Configuración de IPSec con EIGRP e IPX usando tunelización GRE



Documentos relacionados
Ejemplo de Configuración de GRE sobre IPSec con EIGRP para Rutear a través de un Hub y Múltiples Sitios Remotos

IPSec/GRE con el NAT en el ejemplo de configuración del router IOS

Configuración de IPSec entre dos routers y Cisco VPN Client 4.x

PRACTICA DE ANÁLISIS DE CONFIGURACION. Universidad Tecnológica Nacional F.R.C. Redes de Información (RIN) PARTE 1 OBJETIVOS ACTIVIDADES

Tema: Implementación de túneles GRE cifrados con IPSec.

Configurar el router a router, el Pre-shared del IPSec, sobrecarga NAT entre un soldado y una red pública

Packet Tracer: Configuración de VPN (optativo)

Ejemplo de Configuración de GRE sobre IPSec con EIGRP para Rutear a través de un Hub y Múltiples Sitios Remotos

Tema: Implementación de redes privadas virtuales VPN de punto a punto.

Túnel ipsec de LAN a LAN entre un Cisco VPN 3000 Concentrator y un router con el ejemplo de configuración AES

Configuración de GRE sobre IPSec entre un router del IOS de Cisco y un concentrador VPN 5000 usando RIP y CVC.

Router y cliente VPN para el Internet pública en un ejemplo de configuración del palillo

Configuración de IPSec sobre ADSL en un Cisco 2600/3600 con módulos de encripción del hardware y ADSL-WIC.

Práctica de laboratorio Configuración de RIP - Routers serie 2500

Configurar el IPSec dinámica a estática de router a router con NAT

Tema: Implementación de redes privadas virtuales VPN de sitio a sitio.

Configuración de muestra usando el comando ip nat outside source list

IPSec claves generadas manualmente entre el ejemplo de configuración del Routers

Migración del EzVPN de la herencia al ejemplo de configuración aumentado del EzVPN

Balanceo de Carga NAT de IOS para Dos Conexiones ISP

Práctica de laboratorio: Configuración de un túnel VPN GRE de punto a punto Topología

Práctica de laboratorio 8.4.1: Investigación del proceso de búsqueda de tabla de enrutamiento

Configuración de IPSec entre tres routers mediante el uso de direcciones privadas

IPSec entre dos routeres IOS con el ejemplo de configuración de las redes privadas superpuestas

En este ejemplo, dos Puentes Cisco Aironet de la serie 350 establece el WEP; el dos Routers configura un túnel IPsec.

CCNA1 FUNDAMENTOS DE REDES Taller Conectar 3 Routers con RIP por Consola DOCENTE: Oscar Mario Gil Ríos

Ajuste la distancia administrativa para que haya selección de Route en el ejemplo de configuración del Routers del Cisco IOS

Acceso ASA al ASDM de una interfaz interior sobre un ejemplo de la configuración del túnel VPN

Envío a agujeros negros del IPv6 de la configuración con el null0 de la interfaz

Configuración del Protocolo de tunelización de la capa 2 (L2TP) por IPSec.

Configurar evitar en un UNIX Director

Cisco PIX 500 Series Security Appliances

PIX: Acceda el PDM de una interfaz exterior sobre un túnel VPN

Cómo configurar a un router Cisco detrás de un cablemódem que no es de Cisco

VPN TUNEL SITIO A SITIO EN GNS3. Trabajo realizado por: Brenda Marcela Tovar. Natalia Hernández. Yadfary Montoya. Sonia Deyanira Caratar G.

Práctica de laboratorio 5.5.1: Listas de control de acceso básicas

Ejemplo de configuración: Easy VPN

Configurar el IPSec entre dos Routers y un Cliente Cisco VPN 4.x

Tema: Configuración de túneles IPSec

Balanceo de carga IOS NAT con el Edge Routing optimizado para dos conexiones de Internet

Configurar el hub and spoke del router a router del IPSec

Práctica de laboratorio Configuración de BGP con el enrutamiento por defecto

Configuración de Gateway de último recurso mediante comandos IP

Configuración de muestra para eliminar los números AS privados en BGP

CURSO DE PROFUNDIZACION CISCO. Grupo: _13. LEONARDO NIÑO CARREÑO Cód

INTRODUCCION Y ENUNCIADO

Especifique un IP Address de Next Hop para las Static rutas

Configurar el Switches de Cisco 2900XL/3500XL con los VLA N para utilizar Cisco BBS 5.0

Comprensión de la dirección local del link del IPv6

Implemente las Static rutas para el ejemplo de configuración del IPv6

Balanceo de carga IOS NAT para dos Conexiones ISP

IPSEC de router a router (claves RSA) en el túnel GRE con el ejemplo de la configuración de RIP

Presentado a: Milton García. Presentado por: Paula Díaz Heidy solano Wilmar Albarracín

Configuración de una red privada a privada con túnel de router IPsec con NAT y estático

Configurando el IPSec - Claves comodín previamente compartidas con el Cliente Cisco Secure VPN y los Config Ninguno-MODE

Práctica de laboratorio: Configuración de un router como cliente PPPoE para conectividad DSL

Conmutación por falla ISP con las rutas predeterminado usando el seguimiento IP SLA

Práctica de laboratorio 7.5.1: Práctica de laboratorio de configuración básica de RIPv2

Túnel ipsec de LAN a LAN entre un Cisco VPN 3000 Concentrator y un router con el ejemplo de configuración AES

CISCO Site-to-Site VPN

Configure a una sesión ebgp segura con un IPSec VTI

Configurando a túnel IPSec de red privada a privada del router con el NAT y los parásitos atmosféricos

Utilización de una Ruta Estática a la Interfaz Null0 para la Prevención de Loops

CONFIGURACIÓN VPN SITE TO SITE YADFARY MONTOYA NATALIA HERNÁNDEZ SONIA DEYANIRA CARATAR BRENDA MARCELA TOVAR ADMINISTRACIÓN DE REDES DE COMPUTADORES

access-list deny permit log

Práctica de laboratorio 8.5.1: Resolución de problemas de redes empresariales 1

Resolviendo problemas las rutas BGP del cambio (falla de ruteo recurrente)

Configuración de PIX Firewall con acceso a un servidor de correo en una red interna

Ejemplo de configuración de la autenticación de mensajes EIGRP

Práctica de laboratorio 4.2.5a Pruebas de conectividad Ping

PIX/ASA 7.x para soportar el IPSec sobre el TCP en cualquier ejemplo de la configuración del puerto

Túnel GRE con el ejemplo de la configuración de VRF

Configurar el motor del caché para las peticiones del proxy de HTTP de la redirección transparente y del caché usando el WCCPv2

Configurando un túnel IPsec - Router Cisco al escudo de protección de punto de control 4.1

Configure IPSec sitio a sitio un túnel IKEv1 entre un ASA y un router del Cisco IOS

Tema: Enrutamiento estático

Equilibrio de carga VPN en el CS en el ejemplo de configuración del modo dirigido

Introducción Cisco-Pix Firewall. Ing. Civil en Sistemas Ricardo E. Gómez M.

Configuración que redistribuye las rutas del Internal BGP en el IGP

Configuración de una VPN MPLS básica

INTRODUCCION Y ENUNCIADO

Actividad de Packet Tracer 3.5.1: Configuración básica de una VLAN

Esto documenta describe cómo configurar las rutas predeterminado en el Enhanced Interior Gateway Routing Protocol (EIGRP).

DMVPN y Easy VPN Server con el ejemplo de configuración de los perfiles ISAKMP

Uso del comando traceroute en sistemas operativos

Práctica de laboratorio Configuración y verificación de RIP

Configuración de la MPLS de VPN en POS, SRP y ATM en los GSR de Cisco

Conexión VPN con el ejemplo de configuración Zona-basado del router de escudo de protección

La mayoría de las soluciones comunes del troubleshooting DMVPN

Servicios web del Amazonas de la conexión del IPSec VTI de la configuración ASA

Configurar el IPSEC de router a router (claves previamente compartidas) en el túnel GRE con el escudo de protección IOS y el NAT

Configuración de funciones de alta disponibilidad para VPN IPSec sitio a sitio

Configuraciones iniciales para OSPF sobre un link punto a punto

Sitio dinámico para localizar el túnel IKEv2 VPN entre el ejemplo de configuración dos ASA

ANÁLISIS COMPARATIVO E TECNOLOGÍA MPLS

Implementación BGP usando de 32 bits COMO ejemplo de la configuración de número

Transcripción:

Configuración de IPSec con EIGRP e IPX usando tunelización GRE Contenido Introducción prerrequisitos Requisitos Componentes Utilizados Convenciones Configurar Diagrama de la red Configuraciones Verificación Salida del comando show con túneles activos Troubleshooting Comandos para resolución de problemas Información Relacionada Introducción Las configuraciones IPsec normales no pueden transferir protocolos de ruteo como EIGRP (Enhanced Interior Gateway Routing Protocol) y OSPF (Open Shortest Path First) ni tráfico que no sea IP como IPX (Internetwork Packet Exchange), AppleTalk, etc. Este documento ilustra cómo rutear entre diferentes redes mediante un protocolo de ruteo y tráfico no IP dentro de IPSec. Esta técnica utiliza Generic Routing Encapsulation (GRE) como método para lograrlo. prerrequisitos Requisitos Antes de utilizar esta configuración, asegúrese de que cumple con los siguientes requisitos: Aseegure los trabajos del túnel antes de que usted aplique las correspondencias de criptografía. Necesidad Crypto de la lista de acceso de tener GRE como el protocolo a permitir: y.y.y.y del host del permit gre host x.x.x.x del accesslist 101 x.x.x.x = y.y.y.y = <tunnel_destination> del <tunnel_source> Utilice los IP Addresses del loopback para identificar a los pares del Internet Key Exchange (IKE) y origen de túnel y destino del túnel para mejorar la Disponibilidad. Para una discusión de los problemas posibles de la Unidad máxima de transmisión (MTU) (MTU), refiera a ajustar el IP MTU, TCP MSS y PMTUD en los sistemas de Windows y de Sun. Componentes Utilizados La información que contiene este documento se basa en las siguientes versiones de software y hardware. Software Release 12.1.8 y 12.2.1 de Cisco IOS La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. Convenciones Para obtener más información sobre las convenciones del documento, consulte las Convenciones de Consejos Técnicos de Cisco. Configurar En esta sección encontrará la información para configurar las funciones descritas en este documento. Nota: Para obtener información adicional sobre los comandos que se utilizan en este documento, use la Command Lookup Tool (solo para clientes registrados).

Nota sobre la configuración IOS: Con los códigos del Cisco IOS Software Release 12.2(13)T y Posterior (códigos numerados más altos del T- tren, los códigos del Cisco IOS Software Release 12.3 y Posterior) el IPSec configurado correspondencia de criptografía necesita solamente ser aplicado a la interfaz física. Se requiere no más para ser aplicado en la interfaz de túnel GRE. Tener la correspondencia de criptografía en la comprobación y la interfaz del túnel cuando usted utiliza la versión de Cisco IOS Software 12.2.(13)T y posterior todavía cifra los trabajos. Sin embargo, se recomienda altamente para aplicarlo solamente en la interfaz física. Diagrama de la red Este documento utiliza la configuración de red que se muestra en el siguiente diagrama. Configuraciones Luz Base Luz Current configuration: version 12.2 no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption hostname Light logging rate-limit console 10 except errors ip subnet-zero no ip finger no ip dhcp-client network-discovery ipx routing 00e0.b06a.40fc --- IKE policies. crypto isakmp policy 25 hash md5 authentication pre-share crypto isakmp key cisco123 address 192.168.2.1 --- IPSec policies. crypto ipsec transform-set WWW esp-des esp-md5-hmac mode transport crypto map GRE local-address Loopback0 crypto map GRE 50 ipsec-isakmp set peer 192.168.2.1 set transform-set WWW --- What to encrypt? match address 101 call rsvp-sync fax interface-type modem mta receive maximum-recipients 0

interface Loopback0 ip address 192.168.1.1 255.255.255.0 interface Tunnel0 ip address 10.1.1.1 255.255.255.252 ip mtu 1440 ipx network CC tunnel source Loopback0 tunnel destination 192.168.2.1 crypto map GRE interface FastEthernet0/0 ip address 10.64.10.13 255.255.255.224 no ip route-cache no ip mroute-cache duplex auto speed auto crypto map GRE interface FastEthernet0/1 ip address 172.16.1.1 255.255.255.0 duplex auto speed auto ipx network AA router eigrp 10 network 10.1.1.0 0.0.0.3 network 172.16.1.0 0.0.0.255 network 192.168.1.0 no auto-summary no eigrp log-neighbor-changes ip kerberos source-interface any ip classless ip route 192.168.2.0 255.255.255.0 10.64.10.14 ip http server --- What to encrypt? access-list 101 permit gre host 192.168.1.1 host 192.168.2.1 dial-peer cor custom line con 0 transport input none line aux 0 line vty 0 4 login end Light# Current configuration: version 12.1 service timestamps debug uptime service timestamps log uptime no service password-encryption hostname House ip subnet-zero ipx routing 00e0.b06a.4114 Base --- IKE policies. crypto isakmp policy 25 hash md5 authentication pre-share crypto isakmp key cisco123 address 192.168.1.1 --- IPSec policies. crypto ipsec transform-set WWW esp-des esp-md5-hmac mode transport crypto map GRE local-address Loopback0

crypto map GRE 50 ipsec-isakmp set peer 192.168.1.1 set transform-set WWW --- What to encrypt? match address 101 interface Loopback0 ip address 192.168.2.1 255.255.255.0 interface Tunnel0 ip address 10.1.1.2 255.255.255.252 ip mtu 1440 ipx network CC tunnel source Loopback0 tunnel destination 192.168.1.1 crypto map GRE interface FastEthernet0/0 ip address 10.64.10.14 255.255.255.224 no ip route-cache no ip mroute-cache duplex auto speed auto crypto map GRE interface FastEthernet0/1 ip address 172.16.2.1 255.255.255.0 duplex auto speed auto ipx network BB interface FastEthernet4/0 no ip address shutdown duplex auto speed auto router eigrp 10 network 10.1.1.0 0.0.0.3 network 172.16.2.0 0.0.0.255 network 192.168.2.0 no auto-summary no eigrp log-neighbor-changes ip classless ip route 192.168.1.0 255.255.255.0 10.64.10.13 ip http server --- What to encrypt? access-list 101 permit gre host 192.168.2.1 host 192.168.1.1 line con 0 line aux 0 line vty 0 4 login end House# Verificación En esta sección encontrará información que puede utilizar para comprobar que su configuración funcione correctamente. La herramienta Output Interpreter (sólo para clientes registrados) permite utilizar algunos comandos show y ver un análisis del resultado de estos comandos. show crypto engine connections active Muestra los paquetes encripcións y desencripcións entre los pares IPSec. show crypto ipsec sa Muestra las asociaciones de seguridad de la fase 1. show crypto ipsec sa Muestra las asociaciones de seguridad de la Fase 2. show ipx route [network] [default] [detailed] Muestra el contenido del tabla de IPX Routing. Salida del comando show con túneles activos

Light#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set 172.16.0.0/24 is subnetted, 2 subnets C 172.16.1.0 is directly connected, FastEthernet0/1 D 172.16.2.0 [90/297246976] via 10.1.1.2, 00:00:31, Tunnel0 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 10.1.1.0/30 is directly connected, Tunnel0 C 10.64.10.0/27 is directly connected, FastEthernet0/0 C 192.168.1.0/24 is directly connected, Loopback0 S 192.168.2.0/24 [1/0] via 10.64.10.14 Light#ping Protocol [ip]: Target IP address: 172.16.2.1 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 172.16.1.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.2.1, timeout is 2 seconds: Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms Light# House#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set 172.16.0.0/24 is subnetted, 2 subnets D 172.16.1.0 [90/297246976] via 10.1.1.1, 00:00:36, Tunnel0 C 172.16.2.0 is directly connected, FastEthernet0/1 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 10.1.1.0/30 is directly connected, Tunnel0 C 10.64.10.0/27 is directly connected, FastEthernet0/0 S 192.168.1.0/24 [1/0] via 10.64.10.13 C 192.168.2.0/24 is directly connected, Loopback0 House#ping Protocol [ip]: Target IP address: 172.16.1.1 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 172.16.2.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds: Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms Light#show ipx route Codes: C - Connected primary network, c - Connected secondary network S - Static, F - Floating static, L - Local (internal), W - IPXWAN R - RIP, E - EIGRP, N - NLSP, X - External, A - Aggregate s - seconds, u - uses, U - Per-user static

3 Total IPX routes. Up to 1 parallel paths and 16 hops allowed. No default route known. C AA (NOVELL-ETHER), Fa0/1 C CC (TUNNEL), Tu0 R BB [151/01] via CC.00e0.b06a.4114, 17s, Tu0 House#show ipx route Codes: C - Connected primary network, c - Connected secondary network S - Static, F - Floating static, L - Local (internal), W - IPXWAN R - RIP, E - EIGRP, N - NLSP, X - External, A - Aggregate s - seconds, u - uses, U - Per-user static 3 Total IPX routes. Up to 1 parallel paths and 16 hops allowed. No default route known. C BB (NOVELL-ETHER), Fa0/1 C CC (TUNNEL), Tu0 R AA [151/01] via CC.00e0.b06a.40fc, 59s, Tu0 Light#ping ipx BB.0004.9af2.8261 Type escape sequence to abort. Sending 5, 100-byte IPX Novell Echoes to BB.0004.9af2.8261, timeout is 2 second: Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms House#ping ipx AA.0004.9af2.8181 Type escape sequence to abort. Sending 5, 100-byte IPX Novell Echoes to AA.0004.9af2.8181, timeout is 2 second: Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms Light#show crypto isa sa dst src state conn-id slot 192.168.2.1 192.168.1.1 QM_IDLE 1 0 192.168.1.1 192.168.2.1 QM_IDLE 2 0 House#show crypto isa sa dst src state conn-id slot 192.168.1.1 192.168.2.1 QM_IDLE 1 0 192.168.2.1 192.168.1.1 QM_IDLE 2 0 Light#show crypto engine connections active ID Interface IP-Address State Algorithm Encrypt Decrypt 1 <none> <none> set HMAC_MD5+DES_56_CB 0 0 2 <none> <none> set HMAC_MD5+DES_56_CB 0 0 2000 FastEthernet0/0 10.64.10.13 set HMAC_MD5+DES_56_CB 0 161 2001 FastEthernet0/0 10.64.10.13 set HMAC_MD5+DES_56_CB 161 0 2002 FastEthernet0/0 10.64.10.13 set HMAC_MD5+DES_56_CB 0 0 2003 FastEthernet0/0 10.64.10.13 set HMAC_MD5+DES_56_CB 0 0 2004 FastEthernet0/0 10.64.10.13 set HMAC_MD5+DES_56_CB 0 0 2005 FastEthernet0/0 10.64.10.13 set HMAC_MD5+DES_56_CB 0 0 House#show crypto engine connections active ID Interface IP-Address State Algorithm Encrypt Decrypt 1 <none> <none> set HMAC_MD5+DES_56_CB 0 0 2 <none> <none> set HMAC_MD5+DES_56_CB 0 0 2000 FastEthernet0/0 10.64.10.14 set HMAC_MD5+DES_56_CB 0 159 2001 FastEthernet0/0 10.64.10.14 set HMAC_MD5+DES_56_CB 159 0 2002 FastEthernet0/0 10.64.10.14 set HMAC_MD5+DES_56_CB 0 0 2003 FastEthernet0/0 10.64.10.14 set HMAC_MD5+DES_56_CB 0 0 2004 FastEthernet0/0 10.64.10.14 set HMAC_MD5+DES_56_CB 0 0 2005 FastEthernet0/0 10.64.10.14 set HMAC_MD5+DES_56_CB 0 0 House#show crypto ipsec sa detail interface: Tunnel0 Crypto map tag: GRE, local addr. 192.168.2.1 local ident (addr/mask/prot/port): (192.168.2.1/255.255.255.255/47/0) remote ident (addr/mask/prot/port): (192.168.1.1/255.255.255.255/47/0) current_peer: 192.168.1.1 PERMIT, flags={origin_is_acl,transport_parent,} #pkts encaps: 192, #pkts encrypt: 192, #pkts digest 192 #pkts decaps: 190, #pkts decrypt: 190, #pkts verify 190 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0

#pkts no sa (send) 12, #pkts invalid sa (rcv) 0 #pkts encaps failed (send) 0, #pkts decaps failed (rcv) 0 #pkts invalid prot (recv) 0, #pkts verify failed: 0 #pkts invalid identity (recv) 0, #pkts invalid len (rcv) 0 #pkts replay rollover (send): 0, #pkts replay rollover (rcv) 0 ##pkts replay failed (rcv): 0 #pkts internal err (send): 0, #pkts internal err (recv) 0 local crypto endpt.: 192.168.2.1, remote crypto endpt.: 192.168.1.1 path mtu 1514, media mtu 1514 current outbound spi: 1FA721CA inbound esp sas: spi: 0xEE52531(249898289) slot: 0, conn id: 2000, flow_id: 1, crypto map: GRE sa timing: remaining key lifetime (k/sec): (4607961/2797) spi: 0xFEE24F3(267265267) slot: 0, conn id: 2002, flow_id: 3, crypto map: GRE sa timing: remaining key lifetime (k/sec): (4608000/2826) spi: 0x19240817(421791767) slot: 0, conn id: 2004, flow_id: 5, crypto map: GRE sa timing: remaining key lifetime (k/sec): (4608000/2759) inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x1FA721CA(531046858) slot: 0, conn id: 2001, flow_id: 2, crypto map: GRE sa timing: remaining key lifetime (k/sec): (4607972/2797) spi: 0x12B10EB0(313593520) slot: 0, conn id: 2003, flow_id: 4, crypto map: GRE sa timing: remaining key lifetime (k/sec): (4608000/2826) spi: 0x1A700242(443548226) slot: 0, conn id: 2005, flow_id: 6, crypto map: GRE sa timing: remaining key lifetime (k/sec): (4608000/2759) outbound ah sas: outbound pcp sas: local ident (addr/mask/prot/port): (192.168.2.1/255.255.255.255/0/0) remote ident (addr/mask/prot/port): (192.168.1.1/255.255.255.255/0/0) current_peer: 192.168.1.1 PERMIT, flags={transport_parent,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 #pkts no sa (send) 0, #pkts invalid sa (rcv) 0 #pkts encaps failed (send) 0, #pkts decaps failed (rcv) 0 #pkts invalid prot (recv) 0, #pkts verify failed: 0 #pkts invalid identity (recv) 0, #pkts invalid len (rcv) 0 #pkts replay rollover (send): 0, #pkts replay rollover (rcv) 0 ##pkts replay failed (rcv): 0 #pkts internal err (send): 0, #pkts internal err (recv) 0

local crypto endpt.: 192.168.2.1, remote crypto endpt.: 192.168.1.1 path mtu 1514, media mtu 1514 current outbound spi: 0 inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: interface: FastEthernet0/0 Crypto map tag: GRE, local addr. 192.168.2.1 local ident (addr/mask/prot/port): (192.168.2.1/255.255.255.255/47/0) remote ident (addr/mask/prot/port): (192.168.1.1/255.255.255.255/47/0) current_peer: 192.168.1.1 PERMIT, flags={origin_is_acl,transport_parent,} #pkts encaps: 193, #pkts encrypt: 193, #pkts digest 193 #pkts decaps: 192, #pkts decrypt: 192, #pkts verify 192 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 #pkts no sa (send) 12, #pkts invalid sa (rcv) 0 #pkts encaps failed (send) 0, #pkts decaps failed (rcv) 0 #pkts invalid prot (recv) 0, #pkts verify failed: 0 #pkts invalid identity (recv) 0, #pkts invalid len (rcv) 0 #pkts replay rollover (send): 0, #pkts replay rollover (rcv) 0 ##pkts replay failed (rcv): 0 #pkts internal err (send): 0, #pkts internal err (recv) 0 local crypto endpt.: 192.168.2.1, remote crypto endpt.: 192.168.1.1 path mtu 1514, media mtu 1514 current outbound spi: 1FA721CA inbound esp sas: spi: 0xEE52531(249898289) slot: 0, conn id: 2000, flow_id: 1, crypto map: GRE sa timing: remaining key lifetime (k/sec): (4607961/2789) spi: 0xFEE24F3(267265267) slot: 0, conn id: 2002, flow_id: 3, crypto map: GRE sa timing: remaining key lifetime (k/sec): (4608000/2817) spi: 0x19240817(421791767) slot: 0, conn id: 2004, flow_id: 5, crypto map: GRE sa timing: remaining key lifetime (k/sec): (4608000/2750) inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x1FA721CA(531046858) slot: 0, conn id: 2001, flow_id: 2, crypto map: GRE sa timing: remaining key lifetime (k/sec): (4607972/2789) spi: 0x12B10EB0(313593520) slot: 0, conn id: 2003, flow_id: 4, crypto map: GRE sa timing: remaining key lifetime (k/sec): (4608000/2817) spi: 0x1A700242(443548226)

slot: 0, conn id: 2005, flow_id: 6, crypto map: GRE sa timing: remaining key lifetime (k/sec): (4608000/2750) outbound ah sas: outbound pcp sas: local ident (addr/mask/prot/port): (192.168.2.1/255.255.255.255/0/0) remote ident (addr/mask/prot/port): (192.168.1.1/255.255.255.255/0/0) current_peer: 192.168.1.1 PERMIT, flags={transport_parent,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 #pkts no sa (send) 0, #pkts invalid sa (rcv) 0 #pkts encaps failed (send) 0, #pkts decaps failed (rcv) 0 #pkts invalid prot (recv) 0, #pkts verify failed: 0 #pkts invalid identity (recv) 0, #pkts invalid len (rcv) 0 #pkts replay rollover (send): 0, #pkts replay rollover (rcv) 0 ##pkts replay failed (rcv): 0 #pkts internal err (send): 0, #pkts internal err (recv) 0 local crypto endpt.: 192.168.2.1, remote crypto endpt.: 192.168.1.1 path mtu 1514, media mtu 1514 current outbound spi: 0 inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: Troubleshooting En esta sección encontrará información que puede utilizar para solucionar problemas de configuración. Comandos para resolución de problemas La herramienta Output Interpreter (sólo para clientes registrados) permite utilizar algunos comandos show y ver un análisis del resultado de estos comandos. Nota: Antes de ejecutar un comando de depuración, consulte Información importante sobre comandos de depuración. debug crypto ipsec Muestra errores durante la fase 1. debug crypto ipsec Muestra errores durante la fase 2. debug crypto engine Muestra información del motor de criptografía. debug ip your routing protocol Visualiza la información sobre las transacciones de ruteo de su Routing Protocol. clear crypto connection connection-id [slot rsm vip] termina a una sesión encriptada actualmente en curso. Las sesiones encriptadas terminan normalmente cuando el tiempo de la sesión hacia fuera. Utilice el comando show crypto cisco connections para conocer el valor de la conexión id. clear crypto isakmp Elimina las asociaciones de seguridad de fase 1. clear crypto sa Elimina las asociaciones de seguridad de la Fase 2. Información Relacionada Ejemplos de Configuración y Lista de Notas Técnicas 1992-2015 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 18 Octubre 2015

http://www.cisco.com/cisco/web/support/la/102/1025/1025603_ipsec_gre.html

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback