juin 07
27
Commandes d’exploitation du PIX
Voir l’utilisation CPU :
show cpu usage
Définition d’IKE :
Service réseau permettant l’échange de clé cryptés
Commandes utilisées pour observer la configuration d’IKE :
show isakmp : permet de voir la configuration d’isakmp
isakmp key ******** address 217.128.221.28 netmask 255.255.255.255 no-xauth
show isakmp policy : permet d’afficher toutes les règles IKE
Protection suite of priority 5
encryption algorithm: Three key triple DES
hash algorithm: Message Digest 5
authentication method: Pre-Shared Key
Diffie-Hellman group: #2 (1024 bit)
lifetime: 86400 seconds, no volume limit
Protection suite of priority 10
encryption algorithm: AES – Advanced Encryption Standard (128 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Pre-Shared Key
Diffie-Hellman group: #2 (1024 bit)
lifetime: 1800 seconds, no volume limit
Default protection suite
encryption algorithm: DES – Data Encryption Standard (56 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit
show access-list : permet de connaitre les access-lists présente sur le PIX ainsi que le nombre de fois qu’elles ont été utilisées.
access-list NONAT line 13 permit ip host 172.17.4.6 any (hitcnt=27009)
hitcnt = nombre de fois qu’elle a été utilisé
show crypto map : permet de connaitre l’utilisation des crypto map de la meme manière que celle des access-list.
Crypto Map « VPN » 111 ipsec-isakmp
Peer = 80.18.32.24
access-list cryptoSII_BM1; 3 elements
access-list cryptoSII_BM1 line 1 permit ip object-group NET_RFCPRIV 172.30.11.0 255.255.255.240
access-list cryptoSII_BM1 line 1 permit ip 10.0.0.0 255.0.0.0 172.30.11.0 255.255.255.240 (hitcnt=0)
access-list cryptoSII_BM1 line 1 permit ip 172.16.0.0 255.240.0.0 172.30.11.0 255.255.255.240 (hitcnt=106003)
access-list cryptoSII_BM1 line 1 permit ip 192.168.0.0 255.255.0.0 172.30.11.0 255.255.255.240 (hitcnt=7862)
Current peer: 82.127.25.198
Security association lifetime: 4608000 kilobytes/28800 seconds
PFS (Y/N): N
Transform sets={ TSS-VPN, }
show crypto ipsec transform-set : vous permet de voir les différents types d’encodage actifs.
site1#sh crypto ipsec transform-set
Transform set transfdes: { esp-des }
will negotiate = { Tunnel, },
show crypto ipsec security-association lifetime
Security association lifetime: 4608000 kilobytes/28800 seconds
Commandes utilisées pour observer et administrer les communications VPN
show isakmp sa = Permet de connaitre l’état de la création du tunnel VPN.
dst src state pending created
11.0.0.251 80.18.25.32 QM_IDLE 0 11
QM_IDLE signifie que le tunnel est monté correctement.
show crypto ipsec sa : fourni une version plus détaillé que les 2 commandes citées plus haut.
site1#sh crypto ipsec sa
interface: Ethernet0
(...)
inbound esp sas:
spi: 0x4A65829E(1248166558)
transform: esp-des ,
in use settings ={Tunnel, }
conn id: 2005, flow_id: C1700_EM:5, crypto map: cryptvpn
sa timing: remaining key lifetime (k/sec): (99130/563)
IV size: 8 bytes
replay detection support: N
Status: ACTIVE
outbound esp sas:
spi: 0x3481731A(880898842)
transform: esp-des ,
in use settings ={Tunnel, }
conn id: 2002, flow_id: C1700_EM:2, crypto map: cryptvpn
sa timing: remaining key lifetime (k/sec): (99129/556)
IV size: 8 bytes
replay detection support: N
Status: ACTIVE
clear crypto isakmp sa : permet de couper les tunnels créés.
exemple d’utilisation :
Pix1# show crypto isakmp sa
dst src state conn-id slot
192.168.1.2 192.168.2.2 QM_IDLE 93 0
Pix1# clear crypto isakmp 93
2w4d: ISADB: reaper checking SA,
Pix1# show crypto isakmp sa
dst src state conn-id slot
clear crypto ipsec sa : Permet de supprimer une session IPSec où de la raffraichir
debug crypto isakmp : Fonction de débugage pour IKE
debug crypto ipsec : Fonction de débugage pour Ipsec
Administration
Astuces
Base de donnée
Cisco
Linux
Messagerie
Microsoft
Outils
Programmation
Projet
Réseau
Sécurité
Vmware
Web