pteuz Wiki

User Tools

Site Tools

You are here: start » informatique » cisco » ipsec
Trace:
informatique:cisco:ipsec

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
Next revisionBoth sides next revision
informatique:cisco:ipsec [2011/07/13 14:55] – ajout de liens pteuinformatique:cisco:ipsec [2013/04/10 10:02] – [Définition de la crypto map] pteu
Line 125: Line 125:
  match address 101  match address 101
  set transform-set Aes_sha  set transform-set Aes_sha
 + set pfs group2
 </code> </code>
  
Line 264: Line 265:
      remote-ip 10.1.1.2      remote-ip 10.1.1.2
  
 +
 +====Accélération matérielle====
 +
 +Sur certains châssis on peut utiliser des modules d'accélération hardware ; c'est le cas des cartes AIM sur les châssis 3825 ou des carte SPA pour les châssis 650X. Dans ce dernier exemple si on utilise des tunnels GRE + IPsec il peut être intéressant dans certains cas de forcer la prise en charge des tunnels GRE chiffrés par la carte supervisor :
 +<code bash>
 +! prise en charge de la crypto par la carte SPA
 +crypto engine gre vpnblade
 +!
 +! prise en charge par la carte supervisor
 +crypto engine gre supervisor
 +</code>
  
 =====Vérifs===== =====Vérifs=====
Line 273: Line 285:
   show crypto engine connection active   show crypto engine connection active
  
-====Etat des tunnels====+====État des tunnels====
  
-<code> +<code bash
-sh crypto session+show crypto session
 Crypto session current status Crypto session current status
  
Line 302: Line 314:
 Plus de détails : on précise l'adresse ip du peer pour n'afficher que son tunnel ; on récupère avec cette commande le mode IPSec (tunnel ou transport), les compteurs in/out, les SAs, etc. Plus de détails : on précise l'adresse ip du peer pour n'afficher que son tunnel ; on récupère avec cette commande le mode IPSec (tunnel ou transport), les compteurs in/out, les SAs, etc.
 <code bash> <code bash>
-Router1#sh crypto ipsec sa peer 10.1.1.1+Router1#show crypto ipsec sa peer 10.1.1.1
  
 interface: Vlan2784 interface: Vlan2784
Line 351: Line 363:
  
      outbound pcp sas:      outbound pcp sas:
 +</code>
 +
 +Autres commandes, en vrac :
 +<code bash>
 +show crypto engine accel stat slot x/y detail et/ou
 +show crypto ipsec sa
 +!
 +show crypto ace polo detail
 +show int tunnel351 stats
 +show crypto vlan
 +show crypto engine accelerator statistic all
 +show ip int tu351
 +!
 +clear crypto engine accelerator counter all
 +clear crypto session local 10.4.101.97
 </code> </code>
  
Line 376: Line 403:
   * [[http://www.cisco.com/en/US/docs/ios/12_3t/secur/command/reference/sec_s2gt.html|Security Commands: show crypto isakmp key through subject-name]]   * [[http://www.cisco.com/en/US/docs/ios/12_3t/secur/command/reference/sec_s2gt.html|Security Commands: show crypto isakmp key through subject-name]]
  
-En vrac, des liens destiner à comprendre et debugger l'IPSec :+En vrac, des liens destinés à comprendre et debugger l'IPSec :
   * [[http://www.cisco.com/en/US/docs/ios/12_2t/12_2t13/feature/guide/ftprefrg.html|Pre-fragmentation For Ipsec VPNs]]   * [[http://www.cisco.com/en/US/docs/ios/12_2t/12_2t13/feature/guide/ftprefrg.html|Pre-fragmentation For Ipsec VPNs]]
   * [[http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gtIPSctm.html|IPSec Virtual Tunnel Interface]]   * [[http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gtIPSctm.html|IPSec Virtual Tunnel Interface]]
informatique/cisco/ipsec.txt · Last modified: 2013/10/14 20:44 by 127.0.0.1