带有NAT的PIX实现IPSec VPN连接(3)

　　arp timeout 14400

　　global (outside) 1 204.1.1.10-204.1.1.15

　　!

　　!--- Binding ACL 101 to the NAT statement to avoid NAT on the IPSec packets

　　nat (inside) 0 access-list 101

　　!

　　nat (inside) 1 0.0.0.0 0.0.0.0 0 0

　　conduit permit icmp any any

　　route outside 0.0.0.0 0.0.0.0 204.1.1.2 1

　　timeout xlate 3:00:00

　　timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip

　　0:30:00 sip_media 0:02:00

　　timeout uauth 0:05:00 absolute

　　aaa-server TACACS+ protocol tacacs+

　　aaa-server RADIUS protocol radius

　　no snmp-server location

　　no snmp-server contact

　　snmp-server community public

　　no snmp-server enable traps

　　floodguard enable

　　!

　　!--- The sysopt command avoids conduit on the IPSec encrypted traffic

　　sysopt connection permit-ipsec

　　!

　　no sysopt route dnat

　　!

　　!--- Phase 2 encryption type

　　crypto ipsec transform-set myset esp-des esp-md5-hmac

　　crypto map newmap 10 ipsec-isakmp

　　crypto map newmap 10 match address 101

　　crypto map newmap 10 set peer 203.1.1.1

　　crypto map newmap 10 set transform-set myset

　　!

　　!--- Binding the IPSec engine on the outside interface

　　crypto map newmap interface outside

　　!

　　!--- Enabling ISAKMP key-exchange

　　isakmp enable outside

　　!

　　!--- ISAKMP Policy for connecting to Central PIX

　　isakmp key ******** address 203.1.1.1 netmask 255.255.255.255

　　isakmp identity hostname

　　isakmp policy 10 authentication pre-share

　　isakmp policy 10 encryption des

　　isakmp policy 10 hash md5

　　isakmp policy 10 group 1

　　isakmp policy 10 lifetime 1000

　　!

　　telnet timeout 5

　　ssh timeout 5

　　terminal width 80

　　Cryptochecksum:6743b7bf9476590ecd1a1a8c6d75245b

　　: end

　　验证

　　此部分提供您能使用确 认您的配置适当地工作的信息。

　　注意 ： 在 配置 模式必须执行clear命令。

　　clear crypto ipsec sa - 在失败的尝试以后重置IPSec协会协商VPN建立隧道。

　　clear crypto isakmp sa - 在失败的尝试以后重置互联网安全协会和密钥管理协议 (ISAKMP)安全关联协商VPN建立隧道。

　　show crypto engine ipsec - 显示加密的会话。

　　排除故障

　　此部分提供您能使用排除您的配置故障的信息。

　　故障检修命 令

　　在尝试任何 debug 命令之前，请参阅 重要信息关于Debug命令。

　　debug crypto ipsec - 看见客户端是否协商VPN连接的IPSec部分。

　　debug crypto isakmp connection - 看见对等体是否协商VPN的ISAKMP 部分

　　示例“Good ”调试输出

　　中央PIX 调试

　　远程PIX调试

　　客户端调试

　　中央PIX调试

　　crypto_isakmp_process_block: src 204.1.1.1, dest 203.1.1.1

　　OAK_MM exchange

　　ISAKMP (0): processing SA payload. message ID = 0

　　ISAKMP (0): Checking ISAKMP transform 1 against priority 10 policy

　　ISAKMP: encryption DES-CBC

　　ISAKMP: hash MD5

　　ISAKMP: default group 1

　　ISAKMP: auth pre-share

　　ISAKMP: life type in seconds

　　ISAKMP: life duration (basic) of 1000

　　ISAKMP (0): atts are acceptable. Next payload is 0

　　ISAKMP (0): SA is doing pre-shared key authentication using id type ID_FQDN

　　return status is IKMP_NO_ERROR

　　crypto_isakmp_process_block: src 204.1.1.1, dest 203.1.1.1

　　OAK_MM exchange

　　ISAKMP (0): processing KE payload. message ID = 0

　　ISAKMP (0): processing NONCE payload. message ID = 0

　　ISAKMP (0): processing vendor id payload

　　ISAKMP (0): processing vendor id payload

　　ISAKMP (0): processing vendor id payload

　　ISAKMP (0): speaking to another IOS box!

　　return status is IKMP_NO_ERROR

　　crypto_isakmp_process_block: src 204.1.1.1, dest 203.1.1.1

　　OAK_MM exchange

　　ISAKMP (0): processing ID payload. message ID = 0

　　ISAKMP (0): processing HASH payload. message ID = 0

　　ISAKMP (0): SA has been authenticated

　　ISAKMP (0): ID payload

　　next-payload : 8

　　type : 2

　　protocol : 17

　　port : 500

　　length : 10

　　ISAKMP (0): Total payload length: 14

　　return status is IKMP_NO_ERROR

　　crypto_isakmp_process_block: src 204.1.1.1, dest 203.1.1.1

　　OAK_QM exchange

　　oakley_process_quick_mode:

　　OAK_QM_IDLE

　　ISAKMP (0): processing SA payload. message ID = 1223411072