27
2007
Commandes d’exploitation du PIX
Voir l’utilisation CPU :
show cpu usage
Définition d’IKE :
Service réseau permettant l’échange de clé cryptés
Commandes utilisées pour observer la configuration d’IKE :
show isakmp : permet de voir la configuration d’isakmp
isakmp key ******** address 217.128.221.28 netmask 255.255.255.255 no-xauth
show isakmp policy : permet d’afficher toutes les règles IKE
Protection suite of priority 5
encryption algorithm: Three key triple DES
hash algorithm: Message Digest 5
authentication method: Pre-Shared Key
Diffie-Hellman group: #2 (1024 bit)
lifetime: 86400 seconds, no volume limit
Protection suite of priority 10
encryption algorithm: AES – Advanced Encryption Standard (128 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Pre-Shared Key
Diffie-Hellman group: #2 (1024 bit)
lifetime: 1800 seconds, no volume limit
Default protection suite
encryption algorithm: DES – Data Encryption Standard (56 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit
show access-list : permet de connaitre les access-lists présente sur le PIX ainsi que le nombre de fois qu’elles ont été utilisées.
access-list NONAT line 13 permit ip host 172.17.4.6 any (hitcnt=27009)
hitcnt = nombre de fois qu’elle a été utilisé
show crypto map : permet de connaitre l’utilisation des crypto map de la meme manière que celle des access-list.
Crypto Map “VPN” 111 ipsec-isakmp
Peer = 80.18.32.24
access-list cryptoSII_BM1; 3 elements
access-list cryptoSII_BM1 line 1 permit ip object-group NET_RFCPRIV 172.30.11.0 255.255.255.240
access-list cryptoSII_BM1 line 1 permit ip 10.0.0.0 255.0.0.0 172.30.11.0 255.255.255.240 (hitcnt=0)
access-list cryptoSII_BM1 line 1 permit ip 172.16.0.0 255.240.0.0 172.30.11.0 255.255.255.240 (hitcnt=106003)
access-list cryptoSII_BM1 line 1 permit ip 192.168.0.0 255.255.0.0 172.30.11.0 255.255.255.240 (hitcnt=7862)
Current peer: 82.127.25.198
Security association lifetime: 4608000 kilobytes/28800 seconds
PFS (Y/N): N
Transform sets={ TSS-VPN, }
show crypto ipsec transform-set : vous permet de voir les différents types d’encodage actifs.
site1#sh crypto ipsec transform-set Transform set transfdes: { esp-des } will negotiate = { Tunnel, },
show crypto ipsec security-association lifetime
Security association lifetime: 4608000 kilobytes/28800 seconds
Commandes utilisées pour observer et administrer les communications VPN
show isakmp sa = Permet de connaitre l’état de la création du tunnel VPN.
dst src state pending created
11.0.0.251 80.18.25.32 QM_IDLE 0 11
QM_IDLE signifie que le tunnel est monté correctement.
show crypto ipsec sa : fourni une version plus détaillé que les 2 commandes citées plus haut.
site1#sh crypto ipsec sa interface: Ethernet0 (...) inbound esp sas: spi: 0x4A65829E(1248166558) transform: esp-des , in use settings ={Tunnel, } conn id: 2005, flow_id: C1700_EM:5, crypto map: cryptvpn sa timing: remaining key lifetime (k/sec): (99130/563) IV size: 8 bytes replay detection support: N Status: ACTIVE outbound esp sas: spi: 0x3481731A(880898842) transform: esp-des , in use settings ={Tunnel, } conn id: 2002, flow_id: C1700_EM:2, crypto map: cryptvpn sa timing: remaining key lifetime (k/sec): (99129/556) IV size: 8 bytes replay detection support: N Status: ACTIVE
clear crypto isakmp sa : permet de couper les tunnels créés.
exemple d’utilisation :
Pix1# show crypto isakmp sa
dst src state conn-id slot
192.168.1.2 192.168.2.2 QM_IDLE 93 0
Pix1# clear crypto isakmp 93
2w4d: ISADB: reaper checking SA,
Pix1# show crypto isakmp sa
dst src state conn-id slot
clear crypto ipsec sa : Permet de supprimer une session IPSec où de la raffraichir
debug crypto isakmp : Fonction de débugage pour IKE
debug crypto ipsec : Fonction de débugage pour Ipsec
Laissez un commentaire
Publicité :)
Articles récents
- Memento VI – Boostez Votre Productivité avec Vi : Trucs et Astuces à Connaître
- Configuration de Nginx pour Obtenir l’IP Réelle des Visiteurs avec CloudFlare
- Récupérer les informations d’un Ordinateur Terra à partir du numéros de série avec Python
- Grep – Extraire toutes les adresses IP d’un fichier text, Json, etc…
- Failed to Start File System Check – Vcenter 7
Mot-clefs
Commentaires récents
- Grep – Extraire toutes les adresses IP d’un fichier text, Json, etc… dans
- Grep – Extraire toutes les adresses IP d’un fichier text, Json, etc… dans
- Rotation des logs avec logrotate dans
- Hôte déconnecté sur le Vcenter. Impossible de se connecter à l’ESX. dans
- Pourquoi mon interface vlan ne veut pas devenir up ? dans