1.清除VPN配置:

clear configure crypto map VPN_AAAA


2.调试和显示命令:

启用日志记录:

 Ciscoasa# terminal monitor
ciscoasa(config)# logging buffer-size 1048576
ciscoasa(config)# logging buffered 7
ciscoasa(config)# logging monitor 7
ciscoasa(config)# debug crypto condition peer 10.10.10.10
ciscoasaa(config)#
ciscoasa(config)# debug crypto ipsec 127


调试ICMP TRACE命令用于捕获用户的ICMP流量。

 Ciscoasa# debug icmp trace

 Ciscoasa# 

!--- Output is suppressed.

ICMP echo request from 192.168.1.50 to 192.168.1.1 ID=512 seq=5120 len=32
ICMP echo reply from 192.168.1.1 to 192.168.1.50 ID=512 seq=5120 len=32

!--- The user IP address is 192.168.1.50.

用户对ASA的内部接口(ping 192.168.1.1)。该输出显示在控制台上。

要禁用调试ICMP跟踪,请使用其中一个命令:

没有调试ICMP跟踪


UNDEBUG ICMP追踪

aldebug all ,undebug全部,或 所有人

每个
这三种选项有助于管理员确定源
IP地址。在此示例中,用户的源IP地址是
192.168.1.50。管理员已准备好了解有关应用程序的更多信息
X并确定问题的原因。

要查看ISAKMP配置使用显示Run Crypto Isakmp
查看IPsec配置使用显示运行Crypto IPsec
要查看加密地图配置使用Show Run Crypto Map
查看IPsec操作数据使用显示Crypto IPSec SA
要查看ISAKMP操作数据使用显示Crypto Isakmp SA

调试ISAKMP使用调试加密isakmp.
调试IPsec使用调试加密IPsec.

手动拆除isakmp或ipsec sa:
清除Crypto IPsec.
清除Crypto Isakmp.

清除IPSec SA计数器使用清除Crypto IPSec SA柜台
通过进入使用清除IPSec SAS清除IPSec SAS条目iPaddress
通过地图使用清除IPSec SAS清除IPSec SAS Map CryptOMAP_NAME
通过对等使用清除IPSec SA清除IPSec SA对等IPAddress
通过ipaddress使用来清除isakmp sa清除Crypto Isakmp SA iPaddress


3.在PIX / ASA中恢复预共享密钥:

more system:running-config


4.使用Capture确认IPSec数据包点击防火墙:

管理员需要
创建一个访问列表,定义ASA需要的流量
捕获。定义访问列表后,Capture命令
包含访问列表并将其应用于接口。

思科 asa(Config)#访问列表INSE_TEST许可证ICMP任何主机192.168.1.1
思科 asa(Config)#捕获Inside_Interface Access-List Inside_test接口
用户对ASA的内部接口(ping 192.168.1.1)。显示此输出。

Ciscoasa# show capture inhane_interface.
1:13:04:06.284897 192.168.1.50>192.168.1.1:ICMP:Echo Request

! - 用户IP地址为192.168.1.50。

注意:为了将捕获文件下载到诸如空灵等系统,您可以在此输出显示时执行此操作。

! - 使用此HTTPS链接格式打开Internet Explorer并浏览:

//[/]/capture//pcap
请参阅ASA / PIX:使用CLI和ASDM配置示例捕获数据包捕获,以便在ASA中了解数据包捕获。

关闭数据包捕获并删除ACL:

ASA(CONFIG)#没有捕获内部_Interface.
ASA(CONFIG)#清除配置访问列表INSINE_TEST

您可以使用此命令清除捕获日志:
作为一个# 清除捕获内部_Interface.

您还可以在查看捕获输出时使用管道功能:
作为一个# Show Capture Inside_Interface |公司192.168.1.1.1

要确认IPSec数据包已到达防火墙,可以为所有UDP 500流量创建捕获。
首先为您要捕获的流量创建访问列表。
Access-List Capture1允许UDP任何EQ 500

接下来创建捕获。
捕获CAP1访问列表CAPTURE1外部接口

接下来显示捕获的结果。
显示Capture Cap1细节
1:13:04:06.284897 192.168.1.50>192.168.1.1:UDP:500

或在网上查看捕获
//capture/pcap/cap1


5. Syslog.

确保启用日志记录。记录
级别需要设置为调试。记录可以发送给各种各样
地点。此示例使用ASA日志缓冲区。你可能需要一个
生产环境中的外部日志记录服务器。

思科 asa(Config)#记录使能
思科 asa(Config)#记录缓冲调试
用户对ASA的内部接口(ping 192.168.1.1)。显示此输出。

Ciscoasa# 显示日志记录

! - 输出被抑制。

%ASA-6-302020:为Faddr 192.168.1.50/512建立ICMP连接
Gaddr 192.168.1.1/0 Laddr 192.168.1.1/0
%ASA-6-302021:FADDR 192.168.1.50/512的拆除ICMP连接
Gaddr 192.168.1.1/0 Laddr 192.168.1.1/0

! - 用户IP地址为192.168.1.50。


6.'ping -f'命令在ipsec vpn上进行故障排除MTU大小

视窗 命令提示符中的-f标志可防止ICMP数据包分段。这样,与-l标志组合允许您设置正在发送的ICMP数据包的大小。

因此,假设标准以太网MTU为1500,并且占8字节的ICMP标头和20字节IP标头,我应该能够将ICMP数据包发送到1472字节,但是1473应该太大:

C:\Users\netcanuck>ping 172.16.32.1 -f -l 1472

Pinging 172.16.32.1 with 1472 bytes of data:
Reply from 172.16.32.1: bytes=1472 time=3ms TTL=251
Reply from 172.16.32.1: bytes=1472 time=4ms TTL=251
Reply from 172.16.32.1: bytes=1472 time=4ms TTL=251
Reply from 172.16.32.1: bytes=1472 time=3ms TTL=251

C:\Users\netcanuck>ping 172.16.32.1 -f -l 1473

Pinging 172.16.32.1 with 1473 bytes of data:
Packet needs to be fragmented but DF set.
Packet needs to be fragmented but DF set.
Packet needs to be fragmented but DF set.
Packet needs to be fragmented but DF set.

7.将AnyConnect用户带有本地身份验证的静态IP

7.1 VPN框架IP地址命令
用户名User1密码User12345

用户名User1属性

VPN. -FRAMED-IP地址192.168.1.11 255.255.255.0

参考: ASA / PIX:具有CLI和ASDM配置示例的IPSec VPN客户端的静态IP寻址

7.2使用自己的池创建多个组,只需一个IP
例如:
创建了三组,每个组都有自己的池,只有一个IP地址。内部网络是192.168.1.0/24:


ip local pool group1 172.16.99.1
ip local pool group2 172.16.99.2
ip local pool group3 172.16.99.3

access-list nonat permit ip 192.168.1.0 255.255.255.0 172.16.99.0 255.255.255.0

crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set myset
crypto map mymap 99 ipsec-isakmp dynamic dynmap
crypto map mymap interface outside

sysopt connection permit ipsec

isakmp nat-trav
isakmp identity address
isakmp keepalive 10 2

isakmp enable outside

isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash md5
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400

(the actual vpn groups):

vpngroup group1 password MYPASSWORD
vpngroup group1 address-pool group1
vpngroup group1 dns 192.168.1.5
vpngroup group1 wins 192.168.1.5

vpngroup group2 password MYPASSWORD
vpngroup group2 address-pool group2
vpngroup group2 dns 192.168.1.5
vpngroup group2 wins 192.168.1.5

vpngroup group3 password MYPASSWORD
vpngroup group3 address-pool group3
vpngroup group3 dns 192.168.1.5
vpngroup group3 wins 192.168.1.5

wr mem

8.将AnyConnect用户限制为分配资源
8.1所有VPN流量绕过接口ACL。
ASA的默认设置是它允许来自VPN连接的所有流量绕过VPN客户端连接的接口的接口ACL。在这种情况下,您的“外部”界面。默认配置命令是

SYSOPT连接允许-VPN

如果你要改变它

没有Sysopt Connection Permic-VPN

然后,您必须允许所有VPN相关的流量在“外部”的接口中。

8.2构建界面VPN ACL
在此之后,我们可以开始构建接口ACL,您可以用于控制来自VPN客户端的流量。

允许假设您可以根据登录信息分配用户IP地址。我们还认为以下是起源信息

用户:
用户:192.168.2.1
用户B:192.168.2.2
用户C:192.168.2.3

服务器:
服务器A:x.x.x.1
服务器B:x.x.x.2
服务器C:x.x.x.3
现在让我们认为您想要从用户A与用户A和从用户B的连接到服务器B等。然后您可以配置以下ACL

vpn用户的备注规则外的访问列表
访问列表备注用户A.
允许访问列表允许IP主机192.168.2.1主机x.x.x.1
访问列表备注用户b
允许访问列表在许可证IP主机192.168.2.2主机x.x.2
访问列表备注用户C.
访问列表外部允许IP主机192.168.2.3主机x.x.x.3
在外面的界面中的访问组

上述配置将允许从用户A到服务器A等的所有TCP / UDP流量。它们不会无法访问其他服务器其他在ACL中指定的其他服务器。

当然,其他选择是使用VPN过滤器ACL,因为它也应该在我的理解中工作,但上面是一个选项。

注意:其他ASA故障排除命令
请参考这一点 邮政 .

经过 jonny.

发表评论