ASA 实现 IPSec 虚拟专用网(内附故障排查)

最新推荐文章于 2024-05-03 14:15:39 发布
最新推荐文章于 2024-05-03 14:15:39 发布
阅读量2.8k 收藏 12
点赞数 1
分类专栏: Cisco路由器 文章标签: ASA IPSec 排障
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44907813/article/details/102986600
版权

IPSec虚拟专用网原理及基础配置实例
https://blog.csdn.net/weixin_44907813/article/details/102941603
其实,防火墙和路由器的配置非常相似,可以参考上方传送门,下方会介绍一个防火墙的配置实例
一、路由器的故障诊断排查
1、show crypto isakmp sa

R1:show crypto isakmp sa               # 可以显示数据连接sa的细节信息

MM_NO_STATE :ISAKMP SA建立的初始状态;管理连接建立失败也会处于该状态
MM_SA_SETUP :对等体之间ISAKMP策略协商成功后处于该状态
MM_KEY_EXCH :对等体通过DH算法成功建立共享密钥,此时还没有进行设备验证
MM_KEY_AUTH :对等体成功进行设备验证,之后会过渡到QM_IDLE状态
QM_IDLE :管理连接成功建立,即将过渡到阶段2的数据连接建立过程

2、debug crypto isakmp

R1:debug crypto isakmp                # 诊断和排查管理连接出现的问题

故障实例一:两端加密算法不匹配

ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 1 against priority 1 policy
ISAKMP:      default group 1
ISAKMP:      encryption DES-CBC
ISAKMP:      hash SHA
ISAKMP:      auth pre-share
ISAKMP:      life type in seconds
ISAKMP:      life duration (VPI) of  0x0 0x1 0x51 0x80 
ISAKMP:(0:0:N/A:0):Encryption algorithm offered does not match policy!                        # 加密算法不匹配
ISAKMP:(0:0:N/A:0):atts are not acceptable. Next payload is 0
……                            # 策略不被接受
ISAKMP:(0:0:N/A:0):no offers accepted!                  # 没有匹配策略
……
received packet from 10.0.0.1 dport 500 sport 500 Global (R) MM_NO_STATE

故障案例二:两端使用的预共享密钥不一致

ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 1 against priority 1 policy
ISAKMP:      default group 1
ISAKMP:      encryption DES-CBC
ISAKMP:      hash SHA
ISAKMP:      auth pre-share
ISAKMP:      life type in seconds
ISAKMP:      life duration (VPI) of  0x0 0x1 0x51 0x80 
ISAKMP:(0:0:N/A:0):atts are acceptable. Next payload is 0
……            # 算法已匹配,开始秘钥交换及身份验证
ISAKMP (0:134217729): received packet from 10.0.0.1 dport 500 sport 500 Global (R) MM_KEY_EXCH
ISAKMP: reserved not zero on ID payload!
%CRYPTO-4-IKMP_BAD_MESSAGE: IKE message from 10.0.0.1     failed its sanity check or is malformed          
# 完整性验证失败,将停留在MM     KEY    EXCH 阶段

二、防火墙和路由器的区别:
IKE 协商:
路由默认开启<

最低0.47元/天 解锁文章
看清所苡看轻
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
思科ASA防火墙SSL(远程拨号虚拟专用网络)理论配置解析.doc
10-16
安全套接层俗称Secure Socket Layer (SSL) 是由 Netscape Communication(网景公司)于 1990年开发,用于保障Word Wide Web (WWW)通讯的安全。主要任务是提供私密性,信息完整性和身份认证。
FWSM ASA ipsec配置
08-12
FWSM ASA ipsec配置
如何在ASA防火墙上实现ipsec ***
weixin_34409357的博客
05-30 466
博主QQ:819594300博客地址:http://zpf666.blog.51cto.com/有什么疑问的朋友可以联系博主,博主会帮你们解答,谢谢支持!本文章介绍三个部分内容:①ipsec ***故障排查②如何在ASA防火墙上配置ipsec ***③防火墙与路由器配置ipsec ***的区别说明:在ASA防火墙配置ipsec ***与路由器的差别不是很大,而且原理相同,就是个别命令不一样。一、i...
asa实现IPsec
林奋斗的博客
07-10 377
要求: pc1通过vpn访问pc3 pc1可以访问pc2 一、基本配置 1、ASA的配置 ciscoasa(config)# int e0/0 ciscoasa(config-if)# nameif inside ciscoasa(config-if)# ip add 192.168.1.1 255.255.255.0 ciscoasa(config-if)# no sh ciscoasa(config-if)# int e0/1 ciscoasa(config-if)# nam...
思科防火墙查如何查看现有ipsec隧道信息
最新发布
玩人工智能的辣条哥的博客
05-03 412
思科ASA5555。
ASA实现 IPSec ***
weixin_33682790的博客
01-16 496
1、IPSec ×××管理链接的状态:查看状态:show crypto isakmp sa显示链接过程:debug crypto isakmpMM_NO_STATE:初始状态,连接失败状态MM_SA_SETUP:isakmp策略协商成功MM_KEY_EXCH:共享秘钥建立成功MM_KEY_AUTH:成功进行设备验证QM_IDLE:管理连接成功2、常见错误:①Encryptio...
ASA防火墙上实现IPSec ***
weixin_34210740的博客
04-17 280
ASA防火墙配置IPSec ***与路由器的差别不是很大,而且原理相同。***工作原理参照上一篇,这里就不在赘述了。实验案例 某软件开发公司为了降低人员成本,在中小城市建立了分支公司,但是分支公司上传给总公司的数据一般为软件开发的关键业务数据,如果其被窃取,可能给公司带来难以预计的损失。作为该分支公司的网络管理员,对网络提出以下设计需求。需求描述:1)开发项目小...
Cisco的ASA防火墙和路由器上实现IPSec虚拟专用网
:Struggle.
09-13 761
博文目录一、IPSec 虚拟专用网故障排查二、配置防火墙和路由器实现IPSec 虚拟专用网三、总结 关于IPSec 虚拟专用网工作原理及概念,前面写过一篇博文:Cisco路由器IPSec 虚拟专用网原理与详细配置,博客里都有详细介绍,前面是在公司网关使用的是Cisco路由器的情况下来搭建虚拟专用网的,今天来配置一下在ASA防火墙上实现IPSec 虚拟专用网。 由于“Virtual Privat...
ASA IPSEC ×××配置
weixin_34244102的博客
09-19 100
一.IPSEC ××× (site to site) 第一步:在外部接口启用IKE协商 crypto isakmp enable outside 第二步:配置isakmp协商 策略 isakmp 策略两边要一致,可设置多个策略模板,只要其中一个和对方匹配即可 isakmp policy 5 authentication pre-share //...
网路虚拟化的实现ASA-security-context参照.pdf
01-22
网路虚拟化的实现ASA-security-context参照.pdf
思科ASA虚拟防火墙借鉴.pdf
12-30
思科ASA虚拟防火墙借鉴.pdf
IPv6 Security
02-05
学习IPv6安全的权威书籍,内容详实,很有指导意义 Contents at a Glance Introduction xix Chapter 1 Introduction to IPv6 Security 3 Chapter 2 IPv6 Protocol Security Vulnerabilities 15 Chapter 3 IPv6 Internet Security 73 Chapter 4 IPv6 Perimeter Security 127 Chapter 5 Local Network Security 181 Chapter 6 Hardening IPv6 Network Devices 219 Chapter 7 Server and Host Security 281 Chapter 8 IPsec and SSL Virtual Private Networks 319 Chapter 9 Security for IPv6 Mobility 377 Chapter 10 Securing the Transition Mechanisms 417 Chapter 11 Security Monitoring 467 Chapter 12 IPv6 Security Conclusions 499 Index 512
启用ASA和PIX上的虚拟防火墙实用.pdf
01-17
启用ASA和PIX上的虚拟防火墙实用.pdf
ipsec常用debug命令
TylerDu的博客
09-03 967
以下均以cisco router/switch为例:
IPSec ***冗余(HSRP):debug crypto isakmp会话成功建立的输出解析
weixin_33755847的博客
04-11 263
*Dec 4 04:47:48.455: ISAKMP:(0): SA request profile is (NULL)*Dec 4 04:47:48.459: ISAKMP: Created a peer struct for 192.1.1.1, peer port 500*Dec 4 04:47:48.459: ISAKMP: New peer created pee...
strongswan ipsec 和思科 ASA5550 对接
Rain
07-11 2086
strongswan ipsec 和思科 ASA5550 对接 strongswan下载地址:http://www.strongswan.org/ 文档和软件都可以在这里下载 主要配置文件:ipsec.conf  # ipsec.conf - strongSwan IPsec configuration file # basic configuration
*** sa无连接是怎么回事啊
weixin_34393428的博客
12-14 152
1、情况是这样的,没有连接信息 Router#show crypto isakmp sa dst src state conn-id slot status Router# 其他显示是正常的 2、Router#show crypto isakmp policy Global IKE policy ...
IKE协商建立IPSec Debug信息
weixin_34041003的博客
12-29 559
IKE协商建立IPSec Debug信息 Router1#debug crypto ipsec Router1#debug crypto isakmp Router1# Get acquire: 10.32.1.0/0.0.0.255 -> 10.32.2.0/0.0.0.255 , prot 0, port 0/0 Get acquire: negotiat...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值