Ejemplo de configuracin de cliente de VPN a travs de LAN

inalmbrica con WLC

Contenido
Introduccin
Requisitos previos
Requerimientos
Componentes utilizados
Convenciones
Antecedentes
VPN de acceso remoto
IPsec
Diagrama de la red
Configuracin
Terminacin y transferencia VPN
Configuracin de WLC para transferencia VPN
Configuracin del servidor VPN
Configuracin del cliente VPN
Verificacin
Resolucin de problemas

Introduccin
Este documento introduce el concepto de red privada virtual (VPN) dentro de un entorno inalmbrico. Este documento explica las
configuraciones que deben llevarse a cabo durante la implementacin de un tnel de VPN entre un cliente inalmbrico y un servidor VPN a
travs de un controlador para redes LAN inalmbricas.

Requisitos previos
Requerimientos
Asegrese de que cumple estos requerimientos antes de intentar esta configuracin:
Tener conocimiento sobre WLC y cmo configurar los parmetros bsicos de WLC
Tener conocimiento sobre conceptos relacionados con el acceso Wi-Fi protegido (WPA)
Tener conocimiento bsico sobre VPN y sus tipos
Tener conocimiento sobre IPsec
Tener conocimiento bsico sobre los algoritmos de cifrado, autenticacin y hash

Componentes utilizados
La informacin que contiene este documento se basa en las siguientes versiones de software y hardware:
WLC 2006 de Cisco que ejecuta firmware versin 4.0.179.8
Puntos de acceso ligero (LAP) de la serie 1000 de Cisco
Cisco 3640 que ejecute el software Cisco IOS versin 12.4(8)
Cliente VPN de Cisco versin 4.8
Nota: En este documento se utiliza un router 3640 como servidor VPN. Para poder admitir funciones ms avanzadas de seguridad puede utilizar
tambin un servidor VPN dedicado.

Nota: Para que un router acte como un servidor VPN, es necesario que utilice un conjunto de funciones que admitan IPsec bsico.
La informacin que contiene este documento se cre a partir de los dispositivos en un entorno de laboratorio especfico. Todos los dispositivos
que se utilizan en este documento se iniciaron con una configuracin sin definir (predeterminada). Si la red est funcionando, asegrese de haber
comprendido el impacto que puede tener cualquier comando.

Convenciones
Consulte Convenciones sobre consejos tcnicos de Cisco para obtener ms informacin sobre las convenciones del documento.

Antecedentes
Una VPN es una red de datos privada que se utiliza para transmitir de forma segura los datos dentro de una red privada a travs de una
infraestructura de telecomunicaciones pblica como puede ser Internet. Esta VPN mantiene la privacidad de los datos a travs de la utilizacin de
un protocolo de tunelizacin y procedimientos de seguridad.

VPN de acceso remoto

Una configuracin de VPN de acceso remoto se utiliza para permitir que los clientes de software de VPN, por ejemplo los usuarios mviles,
puedan acceder de forma segura a recursos de red centralizados que residan detrs de un servidor VPN. En terminologa de Cisco, estos
servidores y clientes de VPN tambin se denominan servidor Easy VPN de Cisco y dispositivo remoto Easy VPN de Cisco.
Los dispositivos remotos Easy VPN de Cisco pueden ser routers Cisco IOS, dispositivos de seguridad PIX de Cisco, clientes de hardware VPN
3002 de Cisco y clientes VPN de Cisco. Se utilizan para recibir polticas de seguridad a travs de una conexin de tnel de VPN desde un
servidor Easy VPN de Cisco. As se minimizan los requerimientos de configuracin en una ubicacin remota. El cliente VPN de Cisco es un
cliente de software que puede se puede instalar en PC, equipos porttiles, etc.
Los servidores Easy VPN de Cisco pueden ser routers de Cisco IOS, dispositivos de seguridad PIX de Cisco y concentradores VPN 3000 de
Cisco.
En este documento se utiliza un software de cliente VPN de Cisco que se ejecuta en un equipo porttil, como el cliente VPN, y el router IOS 3640
de Cisco como el servidor VPN. Este documento utiliza el estndar IPsec para establecer un tnel de VPN entre un cliente y un servidor.

IPsec
IPsec es un marco de normas abiertas desarrollado por el Grupo de trabajo en ingeniera de Internet (IETF). IPsec proporciona seguridad para la
transmisin de informacin confidencial por redes no protegidas, como Internet.
IPsec proporciona cifrado de datos de red en el nivel de paquete IP, que ofrece una solucin de seguridad robusta basada en normas. La principal
tarea del IPsec es permitir el intercambio de informacin privada a travs de una conexin no segura. IPsec utiliza el cifrado para proteger la
informacin de intercepciones o escuchas furtivas. Sin embargo, para utilizar el cifrado de manera eficaz, ambas partes deben compartir un
secreto que se utilice tanto en el cifrado como en el descifrado de la informacin.
IPsec funciona en dos fases para permitir el intercambio confidencial de un secreto compartido:
Fase 1: administra las negociaciones de los parmetros de seguridad necesarios para establecer un canal seguro entre dos pares IPsec. La
fase 1 normalmente se implementa a travs del protocolo de intercambio de claves de Internet (IKE). Si el par IPsec remoto no puede llevar
a cabo el IKE, puede utilizar la configuracin manual con claves previamente compartidas para completar la fase 1.
Fase 2: utiliza el tnel seguro establecido en la fase 1 para intercambiar los parmetros de seguridad necesarios para transmitir realmente
los datos del usuario. Los tneles de seguridad que se utilizan en ambas fases de IPsec se basan en asociaciones de seguridad (SA)
utilizadas en cada punto extremo del IPsec. Las SA describen parmetros de seguridad, como el tipo de autenticacin y cifrado que ambos
puntos extremos aceptan utilizar.
Los parmetros de seguridad intercambiados en la fase 2 se utilizan para crear un tnel IPsec que se utiliza a su vez para la transmisin de datos
entre el cliente VPN y el servidor.
Consulte Configuracin de IPsec para obtener ms informacin acerca de IPsec y su configuracin.
Una vez que se ha establecido un tnel de VPN entre el cliente VPN y el servidor, se envan al cliente las polticas de seguridad definidas en el
servidor VPN. As se minimizan los requerimientos de configuracin del lado del cliente.
Nota: Utilice la herramienta Command Lookup Tool (slo para clientes registrados) para obtener ms informacin acerca de los comandos utilizados
en este documento.

Diagrama de la red
En este documento se utilizan las configuraciones siguientes:
Direccin IP de la interfaz de administracin del WLC: 172.16.1.10/16

Direccin IP de la interfaz de administrador AP del WLC: 172.16.1.11/16

Puerta de enlace predeterminada: 172.16.1.20/16
Nota: En una red en funcionamiento, esta puerta de enlace predeterminada debe apuntar a la interfaz de entrada del router inmediato que
conecta el WLC al resto de la red o a Internet.
Direccin IP de s3/0 del servidor VPN: 192.168.1.11/24
Nota: Esta direccin IP debe apuntar a la interfaz que finaliza el tnel de VPN en el lado del servidor VPN. En este ejemplo, s3/0 es la
interfaz que finaliza el tnel de VPN en el servidor VPN.
El segmento LAN en el servidor VPN utiliza el intervalo de direccin IP 10.0.0.0/8.

Configuracin
En una arquitectura centralizada de WLAN, para permitir que un cliente VPN inalmbrico como un equipo porttil establezca un tnel de VPN
con un servidor VPN, es necesario que dicho cliente se asocie con un punto de acceso ligero (LAP) que a su vez debe estar registrado con un
WLC. En este documento se asume que el LAP se encuentra ya registrado con el WLC mediante el proceso de deteccin de multidifusin de
subred local explicado en Registro de AP ligero (LAP) en un controlador para redes LAN inalmbricas (WLC) (en ingls).
El siguiente paso es configurar el WLC para VPN.

Terminacin y transferencia VPN

Con las versiones anteriores a la 4 de los WLC de la serie 4000 de Cisco, se incluye una funcin llamada terminacin VPN de Ipsec (soporte
IPsec). Dicha funcin activa estos controladores para terminar las sesiones de cliente VPN directamente en el controlador. En resumen, esta
funcin permite que el propio controlador acte como un servidor VPN. Sin embargo, esto requiere la instalacin de un mdulo separado de
hardware de terminacin VPN en el controlador.
Este soporte VPN de IPsec no est disponible en:
WLC de la serie 2000 de Cisco
Ningn WLC que ejecute la versin 4.0 o posteriores
Como consecuencia, la nica funcin VPN admitida en versiones posteriores a la 4.0 es la transferencia VPN. Los WLC de la serie 2000 de Cisco
tambin admiten esta funcin.
La transferencia VPN es una funcin que permite al cliente establecer un tnel solamente con un servidor VPN especfico. Por lo tanto, si
necesita acceder de manera segura al servidor VPN configurado, igual que a cualquier otro servidor VPN o a Internet, no es posible si la
transferencia VPN est activada en el controlador. Con tales requerimientos, debe desactivar la transferencia VPN. Sin embargo, el WLC se
puede configurar para que acte como una transferencia para poder alcanzar mltiples puertas de enlace, si se ha creado una ACL adecuada y se
ha aplicado a la correspondiente WLAN. Por tanto, en escenarios en los que desee alcanzar mltiples puertas de enlace VPN para redundancia,
desactive la transferencia VPN y cree una ACL que permita acceder a las puertas de enlace VPN y aplicar la ACL a la WLAN.

Configuracin de WLC para transferencia VPN

Siga estos pasos para configurar la transferencia VPN.

1. En la interfaz grfica de usuario del WLC, haga clic en WLAN para ir a la pgina de las WLAN.
2. Haga clic en New (Nueva) para crear una WLAN nueva.

3. En este ejemplo, el SSID de la WLAN es vpnclient . Haga clic en Apply (Aplicar).

4. Configure el SSID vpnclient con seguridad de capa 2. Este paso es opcional.

En este ejemplo se utiliza WPA1+WPA2 como tipo de seguridad.

5. Configure la poltica WPA y el tipo de administracin de claves de autenticacin que desee utilizar.
En este ejemplo se utiliza Pre-Shared Key (PSK) (Clave previamente compartida (PSK)) como administracin de claves de autenticacin.
Una vez que ha seleccionado PSK, elija ASCII como formato PSK e introduzca el valor PSK. Este valor deber ser el mismo que el de la
configuracin del SSID del cliente inalmbrico, para que los clientes que pertenecen a dicho SSID puedan asociarse con esta WLAN.

6. Seleccione VPN Pass-through (Transferencia VPN) como seguridad de capa 3. A continuacin se muestra el ejemplo.

7. Una vez que se ha seleccionado la transferencia VPN como seguridad de capa 3, agregue la direccin de la puerta de enlace VPN tal y
como muestra el ejemplo.
Esta direccin de puerta de enlace deber ser la direccin IP de la interfaz que termina el tnel de VPN en el lado del servidor. En este
ejemplo, la direccin IP de la interfaz s3/0 (192.168.1.11/24) en el servidor VPN es la direccin de la puerta de enlace que se desea
configurar.

8. Haga clic en Apply (Aplicar). La WLAN denominada vpnclient est ya configurada para la transferencia VPN.

Configuracin del servidor VPN

Esta configuracin muestra el router 3640 de Cisco como servidor VPN.
Nota: Para mayor simplicidad, en esta configuracin se utiliza un enrutamiento esttico para mantener el alcance de IP entre los puntos extremos.
Puede utilizar cualquier protocolo de enrutamiento dinmico, como el protocolo de informacin de enrutamiento (RIP), la apertura del trayecto
ms corto primero (OSPF), etc., para mantener el alcance.
Nota: El tnel no se establece si no existe alcance IP entre el cliente y el servidor.
Nota: En este documento se asume que el usuario conoce el procedimiento para activar el enrutamiento dinmico en la red.
Router 3640 de Cisco
vpnrouter#show running-config
Building configuration...
Current configuration : 1623 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname vpnrouter
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authorization network employee local
!
aaa session-id common
!
resource policy
!
memory-size iomem 10
!
!
ip cef
no ip domain lookup
!

!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto isakmp policy 1
!--- Create an Internet Security Association and Key Management
!--- Protocol (ISAKMP) policy for Phase 1 negotiation.
hash md5
!--- Choose the hash algorithm to be md5.
authentication pre-share
!--- The authentication method selected is pre-shared.
group 2
!--- With the group command, you can declare what size modulus to
!--- use for Diffie-Hellman calculation. Group 1 is 768 bits long,
!--- and group 2 is 1024 bits long.
crypto isakmp client configuration group employee
key cisco123
pool mypool
!
!--- Create the Phase 2 policy for actual data encryption.
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!--- Create a dynamic map and apply the transform set that was created.
!--- Set reverse-route for the VPN server.
crypto dynamic-map mymap 10
set transform-set myset
reverse-route
!
crypto map clientmap isakmp authorization list employee
!--- Create the crypto map.
crypto map clientmap client configuration address
crypto map clientmap 10 ipsec-isakmp dynamic mymap
!
!--- Apply the employee group list that was created earlier.

!
!
!
!
interface Ethernet0/0
ip address 10.0.0.20 255.0.0.0
half-duplex
!
interface Serial3/0
ip address 192.168.1.11 255.255.255.0
clock rate 64000
no fair-queue
crypto map clientmap

!--- Apply the crypto map to the interface.

!
interface Serial3/1
no ip address
shutdown
!
interface Serial3/2
no ip address
shutdown
!
interface Serial3/3
no ip address
shutdown
!
interface Serial3/4
no ip address
shutdown
!
interface Serial3/5
no ip address
shutdown
!
interface Serial3/6
no ip address
shutdown
!
interface Serial3/7
no ip address
shutdown
ip local pool mypool 10.0.0.50 10.0.0.60
!--!--!--!--!---

Configure the Dynamic Host Configuration Protocol

(DHCP) pool which assigns the tunnel
IP address to the wireless client.
This tunnel IP address is different from the IP address
assigned locally at the wireless client (either statically or dynamically).

ip http server
no ip http secure-server
!
ip route 172.16.0.0 255.255.0.0 192.168.1.10
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
!
!
end
ip subnet-zero . . .
!
end

Nota: En este ejemplo se utiliza nicamente la autenticacin de grupos. No incluye autenticacin de usuario individual.

Configuracin del cliente VPN

Es posible descargar un cliente VPN de software desde el Centro de software de Cisco.com.
Nota: Algunos software de Cisco requieren que el usuario inicie sesin con nombre de usuario y contrasea CCO.

Siga estos pasos para configurar el cliente VPN.

1. Desde su cliente inalmbrico (equipo porttil), elija Start > Programs > Cisco Systems VPN Client > VPN Client (Inicio > Programas >
Cliente VPN de Cisco Systems > Cliente VPN) para acceder al cliente VPN. sta es la ubicacin predeterminada en la que el cliente VPN
se instala.
2. Haga clic en New (Nuevo) para iniciar la ventana Create New VPN Connection Entry (Crear nueva entrada de conexin VPN).

3. Introduzca el nombre en Connection Entry (Entrada de conexin) junto con una descripcin. En este ejemplo se utiliza vpn.
El campo de la descripcin es opcional. Introduzca la direccin IP del servidor VPN en la casilla Host. A continuacin, introduzca el
nombre de grupo VPN y la contrasea y haga clic en Save (Guardar).

Nota: El nombre de grupo y la contrasea aqu configurados debern ser los mismos que los del servidor VPN. Este ejemplo utiliza el
nombre employee y la contrasea cisco123.

Verificacin
Para verificar esta configuracin, configure el SSID vpnclient en el cliente inalmbrico con los mismos parmetros de seguridad configurados en
el WLC y asocie dicho cliente a esta WLAN. Existe un gran nmero de documentos que explican cmo configurar un cliente inalmbrico con un
nuevo perfil.
Una vez que se ha asociado el cliente inalmbrico, vaya al cliente VPN y haga clic en la conexin que ha configurado. A continuacin, haga clic
en Connect (Conectar) en la ventana principal del cliente VPN.
Puede ver los parmetros de seguridad de fase 1 y fase 2 negociados entre el cliente y el servidor.

Nota: Para establecer este tnel de VPN, debe existir alcance IP entre el cliente VPN y el servidor. Si el cliente VPN no es capaz de contactar con
la puerta de enlace de seguridad (servidor VPN), el tnel no se establece y aparecer un cuadro de alerta en el lado del cliente con el siguiente
mensaje:
Reason 412: The remote peer is no longer responding

Para asegurarse de que se ha establecido correctamente un tnel de VPN entre el cliente y el servidor, encontrar un icono de bloqueo creado
junto al cliente VPN establecido. En la barra de estado tambin indicar Connected to "vpn" (Conectado a vpn). A continuacin se muestra un
ejemplo:

Asimismo, asegrese de que puede transmitir datos correctamente al segmento LAN en el lado de servidor desde el cliente VPN y viceversa. En
el men principal del cliente VPN, elija Status > Statistics (Estado > Estadsticas). Aqu podr encontrar las estadsticas de los paquetes cifrados
y descifrados que pasan a travs del tnel.

En esta captura de pantalla puede ver la direccin de cliente 10.0.0.57. sta es la direccin que el servidor VPN asigna al cliente desde su
agrupacin configurada de manera local, una vez que se ha llevado a cabo con xito la negociacin de la fase 1. Una vez establecido el tnel, el
servidor VPN agrega de manera automtica una ruta a dicha direccin IP de DHCP en su tabla de rutas.
Tambin puede ver cmo aumenta el nmero de paquetes cifrados mientras los datos se transfieren desde el cliente al servidor, y cmo aumenta
el nmero de paquetes descifrados durante una transferencia de datos en sentido inverso.
Nota: Puesto que el WLC est configurado para la transferencia VPN, el cliente slo puede acceder al segmento conectado a la puerta de enlace
VPN (en este ejemplo, el servidor VPN 192.168.1.11) configurada para la transferencia. El resto del trfico se filtra.
Para verificarlo, puede configurar otro servidor VPN con la misma configuracin y configurar una nueva entrada de conexin para este servidor
VPN en el cliente VPN. Ahora, cuando intente establecer un tnel con este servidor VPN, no podr. Esto se debe a que el WLC filtra este trfico
y slo permite un tnel a la direccin de la puerta de enlace VPN configurada para la transferencia VPN.
Tambin puede verificar la configuracin desde la CLI del servidor VPN.
La herramienta Output Interpreter (Intrprete de resultados) (OIT) (slo para clientes registrados) admite determinados comandos show. Utilice la OIT
para ver un anlisis del resultado del comando show.
Nota: Consulte Informacin importante sobre comandos de depuracin (en ingls) antes de utilizar los comandos de depuracin.
Estos comandos show que se utilizan en el servidor VPN pueden ser tiles para ayudarle a verificar el estado del tnel.
El comando show crypto session se utiliza para verificar el estado del tnel. ste es un ejemplo del resultado de dicho comando.
Crypto session current status
Interface: Serial3/0
Session status: UP-ACTIVE
Peer: 172.16.1.20 port 500
IKE SA: local 192.168.1.11/500 remote 172.16.1.20/500
Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 host 10.0.0.58
Active SAs: 2, origin: dynamic crypto map

El comando show crypto isakmp policy se utiliza para ver los parmetros de la fase 1 configurada.

Resolucin de problemas
Los comandos de debug y show explicados en la seccin Verificacin se pueden utilizar tambin para la resolucin de problemas.
debug crypto isakmp
debug crypto ipsec
show crypto session
El comando debug crypto isakmp en el servidor VPN muestra el proceso completo de negociacin de la fase 1 entre el cliente y el

servidor. ste es un ejemplo de una negociacin correcta de la fase 1.

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------*Aug 28 10:37:29.515: ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 14
against priority 1 policy
*Aug 28 10:37:29.515: ISAKMP:
encryption DES-CBC
*Aug 28 10:37:29.515: ISAKMP:
hash MD5
*Aug 28 10:37:29.515: ISAKMP:
default group 2
*Aug 28 10:37:29.515: ISAKMP:
auth pre-share
*Aug 28 10:37:29.515: ISAKMP:
life type in seconds
*Aug 28 10:37:29.515: ISAKMP:
life duration (VPI) of 0x0 0x20 0xC4 0x9B
*Aug 28 10:37:29.515: ISAKMP:(0:0:N/A:0):atts are acceptable. Next payload is 0
*Aug 28
*Aug 28 10:37:29.955: ISAKMP:(0:15:SW:1):SA authentication status:
authenticated
*Aug 28 10:37:29.955: ISAKMP:(0:15:SW:1): Process initial contact,
bring down existing phase 1 and 2 SA's with local 192.168.1.11
remote 172.16.1.20 remote port 500
*Aug 28 10:37:29.955: ISAKMP:(0:15:SW:1):returning IP addr to
the address pool: 10.0.0.57
*Aug 28 10:37:29.955: ISAKMP (0:134217743): returning address 10.0.0.57 to pool
*Aug 28 10:37:29.959: ISAKMP:(0:14:SW:1):received initial contact, deleting SA
*Aug 28 10:37:29.959: ISAKMP:(0:14:SW:1):peer does not do pade
1583442981 to QM_IDLE
*Aug 28 10:37:29.963: ISAKMP:(0:15:SW:1):Sending NOTIFY
RESPONDER_LIFETIME protocol 1
spi 1689265296, message ID = 1583442981
*Aug 28 10:37:29.967: ISAKMP:(0:15:SW:1): sending packet to
172.16.1.20 my_port 500 peer_port 500 (R) QM_IDLE
*Aug 28 10:37:29.967: ISAKMP:(0:15:SW:1):purging node 1583442981
*Aug 28 10:37:29.967: ISAKMP: Sending phase 1 responder lifetime 86400
*Aug 28 10:37:29.967: ISAKMP:(0:15:SW:1):Input = IKE_MESG_FROM_PEER, IKE_AM_EXCH
*Aug 28 10:37:29.967: ISAKMP:(0:15:SW:1):Old State = IKE_R_AM2
New State = IKE_P1_COMPLETE

El comando debug crypto ipsec en el servidor VPN muestra la negociacin IPsec correcta de la fase 1 y la creacin del tnel de VPN. A
continuacin se muestra un ejemplo:
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------*Aug 28 10:40:04.267: IPSEC(key_engine): got a queue event with 1 kei messages
*Aug 28 10:40:04.271: IPSEC(spi_response): getting spi 2235082775 for SA
from 192.168.1.11 to 172.16.1.20 for prot 3
*Aug 28 10:40:04.279: IPSEC(key_engine): got a queue event with 2 kei messages
*Aug 28 10:40:04.279: IPSEC(initialize_sas): ,
(key eng. msg.) INBOUND local= 192.168.1.11, remote= 172.16.1.20,
local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
remote_proxy= 10.0.0.58/0.0.0.0/0/0 (type=1),
protocol= ESP, transform= esp-3des esp-md5-hmac (Tunnel),
lifedur= 2147483s and 0kb,
spi= 0x8538A817(2235082775), conn_id= 0, keysize= 0, flags= 0x2
*Aug 28 10:40:04.279: IPSEC(initialize_sas): ,
(key eng. msg.) OUTBOUND local= 192.168.1.11, remote= 172.16.1.20,
local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
remote_proxy= 10.0.0.58/0.0.0.0/0/0 (type=1),
protocol= ESP, transform= esp-3des esp-md5-hmac (Tunnel),
lifedur= 2147483s and 0kb,
spi= 0xFFC80936(4291299638), conn_id= 0, keysize= 0, flags= 0xA
*Aug 28 10:40:04.283: IPSEC(rte_mgr): VPN Route Event create routes for
peer or rekeying for peer 172.16.1.20
*Aug 28 10:40:04.283: IPSEC(rte_mgr): VPN Route Refcount 1 Serial3/0
*Aug 28 10:40:04.283: IPSEC(rte_mgr): VPN Route Added
10.0.0.58 255.255.255.255 via 172.16.1.20 in IP DEFAULT TABLE with tag 0
*Aug 28 10:40:04.283: IPSec: Flow_switching Allocated flow for sibling 8000001F
*Aug 28 10:40:04.283: IPSEC(policy_db_add_ident): src 0.0.0.0, dest 10.0.0.58,
dest_port 0
*Aug 28 10:40:04.287: IPSEC(create_sa): sa created,
(sa) sa_dest= 192.168.1.11, sa_proto= 50,
sa_spi= 0x8538A817(2235082775),
sa_trans= esp-3des esp-md5-hmac , sa_conn_id= 2002
*Aug 28 10:40:04.287: IPSEC(create_sa): sa created,
(sa) sa_dest= 172.16.1.20, sa_proto= 50,
sa_spi= 0xFFC80936(4291299638),
sa_trans= esp-3des esp-md5-hmac , sa_conn_id= 2001

 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados.

Fecha de Generacin del PDF: 17 Abril 2008
http://www.cisco.com/cisco/web/support/LA/9/98/98017_vpnclient-wlan-wlc-conf.html