Configuración de IKEv1/IPsec de dinámica a estática de ASA a ASA

Opciones de descarga

  • PDF     (2.0 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.9 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:22 de junio de 2015
ID del documento:119007

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo habilitar el ASA para aceptar las conexiones VPN de sitio a sitio IPsec dinámicas de cualquier peer dinámico.

    Prerequisites

    Requirements

    Cisco le recomienda que tenga conocimiento acerca de este tema:

    • Dispositivo de seguridad adaptable (ASA)

    Componentes Utilizados

    La información de este documento se basa en el software de firewall Cisco ASA (5510 y 5520) versión 9.x y posteriores.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Este documento describe cómo habilitar el Adaptive Security Appliance (ASA) para aceptar conexiones VPN de sitio a sitio IPsec dinámicas de cualquier peer dinámico (ASA en este caso). Como se muestra en el diagrama de red de este documento, el túnel IPsec se establece cuando el túnel se inicia sólo desde el extremo de ASA remoto. Central-ASA no puede iniciar un túnel VPN debido a la configuración dinámica de IPsec. Se desconoce la dirección IP de ASA remoto.

    Configure Central-ASA para aceptar dinámicamente las conexiones de una dirección IP comodín (0.0.0.0/0) y una clave precompartida comodín. A continuación, Remote-ASA se configura para cifrar el tráfico de las subredes locales a Central-ASA según lo especificado por la lista de acceso criptográfica. Ambos extremos realizan la exención de la traducción de direcciones de red (NAT) para omitir NAT para el tráfico IPsec.

    Configurar

    Nota: Utilice la Command Lookup Tool para obtener más información sobre los comandos utilizados en esta sección. Solo los usuarios registrados de Cisco tienen acceso a la información y las herramientas internas de Cisco.

    Diagrama de la red

    119007-config-asa9x-ike-ipsec-1

    Configuración de ASDM

    Central-ASA (par estático)

    En un ASA con una dirección IP estática, configure la VPN de tal manera que acepte conexiones dinámicas de un peer desconocido mientras aún autentica al peer usando una clave previamente compartida IKEv1:

    1. Elija Configuration > Site-to-Site VPN > Advanced > Crypto Maps. La ventana muestra la lista de entradas de mapa criptográfico que ya están en su lugar (si las hay). Dado que ASA no sabe cuál es la dirección IP del par, para que ASA acepte la conexión, configure el mapa dinámico con el conjunto de transformación coincidente (propuesta de IPsec). Haga clic en Add (Agregar).

      119007-config-asa9x-ike-ipsec-2

    2. En la ventana Crear regla IPsec, en la pestaña Política de túnel (mapa criptográfico) - Básico, elija outside de la lista desplegable Interface y dynamic de la lista desplegable Policy Type. En el campo Prioridad, asigne la prioridad para este caso de entrada en el que hay varias entradas en Mapa dinámico. A continuación, haga clic en Select junto al campo IKE v1 IPsec Propuesta para seleccionar la propuesta IPsec.

      119007-config-asa9x-ike-ipsec-3

    3. Cuando se abra el cuadro de diálogo Seleccionar propuestas IPSec (conjuntos de transformación), elija entre las propuestas IPSec actuales o haga clic en Agregar para crear una nueva y utilizar la misma. Haga clic en Aceptar cuando haya terminado.

      119007-config-asa9x-ike-ipsec-4

    4. En la pestaña Política de túnel (mapa criptográfico)-Avanzado, marque la casilla de verificación Habilitar NAT-T (obligatorio si alguno de los pares está detrás de un dispositivo NAT) y la casilla de verificación Habilitar inyección de ruta inversa. Cuando el túnel VPN se activa para el par dinámico, ASA instala una ruta dinámica para la red VPN remota negociada que apunta a la interfaz VPN.

      119007-config-asa9x-ike-ipsec-9

      Opcionalmente, desde la pestaña Selección de Tráfico también puede definir el tráfico VPN interesante para el peer dinámico y hacer clic en Aceptar.

      119007-config-asa9x-ike-ipsec-6

      119007-config-asa9x-ike-ipsec-7

      Como se mencionó anteriormente, dado que ASA no tiene ninguna información sobre la dirección IP del peer dinámico remoto, la solicitud de conexión desconocida cae bajo DefaultL2LGroup que existe en ASA de forma predeterminada. Para que la autenticación se realice correctamente, la clave previamente compartida (cisco123 en este ejemplo) configurada en el peer remoto debe coincidir con una en DefaultL2LGroup.

    5. Elija Configuration > Site-to-Site VPN > Advanced > Tunnel Groups, seleccione DefaultL2LGroup, haga clic en Edit y configure la clave previamente compartida deseada. Haga clic en Aceptar cuando haya terminado.

      119007-config-asa9x-ike-ipsec-8

      Nota: Esto crea una clave previamente compartida comodín en el par estático (Central-ASA). Cualquier dispositivo o par que conozca esta clave previamente compartida y sus propuestas de coincidencia puede establecer correctamente un túnel VPN y acceder a los recursos a través de VPN. Asegúrese de que esta clave previamente compartida no se comparte con entidades desconocidas y que no es fácil de adivinar.

    6. Elija Configuration > Site-to-Site VPN > Group Policies y seleccione la política de grupo de su elección (política de grupo predeterminada en este caso). Haga clic en Editar y edite la directiva de grupo en el cuadro de diálogo Editar directiva de grupo interna. Haga clic en Aceptar cuando haya terminado.

      119007-config-asa9x-ike-ipsec-9

    7. Elija Configuration > Firewall > NAT Rules y en la ventana Add Nat Rule, configure una regla no nat (NAT-EXEMPT) para el tráfico VPN. Haga clic en Aceptar cuando haya terminado.

      119007-config-asa9x-ike-ipsec-10

    ASA remoto (par dinámico)

    1. Elija Wizards > VPN Wizards > Site-to-site VPN Wizard una vez que la aplicación ASDM se conecte al ASA.

      119007-config-asa9x-ike-ipsec-11

    2. Haga clic en Next (Siguiente).

      119007-config-asa9x-ike-ipsec-12

    3. Elija outside de la lista desplegable Interfaz de Acceso VPN para especificar la dirección IP externa del par remoto. Seleccione la interfaz (WAN) donde se aplica el mapa criptográfico. Haga clic en Next (Siguiente).

      119007-config-asa9x-ike-ipsec-13

    4. Especifique los hosts/redes a los que se debe permitir el paso a través del túnel VPN. En este paso, debe proporcionar las redes locales y las redes remotas para el túnel VPN. Haga clic en los botones situados junto a los campos Red local y Red remota y elija la dirección según los requisitos. Haga clic en Next cuando haya terminado.

      T119007-config-asa9x-ike-ipsec-14

    5. Introduzca la información de autenticación que se utilizará, que es una clave previamente compartida en este ejemplo. La clave previamente compartida utilizada en este ejemplo es cisco123. El nombre del grupo de túnel es la dirección IP del par remoto de forma predeterminada si configura VPN de LAN a LAN (L2L).

      119007-config-asa9x-ike-ipsec-15

      O

      Puede personalizar la configuración para incluir las directivas IKE e IPsec que desee. Debe haber al menos una política coincidente entre los pares:

      1. En la pestaña Authentication Methods, ingrese la clave previamente compartida IKE versión 1 en el campo Pre-shared Key. En este ejemplo, es cisco123.

        119007-config-asa9x-ike-ipsec-16

      2. Haga clic en la pestaña Algoritmos de cifrado.
    6. Haga clic en Administrar junto al campo Política IKE, haga clic en Agregar y configure una política IKE personalizada (fase-1). Haga clic en Aceptar cuando haya terminado.

      119007-config-asa9x-ike-ipsec-17

    7. Haga clic en Seleccionar junto al campo Propuesta IPSec y seleccione la propuesta IPSec deseada. Haga clic en Next cuando haya terminado.

      119007-config-asa9x-ike-ipsec-19

      Opcionalmente, puede ir a la pestaña Perfect Forward Secrecy y marcar la casilla de verificación Enable Perfect Forward Secrecy (Habilitar Perfect Forward Secrecy, PFS). Haga clic en Next cuando haya terminado.

      119007-config-asa9x-ike-ipsec-20

    8. Marque la casilla junto a Exención del host/la red del lado ASA de la traducción de direcciones para evitar el tráfico del túnel desde el inicio de la Traducción de direcciones de red. Elija local o inside de la lista desplegable para establecer la interfaz donde se puede alcanzar la red local. Haga clic en Next (Siguiente).

      119007-config-asa9x-ike-ipsec-21

    9. ASDM muestra un resumen de la VPN recién configurada. Verifique y haga clic en Finish.

      119007-config-asa9x-ike-ipsec-22

    Configuración de CLI

    Configuración de ASA central (par estático)

    1. Configure una regla NO-NAT/ NAT-EXEMPT para el tráfico VPN como muestra este ejemplo: 
      object network 10.1.1.0-remote_network
        subnet 10.1.1.0 255.255.255.0

      	object network 10.1.2.0-inside_network
      	 subnet 10.1.2.0 255.255.255.0

      	nat (inside,outside) source static 10.1.2.0-inside_network 10.1.2.0-inside_network
       destination static 10.1.1.0-remote_network 10.1.1.0-remote_network 
      no-proxy-arp route-lookup
    2. Configure la clave previamente compartida bajo DefaultL2LGroup para autenticar cualquier par dinámico-L2L remoto: 
      tunnel-group DefaultL2LGroup ipsec-attributes
       ikev1 pre-shared-key cisco123
    3. Defina la política de fase 2/ISAKMP: 
      crypto ikev1 policy 10
       authentication pre-share
       encryption aes-256
       hash sha
       group 2
       lifetime 86400
    4. Defina la política IPsec/conjunto de transformación de fase 2: 
      crypto ipsec ikev1 transform-set tset esp-aes-256 esp-sha-hmac  
    5. Configure el mapa dinámico con estos parámetros:
      • Conjunto de transformación necesario
      • Habilitar Reverse Route Injection (RRI), que permite que el dispositivo de seguridad obtenga información de enrutamiento para los clientes conectados (opcional)
      crypto dynamic-map outside_dyn_map 1 set ikev1 transform-set tset
      crypto dynamic-map outside_dyn_map 1 set reverse-route
    6. Enlace el mapa dinámico al mapa criptográfico, aplique el mapa criptográfico y habilite ISAKMP/IKEv1 en la interfaz externa: 
      crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map

      crypto map outside_map interface outside 
      crypto ikev1 enable outside

    ASA remoto (par dinámico)

    1. Configure una regla de exención de NAT para el tráfico VPN: 
      object network 10.1.1.0-inside_network
       subnet 10.1.1.0 255.255.255.0

      object network 10.1.2.0-remote_network
       subnet 10.1.2.0 255.255.255.0

      nat (inside,outside) source static 10.1.1.0-inside_network 10.1.1.0-inside_network 
      destination static 10.1.2.0-remote_network 10.1.2.0-remote_network 
      no-proxy-arp route-lookup
    2. Configure un grupo de túnel para un par VPN estático y una clave previamente compartida. 
      tunnel-group 172.16.2.1 type ipsec-l2l
      tunnel-group 172.16.2.1 ipsec-attributes
       ikev1 pre-shared-key cisco123
    3. Defina la política FASE-1/ISAKMP: 
      crypto ikev1 policy 10
       authentication pre-share
       encryption aes-256
       hash sha

       group 2
       lifetime 86400
    4. Defina un conjunto de transformación de fase 2/política IPsec: 
      crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
    5. Configure una lista de acceso que defina el tráfico/red VPN interesante: 
      access-list outside_cryptomap extended permit ip object 
      10.1.1.0-inside_network object 10.1.2.0-remote_network
    6. Configure el mapa criptográfico estático con estos parámetros:
      • Crypto/VPN access-list
      • Dirección IP de peer IPSec remota
      • Conjunto de transformación necesario
      crypto map outside_map 1 match address outside_cryptomap
      crypto map outside_map 1 set peer 172.16.2.1
      crypto map outside_map 1 set ikev1 transform-set ESP-AES-256-SHA 
    7. Aplique el mapa criptográfico y habilite ISAKMP/IKEv1 en la interfaz externa: 
      crypto map outside_map interface outside 
      crypto ikev1 enable outside

    Verificación

    Utilice esta sección para confirmar que la configuración funciona correctamente.

    La Herramienta Output Interpreter soporta ciertos comandos show. Utilice la herramienta para ver una análisis de información de salida del comando show.

    note-icon

    Nota: solo los usuarios registrados de Cisco pueden acceder a la información y las herramientas internas de Cisco.

    • show crypto isakmp sa : muestra todas las asociaciones de seguridad actuales IKE (SA) en un par.
    • show crypto ipsec sa : muestra todas las SA de IPSec actuales.

    Esta sección muestra un ejemplo de salida de verificación para los dos ASA.

    ASA central

    Central-ASA#show crypto isakmp sa

    	 	IKEv1 SAs:

    	 	   Active SA: 1
    	    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    	Total IKE SA: 1

    	 	1   IKE Peer: 172.16.1.1
    	    Type    : L2L             Role    : responder
    	    Rekey   : no              State   : MM_ACTIVE

    	 	 	Central-ASA# show crypto ipsec sa
    	interface: outside
    	    Crypto map tag: outside_dyn_map, seq num: 1, local addr: 172.16.2.1

    	 	      local ident (addr/mask/prot/port): (10.1.2.0/255.255.255.0/0/0)
    	      remote ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
    	      current_peer: 172.16.1.1

    	 	      #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
    	      #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
    	      #pkts compressed: 0, #pkts decompressed: 0
    	      #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
    	      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
    	      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
    	      #TFC rcvd: 0, #TFC sent: 0
    	      #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
    	      #send errors: 0, #recv errors: 0

    	 	      local crypto endpt.: 172.16.2.1/0, remote crypto endpt.: 172.16.1.1/0
    	      path mtu 1500, ipsec overhead 74(44), media mtu 1500
    	      PMTU time remaining (sec): 0, DF policy: copy-df
    	      ICMP error validation: disabled, TFC packets: disabled
    	      current outbound spi: 30D071C0
    	      current inbound spi : 38DA6E51

    	 	    inbound esp sas:
    	      spi: 0x38DA6E51 (953839185)
    	         transform: esp-aes-256 esp-sha-hmac no compression
    	         in use settings ={L2L, Tunnel, IKEv1, }
    	         slot: 0, conn_id: 28672, crypto-map: outside_dyn_map
    	         sa timing: remaining key lifetime (kB/sec): (3914999/28588)
    	         IV size: 16 bytes
    	         replay detection support: Y
    	         Anti replay bitmap:
    	          0x00000000 0x0000001F
    	    outbound esp sas:
    	      spi: 0x30D071C0 (818966976)
    	         transform: esp-aes-256 esp-sha-hmac no compression
    	         in use settings ={L2L, Tunnel, IKEv1, }
    	         slot: 0, conn_id: 28672, crypto-map: outside_dyn_map
    	         sa timing: remaining key lifetime (kB/sec): (3914999/28588)
    	         IV size: 16 bytes
    	         replay detection support: Y
    	         Anti replay bitmap:
    	          0x00000000 0x00000001

    ASA remoto

    Remote-ASA#show crypto isakmp sa

    	 	IKEv1 SAs:

    	 	   Active SA: 1
    	    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    	Total IKE SA: 1

    	 	1   IKE Peer: 172.16.2.1
    	    Type    : L2L             Role    : initiator
    	    Rekey   : no              State   : MM_ACTIVE

    	 	Remote-ASA#show crypto ipsec sa
    	interface: outside
    	    Crypto map tag: outside_map, seq num: 1, local addr: 172.16.1.1

    	 	      access-list outside_cryptomap extended permit ip 10.1.1.0 
                 255.255.255.0 10.1.2.0 255.255.255.0
    	      local ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
    	      remote ident (addr/mask/prot/port): (10.1.2.0/255.255.255.0/0/0)
    	      current_peer: 172.16.2.1

    	 	      #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
    	      #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
    	      #pkts compressed: 0, #pkts decompressed: 0
    	      #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
    	      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
    	      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
    	      #TFC rcvd: 0, #TFC sent: 0
    	      #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
    	      #send errors: 0, #recv errors: 0

    	 	      local crypto endpt.: 172.16.1.1/0, remote crypto endpt.: 172.16.2.1/0
    	      path mtu 1500, ipsec overhead 74(44), media mtu 1500
    	      PMTU time remaining (sec): 0, DF policy: copy-df
    	      ICMP error validation: disabled, TFC packets: disabled
    	      current outbound spi: 38DA6E51
    	      current inbound spi : 30D071C0

    	 	    inbound esp sas:
    	      spi: 0x30D071C0 (818966976)
    	         transform: esp-aes-256 esp-sha-hmac no compression
    	         in use settings ={L2L, Tunnel, IKEv1, }
    	         slot: 0, conn_id: 8192, crypto-map: outside_map
    	         sa timing: remaining key lifetime (kB/sec): (4373999/28676)
    	         IV size: 16 bytes
    	         replay detection support: Y
    	         Anti replay bitmap:
    	          0x00000000 0x0000001F
    	    outbound esp sas:
    	      spi: 0x38DA6E51 (953839185)
    	         transform: esp-aes-256 esp-sha-hmac no compression
    	         in use settings ={L2L, Tunnel, IKEv1, }
    	         slot: 0, conn_id: 8192, crypto-map: outside_map
    	         sa timing: remaining key lifetime (kB/sec): (4373999/28676)
    	         IV size: 16 bytes
    	         replay detection support: Y
    	         Anti replay bitmap:
    	          0x00000000 0x00000001

    Troubleshoot

    En esta sección se brinda información que puede utilizar para resolver problemas en su configuración.

    La herramienta Output Interpreter Tool admite ciertosshow comandos. Utilice la herramienta Output Interpreter Tool para ver un análisis del resultado delshow comando.

    note-icon

    Nota: solo los usuarios registrados de Cisco pueden acceder a la información y las herramientas internas de Cisco.

    note-icon

    Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar los comandos debug.

    Utilice estos comandos como se muestra a continuación:

    clear crypto ikev1 sa <peer IP address> 
    Clears the Phase 1 SA for a specific peer.

    Precaución: elclear crypto isakmp sacomando es intrusivo ya que borra todos los túneles VPN activos.

    En la versión 8.0(3) y posteriores del software PIX/ASA, se puede borrar una IKE SA individual con el comando clear crypto isakmp sa<peer ip address>. En las versiones de software anteriores a la 8.0(3), utilice el comando vpn-sessiondb logoff tunnel-group <tunnel-group-name> para borrar IKE e IPsec SA para un solo túnel.

    Remote-ASA#vpn-sessiondb logoff tunnel-group 172.16.2.1
    Do you want to logoff the VPN session(s)? [confirm]
    INFO: Number of sessions from TunnelGroup "172.16.2.1" logged off : 1
    clear crypto ipsec sa peer <peer IP address>
    !!! Clears the required Phase 2 SA for specific peer.
    
debug crypto condition peer < Peer address>
    !!! Set IPsec/ISAKMP debug filters.
    debug crypto isakmp sa <debug level> 
    !!! Provides debug details of ISAKMP SA negotiation.
    debug crypto ipsec sa <debug level>
    !!! Provides debug details of IPsec SA negotiations

    undebug all
    !!! To stop the debugs

    Depuraciones utilizadas:

    debug cry condition peer <remote peer public IP>
    debug cry ikev1 127
    debug cry ipsec 127

    ASA remoto (iniciador)

    Ingrese este comando packet-tracer para iniciar el túnel:

    Remote-ASA#packet-tracer input inside icmp 10.1.1.10 8 0 10.1.2.10 detailed 
    IPSEC(crypto_map_check)-3: Checking crypto map outside_map 1: matched.
    Jan 19 22:00:06 [IKEv1 DEBUG]Pitcher: received a key acquire message, spi 0x0
    IPSEC(crypto_map_check)-3: Looking for crypto map matching 5-tuple: 
    Prot=1, saddr=10.1.1.10, sport=0, daddr=10.1.2.10, dport=0
    IPSEC(crypto_map_check)-3: Checking crypto map outside_map 1: matched.
    Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE Initiator: New Phase 1, Intf 
    inside, IKE Peer 172.16.2.1 local Proxy Address 10.1.1.0, remote Proxy Address 
    10.1.2.0, Crypto map (outside_map)
    :
    .
    Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE SENDING Message (msgid=0) 
    with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) + 
    VENDOR (13) + NONE (0) total length : 172
    Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE RECEIVED Message (msgid=0) 
    with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + NONE (0) 
    total length : 132
    :
    .
    Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE SENDING Message (msgid=0) 
    with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + 
    VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 304
    Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE RECEIVED Message (msgid=0) 
    with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + 
    VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 304
    :
    .
    Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, Connection landed on tunnel_group 172.16.2.1
    <skipped>...
    Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE SENDING Message (msgid=0) with 
    payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) + VENDOR (13) + 
    NONE (0) total length : 96
    Jan 19 22:00:06 [IKEv1]Group = 172.16.2.1, IP = 172.16.2.1, 
    Automatic NAT Detection Status: Remote end is NOT behind a NAT device 
    This end is NOT behind a NAT device
    Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE RECEIVED Message 
    (msgid=0) with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) 
    + VENDOR (13) + NONE (0) total length : 96
    Jan 19 22:00:06 [IKEv1 DEBUG]Group = 172.16.2.1, IP = 172.16.2.1, processing ID payload
    Jan 19 22:00:06 [IKEv1 DECODE]Group = 172.16.2.1, IP = 172.16.2.1, 
    ID_IPV4_ADDR ID received 172.16.2.1
    :
    .
    Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, Connection landed on tunnel_group 172.16.2.1
    Jan 19 22:00:06 [IKEv1 DEBUG]Group = 172.16.2.1, IP = 172.16.2.1, 
    Oakley begin quick mode
    Jan 19 22:00:06 [IKEv1]Group = 172.16.2.1, IP = 172.16.2.1, PHASE 1 COMPLETED


    Jan 19 22:00:06 [IKEv1 DECODE]Group = 172.16.2.1, IP = 172.16.2.1, IKE Initiator 
    starting QM    : msg id = c45c7b30
    :
    .
    Jan 19 22:00:06 [IKEv1 DEBUG]Group = 172.16.2.1, IP = 172.16.2.1, Transmitting Proxy Id:
     Local subnet: 10.1.1.0 mask 255.255.255.0 Protocol 0 Port 0
     Remote subnet: 10.1.2.0 Mask 255.255.255.0 Protocol 0 Port 0
    :
    .
    Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE SENDING Message 
    (msgid=c45c7b30) with payloads : HDR + HASH (8) + SA (1) + NONCE 
    (10) + ID (5) + ID (5) + NOTIFY (11) + NONE (0) total length : 200
    Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE RECEIVED Message 
    (msgid=c45c7b30) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + 
    ID (5) + ID (5) + NONE (0) total length : 172
    :
    .
    Jan 19 22:00:06 [IKEv1 DEBUG]Group = 172.16.2.1, IP = 172.16.2.1, processing ID payload
    Jan 19 22:00:06 [IKEv1 DECODE]Group = 172.16.2.1, IP = 172.16.2.1, 
    ID_IPV4_ADDR_SUBNET ID received--10.1.1.0--255.255.255.0
    Jan 19 22:00:06 [IKEv1 DEBUG]Group = 172.16.2.1, IP = 172.16.2.1, processing ID payload
    Jan 19 22:00:06 [IKEv1 DECODE]Group = 172.16.2.1, IP = 172.16.2.1, 
    ID_IPV4_ADDR_SUBNET ID received--10.1.2.0--255.255.255.0
    :
    .
    Jan 19 22:00:06 [IKEv1]Group = 172.16.2.1, IP = 172.16.2.1, 
    Security negotiation complete for LAN-to-LAN Group (172.16.2.1) 
    Initiator, Inbound SPI = 0x30d071c0, Outbound SPI = 0x38da6e51
    :
    .
    Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE SENDING Message 
    (msgid=c45c7b30) with payloads : HDR + HASH (8) + NONE (0) total length : 76
    :
    .
    Jan 19 22:00:06 [IKEv1]Group = 172.16.2.1, IP = 172.16.2.1, 
    PHASE 2 COMPLETED     (msgid=c45c7b30)

    Central-ASA (Respondedor)

    Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE RECEIVED Message (msgid=0) 
    with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) + 
    VENDOR (13) + NONE (0) total length : 172
    :
    .	
    Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE SENDING Message (msgid=0) 
    with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + NONE (0) total length 
    : 
    132	
    Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE RECEIVED Message (msgid=0) 
    with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) 
    + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 304
    :
    .	
    Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, Connection landed on tunnel_group 
    DefaultL2LGroup    	
    Jan 20 12:42:35 [IKEv1 DEBUG]Group = DefaultL2LGroup, IP = 172.16.1.1, 
    Generating keys for Responder...	
    Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE SENDING Message (msgid=0) 
    with payloads : HDR + KE (4) + NONCE (10) + 
    VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + 
    NONE (0) total length : 304	
    Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE RECEIVED Message (msgid=0) 
    with payloads : HDR + ID (5) + HASH (8) 
    + IOS KEEPALIVE (128) + VENDOR (13) + NONE (0) total length : 96	
    Jan 20 12:42:35 [IKEv1 DECODE]Group = DefaultL2LGroup, IP = 172.16.1.1, 
    ID_IPV4_ADDR ID received	172.16.1.1
    :
    .	
    Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE SENDING Message (msgid=0) 
    with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) + 
    VENDOR (13) + NONE (0) total length : 96	
    Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, IP = 172.16.1.1, PHASE 1 COMPLETED	
    :
    .	
    Jan 20 12:42:35 [IKEv1 DECODE]IP = 172.16.1.1, IKE Responder starting QM: 
    msg id = c45c7b30	
    Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE 
    RECEIVED Message (msgid=c45c7b30) with payloads : HDR + HASH (8) + SA (1) + 
    NONCE (10) + ID (5) + ID (5) + NOTIFY (11) + NONE (0) total length : 200
    :
    .
    Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, IP = 172.16.1.1, Received remote 
    IP Proxy Subnet data in ID Payload: Address 10.1.1.0, Mask 255.255.255.0, 
    Protocol 0, Port 0    	:
    .	
    Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, 
    IP = 172.16.1.1, Received local 
    IP Proxy Subnet data in ID Payload:   Address 10.1.2.0, Mask 255.255.255.0, 
    Protocol 0, Port 0    	Jan 20 12:42:35 [IKEv1 DEBUG]Group = DefaultL2LGroup, 
    IP = 172.16.1.1, processing notify payload	
    Jan 20 12:42:35 [IKEv1] Group = DefaultL2LGroup, IP = 172.16.1.1, QM 
    IsRekeyed old sa not found by addr	
    Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, IP = 172.16.1.1, Static Crypto Map 
    check, map outside_dyn_map, seq = 1 is a successful match    	
    Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, IP = 172.16.1.1, IKE 
    Remote Peer configured for crypto map: outside_dyn_map
    :
    .	
    Jan 20 12:42:35 [IKEv1 DEBUG]Group = DefaultL2LGroup, IP = 172.16.1.1, 
    Transmitting Proxy Id:	  Remote subnet: 10.1.1.0  Mask 255.255.255.0 Protocol 0  Port 0	  
    Local subnet:  10.1.2.0  mask 255.255.255.0 Protocol 0  Port 0    	:
    .	
    Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE SENDING Message (msgid=c45c7b30) 
    with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE 
    (0) total length : 172	Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE RECEIVED 
    Message (msgid=c45c7b30) with payloads : HDR + HASH (8) + NONE (0) total length : 52:
    .	
    Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, IP = 172.16.1.1, Security 
    negotiation complete for LAN-to-LAN Group (DefaultL2LGroup)  Responder, 
    Inbound SPI = 0x38da6e51, Outbound SPI = 0x30d071c0    	:
    .	
    Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, IP = 172.16.1.1, 
    PHASE 2 COMPLETED (msgid=c45c7b30)	
    Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, IP = 172.16.1.1, Adding static 
    route for L2L peer coming in on a dynamic map. address: 10.1.1.0, mask: 255.255.255.0

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    22-Jun-2015
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • TAC Engineers

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos