 L2TP 클라이언트를 사용할 수 있습니다.트래픽은 IPsec SA(Security Associations)에 의해 암호화된 L2TP 터널을 통과합니다.

참고: PIX에 텔넷하기 위해 Windows 2000 L2TP IPsec 클라이언트를 사용할 수 없습니다.

참고: PIX의 L2TP에서는 스플릿 터널링을 사용할 수 없습니다.

사용자 인증을 위해 Microsoft Windows 2003 IAS(Internet Authentication Service) RADIUS 서버와 사전 공유 키를 사용하여 원격 Microsoft Windows 2000/2003 및 XP 클라이언트에서 PIX/ASA Security Appliance 회사 사무실로 L2TP over IPsec을 구성하려면 Windows 200 간 L2TP Over IP0을 참조하십시오. 사전 공유 키 구성 예를 사용하는 PIX/XP PC 및 PIX/ASA 7.2.

암호화된 방법을 사용하여 원격 Microsoft Windows 2000 및 XP 클라이언트에서 기업 사이트로 L2TP over IP Security(IPsec)를 구성하려면 사전 공유 키를 사용하여 Windows 2000 또는 XP 클라이언트에서 Cisco VPN 300 Series Concentrator로 L2TP over IPSec 구성 을 참조하십시오.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전에 적용됩니다.

• PIX Software 릴리스 6.3(3)

• Windows 2000(SP2 포함 또는 제외)(SP1에 대한 자세한 내용은 Microsoft 팁 Q276360 참조)

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.

배경 정보

Cisco Secure PIX 버전 6.x 이상의 인증서 지원에는 Baltimore, Microsoft, VeriSign 및 Entrust 서버가 포함됩니다.현재 PIX는 IPsec 보호 없이 L2TP 요청을 수락하지 않습니다.

이 예에서는 이 문서에서 앞서 언급한 시나리오에 대해 PIX 방화벽을 구성하는 방법을 보여 줍니다.IKE(Internet Key Exchange) 인증은 rsa sig 명령(인증서)을 사용합니다. 이 예에서는 RADIUS 서버에 의해 인증이 수행됩니다.

PIX에 암호화된 클라이언트 연결을 위한 덜 관련된 옵션은 IPSec/PPTP/L2TP를 지원하는 Cisco 하드웨어 및 VPN 클라이언트에 나열됩니다.

구성

이 섹션에서는 이 문서에 설명된 기능을 구성하는 정보를 제공합니다.

참고: 명령 조회 도구(등록된 고객만 해당)를 사용하여 이 문서에 사용된 명령에 대한 자세한 내용을 확인하십시오.

네트워크 다이어그램

이 문서에서는 다음 네트워크 설정을 사용합니다.

Microsoft L2TP 클라이언트 구성

Microsoft L2TP 클라이언트 구성 방법에 대한 자세한 내용은 Microsoft의 인터넷 프로토콜 보안 단계별 안내서를 참조하십시오 .

Microsoft에서 참조한 단계별 가이드에서 설명한 것처럼, 클라이언트는 여러 개의 테스트를 거친 CA(Certificate Authority) 서버를 지원합니다.Microsoft CA 설정 방법에 대한 자세한 내용은 Microsoft의 인증 기관 설정 단계별 안내서를 참조하십시오 .

PIX 방화벽의 인증서 가져오기

VeriSign, Entrust, Baltimore 및 Microsoft의 인증서와의 상호 운용성을 위해 PIX를 구성하는 방법에 대한 자세한 내용은 CA 컨피그레이션 예를 참조하십시오.

PIX 방화벽 컨피그레이션

이 문서에서는 이 구성을 사용합니다.

PIX Version 6.3(3)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PIX-506-2
domain-name sjvpn.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names

!--- Access Control List (ACL) configured to bypass !--- Network Address Translation (NAT) for the L2TP IP pool. 

access-list nonat permit ip 20.1.1.0 255.255.255.0 50.1.1.0 255.255.255.0

!--- ACL configured to permit L2TP traffic (UDP port 1701). 

access-list l2tp permit udp host 171.68.9.57 any eq 1701
no pager
logging on
logging console debugging
logging buffered debugging
interface ethernet0 10baset
interface ethernet1 10baset
mtu outside 1500
mtu inside 1500
ip address outside 171.68.9.57 255.255.255.0
ip address inside 20.1.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm

!--- Pool for L2TP address assignment. 

ip local pool l2tp 50.1.1.1-50.1.1.5
pdm history enable
arp timeout 14400

!--- NAT configuration that matches previously defined !--- ACL for the L2TP IP pool.

nat (inside) 0 access-list nonat
route outside 0.0.0.0 0.0.0.0 171.68.9.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323
0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius

!--- AAA (RADIUS) server configuration.

aaa-server RADIUS (inside) host 20.1.1.2 cisco timeout 5
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable

!--- sysopt command entry to permit L2TP !--- traffic, while bypassing all ACLs.

sysopt connection permit-l2tp
no sysopt route dnat

!--- The IPsec configuration.

crypto ipsec transform-set l2tp esp-des esp-md5-hmac

!--- Only transport mode is supported.

crypto ipsec transform-set l2tp mode transport
crypto ipsec security-association lifetime seconds 3600
crypto dynamic-map dyna 20 match address l2tp
crypto dynamic-map dyna 20 set transform-set l2tp
crypto map mymap 10 ipsec-isakmp dynamic dyna
crypto map mymap client authentication RADIUS
crypto map mymap interface outside

!--- The IKE configuration.

isakmp enable outside
isakmp policy 20 authentication rsa-sig
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 1
isakmp policy 20 lifetime 86400
ca identity sjvpn 171.68.9.149:/certsrv/mscep/mscep.dll
ca configure sjvpn ra 1 20 crloptional
telnet 171.68.9.0 255.255.255.0 inside
telnet 20.1.1.2 255.255.255.255 inside
telnet timeout 60
ssh timeout 5

!--- The L2TP configuration parameters.

vpdn group l2tpipsec accept dialin l2tp
vpdn group l2tpipsec ppp authentication chap
vpdn group l2tpipsec ppp authentication mschap
vpdn group l2tpipsec client configuration address local l2tp
vpdn group l2tpipsec client configuration dns 20.1.1.250 20.1.1.251
vpdn group l2tpipsec client configuration wins 20.1.1.250
vpdn group l2tpipsec client authentication aaa RADIUS
vpdn group l2tpipsec client accounting RADIUS
vpdn group l2tpipsec l2tp tunnel hello 60
vpdn enable outside
terminal width 80
Cryptochecksum:06a53009d1e9f04740256d9f0fb82837
: end
[OK]

다음을 확인합니다.

이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.

Output Interpreter 도구(등록된 고객만 해당)(OIT)는 특정 show 명령을 지원합니다.OIT를 사용하여 show 명령 출력의 분석을 봅니다.

• show crypto ca cert - 인증서, CA 인증서 및 모든 RA(Registration Authority) 인증서에 대한 정보를 표시합니다.

  Certificate 
  Status: Available 
  Certificate Serial Number: 03716308000000000022 
  Key Usage: General Purpose 
  Subject Name 
  Name: PIX-506-2.sjvpn.com 
  Validity Date: 
  start date: 16:29:10 Apr 27 2001 
  end date: 16:39:10 Apr 27 2002 
  
  
  RA Signature Certificate 
  Status: Available 
  Certificate Serial Number: 0347dc82000000000002 
  Key Usage: Signature 
  CN = scott 
  OU = tac 
  O = cisco 
  L = san jose 
  ST = ca 
  C = US 
  EA =<16> zaahmed@cisco.com 
  Validity Date: 
  start date: 18:47:45 Jul 27 2000 
  
  end date: 18:57:45 Jul 27 2001 
  
  
  CA Certificate 
  Status: Available 
  Certificate Serial Number: 1102485095cbf8b3415b2e96e86800d1 
  Key Usage: Signature 
  CN = zakca 
  OU = vpn 
  O = cisco 
  L = sj 
  ST = california 
  C = US 
  EA =<16> zaahmed@cisco.com 
  Validity Date: 
  start date: 03:15:09 Jul 27 2000 
  
  end date: 03:23:48 Jul 27 2002 
  
  
  RA KeyEncipher Certificate 
  Status: Available 
  Certificate Serial Number: 0347df0d000000000003 
  Key Usage: Encryption 
  CN = scott 
  OU = tac 
  O = cisco 
  L = san jose 
  ST = ca 
  C = US 
  EA =<16> zaahmed@cisco.com 
  Validity Date: 
  start date: 18:47:46 Jul 27 2000 
  
  end date: 18:57:46 Jul 27 2001 

• show crypto isakmp sa - 피어의 현재 모든 IKE SA를 표시합니다.

  dst src state pending created 
  171.68.9.57 171.68.9.149 QM_IDLE 0 1 

• show crypto ipsec sa - 현재 SA에서 사용하는 설정을 표시합니다.

  interface: outside 
  Crypto map tag: mymap, local addr. 171.68.9.57 
  local ident (addr/mask/prot/port): (171.68.9.57/255.255.255.255/17/1701) 
  remote ident (addr/mask/prot/port): (171.68.9.149/255.255.255.255/17/1701) 
  current_peer: 171.68.9.149 
  dynamic allocated peer ip: 0.0.0.0 
  
  PERMIT, flags={reassembly_needed,transport_parent,} 
  #pkts encaps: 20, #pkts encrypt: 20, #pkts digest 20 
  #pkts decaps: 45, #pkts decrypt: 45, #pkts verify 45 
  #pkts compressed: 0, #pkts decompressed: 0 
  #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 
  #send errors 0, #recv errors 0 
  
  local crypto endpt.: 171.68.9.57, remote crypto endpt.: 171.68.9.149 
  path mtu 1500, ipsec overhead 36, media mtu 1500 
  current outbound spi: a8c54ec8 
  
  inbound esp sas: 
  spi: 0xfbc9db43(4224310083) 
  transform: esp-des esp-md5-hmac , 
  in use settings ={Transport, } 
  slot: 0, conn id: 1, crypto map: mymap 
  sa timing: remaining key lifetime (k/sec): (99994/807) 
  IV size: 8 bytes 
  replay detection support: Y 
  
  
  inbound ah sas: 
  
  
  inbound pcp sas: 
  
  
  outbound esp sas: 
  spi: 0xa8c54ec8(2831503048) 
  transform: esp-des esp-md5-hmac , 
  in use settings ={Transport, } 
  slot: 0, conn id: 2, crypto map: mymap 
  sa timing: remaining key lifetime (k/sec): (99999/807) 
  IV size: 8 bytes 
  replay detection support: Y 
  
  
  outbound ah sas: 
  
  
  outbound pcp sas: 

• show vpdn tunnel - VPDN(virtual private dialup network)의 활성 L2TP 또는 L2F(Level 2 Forwarding) 터널에 대한 정보를 표시합니다.

  L2TP Tunnel Information (Total tunnels=1 sessions=1) 
  
  Tunnel id 4 is up, remote id is 19, 1 active sessions 
  Tunnel state is established, time since change 96 secs 
  Remote Internet Address 171.68.9.149, port 1701 
  Local Internet Address 171.68.9.57, port 1701 
  15 packets sent, 38 received, 420 bytes sent, 3758 received 
  Control Ns 3, Nr 5 
  Local RWS 16, Remote RWS 8 
  Retransmission time 1, max 1 seconds 
  Unsent queuesize 0, max 0 
  Resend queuesize 0, max 1 
  Total resends 0, ZLB ACKs 3 
  Retransmit time distribution: 0 0 0 0 0 0 0 0 0 
  
  
  % No active PPTP tunnels 
  
  PIX-506-2# sh uauth 
  Current Most Seen 
  Authenticated Users 1 2 
  Authen In Progress 0 2 
  vpdn user 'vpnclient' at 50.1.1.1, authenticated 

• show vpdn session - VPDN의 활성 L2TP 또는 L2F 세션에 대한 정보를 표시합니다.

  L2TP Session Information (Total tunnels=1 sessions=1) 
  
  Call id 4 is up on tunnel id 4 
  Remote tunnel name is zaahmed-pc 
  Internet Address is 171.68.9.149 
  Session username is vpnclient, state is established 
  Time since change 201 secs, interface outside 
  Remote call id is 1 
  PPP interface id is 1 
  15 packets sent, 56 received, 420 bytes sent, 5702 received 
  Sequencing is off 

• show vpdn pppinterface - show vpdn session 명령에서 인터페이스 식별 값에 대해 PPTP 터널에 대해 생성된 PPP 가상 인터페이스의 상태 및 통계를 표시합니다.

  PPP virtual interface id = 1 
  PPP authentication protocol is CHAP 
  Client ip address is 50.1.1.1 
  Transmitted Pkts: 15, Received Pkts: 56, Error Pkts: 0 
  MPPE key strength is None 
  MPPE_Encrypt_Pkts: 0, MPPE_Encrypt_Bytes: 0 
  MPPE_Decrypt_Pkts: 0, MPPE_Decrypt_Bytes: 0 
  Rcvd_Out_Of_Seq_MPPE_Pkts: 0 

• show uauth - 현재 사용자 인증 및 권한 부여 정보를 표시합니다.

  Current Most Seen 
  Authenticated Users 1 2 
  Authen In Progress 0 2 
  vpdn user 'vpnclient' at 50.1.1.1, authenticated

문제 해결

이 섹션에서는 컨피그레이션 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.

문제 해결 명령

Output Interpreter 도구(등록된 고객만 해당)(OIT)는 특정 show 명령을 지원합니다.OIT를 사용하여 show 명령 출력의 분석을 봅니다.

참고: debug 명령을 사용하기 전에 디버그 명령에 대한 중요 정보를 참조하십시오.

• debug crypto ipsec - IPsec 이벤트를 표시합니다.

• debug crypto isakmp - IKE 이벤트에 대한 메시지를 표시합니다.

• debug crypto engine - 암호화 및 해독을 수행하는 암호화 엔진에 대한 디버그 메시지를 표시합니다.

• debug ppp io - PPTP PPP 가상 인터페이스에 대한 패킷 정보를 표시합니다.

• debug crypto ca - CA와 교환된 디버그 메시지를 표시합니다.

• debug ppp error—PPP 연결 협상 및 작업과 관련된 프로토콜 오류 및 오류 통계를 표시합니다.

• debug vpdn error - PPP 터널이 설정되지 않도록 하는 오류 또는 설정된 터널을 닫도록 하는 오류를 표시합니다.

• debug vpdn packet - VPDN에 대한 일반 터널 설정 또는 종료의 일부인 L2TP 오류 및 이벤트를 표시합니다.

• debug vpdn event - 일반 PPP 터널 설정 또는 종료의 일부인 이벤트에 대한 메시지를 표시합니다.

• debug ppp uauth — PPTP PPP 가상 인터페이스 AAA 사용자 인증 디버깅 메시지를 표시합니다.

디버그 출력 샘플

이것은 PIX 방화벽의 올바른 디버그 샘플입니다.

crypto_isakmp_process_block: src 171.68.9.149, dest 171.68.9.57 
ISAKMP: Created a peer node for 171.68.9.149 
OAK_MM exchange 
ISAKMP (0): processing SA payload. message ID = 0 
ISAKMP (0): Checking ISAKMP transform 1 against priority 20 policy 
ISAKMP: encryption DES-CBC 
ISAKMP: hash MD5 
ISAKMP: default group 1 
ISAKMP: auth RSA sig 
ISAKMP: life type in seconds 
ISAKMP: life duration (VPI) of 0x0 0x0 0xe 0x10 
ISAKMP (0): atts are acceptable. Next payload is 0 
ISAKMP (0): processing vendor id payload 

ISAKMP (0): speaking to a MSWIN2K client 

ISAKMP (0): SA is doing RSA signature authentication using id type ID_FQDN 
return status is IKMP_NO_ERROR 
crypto_isakmp_process_block: src 171.68.9.149, dest 171.68.9.57 
OAK_MM exchange 
ISAKMP (0): processing KE payload. message ID = 0 

ISAKMP (0): processing NONCE payload. message ID = 0 

return status is IKMP_NO_ERROR 
crypto_isakmp_process_block: src 171.68.9.149, dest 171.68.9.57 
OAK_MM exchange 
ISAKMP (0): processing ID payload. message ID = 0 
ISAKMP (0): processing CERT payload. message ID = 0 
ISAKMP (0): processing a CT_X509_SIGNATURE cert 
CRYPTO_PKI: status = 0: crl check ignored 
PKI: key process suspended and continued 
CRYPTO_PKI: WARNING: Certificate, private key or CRL was not found 
while selecting CRL 

CRYPTO_PKI: cert revocation status unknown. 
ISAKMP (0): cert approved with warning 
ISAKMP (0): processing SIG payload. message ID = 0 
ISAKMP (0): processing CERT_REQ payload. message ID = 0 
ISAKMP (0): peer wants a CT_X509_SIGNATURE cert 
ISAKMP (0): SA has been authenticated 


ISAKMP (0): ID payload 
next-payload : 6 
type : 2 
protocol : 17 
port : 500 
length : 23 
ISAKMP (0): Total payload length: 27 
return status is IKMP_NO_ERROR 
crypto_isakmp_process_block: src 171.68.9.149, dest 171.68.9.57 
OAK_QM exchange 
oakley_process_quick_mode: 
OAK_QM_IDLE 
ISAKMP (0): processing SA payload. message ID = 3800855889 

ISAKMP : Checking IPSec proposal 1 

ISAKMP: transform 1, ESP_DES 
ISAKMP: attributes in transform: 
ISAKMP: SA life type in seconds 
ISAKMP: SA life duration (VPI) of 0x0 0x0 0x3 0x84 
ISAKMP: SA life type in kilobytes 
ISAKMP: SA life duration (VPI) of 0x0 0x1 0x86 0xa0 
ISAKMP: encaps is 2 
ISAKMP: authenticator is HMAC-MD5 
ISAKMP (0): atts are acceptable.IPSEC(validate_proposal_request): proposal part #1, 
(key eng. msg.) dest= 171.68.9.57, src= 171.68.9.149, 
dest_proxy= 171.68.9.57/255.255.255.255/17/1701 (type=1), 
src_proxy= 171.68.9.149/255.255.255.255/17/1701 (type=1), 
protocol= ESP, transform= esp-des esp-md5-hmac , 
lifedur= 0s and 0kb, 
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0 

ISAKMP (0): processing NONCE payload. message ID = 3800855889 

ISAKMP (0): processing ID payload. message ID = 3800855889 
ISAKMP (0): ID_IPV4_ADDR src 171.68.9.149 prot 17 port 1701 
ISAKMP (0): processing ID payload. message ID = 3800855889 
ISAKMP (0): ID_IPV4_ADDR dst 171.68.9.57 prot 17 port 1701IPSEC(key_engine): 
got a queue event... 
IPSEC(spi_response): getting spi 0xfbc9db43(4224310083) for SA 
from 171.68.9.149 to 171.68.9.57 for prot 3 

return status is IKMP_NO_ERROR 
crypto_isakmp_process_block: src 171.68.9.149, dest 171.68.9.57 
OAK_QM exchange 
oakley_process_quick_mode: 
OAK_QM_AUTH_AWAIT 
ISAKMP (0): Creating IPSec SAs 
inbound SA from 171.68.9.149 to 171.68.9.57 (proxy 171.68.9.149 to 171.68.9.57) 
has spi 4224310083 and conn_id 1 and flags 0 
lifetime of 900 seconds 
lifetime of 100000 kilobytes 
outbound SA from 171.68.9.57 to 171.68.9.149 (proxy 171.68.9.57 to 171.68.9.149) 
has spi 2831503048 and conn_id 2 and flags 0 
lifetime of 900 seconds 
lifetime of 100000 kilobytesIPSEC(key_engine): got a queue event... 
IPSEC(initialize_sas): , 
(key eng. msg.) dest= 171.68.9.57, src= 171.68.9.149, 
dest_proxy= 171.68.9.57/0.0.0.0/17/1701 (type=1), 
src_proxy= 171.68.9.149/0.0.0.0/17/1701 (type=1), 
protocol= ESP, transform= esp-des esp-md5-hmac , 
lifedur= 900s and 100000kb, 
spi= 0xfbc9db43(4224310083), conn_id= 1, keysize= 0, flags= 0x0 
IPSEC(initialize_sas): , 
(key eng. msg.) src= 171.68.9.57, dest= 171.68.9.149, 
src_proxy= 171.68.9.57/0.0.0.0/17/1701 (type=1), 
dest_proxy= 171.68.9.149/0.0.0.0/17/1701 (type=1), 
protocol= ESP, transform= esp-des esp-md5-hmac , 
lifedur= 900s and 100000kb, 
spi= 0xa8c54ec8(2831503048), conn_id= 2, keysize= 0, flags= 0x0 

return status is IKMP_NO_ERROR 


show log 

603102: PPP virtual interface 1 - user: vpnclient aaa authentication started 
603103: PPP virtual interface 1 - user: vpnclient aaa authentication succeed 
109011: Authen Session Start: user 'vpnclient', sid 0 
603106: L2TP Tunnel created, tunnel_id is 1, remote_peer_ip is 171.68.9.149 
ppp_virtual_interface_id is 1, client_dynamic_ip is 50.1.1.1 
username is vpnclient 

CA에 등록하는 데 적합한 디버그

CI thread sleeps! 
Crypto CA thread wakes up!% 
% Start certificate enrollment .. 

% The subject name in the certificate will be: PIX-506-2.sjvpn.com 
  

CI thread wakes up!% Certificate request sent to Certificate Authority 
% The certificate request fingerprint will be displayed. 

PIX-506-2(config)# 
PIX-506-2(config)#     Fingerprint:  d8475977 7198ef1f 17086f56 9e3f7a89 

CRYPTO_PKI: transaction PKCSReq completed 
CRYPTO_PKI: status: 
Crypto CA thread sleeps! 
PKI: key process suspended and continued 
CRYPTO_PKI: http connection opened 
CRYPTO_PKI:  received msg of 711 bytes 
CRYPTO_PKI: WARNING: Certificate, private key or CRL was not found 
while selecting CRL 

CRYPTO_PKI: signed attr: pki-message-type: 
13 01 33 
CRYPTO_PKI: signed attr: pki-status: 
13 01 33 
CRYPTO_PKI: signed attr: pki-recipient-nonce: 
04 10 70 0d 4e e8 03 09 71 4e c8 24 7a 2b 03 70 55 97 
CRYPTO_PKI: signed attr: pki-transaction-id: 
13 20 65 66 31 32 32 31 30 33 31 37 30 61 30 38 65 32 33 38 
38 35 61 36 30 65 32 35 31 31 34 66 62 37 
CRYPTO_PKI: status = 102: certificate request pending 
CRYPTO_PKI: http connection opened 
CRYPTO_PKI:  received msg of 711 bytes 
CRYPTO_PKI: WARNING: Certificate, private key or CRL was not found 
while selecting CRL 
CRYPTO_PKI: signed attr: pki-message-type: 
13 01 33 
CRYPTO_PKI: signed attr: pki-status: 
13 01 33 
CRYPTO_PKI: signed attr: pki-recipient-nonce: 
04 10 c8 9f 97 4d 88 24 92 a5 3b ba 9e bc d6 7c 75 57 
CRYPTO_PKI: signed attr: pki-transaction-id: 
13 20 65 66 31 32 32 31 30 33 31 37 30 61 30 38 65 32 33 38 
38 35 61 36 30 65 32 35 31 31 34 66 62 37 
CRYPTO_PKI: status = 102: certificate request pending 

!--- After approval from CA. 

Crypto CA thread wakes up! 
CRYPTO_PKI: resend GetCertInitial, 1 
Crypto CA thread sleeps! 
CRYPTO_PKI: resend GetCertInitial for session: 0 
CRYPTO_PKI: http connection opened 
The certificate has been granted by CA! 

CRYPTO_PKI:  received msg of 1990 bytes 
CRYPTO_PKI: WARNING: Certificate, private key or CRL was not found 
while selecting CRL 

PKI: key process suspended and continued 
CRYPTO_PKI: signed attr: pki-message-type: 
13 01 33 
CRYPTO_PKI: signed attr: pki-status: 
13 01 30 
CRYPTO_PKI: signed attr: pki-recipient-nonce: 
04 10 c8 9f 97 4d 88 24 92 a5 3b ba 9e bc d6 7c 75 57 
CRYPTO_PKI: signed attr: pki-transaction-id: 
13 20 65 66 31 32 32 31 30 33 31 37 30 61 30 38 65 32 33 38 
38 35 61 36 30 65 32 35 31 31 34 66 62 37 
CRYPTO_PKI: status = 100: certificate is granted 
CRYPTO_PKI: WARNING: Certificate, private key or CRL was not found 
while selecting CRL 

CRYPTO_PKI: All enrollment requests completed. 
CRYPTO_PKI: All enrollment requests completed. 
CRYPTO_PKI: WARNING: Certificate, private key or CRL was not found 
while selecting CRL 

CA에 등록하는 데 잘못된 디버그

이 예에서는 ca identity 명령에서 잘못된 URL 구문이 사용되었습니다.

CI thread sleeps! 
Crypto CA thread wakes up! 
CRYPTO_PKI: http connection opened 
msgsym(GETCARACERT, CRYPTO)! 
%Error in connection to Certificate Authority: status = FAIL 
CRYPTO_PKI: status = 266: failed to verify 
CRYPTO_PKI: transaction GetCACert completed 
Crypto CA thread sleeps!

등록 모드가 RA 대신 CA로 지정된 경우 다음 디버그를 가져옵니다.

CI thread sleeps! 
Crypto CA thread wakes up! 
CRYPTO_PKI: http connection opened 
Certificate has the following attributes: 

Fingerprint: 49dc7b2a cd5fc573 6c774840 e58cf178 

CRYPTO_PKI: transaction GetCACert completed 
CRYPTO_PKI: Error:  Invalid format for BER encoding while 

CRYPTO_PKI: can not set ca cert object. 
CRYPTO_PKI: status = 65535: failed to process RA certiifcate 
Crypto CA thread sleeps! 

이 예에서는 mode transport 명령이 없습니다.

ISAKMP:      SA life type in seconds 
ISAKMP:      SA life duration (VPI) of  0x0 0x0 0x70 0x80 
ISAKMP:      SA life type in kilobytes 
ISAKMP:      SA life duration (VPI) of  0x0 0x46 0x50 0x0 
ISAKMP:      encaps is 2 
ISAKMP:      authenticator is HMAC-MD5IPSEC(validate_proposal): 
invalid transform proposal flags -- 0x0 

이 출력에서 crypto map mymap 10 ipsec-isakmp dynamic dyna 명령이 누락되었으며 이 메시지가 디버그에 나타날 수 있습니다.

no IPSEC cryptomap exists for local address a.b.c.d 

관련 정보

• RADIUS 기술 지원 페이지
• PIX 명령 참조
• PIX 지원 페이지
• IPsec 협상/IKE 프로토콜 지원 페이지
• RFC(Request for Comments)