Commandes d’exploitation du PIX

An article by Olivier Legras    Pas de Commentaire

Voir l’utilisation CPU :

show cpu usage

Définition d’IKE :

Service réseau permettant l’échange de clé cryptés

Commandes utilisées pour observer la configuration d’IKE :

show isakmp : permet de voir la configuration d’isakmp

isakmp key ******** address 217.128.221.28 netmask 255.255.255.255 no-xauth

show isakmp policy : permet d’afficher toutes les règles IKE

Protection suite of priority 5
encryption algorithm:   Three key triple DES
hash algorithm:         Message Digest 5
authentication method:  Pre-Shared Key
Diffie-Hellman group:   #2 (1024 bit)
lifetime:               86400 seconds, no volume limit
Protection suite of priority 10
encryption algorithm:   AES – Advanced Encryption Standard (128 bit keys).
hash algorithm:         Secure Hash Standard
authentication method:  Pre-Shared Key
Diffie-Hellman group:   #2 (1024 bit)
lifetime:               1800 seconds, no volume limit
Default protection suite
encryption algorithm:   DES – Data Encryption Standard (56 bit keys).
hash algorithm:         Secure Hash Standard
authentication method:  Rivest-Shamir-Adleman Signature
Diffie-Hellman group:   #1 (768 bit)
lifetime:               86400 seconds, no volume limit

show access-list : permet de connaitre les access-lists présente sur le PIX ainsi que le nombre de fois qu’elles ont été utilisées.

access-list NONAT line 13 permit ip host 172.17.4.6 any (hitcnt=27009)

hitcnt = nombre de fois qu’elle a été utilisé

show crypto map : permet de connaitre l’utilisation des crypto map de la meme manière que celle des access-list.

Crypto Map “VPN” 111 ipsec-isakmp
Peer = 80.18.32.24
access-list cryptoSII_BM1; 3 elements
access-list cryptoSII_BM1 line 1 permit ip object-group NET_RFCPRIV 172.30.11.0 255.255.255.240
access-list cryptoSII_BM1 line 1 permit ip 10.0.0.0 255.0.0.0 172.30.11.0 255.255.255.240 (hitcnt=0)
access-list cryptoSII_BM1 line 1 permit ip 172.16.0.0 255.240.0.0 172.30.11.0 255.255.255.240 (hitcnt=106003)
access-list cryptoSII_BM1 line 1 permit ip 192.168.0.0 255.255.0.0 172.30.11.0 255.255.255.240 (hitcnt=7862)
Current peer: 82.127.25.198
Security association lifetime: 4608000 kilobytes/28800 seconds
PFS (Y/N): N
Transform sets={ TSS-VPN, }

show crypto ipsec transform-set : vous permet de voir les différents types d’encodage actifs.

site1#sh crypto ipsec transform-set
Transform set transfdes: { esp-des  }
will negotiate = { Tunnel,  },

show crypto ipsec security-association lifetime

Security association lifetime: 4608000 kilobytes/28800 seconds

Commandes utilisées pour observer et administrer les communications VPN

show isakmp sa = Permet de connaitre l’état de la création du tunnel VPN.

dst               src        state     pending     created
11.0.0.251      80.18.25.32    QM_IDLE         0          11

QM_IDLE signifie que le tunnel est monté correctement.

show crypto ipsec sa : fourni une version plus détaillé que les 2 commandes citées plus haut.

site1#sh crypto ipsec sa
interface: Ethernet0
(...)
inbound esp sas:
spi: 0x4A65829E(1248166558)
transform: esp-des ,
in use settings ={Tunnel, }
conn id: 2005, flow_id: C1700_EM:5, crypto map: cryptvpn
sa timing: remaining key lifetime (k/sec): (99130/563)
IV size: 8 bytes
replay detection support: N
Status: ACTIVE
outbound esp sas:
spi: 0x3481731A(880898842)
transform: esp-des ,
in use settings ={Tunnel, }
conn id: 2002, flow_id: C1700_EM:2, crypto map: cryptvpn
sa timing: remaining key lifetime (k/sec): (99129/556)
IV size: 8 bytes
replay detection support: N
Status: ACTIVE

clear crypto isakmp sa : permet de couper les tunnels créés.

exemple d’utilisation :

Pix1# show crypto isakmp sa

dst src state conn-id slot

192.168.1.2 192.168.2.2 QM_IDLE 93 0

Pix1# clear crypto isakmp 93

2w4d: ISADB: reaper checking SA,

Pix1# show crypto isakmp sa

dst src state conn-id slot

clear crypto ipsec sa : Permet de supprimer une session IPSec où de la raffraichir

debug crypto isakmp : Fonction de débugage pour IKE

debug crypto ipsec  : Fonction de débugage pour Ipsec