キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

PIX 500(6.x)と ASA の間で、Dynamic-to-Static VPN トンネルが確立しない

2008 年 1 月 25 日(初版)

TAC SR Collection
主な問題

PIX と Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)の間で Dynamic-to-Static トンネルが確立されず、debug 出力で次のように表示されます。

IKEv1]: Group = x.x.x.x, IP = x.x.x.x, QM FSM error (P2 struct &0x49ba5a0, mess id 0xcd600011)!
[IKEv1]: Group = x.x.x.x, IP = x.x.x.x, Removing peer from correlator table failed, no match!

次の例のように、シーケンス内で dynamic crypto map が static crypto map よりも前にある場合は、PIX と ASA の間で Dynamic-to-Static VPN トンネルが確立されない場合があります。

crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto dynamic-map cisco 1 set transform-set myset
crypto map newmap 20 ipsec-isakmp dynamic cisco
crypto map newmap 40 ipsec-isakmp
crypto map newmap 40 match address 101
crypto map newmap 40 set peer 4.4.4.4
crypto map newmap 40 set transform-set myset
crypto map newmap interface outside

この例では、リモート ピア 4.4.4.4 が接続を開始しようとすると、最初にダイナミックマップにヒットするため、トンネルが確立されません。dynamic crypto map では一致するものがないため、パケットはドロップされます。

解決策

この問題を解決するには、次の例のように、dynamic crypto map のシーケンス番号を大きくします。

crypto ipsec transform-set myset esp-des esp-md5-hmac?
crypto dynamic-map cisco 1 set transform-set myset
crypto map newmap 40 ipsec-isakmp
crypto map newmap 40 match address 101
crypto map newmap 40 set peer x.x.x.x
crypto map newmap 40 set transform-set myset
crypto map newmap 65525 ipsec-isakmp dynamic cisco
crypto map newmap interface outside

PIX と ASA の間の Dynamic-to-Static VPN トンネルの設定方法については、『PIX/ASA 7.x の NAT 機能付き PIX-to-PIX Dynamic-to-Static IPsec と VPN クライアントの設定例』を参照してください。

備考

製品ファミリ:

  • ファイアウォール - PIX 500 シリーズ
    • ASA ハードウェアおよびソフトウェア

頻度: 断続的

PIX ソフトウェアのバージョン:

  • PIX バージョン 6.x
  • PIX バージョン 7.x

ASA ソフトウェアのバージョン:

  • 7.0
  • 7.1

PIX のモデル:PIX 500 シリーズ ファイアウォール

ASA のモデル:ASA 5520

VPN トンネルのエンド ポイント:

  • PIX
  • ASA

VPN プロトコル:IPSec

VPN トンネルの初期化:IPSec セッションが確立されない

PIX の Syslog:Syslog メッセージは表示されない

英語版URL

https://supportforums.cisco.com/docs/DOC-4088

バージョン履歴
改訂番号
1/1
最終更新:
‎05-28-2012 05:24 PM
更新者:
 
タグ(3)