Ejemplo de configuración: Easy VPN

Transcripción

1 Ejemplo de configuración: Easy VPN Contenido Ejemplo de configuración: Easy VPN Contenido Introducción Antes de comenzar Convenciones Componentes utilizados Productos relacionados Configurar Consejos de configuración Diagrama de la red Configuraciones Verificar Resolución de problemas Comandos para resolución de problemas Información relacionada Ejemplo de configuración: Easy VPN Este documento proporciona una configuración de ejemplo del Easy VPN (EzVPN), utilizando routers de las series 1800, 2800 y 3800 de Cisco. Contenido Introducción Antes de comenzar Configurar Verificar Resolución de problemas Información relacionada Introducción Este documento proporciona un ejemplo de configuración del Easy VPN (o EzVPN) con las siguientes características: Todo el tráfico entre dos sitios de sucursales cliente y la oficina central pasa a través de una red privada virtual (VPN) de túneles

2 encriptados de seguridad IP (IPSec). Entre las técnicas utilizadas se incluyen el intercambio de claves de Internet (IKE), la detección de pares inactivos (DPD), la tunelización dividida y la política de grupos en el servidor con información del servidor de nombres de dominio (DNS), información del Servicio de nombres de Internet de Windows (WINS), nombre del dominio y una agrupación de direcciones IP para los clientes. La oficina central utiliza un concentrador EzVPN, un router de la serie 3800 de Cisco, con una interfaz ATM. Una sucursal utiliza un router de la serie 2800 de Cisco y emplea un cliente EzVPN de modo de red con una interfaz serial, mientras que la otra utiliza un router de la serie 1800 de Cisco y un EzVPN de modo cliente con una interfaz SHDSL. Los distintos comandos show muestran las configuraciones para el protocolo Asociación de seguridad en Internet y administración de claves (ISAKMP) y asociaciones de seguridad (SA) IPsec en el concentrador EzVPN, así como el estado de EzVPN de cliente IPSec en los clientes. Lista de términos ATM: Asynchronous Transfer Mode, modo de transferencia asíncrona. Protocolo de conmutación de conexión que organiza los datos en unidades de celda de 53 bytes, transmitiéndolos mediante señales digitales. Cada celda se procesa de manera asincrónica (de ahí el nombre) en relación con la transmisión o llegada de otras celdas dentro de un único mensaje. Las células también se ponen en lista de espera antes de ser transmitidas en estilo de multiplexión. ATM se puede utilizar para muchos servicios distintos, incluyendo voz, vídeo o datos. DNS: Domain Name Server, servidor de nombres de dominio. Asigna nombres a direcciones de protocolo de Internet (IP) y direcciones a nombres. Los servidores de nombres de dominio mantienen listas de asignaciones de nombres de dominio y direcciones IP. DPD: Dead peer detection, detección de pares inactivos. Implementación de una funcionalidad keepalive de cliente, para comprobar la disponibilidad del dispositivo VPN en el otro extremo de un túnel IPSec. IKE: Internet Key Exchange, intercambio de claves de Internet. IKE establece una política de seguridad compartida y autentica claves para los servicios (como IPSec) que requieren claves. Antes de que el tráfico IPSec pueda pasar, cada router, firewall o host debe verificar la identidad de su par. Esto se puede hacer de forma manual introduciendo las claves precompartidas en ambos hosts o mediante un servicio de autoridad de certificación (CA). IPSec: IP Security, seguridad IP. Marco de normas abiertas que proporciona confidencialidad, integridad y autenticación de datos entre los pares que participan. IPSec proporciona estos servicios de seguridad en la capa IP. IPSec utiliza IKE para gestionar la negociación de protocolos y algoritmos en función de la política local y para generar las claves de cifrado y autenticación que se utilizarán en IPSec. IPSec puede proteger uno o varios flujos de datos entre un par de hosts, entre un par de puertas de enlace de seguridad, o bien entre una puerta de enlace de seguridad y un host. ISAKMP: Internet Security Association Key Management Protocol, protocolo Asociación de seguridad en Internet y administración de claves. Protocolo para el cifrado y la autenticación de intercambio de claves. ISAKMP requiere el intercambio de al menos un par de mensajes entre dos pares conectados por VPN antes de que se pueda establecer un enlace seguro. NETBEUI: NetBIOS extended user interface, interfaz de usuario extendida de NetBios. Protocolo de transporte asociado a redes basadas en Microsoft. A diferencia de TCP/IP, NETBEUI no es un protocolo de red enrutable. NetBIOS: Network Basic Input/Output System, sistema básico de entrada y salida de red. Protocolo de red de nivel bajo de par a par creada en la década del 80, NetBIOS enlaza sistemas operativos de red con hardware de la red. NetBIOS no es enrutable y se debe encapsular con TCP/IP para atravesar los routers. SA: Security association, asociación de seguridad. Canal unidireccional negociado por IPSec, con un par de SA requeridas para la comunicación bilateral. Las SA se usan para indexar claves de sesiones y vectores de inicialización. SHDSL: Symmetrical High-Speed Digital Subscriber Line, línea de abonado digital de alta velocidad simétrica. Implementación de DSL que opera a igual velocidad en ambos sentidos de transmisión, a intervalos de entre 192 kb/s y 2,3 Mb/s. WINS: Windows Internet Naming Service, Servicio de nombres de Internet de Windows. Servicio en las redes basadas en Microsoft que convierte los nombres de host en direcciones IP. Si se usa el protocolo NETBEUI, también es compatible con NetBIOS. Antes de comenzar A continuación se detallan los requisitos para el uso de este ejemplo de configuración. Convenciones Para obtener más información sobre las convenciones del documento, consulte las Convenciones de consejos técnicos de Cisco. Componentes utilizados

3 La información que contiene este documento se basa en las siguientes versiones de software y hardware. En la oficina central, un router 3845 de Cisco con un agrupamiento de Cisco CallManager y acceso ATM a Internet. En la sucursal 1, un router 1841 de Cisco con una tarjeta de interfaz WIC-1SHDSL instalada y acceso DSL a Internet. En la sucursal 2, un router 2811 de Cisco con una conexión de interfaz serial a Internet. Para los routers de las series 1800 y 2800 de Cisco: versión 12.3(8)T4 del IOS de Cisco Para los routers de la serie 3800: versión 12.3(11)T del IOS de Cisco Conjunto de características de Advanced Enterprise Services (Servicio avanzado para empresas) La información que se presenta en este documento es el resultado del uso de dispositivos en una configuración y entorno de laboratorio concretos. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración sin definir (predeterminada). Si está trabajando en una red en vivo, asegúrese de haber comprendido el impacto que puede tener un comando antes de ejecutarlo. Productos relacionados Esta configuración también se puede utilizar con el siguiente hardware: Routers de la serie 1800 de Cisco Routers de la serie 2800 de Cisco Routers de la serie 3800 de Cisco Configurar Esta sección presenta la información para configurar las características descritas en este documento. Nota Para obtener información adicional sobre los comandos empleados en este documento, utilice la herramienta Command Lookup del IOS de Cisco. Es necesario tener una cuenta en Cisco.com. Si no tiene una cuenta o ha olvidado su nombre de usuario o contraseña, haga clic en Cancel (Cancelar) en el cuadro de diálogo de registro y siga las instrucciones que aparecen. Consejos de configuración Asegúrese de que los túneles funcionen antes de aplicar los mapas de cifrado. Aplique los mapas de cifrado IPSec tanto en la interfaz de túnel como en la interfaz física. Diagrama de la red Este documento utiliza la instalación de red que se muestra en la siguiente ilustración: A continuación se incluyen los términos y definiciones del diagrama, identificados por números: 1. Ubicación de oficina central 6. Enlace DSL del router de la sucursal 1 a Internet

4 2. Enlace ATM del router de la oficina central a Internet 7. Enlace serial del router de la sucursal 2 a Internet 3. Túnel VPN a través de Internet a la sucursal 1 8. Ubicación de la sucursal 1 4. Túnel VPN a través de Internet a la sucursal 2 9. Ubicación de la sucursal 2 5. Internet, representada mediante la nube La ubicación de la oficina central (1) utiliza un router 3845 de Cisco con las siguientes características: Servidor EzVPN Acceso ATM a Internet Funcionamiento en un agrupamiento de Cisco CallManager Dirección IP pública: Agrupación de direcciones IP privadas: /24 La ubicación de la sucursal 1 (8) utiliza un router 1841 de Cisco con las siguientes características: Cliente EzVPN en modo cliente Acceso DSL a Internet Tarjeta de interfaz WIC-1SHDSL instalada Dirección IP pública: Agrupación de direcciones IP privadas: /24 La ubicación de la sucursal 2 (9) utiliza un router 2811 de Cisco con las siguientes características: Cliente EzVPN en modo red Acceso serial a Internet Dirección IP pública: Agrupación de direcciones IP privadas: /24 Configuraciones Este ejemplo utiliza las siguientes configuraciones: Configuración de la oficina central (Router 3845 de Cisco) Configuración del router de la sucursal 1 (Router 1841 de Cisco) Configuración del router de la sucursal 2 (Router 2811 de Cisco) Configuración de la oficina central (Router 3845 de Cisco) EzVPN-Hub# show running-config Building configuration... Current configuration : 6824 bytes version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption

5 hostname EzVPN-Hub boot-start-marker boot-end-marker enable secret 5 $1$t8oN$hXnGodPh8ZM/ka6k/9aO51 username admin secret 5 $1$cfjP$kKpB7e3pfKXfpK0RIqX/E. username ezvpn-spoke2 secret 5 $1$vrSS$AhSPxEUnPOsSpJkGdzjXg/ username ezvpn-spoke1 secret 5 $1$VK0p$4D0YXNOtC6K7MR4/vinUL. mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 aaa new-model aaa authentication login USER_AAA local aaa authentication login USERLIST local aaa authorization network GROUP_AAA local aaa session-id common ip subnet-zero ip cef no ip domain lookup ip domain name cisco.com ip audit notify log ip audit po max-events 100 no ftp-server write-enable voice-card 0 no dspfarm --- IKE configuration crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2 crypto isakmp keepalive 90 12

6 crypto isakmp client configuration group VPN1 acl SPLIT_T ip access-list extended SPLIT_T permit ip any key cisco123 dns wins domain cisco.com pool VPN-POOL save-password --- IPSec configuration crypto ipsec transform-set TRANSFORM-1 esp-3des esp-md5-hmac crypto dynamic-map INT_MAP 1 set security-association lifetime kilobytes set security-association lifetime seconds set transform-set TRANSFORM-1 crypto map INT_MAP client authentication list USER_AAA crypto map INT_MAP isakmp authorization list GROUP_AAA crypto map INT_MAP client configuration address respond crypto map INT_MAP ipsec-isakmp dynamic INT_MAP interface GigabitEthernet0/0 shutdown duplex auto speed auto media-type rj45 no negotiation auto interface GigabitEthernet0/1 shutdown duplex auto speed auto media-type rj45 no negotiation auto

7 interface ATM0/0/0 description === public interface === ip address ip pim sparse-dense-mode ip ospf network point-to-point no atm ilmi-keepalive pvc 10/100 protocol ip broadcast crypto map INT_MAP interface FastEthernet4/0 shutdown interface FastEthernet4/1 interface FastEthernet4/2 interface FastEthernet4/3 interface FastEthernet4/4 interface FastEthernet4/5 interface FastEthernet4/6 interface FastEthernet4/7

8 interface FastEthernet4/8 interface FastEthernet4/9 interface FastEthernet4/10 interface FastEthernet4/11 interface FastEthernet4/12 interface FastEthernet4/13 interface FastEthernet4/14 interface FastEthernet4/15 -- Entries for FastEthernet 4/16 through 4/35 omitted for redundancy interface GigabitEthernet4/0 shutdown interface GigabitEthernet4/1 shutdown

9 interface Vlan1 interface Vlan10 ip address ip local pool VPN-POOL ip classless ip route ip http server no ip http secure-server control-plane line con 0 line aux 0 line vty 0 4 login authentication USERLIST end Configuración del router de la sucursal 1 (Router 1841 de Cisco) EzVPN-Spoke-1# show running-config Building configuration..... Current configuration : 4252 bytes version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption hostname EzVPN-Spoke-1 boot-start-marker

10 boot-end-marker logging buffered 4096 informational enable secret 5 $1$b7.Q$Y2x1UXyRifSStbkH/YyrP. username admin password B234D5C0617 memory-size iomem 20 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 aaa new-model aaa authentication login USERLIST local aaa session-id common ip subnet-zero ip cef ip dhcp excluded-address ip dhcp pool PRIVATE_DHCP import all network default-router no ip domain lookup ip domain name cisco.com ip sap cache-timeout 30 ip ssh time-out 30 ip ids po max-events 100 no ftp-server write-enable --- IPSec configuration crypto ipsec client ezvpn VPN1 connect auto group VPN1 key cisco123 mode client peer username ezvpn-spoke1 password cisco1

11 interface FastEthernet0/0 description === private interface === ip address duplex auto speed auto crypto ipsec client ezvpn VPN1 inside interface FastEthernet0/1 shutdown duplex auto speed auto interface ATM0/1/0 no atm ilmi-keepalive dsl equipment-type CPE dsl operating-mode GSHDSL symmetric annex A dsl linerate AUTO pvc 0/35 encapsulation aal5snap pvc 8/35 encapsulation aal5mux ppp dialer dialer pool-member 1 interface Dialer0 description === public interface === ip address ip pim sparse-dense-mode encapsulation ppp dialer pool 1 dialer-group 1 crypto ipsec client ezvpn VPN1 ip classless ip route ip http server no ip http secure-server

12 control-plane line con 0 line aux 0 line vty 0 4 login authentication USERLIST end Configuración del router de la sucursal 2 (Router 2811 de Cisco) EzVPN-Spoke-2# show running-config Building configuration.... Current configuration : 4068 bytes version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption hostname EzVPN-Spoke-2 boot-start-marker boot-end-marker enable secret 5 $1$9BB/$KP4mHUWzUxzpuEPg5s7ow/ username admin password A110C07 memory-size iomem 25 aaa new-model aaa authentication login USERLIST local aaa session-id common ip subnet-zero ip cef ip dhcp excluded-address ip dhcp pool PRIVATE_DHCP

13 import all network default-router no ip domain lookup ip multicast-routing ip ids po max-events 100 no ftp-server write-enable voice-card 0 no dspfarm --- IPSec configuration crypto ipsec client ezvpn VPN1 connect auto group VPN1 key cisco123 mode network-extension peer username ezvpn-spoke2 password cisco2 interface FastEthernet0/0 description === private interface === ip address duplex auto speed auto crypto ipsec client ezvpn VPN1 inside interface FastEthernet0/1 duplex auto speed auto shutdown interface Serial0/0/0 description === public interface === ip address crypto ipsec client ezvpn VPN1 ip classless ip route

14 ip http server no ip http secure-server control-plane dial-peer cor custom line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 login authentication USERLIST end Verificar Esta sección proporciona instrucciones para verificar el correcto funcionamiento de la configuración. La herramienta Output Interpreter (sólo para clientes registrados) admite determinados comandos show, lo cual le permitirá ver un análisis del resultado del comando show. En resumen: show crypto engine connections active: muestra los paquetes encriptados y desencriptados. show crypto ipsec sa: muestra las asociaciones de seguridad de IPSec de fase 2 para el hub. show crypto ipsec client ezvpn: muestra las asociaciones de seguridad de IPSec de fase 2 para el cliente EzVPN. show crypto isakmp sa: muestra las asociaciones de seguridad ISAKMP de fase 1. Uno de los primeros indicadores de que la negociación IPSec se ha realizado correctamente es un mensaje que se muestra en la consola de concentrador de red privada virtual (VPN). Cuando la negociación IPSec es correcta en los clientes EzVPN, aparece un mensaje similar al siguiente en la consola de concentrador VPN, indicando el establecimiento de conexiones cifradas con clientes EzVPN remotos. EzVPN-Hub# *Feb 23 10:33:10.663: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is UP. Peer :500 Id: VPN1 *Feb 23 10:33:37.439: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is UP. Peer :500 Id: VPN1 A continuación se muestra un resultado de ejemplo de los comandos show crypto ipsec sa y show crypto ipsec client ezvpn. El siguiente es un ejemplo de resultado del comando show crypto ipsec sa, realizado con la configuración de la ubicación EzVPN Hub: EzVPN-Hub# show crypto ipsec sa interface: ATM0/0/0 Crypto map tag: INT_MAP, local addr protected vrf: local ident (addr/mask/prot/port): ( / /0/0) remote ident (addr/mask/prot/port): ( / /0/0)

15 current_peer: :500 PERMIT, flags={} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: , remote crypto endpt.: path mtu 4470, media mtu 4470 current outbound spi: EBA2AC93 inbound esp sas: spi: 0xDBEB20( ) transform: esp-3des esp-md5-hmac, in use settings ={Tunnel, } slot: 0, conn id: 5131, flow_id: 11, crypto map: INT_MAP crypto engine type: Hardware, engine_id: 2 sa timing: remaining key lifetime (k/sec): ( /14331) ike_cookies: 787F69F1 41C7488D 92A37C71 AE8FEC38 IV size: 8 bytes replay detection support: Y inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0xEBA2AC93( ) transform: esp-3des esp-md5-hmac, in use settings ={Tunnel, } slot: 0, conn id: 5132, flow_id: 12, crypto map: INT_MAP crypto engine type: Hardware, engine_id: 2 sa timing: remaining key lifetime (k/sec): ( /14331) ike_cookies: 787F69F1 41C7488D 92A37C71 AE8FEC38 IV size: 8 bytes replay detection support: Y outbound ah sas: outbound pcp sas:

16 protected vrf: local ident (addr/mask/prot/port): ( / /0/0) remote ident (addr/mask/prot/port): ( / /0/0) current_peer: :500 PERMIT, flags={} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: , remote crypto endpt.: path mtu 4470, media mtu 4470 current outbound spi: 59C46762 inbound esp sas: spi: 0xA ( ) transform: esp-3des esp-md5-hmac, in use settings ={Tunnel, } slot: 0, conn id: 5129, flow_id: 9, crypto map: INT_MAP crypto engine type: Hardware, engine_id: 2 sa timing: remaining key lifetime (k/sec): ( /14292) ike_cookies: A479BC19 B6199FB9 E043AE83 9DECB0E8 IV size: 8 bytes replay detection support: Y inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x59C46762( ) transform: esp-3des esp-md5-hmac, in use settings ={Tunnel, } slot: 0, conn id: 5130, flow_id: 10, crypto map: INT_MAP crypto engine type: Hardware, engine_id: 2 sa timing: remaining key lifetime (k/sec): ( /14292) ike_cookies: A479BC19 B6199FB9 E043AE83 9DECB0E8 IV size: 8 bytes replay detection support: Y outbound ah sas:

17 outbound pcp sas: El siguiente es un ejemplo de resultado del comando show crypto ipsec client ezvpn, realizado con la configuración de la ubicación EzVPN Spoke 1: EzVPN-Spoke-1#show crypto ipsec client ezvpn Easy VPN Remote Phase: 2 Tunnel name : VPN1 Inside interface list: FastEthernet0/0, Outside interface: Dialer0 Current State: IPSEC_ACTIVE Last Event: SOCKET_UP Address: Mask: DNS Primary: DNS Secondary: NBMS/WINS Primary: NBMS/WINS Secondary: Default Domain: cisco.com El siguiente es un ejemplo de resultado del comando show crypto ipsec client ezvpn, realizado con la configuración de la ubicación EzVPN Spoke 2: EzVPN-Spoke-2#show crypto ipsec client ezvpn Easy VPN Remote Phase: 2 Tunnel name : VPN1 Inside interface list: FastEthernet0/0, Outside interface: Serial0/0/0 Current State: IPSEC_ACTIVE Last Event: SOCKET_UP DNS Primary: DNS Secondary: NBMS/WINS Primary: NBMS/WINS Secondary: Default Domain: cisco.com Resolución de problemas Esta sección proporciona información para la resolución de problemas de configuración. Consulte las siguientes notas técnicas: Resolución de problemas de seguridad de IP Información y uso de los comandos de depuración

18 Comandos para resolución de problemas Nota Antes de ejecutar un comando debug, consulte Important Information on Debug Command (Información importante sobre comandos de depuración). Los siguientes comandos debug se deben ejecutar en ambos routers IPSec (pares). Las asociaciones de seguridad deben borrarse en ambos pares. debug crypto engine: muestra información relacionada con el motor de criptografía, como cuándo el software del IOS de Cisco realiza operaciones de cifrado o descifrado. debug crypto ipsec: muestra las negociaciones IPSec de la fase 2. debug crypto ipsec client ezvpn: muestra la negociación del cliente EzVPN al concentrador VPN. debug crypto isakmp: muestra las negociaciones ISAKMP de la fase 1. clear crypto ipsec client ezvpn: borra una conexión EzVPN existente. clear crypto isakmp: borra las asociaciones de seguridad para la fase 1. clear crypto sa: borra las asociaciones de seguridad para la fase 2. El siguiente es un ejemplo de salida para el comando debug crypto ipsec client ezvpn: EzVPN-Spoke-1# debug crypto ipsec client ezvpn *May 24 03:04:51.923: EZVPN(VPN1): New State: CONNECT_REQUIRED --- The following line shows the connection going down, not part of the debug output. *May 24 03:04:51.923: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is DOWN. Peer :500 Id: Debug output resumes *May 24 03:04:51.927: EZVPN(VPN1): Current State: CONNECT_REQUIRED *May 24 03:04:51.927: EZVPN(VPN1): Event: CONNECT *May 24 03:04:51.927: EZVPN(VPN1): ezvpn_connect_request *May 24 03:04:51.927: EZVPN(VPN1): New State: READY *May 24 03:04:51.999: EZVPN(VPN1): Current State: READY *May 24 03:04:51.999: EZVPN(VPN1): Event: CONN_UP *May 24 03:04:51.999: EZVPN(VPN1): ezvpn_conn_up 7F890E16 DB923EE3 67C9C0D2 7EE723AC *May 24 03:04:51.999: EZVPN(VPN1): No state change *May 24 03:04:52.007: EZVPN(VPN1): Current State: READY *May 24 03:04:52.007: EZVPN(VPN1): Event: XAUTH_REQUEST *May 24 03:04:52.007: EZVPN(VPN1): ezvpn_xauth_request *May 24 03:04:52.007: EZVPN(VPN1): ezvpn_parse_xauth_msg *May 24 03:04:52.007: EZVPN: Attributes sent in xauth request message: *May 24 03:04:52.007: XAUTH_USER_NAME_V2(VPN1):

19 *May 24 03:04:52.007: XAUTH_USER_PASSWORD_V2(VPN1): *May 24 03:04:52.007: EZVPN(VPN1): send saved username ezvpn-spoke1 and password <omitted> *May 24 03:04:52.007: EZVPN(VPN1): New State: XAUTH_REQ *May 24 03:04:52.007: EZVPN(VPN1): Current State: XAUTH_REQ *May 24 03:04:52.007: EZVPN(VPN1): Event: XAUTH_REQ_INFO_READY *May 24 03:04:52.007: EZVPN(VPN1): ezvpn_xauth_reply *May 24 03:04:52.007: *May 24 03:04:52.011: XAUTH_USER_NAME_V2(VPN1): ezvpn-spoke1 XAUTH_USER_PASSWORD_V2(VPN1): <omitted> *May 24 03:04:52.011: EZVPN(VPN1): New State: XAUTH_REPLIED *May 24 03:04:52.023: EZVPN(VPN1): Current State: XAUTH_REPLIED *May 24 03:04:52.023: EZVPN(VPN1): Event: XAUTH_STATUS *May 24 03:04:52.023: EZVPN(VPN1): New State: READY *May 24 03:04:52.039: EZVPN(VPN1): Current State: READY *May 24 03:04:52.039: EZVPN(VPN1): Event: MODE_CONFIG_REPLY *May 24 03:04:52.039: EZVPN(VPN1): ezvpn_mode_config *May 24 03:04:52.039: EZVPN(VPN1): ezvpn_parse_mode_config_msg *May 24 03:04:52.039: EZVPN: Attributes sent in message: *May 24 03:04:52.039: Address: *May 24 03:04:52.039: DNS Primary: *May 24 03:04:52.039: DNS Secondary: *May 24 03:04:52.039: NBMS/WINS Primary: *May 24 03:04:52.039: NBMS/WINS Secondary: *May 24 03:04:52.039: Split Tunnel List: 1 *May 24 03:04:52.039: Address : *May 24 03:04:52.039: Mask : *May 24 03:04:52.039: Protocol : 0x0 *May 24 03:04:52.039: Source Port: 0 *May 24 03:04:52.039: Dest Port : 0 *May 24 03:04:52.039: EZVPN: Unknown/Unsupported Attr: SPLIT_DNS (0x7003) *May 24 03:04:52.039: *May 24 03:04:52.039: Default Domain: cisco.com Savepwd on *May 24 03:04:52.039: EZVPN: Unknown/Unsupported Attr: BACKUP_SERVER (0x7009) *May 24 03:04:52.039: EZVPN: Unknown/Unsupported Attr: APPLICATION_VERSION (0x7) *May 24 03:04:52.039: EZVPN(VPN1): ezvpn_nat_config *May 24 03:04:52.043: EZVPN(VPN1): New State: SS_OPEN *May 24 03:04:52.047: EZVPN(VPN1): Current State: SS_OPEN *May 24 03:04:52.047: EZVPN(VPN1): Event: SOCKET_READY *May 24 03:04:52.047: EZVPN(VPN1): No state change --- The following line shows the connection coming up, not part of the debug output. *May 24 03:04:52.075: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is UP. Peer :500 Id:

20 ---Debug output resumes *May 24 03:04:52.079: EZVPN(VPN1): Current State: SS_OPEN *May 24 03:04:52.079: EZVPN(VPN1): Event: MTU_CHANGED *May 24 03:04:52.079: EZVPN(VPN1): No state change *May 24 03:04:52.079: EZVPN(VPN1): Current State: SS_OPEN *May 24 03:04:52.079: EZVPN(VPN1): Event: SOCKET_UP *May 24 03:04:52.079: ezvpn_socket_up *May 24 03:04:52.079: EZVPN(VPN1): New State: IPSEC_ACTIVE Información relacionada Cisco IOS Wide-Area Networking Configuration Guide (Guía de configuración de red de área ancha del IOS de Cisco) Cisco IOS Dial Technologies Configuration Guide (Guía de configuración de tecnologías de marcación del IOS de Cisco) Cisco IOS Security Configuration Guide (Guía de configuración de seguridad del IOS de Cisco) Cisco IOS Interface and Hardware Component Configuration Guide (Guía de configuración de componentes de hardware y de interfaz del IOS de Cisco) Centro de asistencia técnica de Cisco Copyright 2004 Cisco Systems, Inc. Todos los derechos reservados Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 12 Abril