Configuración de túneles de sitio a sitio IPsec IKEv1 con ASDM o CLI en ASAv

Opciones de descarga

  • PDF     (780.4 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (610.6 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (872.0 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:13 de abril de 2018
ID del documento:119141

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar un túnel de sitio a sitio IPsec IKEv1 entre dos Cisco Secure Firewall Virtual (ASAv) que ejecutan v9.18.3.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Se debe establecer la conectividad IP de extremo a extremo
    • Se deben permitir estos protocolos:
      1. Protocolo de datagramas de usuario (UDP) 500 y 4500 para el plano de control IPsec
      2. Protocolo IP 50 de carga de seguridad de encapsulación (ESP) para el plano de datos IPsec

    Componentes Utilizados

    La información de este documento se basa en las siguientes versiones de software y hardware:

    • Cisco Secure Firewall ASA Virtual que ejecuta la versión de software 9.18.3

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    En esta sección se describe cómo configurar el túnel VPN de sitio a sitio mediante el asistente para VPN del Administrador adaptable de dispositivos de seguridad (ASDM) o mediante la CLI.

    Diagrama de la red

    Esta topología se utiliza para los ejemplos de este documento:

    Diagrama de topologíaDiagrama de topología


    Configuración a través del Asistente de VPN ASDM

    Complete estos pasos para configurar el túnel VPN de sitio a sitio a través del asistente de ASDM:

    1. Abra el ASDM y navegue hasta Wizards > VPN Wizards > Site-to-site VPN Wizard.

      Navegación por el asistente VPNNavegación por el asistente VPN
    2. Haga clic en Next cuando llegue a la página principal del asistente.

      Ventana 1 del asistente de VPNVentana 1 del asistente de VPN

      Nota: Las versiones más recientes de ASDM proporcionan un enlace a un video que explica esta configuración.

    3. Configure la dirección IP del par. En este ejemplo, la dirección IP del par se establece en 10.106.67.91 en el Sitio B. Si configura la dirección IP par en el Sitio A, debe cambiarla a 10.106.67.90. También se especifica la interfaz a través de la cual se puede alcanzar el extremo remoto. Haga clic en Next una vez completado.

      Ventana 2 del asistente de VPNVentana 2 del asistente de VPN
    4. Configure las redes locales y remotas (origen y destino del tráfico). Esta imagen muestra la configuración del sitio B (lo contrario se aplica al sitio A).

      Ventana 3 del asistente de VPNVentana 3 del asistente de VPN
    5. En la página Seguridad, configure la clave previamente compartida (debe coincidir en ambos extremos). Haga clic en Next una vez completado.

      Ventana 4 del asistente de VPNVentana 4 del asistente de VPN
    6. Configure la interfaz de origen para el tráfico en el ASA. El ASDM crea automáticamente la regla de traducción de direcciones de red (NAT) basada en la versión de ASA y la inserta con el resto de la configuración en el paso final.

      Nota: Para el ejemplo que se utiliza en este documento, 'inside' es el origen del tráfico.

      Ventana 5 del asistente de VPNVentana 5 del asistente de VPN
    7. El asistente ahora proporciona un resumen de la configuración que se envía al ASA. Revise y compruebe los parámetros de configuración y, a continuación, haga clic en Finish.

      Ventana del asistente de VPN 6Ventana del asistente de VPN 6

    Configuración a través de CLI

    En esta sección se describe cómo configurar el túnel de sitio a sitio IPsec IKEv1 a través de la CLI.

    Configurar el sitio B

    Sugerencia: para ver un ejemplo de configuración de IKEv2 con ASA, consulte el documento Ejemplos de configuración de sitio a sitio IKEv2 entre ASA y router de Cisco.

    Fase 1 (IKEv1)

    Complete estos pasos para la configuración de la Fase 1:

    1. Ingrese este comando en la CLI para habilitar IKEv1 en la interfaz externa:

      crypto ikev1 enable outside
    2. Cree una política IKEv1 que defina los algoritmos/métodos que se utilizarán para el hashing, la autenticación, el grupo Diffie-Hellman, la duración y el cifrado:

      crypto ikev1 policy 1
      ! The 1 in the above command refers to the Policy suite priority (1 highest, 65535 lowest)
        authentication pre-share
        encryption aes-256
        hash sha
        group 14
        lifetime 86400
    3. Cree un grupo de túnel bajo los atributos IPSec y configure la dirección IP del par y la clave previamente compartida del túnel:

      tunnel-group 10.106.67.90 type ipsec-l2l
      tunnel-group 10.106.67.90 ipsec-attributes
       ikev1 pre-shared-key cisco
       ! Note the IKEv1 keyword at the beginning of the pre-shared-key command.
      4.

    Fase 2 (IPsec)

    Complete estos pasos para la configuración de la Fase 2:

    1. Cree una lista de acceso que defina el tráfico que se va a cifrar y tunelizar. En este ejemplo, el tráfico de interés es el tráfico del túnel que se origina desde la subred 10.2.2.0 a 10.1.1.0. Puede contener varias entradas si hay varias subredes involucradas entre los sitios.

      object network 10.2.2.0_24
       subnet 10.2.2.0 255.255.255.0
      object network 10.1.1.0_24
       subnet 10.1.1.0 255.255.255.0

      access-list 100 extended permit ip object 10.2.2.0_24 object 10.1.1.0_24
    2. Configure el conjunto de transformación (TS), que debe incluir la palabra clave IKEv1. También se debe crear un TS idéntico en el extremo remoto. 

      crypto ipsec ikev1 transform-set myset esp-aes-256 esp-sha-hmac
    3. Configure el mapa criptográfico, que contiene estos componentes:
      • La dirección IP del par
      • La lista de acceso definida que contiene el tráfico de interés
      • El TS
      • Un parámetro opcional de confidencialidad directa perfecta (PFS), que crea un nuevo par de claves Diffie-Hellman que se utilizan para proteger los datos (ambos extremos deben estar habilitados para PFS antes de que aparezca la fase 2)

    4. Aplique el mapa criptográfico en la interfaz externa:

      crypto map outside_map 20 match address 100
      crypto map outside_map 20 set peer 10.106.67.90
      crypto map outside_map 20 set ikev1 transform-set myset
      crypto map outside_map 20 set pfs
      crypto map outside_map interface outside
      5.

    Exención de NAT

    Asegúrese de que el tráfico VPN no esté sujeto a ninguna otra regla NAT. Esta es la regla NAT que se utiliza:

       

    nat (inside,outside) 1 source static 10.2.2.0_24 10.2.2.0_24 destination static 10.1.1.0_24 10.1.1.0_24 no-proxy-arp route-lookup

    Nota: Cuando se utilizan varias subredes, debe crear grupos de objetos con todas las subredes de origen y destino y utilizarlas en la regla NAT.

       

    object-group network 10.x.x.x_SOURCE
     network-object 10.4.4.0 255.255.255.0
     network-object 10.2.2.0 255.255.255.0

    object network 10.x.x.x_DESTINATION
     network-object 10.3.3.0 255.255.255.0
     network-object 10.1.1.0 255.255.255.0

    nat (inside,outside) 1 source static 10.x.x.x_SOURCE 10.x.x.x_SOURCE destination static 10.x.x.x_DESTINATION 10.x.x.x_DESTINATION no-proxy-arp route-lookup 


    Ejemplo de Configuración Completo

    Esta es la configuración completa del sitio B:

    crypto ikev1 enable outside

    crypto ikev1 policy 10
     authentication pre-share
     encryption aes-256
     hash sha
     group 14
     lifetime 86400

    tunnel-group 10.106.67.90 type ipsec-l2l
    tunnel-group 10.106.67.90 ipsec-attributes
     ikev1 pre-shared-key cisco
     !Note the IKEv1 keyword at the beginning of the pre-shared-key command.

    object network 10.2.2.0_24 
     subnet 10.2.2.0 255.255.255.0 
    object network 10.1.1.0_24 
     subnet 10.1.1.0 255.255.255.0

    access-list 100 extended permit ip object 10.2.2.0_24 object 10.1.1.0_24

    crypto ipsec ikev1 transform-set myset esp-aes esp-sha-hmac

    crypto map outside_map 20 match address 100
    crypto map outside_map 20 set peer 10.106.67.90
    crypto map outside_map 20 set ikev1 transform-set myset
    crypto map outside_map 20 set pfs
    crypto map outside_map interface outside

    nat (inside,outside) 1 source static 10.2.2.0_24 10.2.2.0_24 destination static 10.1.1.0_24 10.1.1.0_24 no-proxy-arp route-lookup

    Directiva de grupo

    Las políticas de grupo se utilizan para definir las configuraciones específicas que se aplican al túnel. Estas políticas se utilizan junto con el grupo de túnel.

    La política de grupo se puede definir como interna, lo que significa que los atributos se extraen de lo que se define en el ASA, o se puede definir como externa, donde los atributos se consultan desde un servidor externo. Este es el comando que se utiliza para definir la política de grupo:

    group-policy SITE_A internal

    Nota: Puede definir varios atributos en la política de grupo. Para obtener una lista de todos los atributos posibles, consulte la sección Configuración de Políticas de Grupo.

    Atributos opcionales de directiva de grupo

    El vpn-tunnel-protocol atributo determina el tipo de túnel al que se deben aplicar estos parámetros. En este ejemplo, se utiliza IPSec:

    vpn-tunnel-protocol ?
     group-policy mode commands/options:
     IPSec IP Security Protocol l2tp-ipsec L2TP using IPSec for security
     svc SSL VPN Client
     webvpn WebVPN

    vpn-tunnel-protocol ikev1 - Version 8.4 and later


    Tiene la opción de configurar el túnel para que permanezca inactivo (sin tráfico) y no se desactive. Para configurar esta opción, el vpn-idle-timeout valor del atributo debe utilizar minutos, o puede establecer el valor en none, lo que significa que el túnel nunca se desactiva. 

    Aquí tiene un ejemplo:

    group-policy SITE_A attributes
      vpn-idle-timeout ?

    group-policy mode commands/options:
     <1-35791394> Number of minutes
     alert-interval Specify timeout alert interval in minutes
     none Site-to-Site (IKEv1, IKEv2) and IKEv1 remote-access: Disable
     timeout and allow an unlimited idle period; AnyConnect (SSL,
     IPSec/IKEv2): Use value of default-idle-timeout


    El default-group-policy comando bajo los atributos generales del grupo de túnel define la política de grupo que se utiliza para presionar ciertas configuraciones de política para el túnel que se establece. La configuración predeterminada de las opciones que no definió en la directiva de grupo se toma de una directiva de grupo predeterminada global:

    tunnel-group 10.106.67.91 general-attributes
     default-group-policy SITE_A

    Verificación

    Utilice la información que se proporciona en esta sección para verificar que su configuración funcione correctamente.

    ASDM

    Para ver el estado del túnel desde el ASDM, navegue hasta Monitoring > VPN. Esta información se proporciona:

    • La dirección IP del par
    • El protocolo que se utiliza para construir el túnel
    • Algoritmo de cifrado que se utiliza
    • La hora a la que se activó el túnel y el tiempo de actividad
    • El número de paquetes que se reciben y se transfieren
      •

    Sugerencia: Haga clic Refresh para ver los últimos valores, ya que los datos no se actualizan en tiempo real.

    Ventana Supervisión de VPNVentana Supervisión de VPN

    CLI

    En esta sección se describe cómo verificar la configuración mediante la CLI.

    Fase 1

    Ingrese este comando en la CLI para verificar la configuración de la Fase 1 en el lado del Sitio B:

    show crypto ikev1 sa

    IKEv1 SAs:
     
     Active SA: 1
     Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1

    1 IKE Peer: 10.106.67.91
     Type : L2L Role : initiator
     Rekey : no State : MM_ACTIVE


    Fase 2

    El show crypto ipsec sa comando muestra las SAs IPsec que se construyen entre los peers. El túnel cifrado se construye entre las direcciones IP 10.106.67.90 y 10.106.67.91 para el tráfico que fluye entre las redes 10.1.1.0 y 10.2.2.0. Puede ver las dos SA ESP creadas para el tráfico entrante y saliente. El Encabezado de autenticación (AH) no se utiliza porque no hay SA AH.

    Ingrese este comando en la CLI para verificar la configuración de la Fase 2 en el lado del Sitio A:

    interface: outside
     Crypto map tag: outside_map, seq num: 20, local addr: 10.106.67.90

     access-list 100 extended permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0 
     local ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
     remote ident (addr/mask/prot/port): (10.2.2.0/255.255.255.0/0/0)
     current_peer: 10.106.67.91


     #pkts encaps: 20, #pkts encrypt: 20, #pkts digest: 20
     #pkts decaps: 20, #pkts decrypt: 20, #pkts verify: 20
     #pkts compressed: 0, #pkts decompressed: 0
     #pkts not compressed: 20, #pkts comp failed: 0, #pkts decomp failed: 0
     #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
     #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
     #TFC rcvd: 0, #TFC sent: 0
     #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
     #send errors: 0, #recv errors: 0

     local crypto endpt.: 10.106.67.90/0, remote crypto endpt.: 10.106.67.91/0
     path mtu 1500, ipsec overhead 74(44), media mtu 1500
     PMTU time remaining (sec): 0, DF policy: copy-df
     ICMP error validation: disabled, TFC packets: disabled
     current outbound spi: F8951DA2
     current inbound spi : 662C7ABE

     inbound esp sas:
     spi: 0x662C7ABE (1714191038)
     SA State: active
     transform: esp-aes-256 esp-sha-hmac no compression 
     in use settings ={L2L, Tunnel, PFS Group 14, IKEv1, }
     slot: 0, conn_id: 1, crypto-map: outside_map
     sa timing: remaining key lifetime (kB/sec): (3914998/28074)
     IV size: 16 bytes
     replay detection support: Y
     Anti replay bitmap: 
     0x00000000 0x001FFFFF
     outbound esp sas:
     spi: 0xF8951DA2 (4170522018)
     SA State: active
     transform: esp-aes-256 esp-sha-hmac no compression 
     in use settings ={L2L, Tunnel, PFS Group 14, IKEv1, }
     slot: 0, conn_id: 1, crypto-map: outside_map
     sa timing: remaining key lifetime (kB/sec): (3914998/28073)
     IV size: 16 bytes
     replay detection support: Y
     Anti replay bitmap: 
     0x00000000 0x00000001


    Ingrese este comando en la CLI para verificar la configuración de la Fase 2 en el lado del Sitio B:

    interface: outside
     Crypto map tag: outside_map, seq num: 20, local addr: 10.106.67.91

     access-list 100 extended permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.0 
     local ident (addr/mask/prot/port): (10.2.2.0/255.255.255.0/0/0)
     remote ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
     current_peer: 10.106.67.90


     #pkts encaps: 20, #pkts encrypt: 20, #pkts digest: 20
     #pkts decaps: 20, #pkts decrypt: 20, #pkts verify: 20
     #pkts compressed: 0, #pkts decompressed: 0
     #pkts not compressed: 20, #pkts comp failed: 0, #pkts decomp failed: 0
     #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
     #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
     #TFC rcvd: 0, #TFC sent: 0
     #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
     #send errors: 0, #recv errors: 0

     local crypto endpt.: 10.106.67.91/0, remote crypto endpt.: 10.106.67.90/0
     path mtu 1500, ipsec overhead 74(44), media mtu 1500
     PMTU time remaining (sec): 0, DF policy: copy-df
     ICMP error validation: disabled, TFC packets: disabled
     current outbound spi: 662C7ABE
     current inbound spi : F8951DA2

     inbound esp sas:
     spi: 0xF8951DA2 (4170522018)
     SA State: active
     transform: esp-aes-256 esp-sha-hmac no compression 
     in use settings ={L2L, Tunnel, PFS Group 14, IKEv1, }
     slot: 0, conn_id: 1, crypto-map: outside_map
     sa timing: remaining key lifetime (kB/sec): (4373998/27737)
     IV size: 16 bytes
     replay detection support: Y
     Anti replay bitmap: 
     0x00000000 0x001FFFFF
     outbound esp sas:
     spi: 0x662C7ABE (1714191038)
     SA State: active
     transform: esp-aes-256 esp-sha-hmac no compression 
     in use settings ={L2L, Tunnel, PFS Group 14, IKEv1, }
     slot: 0, conn_id: 1, crypto-map: outside_map
     sa timing: remaining key lifetime (kB/sec): (4373998/27737)
     IV size: 16 bytes
     replay detection support: Y
     Anti replay bitmap: 
     0x00000000 0x00000001


    Troubleshoot

    Utilice la información que se proporciona en esta sección para resolver problemas de configuración.

    Ingrese estos comandos debug para determinar la ubicación de la falla del túnel:  

    • debug crypto ikev1 127 (Fase 1)
    • debug crypto ipsec 127 (Fase 2)

      •

    Aquí hay un ejemplo completo de resultado de debug:

    IPSEC(crypto_map_check)-3: Looking for crypto map matching 5-tuple: Prot=1, saddr=10.1.1.10, sport=23043, daddr=10.2.2.10, dport=23043
    IPSEC(crypto_map_check)-3: Checking crypto map outside_map 20: matched.
    Mar 15 05:41:39 [IKEv1 DEBUG]Pitcher: received a key acquire message, spi 0x0
    IPSEC(crypto_map_check)-3: Looking for crypto map matching 5-tuple: Prot=1, saddr=10.1.1.10, sport=23043, daddr=10.2.2.10, dport=23043
    IPSEC(crypto_map_check)-3: Checking crypto map outside_map 20: matched.
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE Initiator: New Phase 1, Intf inside, IKE Peer 10.106.67.91 local Proxy Address 10.1.1.0, remote Proxy Address 10.2.2.0, Crypto map (outside_map)
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing ISAKMP SA payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing NAT-Traversal VID ver 02 payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing NAT-Traversal VID ver 03 payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing NAT-Traversal VID ver RFC payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing Fragmentation VID + extended capabilities payload
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 172
    Mar 15 05:41:39 [IKEv1]IKE Receiver: Packet received on 10.106.67.90:500 from 10.106.67.91:500
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 132
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing SA payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Oakley proposal is acceptable
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Received NAT-Traversal RFC VID
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Received Fragmentation VID
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, IKE Peer included IKE fragmentation capability flags: Main Mode: True Aggressive Mode: True
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing ke payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing nonce payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing Cisco Unity VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing xauth V6 VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Send IOS VID
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Constructing ASA spoofing IOS Vendor ID payload (version: 1.0.0, capabilities: 20000001)
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Send Altiga/Cisco VPN3000/Cisco ASA GW VID
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing NAT-Discovery payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, computing NAT Discovery hash
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing NAT-Discovery payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, computing NAT Discovery hash
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 432
    Mar 15 05:41:39 [IKEv1]IKE Receiver: Packet received on 10.106.67.90:500 from 10.106.67.91:500
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 432
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing ke payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing ISA_KE payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing nonce payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Received Cisco Unity client VID
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Received xauth V6 VID
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Processing VPN3000/ASA spoofing IOS Vendor ID payload (version: 1.0.0, capabilities: 20000001)
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Received Altiga/Cisco VPN3000/Cisco ASA GW VID
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing NAT-Discovery payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, computing NAT Discovery hash
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing NAT-Discovery payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, computing NAT Discovery hash
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, Connection landed on tunnel_group 10.106.67.91
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Generating keys for Initiator...
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, constructing ID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, constructing hash payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Computing hash for ISAKMP
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Constructing IOS keep alive payload: proposal=32767/32767 sec.
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, constructing dpd vid payload
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) + VENDOR (13) + NONE (0) total length : 96
    Mar 15 05:41:39 [IKEv1]Group = 10.106.67.91, IP = 10.106.67.91, Automatic NAT Detection Status: Remote end is NOT behind a NAT device This end is NOT behind a NAT device
    Mar 15 05:41:39 [IKEv1]IKE Receiver: Packet received on 10.106.67.90:500 from 10.106.67.91:500
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) + VENDOR (13) + NONE (0) total length : 96
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing ID payload
    Mar 15 05:41:39 [IKEv1 DECODE]Group = 10.106.67.91, IP = 10.106.67.91, ID_IPV4_ADDR ID received 10.106.67.91
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing hash payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Computing hash for ISAKMP
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Processing IOS keep alive payload: proposal=32767/32767 sec.
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Received DPD VID
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, Connection landed on tunnel_group 10.106.67.91
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Oakley begin quick mode
    Mar 15 05:41:39 [IKEv1 DECODE]Group = 10.106.67.91, IP = 10.106.67.91, IKE Initiator starting QM: msg id = ad712fa9
    Mar 15 05:41:39 [IKEv1]Group = 10.106.67.91, IP = 10.106.67.91, PHASE 1 COMPLETED
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, Keep-alive type for this connection: DPD
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Starting P1 rekey timer: 73440 seconds.
    Mar 15 05:41:39 [IKEv1]Group = 10.106.67.91, IP = 10.106.67.91, Add to IKEv1 Tunnel Table succeeded for SA with logical ID 8192
    Mar 15 05:41:39 [IKEv1]Group = 10.106.67.91, IP = 10.106.67.91, Add to IKEv1 MIB Table succeeded for SA with logical ID 8192
    IPSEC INFO: Setting an IPSec timer of type SA Purge Timer for 30 seconds with a jitter value of 0
    IPSEC INFO: IPSec SA PURGE timer started SPI 0x0001B739
    IPSEC: New embryonic SA created @ 0x00007f05294f4620, 
     SCB : 0x294CFE60, 
     Direction : inbound
     SPI : 0x50EF49AD
     Session ID : 0x00002000
     VPIF num : 0x00000002
     Tunnel type : l2l
     Protocol : esp
     Lifetime : 240 seconds
     SA handle : 0x0001B739
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, IKE got SPI from key engine: SPI = 0x50ef49ad
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, oakley constructing quick mode
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, constructing blank hash payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, constructing IPSec SA payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, constructing IPSec nonce payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, constructing pfs ke payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, constructing proxy ID
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Transmitting Proxy Id:
     Local subnet: 10.1.1.0 mask 255.255.255.0 Protocol 0 Port 0
     Remote subnet: 10.2.2.0 Mask 255.255.255.0 Protocol 0 Port 0
    Mar 15 05:41:39 [IKEv1 DECODE]Group = 10.106.67.91, IP = 10.106.67.91, IKE Initiator sending Initial Contact
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, constructing qm hash payload
    Mar 15 05:41:39 [IKEv1 DECODE]Group = 10.106.67.91, IP = 10.106.67.91, IKE Initiator sending 1st QM pkt: msg id = ad712fa9
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE_DECODE SENDING Message (msgid=ad712fa9) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + KE (4) + ID (5) + ID (5) + NOTIFY (11) + NONE (0) total length : 464
    Mar 15 05:41:39 [IKEv1]IKE Receiver: Packet received on 10.106.67.90:500 from 10.106.67.91:500
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE_DECODE RECEIVED Message (msgid=ad712fa9) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + KE (4) + ID (5) + ID (5) + NONE (0) total length : 436
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing hash payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing SA payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing nonce payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing ke payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing ISA_KE for PFS in phase 2
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing ID payload
    Mar 15 05:41:39 [IKEv1 DECODE]Group = 10.106.67.91, IP = 10.106.67.91, ID_IPV4_ADDR_SUBNET ID received--10.1.1.0--255.255.255.0
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing ID payload
    Mar 15 05:41:39 [IKEv1 DECODE]Group = 10.106.67.91, IP = 10.106.67.91, ID_IPV4_ADDR_SUBNET ID received--10.2.2.0--255.255.255.0
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, loading all IPSEC SAs
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Generating Quick Mode Key!
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Generating Quick Mode Key!
    Mar 15 05:41:39 [IKEv1]Group = 10.106.67.91, IP = 10.106.67.91, Security negotiation complete for LAN-to-LAN Group (10.106.67.91) Initiator, Inbound SPI = 0x50ef49ad, Outbound SPI = 0xea689811
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, oakley constructing final quick mode
    Mar 15 05:41:39 [IKEv1 DECODE]Group = 10.106.67.91, IP = 10.106.67.91, IKE Initiator sending 3rd QM pkt: msg id = ad712fa9
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE_DECODE SENDING Message (msgid=ad712fa9) with payloads : HDR + HASH (8) + NONE (0) total length : 76
    IPSEC INFO: Setting an IPSec timer of type SA Purge Timer for 30 seconds with a jitter value of 0
    IPSEC INFO: IPSec SA PURGE timer started SPI 0x00024311
    IPSEC: New embryonic SA created @ 0x00007f05294fd920, 
     SCB : 0x294CCDB0, 
     Direction : outbound
     SPI : 0xEA689811
     Session ID : 0x00002000
     VPIF num : 0x00000002
     Tunnel type : l2l
     Protocol : esp
     Lifetime : 240 seconds
     SA handle : 0x00024311
    Rule Lookup for local 10.1.1.0 to remote 10.2.2.0
    Peer matched map outside_map sequence 20
    PROXY MATCH on crypto map outside_map seq 20
    IPSEC DEBUG: Using NP outbound permit rule for SPI 0xEA689811
    IPSEC: Completed host OBSA update, SPI 0xEA689811
    IPSEC: Creating outbound VPN context, SPI 0xEA689811
     Flags : 0x00000005
     SA : 0x00007f05294fd920
     SPI : 0xEA689811
     MTU : 1500 bytes
     VCID : 0x00000000
     Peer : 0x00000000
     SCB : 0x02CEE703
     Channel: 0x00007f0533c4f700
    IPSEC: Completed outbound VPN context, SPI 0xEA689811
    VPN handle: 0x000000000000763c
    IPSEC: New outbound encrypt rule, SPI 0xEA689811
     Src addr: 10.1.1.0
     Src mask: 255.255.255.0
     Dst addr: 10.2.2.0
     Dst mask: 255.255.255.0
     Src ports
     Upper: 0
     Lower: 0
     Op : ignore
     Dst ports
     Upper: 0
     Lower: 0
     Op : ignore
     Protocol: 0
     Use protocol: false
     SPI: 0x00000000
     Use SPI: false
    IPSEC: Completed outbound encrypt rule, SPI 0xEA689811
    Rule ID: 0x00007f05294f8a60
    IPSEC: New outbound permit rule, SPI 0xEA689811
     Src addr: 10.106.67.90
     Src mask: 255.255.255.255
     Dst addr: 10.106.67.91
     Dst mask: 255.255.255.255
     Src ports
     Upper: 0
     Lower: 0
     Op : ignore
     Dst ports
     Upper: 0
     Lower: 0
     Op : ignore
     Protocol: 50
     Use protocol: true
     SPI: 0xEA689811
     Use SPI: true
    IPSEC: Completed outbound permit rule, SPI 0xEA689811
    Rule ID: 0x00007f05294f9110
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, IKE got a KEY_ADD msg for SA: SPI = 0xea689811
    IPSEC: New embryonic SA created @ 0x00007f05294f4620, 
     SCB : 0x294CFE60, 
     Direction : inbound
     SPI : 0x50EF49AD
     Session ID : 0x00002000
     VPIF num : 0x00000002
     Tunnel type: l2l
     Protocol : esp
     Lifetime : 240 seconds
     SA handle : 0x0001B739
    Rule Lookup for local 10.1.1.0 to remote 10.2.2.0
    Peer matched map outside_map sequence 20
    PROXY MATCH on crypto map outside_map seq 20
    IPSEC DEBUG: Using NP inbound permit rule for SPI 0x50EF49AD
    IPSEC: Completed host IBSA update, SPI 0x50EF49AD
    IPSEC: Creating inbound VPN context, SPI 0x50EF49AD
     Flags: 0x00000006
     SA : 0x00007f05294f4620
     SPI : 0x50EF49AD
     MTU : 0 bytes
     VCID : 0x00000000
     Peer : 0x0000763C
     SCB : 0x02CE8BB3
     Channel: 0x00007f0533c4f700
    IPSEC: Completed inbound VPN context, SPI 0x50EF49AD
    VPN handle: 0x00000000000086bc
    IPSEC: Updating outbound VPN context 0x0000763C, SPI 0xEA689811
     Flags: 0x00000005
     SA : 0x00007f05294fd920
     SPI : 0xEA689811
     MTU : 1500 bytes
     VCID : 0x00000000
     Peer : 0x000086BC
     SCB : 0x02CEE703
     Channel: 0x00007f0533c4f700
    IPSEC: Completed outbound VPN context, SPI 0xEA689811
    VPN handle: 0x000000000000763c
    IPSEC: Completed outbound inner rule, SPI 0xEA689811
    Rule ID: 0x00007f05294f8a60
    IPSEC: Completed outbound outer SPD rule, SPI 0xEA689811
    Rule ID: 0x00007f05294f9110
    IPSEC: New inbound tunnel flow rule, SPI 0x50EF49AD
     Src addr: 10.2.2.0
     Src mask: 255.255.255.0
     Dst addr: 10.1.1.0
     Dst mask: 255.255.255.0
     Src ports
     Upper: 0
     Lower: 0
     Op : ignore
     Dst ports
     Upper: 0
     Lower: 0
     Op : ignore
     Protocol: 0
     Use protocol: false
     SPI: 0x00000000
     Use SPI: false
    IPSEC: Completed inbound tunnel flow rule, SPI 0x50EF49AD
    Rule ID: 0x00007f05294f8180
    IPSEC: New inbound decrypt rule, SPI 0x50EF49AD
     Src addr: 10.106.67.91
     Src mask: 255.255.255.255
     Dst addr: 10.106.67.90
     Dst mask: 255.255.255.255
     Src ports
     Upper: 0
     Lower: 0
     Op : ignore
     Dst ports
     Upper: 0
     Lower: 0
     Op : ignore
     Protocol: 50
     Use protocol: true
     SPI: 0x50EF49AD
     Use SPI: true
    IPSEC: Completed inbound decrypt rule, SPI 0x50EF49AD
    Rule ID: 0x00007f05294f7ad0
    IPSEC: New inbound permit rule, SPI 0x50EF49AD
     Src addr: 10.106.67.91
     Src mask: 255.255.255.255
     Dst addr: 10.106.67.90
     Dst mask: 255.255.255.255
     Src ports
     Upper: 0
     Lower: 0
     Op : ignore
     Dst ports
     Upper: 0
     Lower: 0
     Op : ignore
     Protocol: 50
     Use protocol: true
     SPI: 0x50EF49AD
     Use SPI: true
    IPSEC: Completed inbound permit rule, SPI 0x50EF49AD
    Rule ID: 0x00007f05294f4510
    IPSEC INFO: Destroying an IPSec timer of type SA Purge Timer
    IPSEC INFO: Destroying an IPSec timer of type SA Purge Timer
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Pitcher: received KEY_UPDATE, spi 0x50ef49ad
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Starting P2 rekey timer: 24480 seconds.
    Mar 15 05:41:39 [IKEv1]Group = 10.106.67.91, IP = 10.106.67.91, PHASE 2 COMPLETED (msgid=ad712fa9)

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    10-Jul-2015
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Venkata Aditya B
      Cisco TAC Engineer
    • Rahul Govindan
      Cisco TAC Engineer
    • Pavan Gundu
      Technical Consulting Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos