1.清除VPN配置: 

clear configure crypto map  虚拟专用网 _AAAA


2.调试并显示命令:

启用日志记录:

 ciscoasa# terminal monitor
ciscoasa(config)# logging buffer-size 1048576
ciscoasa(config)# logging buffered 7
ciscoasa(config)# logging monitor 7
ciscoasa(config)# debug crypto condition peer 10.10.10.10
ciscoasaa(config)#
ciscoasa(config)# 调试加密ipsec 127


debug icmp trace命令用于捕获用户的ICMP流量。

 ciscoasa# debug icmp trace

 ciscoasa# 

!--- Output is suppressed.

ICMP echo request from 192.168.1.50 to 192.168.1.1 ID=512 seq=5120 len=32
ICMP echo reply from 192.168.1.1 to 192.168.1.50 ID=512 seq=5120 len=32

!--- The 使用r IP address is 192.168.1.50.

用户ping ASA的内部接口(ping 192.168.1.1)。此输出显示在控制台上。

为了禁用调试icmp跟踪,请使用以下命令之一:

没有调试icmp跟踪


调试icmp跟踪

全部调试,全部取消调试,或 全部


这三个选项中的一个可以帮助管理员确定来源
IP地址。在此示例中,用户的源IP地址为
192.168.1.50。管理员已准备好了解有关应用程序的更多信息
X并确定问题的原因。

To see ISAKMP configuration 使用 显示运行crypto isakmp
查看IPSec配置 use 显示运行加密ipsec
查看加密映射配置 使用 show run crypto map
查看IPsec操作数据使用 显示crypt ipsec sa
查看ISAKMP操作数据的使用 显示crypto isakmp sa

To debug isakmp 使用 调试crypto isakmp
To debug ipsec 使用 调试加密ipsec

手动拆卸ISAKMP或IPSEC SA:
清除加密ipsec
清除加密isakmp

To clear IPsec SA counters 使用 清除crypto ipsec sa计数器
To clear IPsec SAs by entry 使用 清除IPsec SA条目ipaddress
To clear IPsec SAs by map 使用 清除IPsec SA映射cryptomap_name
To clear IPsec SA by peer 使用 清除IPsec SA对等ipaddress
要通过ipaddress清除ISAKMP SA,请使用 清除加密的Isakmp SA IP地址


3. 在Pix / ASA中恢复预共享密钥: 

more system:running-config


4.使用捕获确认IPSec数据包到达防火墙:

管理员需要
创建访问列表,该访问列表定义了ASA需要进行哪些流量
捕获。定义访问列表后,捕获命令
合并访问列表并将其应用于接口。

ciscoasa(配置)#访问列表inside_test允许icmp任何主机192.168.1.1
ciscoasa(配置)#捕获inside_interface访问列表inside_test接口
用户ping ASA的内部接口(ping 192.168.1.1)。显示此输出。

ciscoasa# 显示捕获 inside_interface
   1:13:04:06.284897 192.168.1.50>192.168.1.1:icmp:回显请求

!—用户IP地址为192.168.1.50。

注意:要将捕获文件下载到诸如ethereal之类的系统中,可以按照此输出所示进行操作。

!—打开Internet Explorer,并使用以下https链接格式浏览:

http:// _ [<pix_ip>/<asa_ip>]/capture/<capture name>/pcap
请参阅ASA / PIX:使用CLI和ASDM配置示例进行数据包捕获,以了解有关ASA中数据包捕获的更多信息。

关闭数据包捕获并删除ACL:

ASA(配置)#没有捕获 inside_interface
ASA(配置)#清除配置访问列表 inside_test

您可以使用以下命令清除捕获日志:
作为一个# 清晰捕获 inside_interface

您还可以在查看捕获输出时使用管道功能:
作为一个# 显示捕获 inside_interface | inc 192.168.1.1

为了确认IPSEC数据包正在到达防火墙,可以为所有UDP 500流量创建捕获。
首先为您要捕获的流量创建一个访问列表。
访问列表捕获1允许udp任意eq 500

接下来创建一个捕获。
外部捕获cap1访问列表capture1接口

接下来显示捕获结果。
显示捕获帽1的详细信息
1:13:04:06.284897 192.168.1.50>192.168.1.1:UDP:500

或在网络上查看捕获
http:// _ capture / pcap / cap1


5. Syslog

确保启用了日志记录。测井
级别需要设置为调试。日志可以发送到各种
位置。本示例使用ASA日志缓冲区。您可能需要一个
生产环境中的外部日志记录服务器。

ciscoasa(配置)#记录启用
ciscoasa(配置)#记录缓冲调试
用户ping ASA的内部接口(ping 192.168.1.1)。显示此输出。

ciscoasa# 显示记录

!—输出被抑制。

%ASA-6-302020:为faddr 192.168.1.50/512建立的ICMP连接
gaddr 192.168.1.1/0 laddr 192.168.1.1/0
%ASA-6-302021:faddr 192.168.1.50/512的拆卸ICMP连接
gaddr 192.168.1.1/0 laddr 192.168.1.1/0

!—用户IP地址为192.168.1.50。


6.“ ping -f”命令 通过IPSEC 虚拟专用网 对MTU大小进行故障排除

视窗 命令提示符下的-f标志可防止对ICMP数据包进行分段。结合-l标志,您可以设置要发送的ICMP数据包的大小。

因此,假设标准的以太网MTU为1500,并考虑到8字节的ICMP报头和20字节的IP报头,我应该能够发送大小为1472字节的ICMP数据包,但1473太大了:

C:\Users\netcanuck>ping 172.16.32.1 -f -l 1472

Pinging 172.16.32.1 with 1472 bytes of data:
Reply from 172.16.32.1: bytes=1472 time=3ms TTL=251
Reply from 172.16.32.1: bytes=1472 time=4ms TTL=251
Reply from 172.16.32.1: bytes=1472 time=4ms TTL=251
Reply from 172.16.32.1: bytes=1472 time=3ms TTL=251

C:\Users\netcanuck>ping 172.16.32.1 -f -l 1473

Pinging 172.16.32.1 with 1473 bytes of data:
Packet needs to be fragmented but DF set.
Packet needs to be fragmented but DF set.
Packet needs to be fragmented but DF set.
Packet needs to be fragmented but DF set.

7.为AnyConnect用户分配具有本地身份验证的静态IP

7.1 vpn-framed-ip-address命令
用户名user1密码user12345

使用rname 使用r1 attributes

虚拟专用网 框架IP地址192.168.1.11 255.255.255.0

参考: ASA / PIX:具有CLI和ASDM配置示例的IPSec 虚拟专用网 客户端的静态IP寻址

7.2使用自己的池和一个IP创建多个组
例如:
创建了三个组,每个组都有自己的池并且只有一个IP地址。内部网络是192.168.1.0/24:


ip local pool group1 172.16.99.1
ip local pool group2 172.16.99.2
ip local pool group3 172.16.99.3

access-list nonat permit ip 192.168.1.0 255.255.255.0 172.16.99.0 255.255.255.0

crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set myset
crypto map mymap 99 ipsec-isakmp dynamic dynmap
crypto map mymap interface outside

sysopt connection permit ipsec

isakmp nat-trav
isakmp identity address
isakmp keepalive 10 2

isakmp enable outside

isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash md5
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400

(the actual vpn groups):

vpngroup group1 password MYPASSWORD
vpngroup group1 address-pool group1
vpngroup group1 dns 192.168.1.5
vpngroup group1 wins 192.168.1.5

vpngroup group2 password MYPASSWORD
vpngroup group2 address-pool group2
vpngroup group2 dns 192.168.1.5
vpngroup group2 wins 192.168.1.5

vpngroup group3 password MYPASSWORD
vpngroup group3 address-pool group3
vpngroup group3 dns 192.168.1.5
vpngroup group3 wins 192.168.1.5

wr mem

8.将AnyConnect用户限制为分配的资源
8.1所有所有VPN流量绕过接口ACL。
ASA的默认设置是它允许来自VPN连接的所有流量绕过VPN客户端连接到的接口的接口ACL。在这种情况下,您的“外部”界面。默认配置命令是

sysopt连接许可-vpn

如果您将其更改为

没有sysopt连接许可-vpn

然后,您将必须在“外部”接口ACL中允许所有与VPN相关的流量。

8.2建立接口VPN ACL
之后,我们可以开始构建接口ACL,您可以使用它来控制来自VPN客户端的流量。

假设您可以根据登录信息为用户分配IP地址。还假定以下是开始信息

使用者:
用户A:192.168.2.1
用户B:192.168.2.2
用户C:192.168.2.3

服务器:
服务器A:x.x.x.1
服务器B:x.x.x.2
服务器C:x.x.x.3
现在假定您要允许从用户A到服务器A以及从用户B到服务器B的连接,依此类推。然后,您可以配置以下ACL

虚拟专用网 用户的访问列表OUTSIDE-IN备注规则
访问列表OUTSIDE-IN备注用户A
访问列表OUTSIDE-IN许可ip主机192.168.2.1主机x.x.x.1
访问列表OUTSIDE-IN备注用户B
访问列表OUTSIDE-IN许可ip主机192.168.2.2主机x.x.x.2
访问列表OUTSIDE-IN备注用户C
访问列表OUTSIDE-IN许可ip主机192.168.2.3主机x.x.x.3
外部接口中的访问组OUTSIDE-IN

以上配置将允许从用户A到服务器A的所有TCP / UDP通信,依此类推。他们将无法访问ACL中指定的其他服务器。

当然,另一种选择是使用VPN筛选器ACL,因为据我所知它也应该起作用,但是以上是一种选择。

注意:其他ASA故障排除命令
请参考这里 发布 .

发表评论