ASA IPsec- und IKE-Debugs (IKEv1-Hauptmodus) Fehlerbehebung TechNote
Download-Optionen
-
ePub (95.9 KB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Inklusive Sprache
In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Informationen zu dieser Übersetzung
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
Inhalt
Einführung
In diesem Dokument werden die Debugging auf der Adaptive Security Appliance (ASA) beschrieben, wenn sowohl der Hauptmodus als auch der Pre-Shared Key (PSK) verwendet werden. Die Übersetzung bestimmter Debugzeilen in die Konfiguration wird ebenfalls behandelt.
Zu den Themen, die in diesem Dokument nicht behandelt werden, gehören die Weiterleitung des Datenverkehrs nach der Tunneleinrichtung und grundlegende Konzepte von IPsec oder Internet Key Exchange (IKE).
Voraussetzungen
Anforderungen
Die Leser dieses Dokuments sollten diese Themen kennen.
-
PSK
-
IKE
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf den folgenden Hardware- und Softwareversionen:
-
Cisco ASA 9.3.2
-
Router mit Cisco IOS® 12.4T
Kernproblem
IKE- und IPsec-Debuggen sind manchmal kryptisch, aber Sie können sie verwenden, um zu verstehen, wo sich ein IPsec-VPN-Tunnelerstellungsproblem befindet.
Szenario
Der Hauptmodus wird in der Regel zwischen LAN-zu-LAN-Tunneln oder, im Falle des Remote-Zugriffs (EzVPN), bei der Verwendung von Zertifikaten für die Authentifizierung verwendet.
Die Debug-Versionen stammen von zwei ASAs, die die Software Version 9.3.2 ausführen. Die beiden Geräte bilden einen LAN-zu-LAN-Tunnel.
Es werden zwei Hauptszenarien beschrieben:
- ASA als Initiator von IKE
- ASA als Verantwortlicher für IKE
Verwendete Debugbefehle
debug crypto ikev1 127
debug crypto ipsec 127
ASA-Konfiguration
IPsec-Konfiguration:
crypto ipsec transform-set TRANSFORM esp-aes esp-sha-hmac[an error occurred while processing this directive]
crypto map MAP 10 match address VPN
crypto map MAP 10 set peer 10.0.0.2
crypto map MAP 10 set transform-set TRANSFORM
crypto map MAP 10 set reverse-route
crypto map MAP interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group 10.0.0.2 type ipsec-l2l
tunnel-group 10.0.0.2 ipsec-attributes
pre-shared-key cisco
access-list VPN extended permit tcp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
IP-Konfiguration:
ciscoasa#
show ip
[an error occurred while processing this directive]
System IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet0/0 inside 192.168.1.1 255.255.255.0 manual
GigabitEthernet0/1 outside 10.0.0.1 255.255.255.0 manual
Current IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet0/0 inside 192.168.1.1 255.255.255.0 manual
GigabitEthernet0/1 outside 10.0.0.1 255.255.255.0 manual
NAT-Konfiguration:
object network INSIDE-RANGE[an error occurred while processing this directive]
subnet 192.168.1.0 255.255.255.0 object network FOREIGN_NETWORK
subnet 192.168.2.0 255.255.255
nat (inside,outside) source static INSIDE-RANGE INSIDE-RANGE destination static
FOREIGN_NETWORK FOREIGN_NETWORK no-proxy-arp route-lookup
Debuggen
| Beschreibung der Initiator-Nachricht |
Debugger |
Beschreibung der Responder-Nachricht |
|||
| Der Hauptmodus wechselt. Es wurden keine Richtlinien freigegeben, und die Peers befinden sich noch in MM_NO_STATE.
Als Initiator beginnt die ASA, die Payload zu erstellen. |
[IKEv1-DEBUG]: Pitcher: eine Schlüsselempfangende Nachricht empfangen hat, spi 0x0 |
|
|||
| MM1 konstruieren
Dieser Prozess wirdEnthält iErster Vorschlag für IKE und sUnterstützte NAT-T-Anbieter. |
[IKEv1-DEBUG]: IP = 10.0.0.2, Erstellung der ISAKMP SA-Payload [IKEv1 DEBUG]: IP = 10.0.0.2, Erstellung der NAT-Traversal VID über 02-Nutzlast |
||||
| MM1 senden |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=0) mit Payloads: HDR + SA (1) + ANBIETER (13) + ANBIETER (13) + ANBIETER (13) + ANBIETER (13) + KEINE (0) Gesamtlänge: 168 |
||||
| ===============================================================> |
|
||||
|
|
[IKEv1]: IP = 10.0.0.2, IKE_DECODE EMPFANGENE Nachricht (msgid=0) mit Payloads: HDR + SA (1) + ANBIETER (13) + ANBIETER (13) + ANBIETER (13) + ANBIETER (13) + KEINE (0) Gesamtlänge: 164 |
MM1 wurde vom Initiator empfangen.
|
|||
|
|
[IKEv1-DEBUG]: IP = 10.0.0.2, Verarbeitung der SA-Nutzlast [IKEv1-DEBUG]: IP = 10.0.0.2, Oakley-Vorschlag zulässig [IKEv1-DEBUG]: IP = 10.0.0.2, Verarbeitung der VID-Payload [IKEv1-DEBUG]: IP = 10.0.0.2, IKE SA Proposal # 1, Transform # 1 Acceptable Matches Global IKE Entry # 2 |
Prozess MM1.
Der Vergleich von ISAKMP/IKE-Richtlinien beginnt. Der Remote-Peer gibt an, dass er NAT-T verwenden kann.
Verwandte Konfiguration: Authentifizierung Pre-Share Verschlüsselung 3des Hash-Sha Gruppe 2 Lebensdauer 86400 |
|||
|
|
[IKEv1-DEBUG]: IP = 10.0.0.2, Erstellung der ISAKMP SA-Payload |
Erstellen MM2.
In dieser Nachricht wählt der Befragte aus, welche isakmp-Richtlinieneinstellungen verwendet werden sollen. Außerdem werden die zu verwendenden NAT-T-Versionen angekündigt. |
|||
|
|
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=0) mit Payloads: HDR + SA (1) + ANBIETER (13) + ANBIETER (13) + KEINE (0) Gesamtlänge: 128 |
MM2 senden |
|||
|
|
<================================================================== |
|
|||
| MM2 vom Responder empfangen. |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE EMPFANGENE Nachricht (msgid=0) mit Payloads: HDR + SA (1) + ANBIETER (13) + KEINE (0) Gesamtlänge: 104
|
|
|||
| Prozess MM2. |
[IKEv1-DEBUG]: IP = 10.0.0.2, Verarbeitung der SA-Nutzlast
|
|
|||
| Bauen Sie MM3.
Dieser Prozess wirdEnthältNAT Discovery-Payloads, Diffie- Hellman (DH) Key Exchange (KE)-Payloads (i)Nitator umfasst g, p und A auf Responder) und DPD-Unterstützung. |
30. November 10:38:29 [IKEv1-DEBUG]: IP = 10.0.0.2, Erstellen von ke-Payload |
|
|||
| MM3 senden |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=0) mit Payloads: HDR + KE (4) + NONCE (10) + ANBIETER (13) + ANBIETER (13) + ANBIETER (13) + ANBIETER (13) + NAT-D (20) + NAT-D (20) + KEINE (0) Gesamtlänge: 304
|
|
|||
|
|
===============================MM3==========================> |
|
|||
|
|
[IKEv1]: IP = 10.0.0.2, IKE_DECODE EMPFANGENE Nachricht (msgid=0) mit Payloads: HDR + KE (4) + NONCE (10) + ANBIETER (13) + ANBIETER (13) + ANBIETER (13) + NAT-D (130) + NAT-D (130) + KEINE (0) Gesamtlänge: 284 |
MM3 wird vom Initiator empfangen. |
|||
|
|
[IKEv1-DEBUG]: IP = 10.0.0.2, Verarbeitung ke-Payload |
Prozess MM3.
Von NAT-D Payloads kann der Responder ermitteln, ob die Der Initiator ist hinter NAT und wenn der Der Responder ist hinter NAT.
Der Payload-Responder erhält vom DH KE Werte von p, g und A. |
|||
|
|
[IKEv1-DEBUG]: IP = 10.0.0.2, Computing NAT Discovery Hash |
Bauen Sie MM4.
Dieser Prozess wirdEnthält NAT Discovery Payload, DH KE rEsponder erzeugt "B" und "s" (sendet "B" an Initiator) und DPD-VID |
|||
|
|
[IKEv1]: IP = 10.0.0.2, Verbindung landete auf tunnel_group 10.0.0.2 |
Der Peer ist mit der L2L-Tunnelgruppe 10.0.0.2 verknüpft, und die Verschlüsselungs- und Hashschlüssel werden aus den obigen "s" und dem Pre-Shared-Key generiert. |
|||
|
|
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=0) mit Payloads: HDR + KE (4) + NONCE (10) + ANBIETER (13) + ANBIETER (13) + ANBIETER (13) + ANBIETER (13) + NAT-D (130) + NAT-D (130) + KEINE (0) Gesamtlänge: 304 |
MM4 senden |
|||
|
|
<=============================================================== |
|
|||
| MM4 erhalten vom Responder. |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE EMPFANGENE Nachricht (msgid=0) mit Payloads: HDR + KE (4) + NONCE (10) + ANBIETER (13) + ANBIETER (13) + ANBIETER (13) + ANBIETER (13) + NAT-D (20) + NAT-D (20) + KEINE (0) Gesamtlänge: 304
|
|
|||
| Prozess MM4.
Über die NAT-D-Payloads kann der Initiator jetzt bestimmen, ob die Der Initiator ist hinter NAT und wenn der Der Responder ist hinter NAT.
|
[IKEv1-DEBUG]: IP = 10.0.0.2, Verarbeitung wie Payload |
|
|||
|
Der Peer ist mit der L2L-Tunnelgruppe 10.0.0.2 verknüpft, und der Initiator generiert Verschlüsselungs- und Hashschlüssel, indem er oben "s" und den Pre-Shared-Key verwendet.
|
[IKEv1]: IP = 10.0.0.2, Verbindung landete auf tunnel_group 10.0.0.2 [IKEv1-DEBUG]: Gruppe = 10.0.0.2, IP = 10.0.0.2, Generieren von Schlüsseln für Initiator.. |
|
|||
| Bauen Sie MM5.
Verwandte Konfiguration: crypto isakmp identity auto |
[IKEv1-DEBUG]: Gruppe = 10.0.0.2, IP = 10.0.0.2, Erstellen der ID-Nutzlast |
|
|||
| Senden MM5. |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=0) mit Payloads: HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) +ANBIETER (13) + KEINE (0) Gesamtlänge: 96 |
|
|||
|
|
===========================================================> |
|
|||
| Der Responder liegt nicht hinter einer NAT. Kein NAT-T erforderlich. |
[IKEv1]: Gruppe = 10.0.0.2, IP = 10.0.0.2, Automatischer NAT-Erkennungsstatus: Das Remote-Ende befindet sich NICHT hinter einem NAT-Gerät Dieses Ende liegt NICHT hinter einem NAT-Gerät. |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE EMPFANGENE Nachricht (msgid=0) mit Payloads: HDR + ID (5) + HASH (8) + KEINE (0) Gesamtlänge: 64 |
MM5 erhalten vom Initiator.
Dieser Prozess wirdEnthält rRemote Peer Identity (ID) und cAnschlusslandung auf einer bestimmten Tunnelgruppe. |
||
|
|
[IKEv1-DEBUG]: Gruppe = 10.0.0.2, IP = 10.0.0.2, Verarbeitungs-ID-Payload [IKEv1]: IP = 10.0.0.2, Verbindung landete auf tunnel_group 10.0.0.2 |
Verarbeiten Sie MM5.
Die Authentifizierung mit vorinstallierten Schlüsseln beginnt jetzt. Die Authentifizierung erfolgt auf beiden Peers. Daher werden zwei Gruppen entsprechender Authentifizierungsprozesse angezeigt.
Verwandte Konfiguration: |
|||
|
|
Erkennungsstatus: Das Remote-Ende befindet sich NICHT hinter einem NAT-Gerät Dieses Ende liegt NICHT hinter einem NAT-Gerät. |
Nein In diesem Fall ist NAT-T erforderlich. |
|||
|
|
[IKEv1-DEBUG]: Gruppe = 10.0.0.2, IP = 10.0.0.2, Erstellen der ID-Nutzlast |
Konfigurieren Sie MM6.
Identität senden umfasst neu gestartete Zeiten und Identität, die an Remote-Peer gesendet werden. |
|||
|
|
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=0) mit Payloads: HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) +ANBIETER (13) + KEINE (0) Gesamtlänge: 96 |
MM6 senden. |
|||
|
|
<================================================================ |
|
|||
| MM6 erhalten vom Responder. |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE EMPFANGENE Nachricht (msgid=0) mit Payloads: HDR + ID (5) + HASH (8) + KEINE (0) Gesamtlänge: 64 |
[IKEv1]: Gruppe = 10.0.0.2, IP = 10.0.0.2, PHASE 1 ABGESCHLOSSEN |
Phase 1 abgeschlossen.
Starten Sie isakmp rekey timer.
Verwandte Konfiguration: |
||
| Prozess MM6.
Dieser Prozess wirdEnthält rE-Mail-Identität gesendet von Peer und fdie endgültige Entscheidung bezüglich der auszuwählenden Tunnelgruppe. |
[IKEv1-DEBUG]: Gruppe = 10.0.0.2, IP = 10.0.0.2, Verarbeitungs-ID-Payload |
|
|||
| Phase 1 abgeschlossen.
Starten Sie den ISAKMP-rekey-Timer.
Verwandte cKonfiguration: Tunnelgruppe 10.0.0.2 Typ ipsec-l2l Tunnelgruppe 10.0.0.2 ipsec-Attribute Pre-Shared Key Cisco |
[IKEv1]: Gruppe = 10.0.0.2, IP = 10.0.0.2, PHASE 1 ABGESCHLOSSEN |
|
|||
| Phase 2 (Quick Mode) wird gestartet. |
IPSEC: Neue embryonale SA erstellt bei 0x53FC3C00, |
||||
| Erstellen Sie QM1.
Dieser Prozess umfasst Proxy-IDs und IPSek. Richtlinien.
Verwandte Konfiguration: access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 |
[IKEv1-DEBUG]: Gruppe = 10.0.0.2, IP = 10.0.0.2, IKE hat SPI von der Key-Engine erhalten: SPI = 0xfd2d851f [IKEv1-DECODE]: Gruppe = 10.0.0.2, IP = 10.0.0.2, IKE-Initiator, der den ersten Kontakt sendet |
|
|||
| Senden QM1. |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=7b80c2b0) mit Payloads: HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NOTIFY (11) + KEINE (0) Gesamtlänge: 200 |
|
|||
|
|
==============================QM1============================= |
|
|||
|
|
[IKEv1-DECODE]: IP = 10.0.0.2, IKE Responder startet QM: msg id = 52481cf5 [IKEv1]: IP = 10.0.0.2, IKE_DECODE EMPFANGENE Nachricht (msgid=52481cf5) mit Payloads: HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + KEINE (0) Gesamtlänge: 172 |
QM1 wird vom Initiator empfangen.
Responder startet Phase 2 (QM). |
|||
| [IKEv1-DEBUG]: Gruppe = 10.0.0.2, IP = 10.0.0.2, Verarbeitung der Hash-Payload |
QM1 verarbeiten.
Dieser Prozess Remote-Proxys mit lokalen und wählt akzeptable IP ausSek. Policy.
Verwandte Konfiguration: crypto ipsec Transformationssatz TRANSFORM esp-aes esp-sha-hmac access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 crypto map MAP 10-Match-Adresse VPN |
||||
|
|
[IKEv1-DECODE]: Gruppe = 10.0.0.2, IP = 10.0.0.2, ID_IPV4_ADDR_SUBNET ID erhalten—192.168.2.0—255.255.255.0[IKEv1]: Gruppe = 10.0.0.2, IP = 10.0.0.2, empfangene Remote-IP-Proxy-Subnetzdaten in ID-Payload: Adresse 192.168.2.0, Maske 255.255.255.0, Protokoll 1, Port 0 [IKEv1-DEBUG]: Gruppe = 10.0.0.2, IP = 10.0.0.2, Verarbeitungs-ID-Payload |
Die Remote- und lokalen Subnetze (192.168.2.0/24 und 192.168.1.0/24) werden empfangen. |
|||
|
|
[IKEv1]: Gruppe = 10.0.0.2, IP = 10.0.0.2, QM IsRekeyed old sa not found by addr |
Ein entsprechender statischer Kryptoeintrag wird gesucht und gefunden. |
|||
|
|
[IKEv1]: Gruppe = 10.0.0.2, IP = 10.0.0.2, IKE: SPI wird angefordert! |
Erstellen Sie QM2.
Dieser Prozess wirdBeinhaltet cBestätigung von Proxy-Identitäten, Tunneltyp und Die Überprüfung wird für gespiegelte Krypto-ACLs durchgeführt. |
|||
|
|
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=52481cf5) mit Payloads: HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + KEINE (0) Gesamtlänge: 172 |
Senden Sie QM2. |
|||
|
|
<============================================================== |
|
|||
| QM2 vom Responder empfangen. |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE EMPFANGENE Nachricht (msgid=7b80c2b0) mit Payloads: HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NOTIFY (11) + KEINE (0) Gesamtlänge: 200 |
|
|||
| QM2 verarbeiten.
In diesem Prozess rRemote End sendet Parameter und Die kürzeste vorgeschlagene Lebensdauer für Phase 2 wird ausgewählt. |
[IKEv1-DEBUG]: Gruppe = 10.0.0.2, IP = 10.0.0.2, Verarbeitung der Hash-Payload |
|
|||
| Entsprechende Crypto Map "MAP" und Eintrag 10 gefunden und mit der Zugriffsliste "VPN" abgeglichen. |
[IKEv1-DEBUG]: Gruppe = 10.0.0.2, IP = 10.0.0.2, NP-Verschlüsselungsregel sucht nach Crypto Map MAP 10-konformen ACL-VPNs: zurückgegeben cs_id=53f11198; Regel=53f11a90 |
|
|||
| Die Appliance hat die SPIs 0xfd2d851f und 0xdde50931f für eingehenden bzw. ausgehenden Datenverkehr generiert. |
[IKEv1-DEBUG]: Gruppe = 10.0.0.2, IP = 10.0.0.2, Generating Quick Mode Key! |
|
|||
| Erstellen Sie QM3.
Bestätigen alle SPIs, die für den Remote-Peer erstellt wurden. |
IPSEC: Abgeschlossenes Host-IBSA-Update, SPI 0xFD2D851F |
|
|||
| QM3 senden |
[IKEv1-DECODE]: Gruppe = 10.0.0.2, IP = 10.0.0.2, IKE-Initiator sendet 3rd QM pkt: msg id = 7b80c2b0 |
|
|||
|
|
===============================QM3===============================> |
|
|||
| Phase 2 abgeschlossen.
Der Initiator ist nun bereit, Pakete mit diesen SPI-Werten zu verschlüsseln und zu entschlüsseln. |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=7b80c2b0) mit Payloads: HDR + HASH (8) + KEINE (0) Gesamtlänge: 76 |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE EMPFANGENE Nachricht (msgid=52481cf5) mit Payloads: HDR + HASH (8) + KEINE (0) Gesamtlänge: 52 |
QM3 wurde vom Initiator empfangen. |
||
|
|
[IKEv1-DEBUG]: Gruppe = 10.0.0.2, IP = 10.0.0.2, Verarbeitung der Hash-Payload |
QM3 verarbeiten.
Für die Daten-SAs werden Verschlüsselungsschlüssel generiert.
Während dieses Prozesses SPIs werden so eingerichtet, dass Datenverkehr weitergeleitet wird. |
|||
|
|
[IKEv1]: Gruppe = 10.0.0.2, IP = 10.0.0.2, Sicherheitsverhandlung abgeschlossen für LAN-to-LAN Group (10.0.0.2) Responder, eingehender SPI = 0x1698cac7, ausgehender SPI = 0xdb680406 IPSEC: Abgeschlossenes Host-IBSA-Update, SPI 0x1698CAC7 |
SPIs werden den Daten-SAs zugewiesen. |
|||
|
|
[IKEv1-DEBUG]: Gruppe = 10.0.0.2, IP = 10.0.0.2, Start P2 rekey Timer: 3060 Sekunden. |
Starten Sie IPsec erneut. |
|||
|
|
[IKEv1]: Gruppe = 10.0.0.2, IP = 10.0.0.2, PHASE 2 ABGESCHLOSSEN (msgid=52481cf5) |
Phase 2 abgeschlossen. Sowohl der Responder als auch der Initiator können Datenverkehr verschlüsseln/entschlüsseln. |
|||
Tunnelüberprüfung
Hinweis: Da zum Auslösen des Tunnels ICMP verwendet wird, ist nur eine IPSec SA aktiv. Protokoll 1 = ICMP.
show crypto ipsec sa
interface: outside
Crypto map tag: MAP, seq num: 10, local addr: 10.0.0.1
access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/1/0)
remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/1/0)
current_peer: 10.0.0.2
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 10.0.0.1/0, remote crypto endpt.: 10.0.0.2/0
path mtu 1500, ipsec overhead 74, media mtu 1500
current outbound spi: DB680406
current inbound spi : 1698CAC7
inbound esp sas:
spi: 0x1698CAC7(379112135)[an error occurred while processing this directive]
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 16384, crypto-map: MAP
sa timing: remaining key lifetime (kB/sec): (3914999/3326)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x0000001F
outbound esp sas:
spi: 0xDB680406 (3681027078)
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 16384, crypto-map: MAP
sa timing: remaining key lifetime (kB/sec): (3914999/3326)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001show crypto isakmp sa
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 10.0.0.2
Type :L2LRole :responder
Rekey : no State :MM_ACTIVE[an error occurred while processing this directive]
Zugehörige Informationen
- Ein guter Ausgangspunkt ist Wikipedia-Artikel zu IPSec. Standard und Referenzen enthalten viele nützliche Informationen
- IPsec-Fehlerbehebung: Verwenden von Debugbefehlen
- Technischer Support und Dokumentation - Cisco Systems
Beiträge von Cisco Ingenieuren
- Atri Basu, Marcin Latosiewicz, and Jay Young TaylorCisco TAC Engineers.
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)