- Форум
- /
- IT и телекоммуникации
- /
- Конфигурация сетевого оборудования
- /
- IPsec IKEv2 Site2Site VPN (FlexVPN): Cisco ASA, ASR, Router, PfSense, StrongSwan
IPsec IKEv2 Site2Site VPN (FlexVPN): Cisco ASA, ASR, Router, PfSense, StrongSwan
Rendering Error in layout Widget/Social: Call to a member function exists() on null. Please enable debug mode for more information.
4 года 9 мес. назад - 4 года 9 мес. назад #251
от TOLLIFi
IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.
TOLLIFi создал тему: IPsec IKEv2 Site2Site VPN (FlexVPN): Cisco ASA, ASR, Router, PfSense, StrongSwan
Примеры конфигурации IPsec IKEv2 Site-to-Site VPN (Cisco VTI, Classic CryptoMap) с Pre-Shared Key.
--- КРАТКОЕ ОПИСАНИЕ IKEv2 >>>
Сразу нужно акцентировать внимание - не надо думать, что IKEv2 является чем-то совсем новым, сложным для понимания и полностью меняет всю концепцию построения VPN-сетей. IKE (как v1 так и v2) призваны лишь для того чтобы обеспечить ESP (ну или AH, если кому-то нужно) необходимой ключевой информацией, нужной указанным протоколам для непосредственной защиты данных. Сам же ESP, его режимы работы (tunnel/transport) и все связанные понятия не меняются.
Коротко об основных особенностях и отличиях IKEv2 от своего предшественника
Наиболее значимые вещи:
1. Оба протокола работают по UDP/500(4500 в случае с NAT-T), но между собой несовместимы, т.е. не получится так, чтобы на одном конце туннеля был IKEv1, а на другом – IKEv2. При этом один и тот же роутер может терминировать на себе и IKEv2 и IKEv1 туннели одновременно. В заголовках IKEv1 и 2 достаточно различий для того, чтобы роутер смог определить с чем имеет дело, несмотря на одни и те же порты.
2. В IKEv2 больше нет таких понятий как aggressive/main mode, что является одним из аспектов, делающих протокол более простым для понимания.
3. В IKEv2 термин фаза1 заменен на IKE_SA_INIT (обмен двумя сообщениями, обеспечивающий согласование протоколов шифрования/хеширования и генерацию DH ключей), а фаза2 – на IKE_AUTH (тоже два сообщения, реализующие непосредственно аутентификацию пиров и генерацию ключей для ESP). Обмен данными в IKE_AUTH всегда зашифрован с помощью SA, сформированными IKE_SA_INIT. Isakmp SA теперь называются ikev2 sa, а ipsec sa — Child SA.
4. в IKEv2 метод аутентификации между пирами больше не согласовывается автоматически и не привязан к тем или иным политикам IKEv2. Т.е. если раньше в IKEv1 каждой isakmp policy была строка authentication, где указывалось, каков будет тип аутентификации, в случае если будет выбрана именно эта policy, то теперь метод аутентификации задается вручную и явно определяется что вот с этим пиром будет аутентификация по сертификатам, а вот с этим – по pre-shared key. Кроме того, в IKEv2 стала возможна ассимметричная аутентификация. Т.е. можно сделать так, что эндпоинт A будет аутентифицировать эндпоинт B по сертификатам, в то время как B будет аутентифицировать A по pre-shared ключу. Или же А аутентифицирует B с помощью pre-shared key1, в то время как B аутентифицирует A с помощью pre-shared key2. Возможны и другие варианты, в т.ч. аутентификация с использованием различных методов EAP.
5. Mode Config (то, что в ikev1 называлось phase 1.5 и используется для настройки удаленных подключений RAVPN/EasyVPN), NAT-T и keepalives теперь непосредственно описаны в спецификации протокола и являются его неотъемлемой частью. Раньше же эти вещи реализовывались вендорами по своему по мере необходимости.
6. в IKEv2 добавился дополнительный механизм защиты control-plane (services plane) от DoS атак. Суть его в том, что прежде чем отвечать на каждый запрос в установлении защищенного соединения (IKE_SA_INIT) IKEv2 VPN-шлюз шлет источнику такого запроса запроса некий cookie, и ждет, что тот ответит тем же. Если источник ответил – отлично, можно начинать с ним генерацию DH. Если же источник не отвечает (в случае с DoS атакой так и происходит, — это по сути сравнимо с TCP SYN flood attack), VPN-шлюз просто забывает о нем. Без этого механизма, при каждом запросе IKE_SA_INIT IKEv2 от кого угодно VPN-шлюз бы пытался сгенерировать DH ключ (что, как известно, весьма ресурсоемкий процесс) и вскоре бы остался с убитой (пусть временно) control-plane.
--- ПРИМЕР ДЛЯ ТРЁХ ПИРОВ: CISCO ROUTER, CISCO ASA и PFSENSE >>>
- ASR NAT-T (ConfigNet: Cisco VTI & CryptoMap) <-> Router (Foo: Cisco VTI)
- ASR NAT-T (ConfigNet: Cisco VTI & CryptoMap) <-> ASA (Bar: CryptoMap)
- ASR NAT-T (ConfigNet: Cisco VTI & CryptoMap) <-> PfSense (Baz: VTI) <в процессе написания...>
Настройки IPsec VPN Phase1 (IKE_SA_INIT):
- политика с алгоритмами IKEv2 первой фазы для всех пиров:
Настройки IPsec VPN Phase2 (IKE_AUTH):
- ключи IKEv2 для всех пиров, объединенные в одну keyring-группу:
- профиль IKEv2 для всех пиров:
- алгоритмы IPsec:
Профиль IPsec:
Пример интерфейса VTI Tunnel для пира Foo:
Пример интерфейса VTI Tunnel для пира Baz:
ACL для шифрования трафика:
Пример CryptoMap:
Вешаем CryptoMap на Source-интерфейс:
Указываем маршрут к удаленной подсети пира Bar через Default Gateway Nexthop IP:
--- МОНИТОРИНГ IKEv2 >>>
Просмотр SA-информации IKEv2 Phase1:
Просмотр сессий IKEv2 Phase1 & Child_SA (IPsec_SA) Phase2:
Просмотр SA-информации IPsec Phase2:
Некоторые debug-команды:
--- КРАТКОЕ ОПИСАНИЕ IKEv2 >>>
ВНИМАНИЕ: Спойлер!
Сразу нужно акцентировать внимание - не надо думать, что IKEv2 является чем-то совсем новым, сложным для понимания и полностью меняет всю концепцию построения VPN-сетей. IKE (как v1 так и v2) призваны лишь для того чтобы обеспечить ESP (ну или AH, если кому-то нужно) необходимой ключевой информацией, нужной указанным протоколам для непосредственной защиты данных. Сам же ESP, его режимы работы (tunnel/transport) и все связанные понятия не меняются.
Коротко об основных особенностях и отличиях IKEv2 от своего предшественника
Наиболее значимые вещи:
1. Оба протокола работают по UDP/500(4500 в случае с NAT-T), но между собой несовместимы, т.е. не получится так, чтобы на одном конце туннеля был IKEv1, а на другом – IKEv2. При этом один и тот же роутер может терминировать на себе и IKEv2 и IKEv1 туннели одновременно. В заголовках IKEv1 и 2 достаточно различий для того, чтобы роутер смог определить с чем имеет дело, несмотря на одни и те же порты.
2. В IKEv2 больше нет таких понятий как aggressive/main mode, что является одним из аспектов, делающих протокол более простым для понимания.
3. В IKEv2 термин фаза1 заменен на IKE_SA_INIT (обмен двумя сообщениями, обеспечивающий согласование протоколов шифрования/хеширования и генерацию DH ключей), а фаза2 – на IKE_AUTH (тоже два сообщения, реализующие непосредственно аутентификацию пиров и генерацию ключей для ESP). Обмен данными в IKE_AUTH всегда зашифрован с помощью SA, сформированными IKE_SA_INIT. Isakmp SA теперь называются ikev2 sa, а ipsec sa — Child SA.
4. в IKEv2 метод аутентификации между пирами больше не согласовывается автоматически и не привязан к тем или иным политикам IKEv2. Т.е. если раньше в IKEv1 каждой isakmp policy была строка authentication, где указывалось, каков будет тип аутентификации, в случае если будет выбрана именно эта policy, то теперь метод аутентификации задается вручную и явно определяется что вот с этим пиром будет аутентификация по сертификатам, а вот с этим – по pre-shared key. Кроме того, в IKEv2 стала возможна ассимметричная аутентификация. Т.е. можно сделать так, что эндпоинт A будет аутентифицировать эндпоинт B по сертификатам, в то время как B будет аутентифицировать A по pre-shared ключу. Или же А аутентифицирует B с помощью pre-shared key1, в то время как B аутентифицирует A с помощью pre-shared key2. Возможны и другие варианты, в т.ч. аутентификация с использованием различных методов EAP.
5. Mode Config (то, что в ikev1 называлось phase 1.5 и используется для настройки удаленных подключений RAVPN/EasyVPN), NAT-T и keepalives теперь непосредственно описаны в спецификации протокола и являются его неотъемлемой частью. Раньше же эти вещи реализовывались вендорами по своему по мере необходимости.
6. в IKEv2 добавился дополнительный механизм защиты control-plane (services plane) от DoS атак. Суть его в том, что прежде чем отвечать на каждый запрос в установлении защищенного соединения (IKE_SA_INIT) IKEv2 VPN-шлюз шлет источнику такого запроса запроса некий cookie, и ждет, что тот ответит тем же. Если источник ответил – отлично, можно начинать с ним генерацию DH. Если же источник не отвечает (в случае с DoS атакой так и происходит, — это по сути сравнимо с TCP SYN flood attack), VPN-шлюз просто забывает о нем. Без этого механизма, при каждом запросе IKE_SA_INIT IKEv2 от кого угодно VPN-шлюз бы пытался сгенерировать DH ключ (что, как известно, весьма ресурсоемкий процесс) и вскоре бы остался с убитой (пусть временно) control-plane.
Источник: Хабрахабр (habrahabr.ru)
--- ПРИМЕР ДЛЯ ТРЁХ ПИРОВ: CISCO ROUTER, CISCO ASA и PFSENSE >>>
- ASR NAT-T (ConfigNet: Cisco VTI & CryptoMap) <-> Router (Foo: Cisco VTI)
- ASR NAT-T (ConfigNet: Cisco VTI & CryptoMap) <-> ASA (Bar: CryptoMap)
- ASR NAT-T (ConfigNet: Cisco VTI & CryptoMap) <-> PfSense (Baz: VTI) <в процессе написания...>
*** Сначала будет приведена конфигурация Confignet общая для всех пиров (Foo, Bar и Baz) ***
- политика с алгоритмами IKEv2 первой фазы для всех пиров:
crypto ikev2 proposal ikev2-proposal-confignet
encryption aes-gcm-256 aes-gcm-128
prf sha512 sha384 sha256
group 20 21 24
crypto ikev2 proposal ikev2-proposal-confignet2
encryption aes-cbc-256 aes-cbc-192 aes-cbc-128
integrity sha512 sha384 sha256
group 20 21 24
!
crypto ikev2 policy ikev2-policy-confignet
proposal ikev2-proposal-confignet
proposal ikev2-proposal-confignet2
- ключи IKEv2 для всех пиров, объединенные в одну keyring-группу:
crypto ikev2 keyring ikev2-keyring-confignet
peer foo
description *** Foo IKEv2 Peer ***
address 1.1.1.1
pre-shared-key local fooPassword
pre-shared-key remote confignetPassword
!
peer bar
description *** Bar IKEv2 Peer ***
address 2.2.2.2
pre-shared-key local barPassword
pre-shared-key remote confignetPassword
!
peer baz
description *** Baz IKEv2 Peer ***
address 3.3.3.3
pre-shared-key symmetricBazConfignetPassword
!
- профиль IKEv2 для всех пиров:
crypto ikev2 profile ikev2-profile-confignet
match identity remote address 1.1.1.1 255.255.255.255
match identity remote address 2.2.2.2 255.255.255.255
match identity remote address 3.3.3.3 255.255.255.255
identity local address 9.9.9.9
authentication remote pre-share
authentication local pre-share
keyring local ikev2-keyring-confignet
dpd 60 3 periodic
- алгоритмы IPsec:
crypto ipsec transform-set ipsec-ts-confignet esp-aes 256 esp-sha-hmac
mode tunnel
*** Конфигурация Confignet для пиров Foo и Baz ***
Профиль IPsec:
crypto ipsec profile ipsec-profile-ikev2
set transform-set ipsec-ts-confignet
set ikev2-profile ikev2-profile-confignet
Пример интерфейса VTI Tunnel для пира Foo:
interface Tunnel901
description *** IPsec-IKEv2-Foo (Router) ***
ip address 10.5.9.93 255.255.255.252
ip access-group ipsec-foo-in in
ip access-group ipsec-foo-out out
ip tcp adjust-mss 1400
tunnel source 10.2.1.6
tunnel mode ipsec ipv4
tunnel destination 1.1.1.1
tunnel protection ipsec profile ipsec-profile-ikev2
Пример интерфейса VTI Tunnel для пира Baz:
interface Tunnel902
description *** IPsec-IKEv2-Baz (PfSense) ***
ip address 10.5.9.97 255.255.255.252
ip access-group ipsec-baz-in in
ip access-group ipsec-baz-out out
ip tcp adjust-mss 1400
tunnel source 10.2.1.6
tunnel mode ipsec ipv4
tunnel destination 3.3.3.3
tunnel protection ipsec profile ipsec-profile-ikev2
*** Конфигурация Confignet для пира Bar ***
ACL для шифрования трафика:
access-list 222 permit ip 10.9.9.0 0.0.0.255 10.2.2.0 0.0.0.255
Пример CryptoMap:
crypto map cmap-confignet 10 ipsec-isakmp
description *** IPsec-IKEv2-Bar (ASA) ***
set peer 2.2.2.2
set ip access-group ipsec-bar-in in
set ip access-group ipsec-bar-out out
set transform-set ipsec-ts-confignet
set pfs group20
set ikev2-profile ikev2-profile-confignet
match address 222
Вешаем CryptoMap на Source-интерфейс:
interface GigabitEthernet0/0
description *** IPsec Source Interface ***
ip address 10.2.1.6 255.255.255.248
crypto map cmap-confignet
Указываем маршрут к удаленной подсети пира Bar через Default Gateway Nexthop IP:
ip route 10.2.2.0 255.255.255.0 10.2.1.1 name IPsec-Bar
--- МОНИТОРИНГ IKEv2 >>>
ВНИМАНИЕ: Спойлер!
Просмотр SA-информации IKEv2 Phase1:
ASR_Confignet#show crypto ikev2 sa detailed
IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
1 10.2.1.6/4500 1.1.1.1/4500 none/none READY
Encr: AES-CBC, keysize: 256, PRF: SHA512, Hash: SHA512, DH Grp:20, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/2896 sec
CE id: 0, Session-id: 3780
Status Description: Negotiation done
Local spi: A07DC5FE4583D79E Remote spi: 1FE7473ED0D45E87
Local id: 9.9.9.9
Remote id: 1.1.1.1
Local req msg id: 48 Remote req msg id: 289
Local next msg id: 48 Remote next msg id: 289
Local req queued: 48 Remote req queued: 289
Local window: 5 Remote window: 1
DPD configured for 60 seconds, retry 3
Fragmentation not configured.
Extended Authentication not configured.
NAT-T is detected inside
Cisco Trust Security SGT is disabled
Initiator of SA : No
Tunnel-id Local Remote fvrf/ivrf Status
2 10.2.1.6/4500 2.2.2.2/4500 none/none READY
Encr: AES-CBC, keysize: 256, PRF: SHA256, Hash: SHA256, DH Grp:20, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/81096 sec
CE id: 87823, Session-id: 3778
Status Description: Negotiation done
Local spi: E19AC6A41B0C304F Remote spi: 9300C30CA60E864B
Local id: 9.9.9.9
Remote id: 2.2.2.2
Local req msg id: 3585 Remote req msg id: 65028
Local next msg id: 3585 Remote next msg id: 65028
Local req queued: 3585 Remote req queued: 65028
Local window: 5 Remote window: 1
DPD configured for 60 seconds, retry 3
Fragmentation not configured.
Extended Authentication not configured.
NAT-T is detected inside
Cisco Trust Security SGT is disabled
Initiator of SA : No
IPv6 Crypto IKEv2 SA
Просмотр сессий IKEv2 Phase1 & Child_SA (IPsec_SA) Phase2:
ASR_Confignet#show crypto ikev2 session detailed
IPv4 Crypto IKEv2 Session
Session-id:3792, Status:UP-ACTIVE, IKE count:1, CHILD count:2
Tunnel-id Local Remote fvrf/ivrf Status
1 10.2.1.6/4500 1.1.1.1/4500 none/none READY
Encr: AES-CBC, keysize: 256, PRF: SHA256, Hash: SHA256, DH Grp:20, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/3432 sec
CE id: 87869, Session-id: 3792
Status Description: Negotiation done
Local spi: AE7A0B386E5BDB88 Remote spi: F627C8E135DB4470
Local id: 9.9.9.9
Remote id: 1.1.1.1
Local req msg id: 189 Remote req msg id: 2
Local next msg id: 189 Remote next msg id: 2
Local req queued: 189 Remote req queued: 2
Local window: 5 Remote window: 1
DPD configured for 0 seconds, retry 0
Fragmentation not configured.
Extended Authentication not configured.
NAT-T is detected inside
Cisco Trust Security SGT is disabled
Initiator of SA : No
Child sa: local selector 10.9.9.100/0 - 10.9.9.100/65535
remote selector 10.5.9.94/0 - 10.5.9.94/65535
ESP spi in/out: 0x13B6685/0xC608D114
AH spi in/out: 0x0/0x0
CPI in/out: 0x0/0x0
Encr: AES-CBC, keysize: 256, esp_hmac: SHA96
ah_hmac: None, comp: IPCOMP_NONE, mode tunnel
Child sa: local selector 10.9.9.100/0 - 10.9.9.100/65535
remote selector 10.5.9.94/0 - 10.5.9.94/65535
ESP spi in/out: 0xF481B432/0xCA39E26C
AH spi in/out: 0x0/0x0
CPI in/out: 0x0/0x0
Encr: AES-CBC, keysize: 256, esp_hmac: SHA96
ah_hmac: None, comp: IPCOMP_NONE, mode tunnel
Session-id:3790, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id Local Remote fvrf/ivrf Status
2 10.2.1.6/4500 2.2.2.2/4500 none/none READY
Encr: AES-CBC, keysize: 256, PRF: SHA512, Hash: SHA512, DH Grp:20, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/732 sec
CE id: 0, Session-id: 3790
Status Description: Negotiation done
Local spi: C62AE2B78D2BFF11 Remote spi: 475F3701578CEC3A
Local id: 9.9.9.9
Remote id: 2.2.2.2
Local req msg id: 0 Remote req msg id: 73
Local next msg id: 0 Remote next msg id: 73
Local req queued: 0 Remote req queued: 73
Local window: 5 Remote window: 1
DPD configured for 0 seconds, retry 0
Fragmentation not configured.
Extended Authentication not configured.
NAT-T is detected inside
Cisco Trust Security SGT is disabled
Initiator of SA : No
Child sa: local selector 10.9.9.0/0 - 10.9.9.255/65535
remote selector 10.2.2.0/0 - 10.2.2.255/65535
ESP spi in/out: 0x77BDDC93/0x54DB6050
AH spi in/out: 0x0/0x0
CPI in/out: 0x0/0x0
Encr: AES-CBC, keysize: 256, esp_hmac: SHA96
ah_hmac: None, comp: IPCOMP_NONE, mode tunnel
IPv6 Crypto IKEv2 Session
Просмотр SA-информации IPsec Phase2:
ASR_Confignet#show crypto ipsec sa peer 1.1.1.1 detail
interface: Tunnel901
Crypto map tag: Tunnel901-head-0, local addr 10.2.1.6
protected vrf: (none)
local ident (addr/mask/prot/port): (10.9.9.100/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (10.5.9.94/255.255.255.255/0/0)
current_peer 1.1.1.1 port 4500
PERMIT, flags={}
#pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6
#pkts decaps: 6, #pkts decrypt: 6, #pkts verify: 6
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#pkts no sa (send) 0, #pkts invalid sa (rcv) 0
#pkts encaps failed (send) 0, #pkts decaps failed (rcv) 0
#pkts invalid prot (recv) 0, #pkts verify failed: 0
#pkts invalid identity (recv) 0, #pkts invalid len (rcv) 0
#pkts replay rollover (send): 0, #pkts replay rollover (rcv) 0
##pkts replay failed (rcv): 0
#pkts tagged (send): 0, #pkts untagged (rcv): 0
#pkts not tagged (send): 0, #pkts not untagged (rcv): 0
#pkts internal err (send): 0, #pkts internal err (recv) 0
local crypto endpt.: 10.2.1.6, remote crypto endpt.: 1.1.1.1
plaintext mtu 1422, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0
current outbound spi: 0xC635F7A1(3325425569)
PFS (Y/N): N, DH group: none
inbound esp sas:
spi: 0x3F80FA81(1065417345)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Tunnel UDP-Encaps, }
conn id: 7206, flow_id: HW:5206, sibling_flags 80000048, crypto map: Tunnel901-head-0
sa timing: remaining key lifetime (k/sec): (4608000/37)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
spi: 0xCE6FD643(3463435843)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Tunnel UDP-Encaps, }
conn id: 7208, flow_id: HW:5208, sibling_flags 80000048, crypto map: Tunnel901-head-0
sa timing: remaining key lifetime (k/sec): (4608000/67)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xC545FFA5(3309698981)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Tunnel UDP-Encaps, }
conn id: 7205, flow_id: HW:5205, sibling_flags 80000048, crypto map: Tunnel901-head-0
sa timing: remaining key lifetime (k/sec): (4608000/37)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
spi: 0xCDE5584F(3454359631)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Tunnel UDP-Encaps, }
conn id: 7207, flow_id: HW:5207, sibling_flags 80000048, crypto map: Tunnel901-head-0
sa timing: remaining key lifetime (k/sec): (4608000/67)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
outbound ah sas:
outbound pcp sas:
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 1.1.1.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#pkts no sa (send) 0, #pkts invalid sa (rcv) 0
#pkts encaps failed (send) 0, #pkts decaps failed (rcv) 0
#pkts invalid prot (recv) 0, #pkts verify failed: 0
#pkts invalid identity (recv) 0, #pkts invalid len (rcv) 0
#pkts replay rollover (send): 0, #pkts replay rollover (rcv) 0
##pkts replay failed (rcv): 0
#pkts tagged (send): 0, #pkts untagged (rcv): 0
#pkts not tagged (send): 0, #pkts not untagged (rcv): 0
#pkts internal err (send): 0, #pkts internal err (recv) 0
local crypto endpt.: 10.2.1.6, remote crypto endpt.: 1.1.1.1
plaintext mtu 1500, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0
current outbound spi: 0x0(0)
PFS (Y/N): N, DH group: none
inbound esp sas:
inbound ah sas:
inbound pcp sas:
outbound esp sas:
outbound ah sas:
outbound pcp sas:
Некоторые debug-команды:
Router_Confignet#debug crypto ikev2 ?
client Client
cluster IKEv2 Cluster load-balancer debugging
error IKEv2 Error debugging
internal IKEv2 Internal debugging
packet IKEv2 Packet debugging
<cr>
Router_Confignet#debug crypto ikev2
Router_Confignet#debug crypto ikev2 error
Router_Confignet#debug crypto ikev2 internal
Router_Confignet#debug crypto ikev2 packet
IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.
Последнее редактирование: 4 года 9 мес. назад пользователем TOLLIFi.
Пожалуйста Войти , чтобы присоединиться к беседе.
- Вы здесь:
-
Главная
-
Форум
-
IT и телекоммуникации
-
Конфигурация сетевого оборудования
- IPsec IKEv2 Site2Site VPN (FlexVPN): Cisco ASA, ASR, Router, PfSense, StrongSwan