Débogages ASA IKEv2 pour le dépannage VPN d'accès à distance

Options de téléchargement

PDF (351.1 KB)
Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
ePub (106.0 KB)
Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
Mobi (Kindle) (119.6 KB)
Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils

Mis à jour:9 octobre 2013

ID du document:116158

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Table des matières

Introduction

Conditions préalables

Exigences

Composants utilisés

Problème principal

Scénario

Commandes de débogage

Configuration ASA

Fichier XML

Journaux de débogage et descriptions

Vérification du tunnel

AnyConnect

ISAKMP

IPSEC

Informations connexes

Introduction

Ce document décrit comment comprendre les débogages sur l'appareil de sécurité adaptatif Cisco (ASA) lorsque Internet Key Exchange Version 2 (IKEv2) est utilisé avec un client Cisco AnyConnect Secure Mobility. Ce document fournit également des informations sur la façon de traduire certaines lignes de débogage dans une configuration ASA.

Ce document ne décrit pas comment faire passer le trafic après qu'un tunnel VPN a été établi vers l'ASA, ni n'inclut les concepts de base d'IPSec ou d'IKE.

Conditions préalables

Exigences

Cisco vous recommande de connaître l'échange de paquets pour IKEv2. Pour plus d'informations, référez-vous à Échange de paquets IKEv2 et débogage au niveau du protocole.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

Internet Key Exchange Version 2 (IKEv2)
Appareil de sécurité adaptatif Cisco (ASA) version 8.4 ou ultérieure

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Problème principal

Le centre d'assistance technique de Cisco (TAC) utilise souvent des commandes IKE et IPSec debug afin de comprendre où il y a un problème avec l'établissement du tunnel VPN IPSec, mais les commandes peuvent être cryptiques.

Scénario

Commandes de débogage

debug crypto ikev2 protocol 127
debug crypto ikev2 platform 127
debug aggregate-auth xml 5

Configuration ASA

Cette configuration ASA est strictement de base, sans utilisation de serveurs externes.

interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 10.0.0.1 255.255.255.0

ip local pool webvpn1 10.2.2.1-10.2.2.10

crypto ipsec ikev2 ipsec-proposal 3des
 protocol esp encryption aes-256 aes 3des des
 protocol esp integrity sha-1
crypto dynamic-map dynmap 1000 set ikev2 ipsec-proposal 3des
crypto map crymap 10000 ipsec-isakmp dynamic dynmap
crypto map crymap interface outside

crypto ca trustpoint Anu-ikev2
 enrollment self
 crl configure

crypto ikev2 policy 10
 encryption aes-192
 integrity sha
 group 2
 prf sha
 lifetime seconds 86400

crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint Anu-ikev2
ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1
ssl trust-point Anu-ikev2 outside

webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-3.0.1047-k9.pkg 1
 anyconnect profiles Anyconnect-ikev2 disk0:/anyconnect-ikev2.xml
 anyconnect enable
 tunnel-group-list enable

group-policy ASA-IKEV2 internal
group-policy ASA-IKEV2 attributes
 wins-server none
 dns-server none
 vpn-tunnel-protocol ikev2 
 default-domain none
 webvpn
  anyconnect modules value dart
  anyconnect profiles value Anyconnect-ikev2 type user

username Anu password lAuoFgF7KmB3D0WI encrypted privilege 15

tunnel-group ASA-IKEV2 type remote-access
tunnel-group ASA-IKEV2 general-attributes
 address-pool webvpn1
 default-group-policy ASA-IKEV2
tunnel-group ASA-IKEV2 webvpn-attributes
 group-alias ASA-IKEV2 enable

Fichier XML

<ServerList>
        <HostEntry>
                <HostName>Anu-IKEV2</HostName>
                <HostAddress>10.0.0.1</HostAddress>
                <UserGroup>ASA-IKEV2</UserGroup>
                <PrimaryProtocol>IPsec</PrimaryProtocol>
        </HostEntry>
</ServerList>

Remarque : le nom UserGroup dans le profil client XML doit être le même que le nom du groupe de tunnels sur l'ASA. Sinon, le message d'erreur « Invalid Host Entry. Veuillez saisir à nouveau « » s’affiche sur le client AnyConnect.

Journaux de débogage et descriptions

Remarque : les journaux de l'outil de diagnostic et de création de rapports (DART) sont généralement très bavards. Certains journaux DART ont donc été omis dans cet exemple en raison de leur insignifiance.

Description du message du serveur	Déboguages		Description du message client
	Date : 23/04/13 Heure : 16:24:55 Type : Information Source : acvpnui Description : Fonction : ClientIfcBase::connect Fichier : .\ClientIfcBase.cpp Ligne : 964 Une connexion VPN à Anu-IKEV2 a été demandée par l'utilisateur. ************************************** Date : 23/04/13 Heure : 16:24:55 Type : Information Source : acvpnui Description : informations de type de message envoyées à l'utilisateur : Contact d'Anu-IKEV2. ************************************ Date : 23/04/13 Heure : 16:24:55 Type : Information Source : acvpnui Description : Fonction : ApiCert::getCertList Fichier : .\ApiCert.cpp Ligne : 259 Nombre de certificats trouvés : 0 ************************************ Date : 23/04/13 Heure : 16:25:00 Type : Information Source : acvpnui Description : Initialisation de la connexion VPN à la passerelle sécurisée https://10.0.0.1/ASA-IKEV2 ************************************ Date : 23/04/13 Heure : 16:25:00 Type : Information Source : acvpnagent Description : Tunnel initié par le client GUI. ************************************ Date : 23/04/13 Heure : 16:25:02 Type : Information Source : acvpnagent Description : Fonction : CIPsecProtocol::connectTransport Fichier : .\IPsecProtocol.cpp Ligne : 1629 Socket IKE ouvert de 192.168.1.1:25170 à 10.0.0.1:500 **************************************		Le client initie le tunnel VPN vers l'ASA.
	---------------------------------IKE_SA_INIT Démarrage d'Exchange------------------------------
L'ASA reçoit le message IKE_SA_INIT du client.	IKEv2-PLAT-4 : RECV PKT [IKE_SA_INIT] [192.168.1.1]:25170->[10.0.0.1]:500 InitSPI=0x58aff71141ba436b RespSPI=0x0000000000000000 MID=00000000 IKEv2-PROTO-3 : Rx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] id_m : 0x0
La première paire de messages est l'échange IKE_SA_INIT. Ces messages négocient des algorithmes cryptographiques, échangent des nonces et effectuent un échange Diffie-Hellman (DH). Le message IKE_SA_INIT reçu du client contient les champs suivants : En-tête ISAKMP - SPI/version/flags. SAi1 : algorithme cryptographique pris en charge par l'initiateur IKE. KEi : valeur de clé publique DH de l'initiateur. N - Initiator Nonce.	IKEv2-PROTO-3 : HDR[i:58AFF71141BA436B - r: 0000000000000000] IKEv2-PROTO-4 : IKEV2 HDR ispi : 58AFF71141BA436B - rspi : 0000000000000000 IKEv2-PROTO-4 : Prochaine charge utile : SA, version : 2.0 IKEv2-PROTO-4 : type d'échange : IKE_SA_INIT, indicateurs : INITIATOR IKEv2-PROTO-4 : ID de message : 0x0, longueur : 528 SA Charge utile suivante : KE, réservée : 0x0, longueur : 168 IKEv2-PROTO-4 : dernière proposition : 0x0, réservée : 0x0, longueur : 164 Proposition : 1, ID de protocole : IKE, taille SPI : 0, #trans : 18 IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 12 type : 1, réservé : 0x0, id : AES-CBC IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 12 type : 1, réservé : 0x0, id : AES-CBC IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 12 type : 1, réservé : 0x0, id : AES-CBC IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 8 type : 1, réservé : 0x0, id : 3DES IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 8 type : 1, réservé : 0x0, id : DES IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 8 type : 2, réservé : 0x0, id : SHA512 IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 8 type : 2, réservé : 0x0, id : SHA384 IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 8 type : 2, réservé : 0x0, id : SHA256 IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 8 type : 2, réservé : 0x0, id : SHA1 IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 8 type : 2, réservé : 0x0, id : MD5 IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 8 type : 3, réservé : 0x0, id : SHA512 IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 8 type : 3, réservé : 0x0, id : SHA384 IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 8 type : 3, réservé : 0x0, id : SHA256 IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 8 type : 3, réservé : 0x0, id : SHA96 IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 8 type : 3, réservé : 0x0, id : MD596 IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 8 type : 4, réservé : 0x0, id : DH_GROUP_1536_MODP/Group 5 IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 8 type : 4, réservé : 0x0, id : DH_GROUP_1024_MODP/Groupe 2 IKEv2-PROTO-4 : dernière transformation : 0x0, réservé : 0x0 : longueur : 8 type : 4, réservé : 0x0, id : DH_GROUP_768_MODP/Groupe 1 KE Charge utile suivante : N, réservée : 0x0, longueur : 104 Groupe DH : 1, Réservé : 0x0 eb 5e 29 fe cb 2e d1 28 ed 4a 54 b1 13 7c b8 89 f7 62 13 6b df 95 88 28 b5 97 ba 52 ef e4 1d 28 ca 06 d1 36 b6 67 32 9a c2 dd 4e d8 c7 80 de 20 36 34 c5 b3 3e 1d 83 1a c7 fb 9d b8 c5 f5 ed 5f ba ba 4f b6 b2 e2 2d 43 4f a0 b6 90 9a 11 3f 7d 0a 21 c3 4d d3 0a d2 1e 33 43 d3 5e cc 4b 38 e0 N Charge utile suivante : VID, réservé : 0x0, longueur : 24 20 12 8f 22 7b 16 23 52 e4 29 4d 98 c7 fd a8 77 ce 7c 0b b4 IKEv2-PROTO-5 : analyse des données utiles spécifiques au fournisseur : VID CISCO-DELETE-REASON Données utiles suivantes : VID, réservé : 0x0, longueur : 23
L'ASA vérifie et traite les Message IKE_INIT. L'ASA : Choisit la suite de chiffrement dans ceux offerts par l'initiateur. Calcule sa propre clé secrète DH. Calcule une valeur SKEYID à partir pour lesquelles toutes les clés peuvent être dérivées cette IKE_SA. Les en-têtes de tous les les messages suivants sont chiffrés et authentifiés. Les clés utilisées pour le cryptage et protection d'intégrité sont dérivées de SKEYID et sont connus sous le nom de : SK_e - Chiffrement. SK_a : authentification. SK_d - Provient et utilisé pour le calcul de support de détrompage SA_ENFANTS. Un SK_e et un SK_a distincts sont calculé pour chaque direction. Configuration appropriée : crypto ikev2 policy 10 encryption aes-192 integrity sha group 2 prf sha lifetime seconds 86400 crypto ikev2 enable outside	Paquet déchiffré :Données : 528 octets IKEv2-PLAT-3 : traitement des données utiles VID personnalisées IKEv2-PLAT-3 : Cisco Copyright VID reçu de l'homologue IKEv2-PLAT-3 : VID AnyConnect EAP reçu de l'homologue IKEv2-PROTO-5 : (6) : SM Trace-> SA : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState : IDLE, événement : EV_RECV_INIT IKEv2-PROTO-3 : (6) : vérification de la détection NAT IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState : IDLE, événement : EV_CHK_REDIRECT IKEv2-PROTO-5: (6) : la vérification de redirection n'est pas nécessaire, elle est ignorée IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState : IDLE, événement : EV_CHK_CAC IKEv2-PLAT-5 : nouvelle requête ikev2 sa admise IKEv2-PLAT-5 : incrémentation d'un du nombre de SA de négociation entrante IKEv2-PLAT-5 : HANDLE PSH NON VALIDE IKEv2-PLAT-5 : HANDLE PSH NON VALIDE IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState : IDLE, événement : EV_CHK_COOKIE IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState : IDLE, événement : EV_CHK4_COOKIE_NOTIFY IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState : R_INIT Événement : EV_VERIFY_MSG IKEv2-PROTO-3 : (6) : message de vérification de l'initialisation de la SA IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState : R_INIT Événement : EV_INSERT_SA IKEv2-PROTO-3 : (6) : insérer SA IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState : R_INIT Événement : EV_GET_IKE_POLICY IKEv2-PROTO-3 : (6) : obtention des stratégies configurées IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState : R_INIT Événement : EV_PROC_MSG IKEv2-PROTO-2 : (6) : traitement du message initial IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState : R_INIT Événement : EV_DETECT_NAT IKEv2-PROTO-3 : (6) : traitement de la notification de détection NAT IKEv2-PROTO-5 : (6) : traitement de la détection nat src notify IKEv2-PROTO-5 : (6) : adresse distante non correspondante IKEv2-PROTO-5 : (6) : traitement de la détection nat dst notify IKEv2-PROTO-5 : (6) : adresse locale correspondante IKEv2-PROTO-5: (6) : l'hôte est situé à l'extérieur de la NAT IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState : R_INIT Événement : EV_CHK_CONFIG_MODE IKEv2-PROTO-3 : (6) : réception de données de mode de configuration valides IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState : R_INIT Événement : EV_SET_RECD_CONFIG_MODE IKEv2-PROTO-3 : (6) : définition des données du mode de configuration reçues IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState : R_BLD_INIT Événement : EV_SET_POLICY IKEv2-PROTO-3 : (6) : définition des stratégies configurées IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState : R_BLD_INIT Événement : EV_CHK_AUTH4PKI IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState : R_BLD_INIT Événement : EV_PKI_SESH_OPEN IKEv2-PROTO-3 : (6) : ouverture d'une session PKI IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState : R_BLD_INIT Événement : EV_GEN_DH_KEY IKEv2-PROTO-3 : (6) : calcul de la clé publique DH IKEv2-PROTO-3 : (6) : IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState : R_BLD_INIT Événement : EV_NO_EVENT IKEv2-PROTO-5 : (6) : SM Trace-> SA : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState : R_BLD_INIT Événement : EV_OK_RECD_DH_PUBKEY_RESP IKEv2-PROTO-5 : (6) : Action : Action_Null IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState : R_BLD_INIT Événement : EV_GEN_DH_SECRET IKEv2-PROTO-3 : (6) : calcul de la clé secrète DH IKEv2-PROTO-3 : (6) : IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState : R_BLD_INIT Événement : EV_NO_EVENT IKEv2-PROTO-5 : (6) : SM Trace-> SA : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState : R_BLD_INIT Événement : EV_OK_RECD_DH_SECRET_RESP IKEv2-PROTO-5 : (6) : Action : Action_Null IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState : R_BLD_INIT Événement : EV_GEN_SKEYID IKEv2-PROTO-3 : (6) : générer skeyid IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState : R_BLD_INIT Événement : EV_GET_CONFIG_MODE
L'ASA construit le message de réponse pour l'échange IKE_SA_INIT. Ce paquet contient : En-tête ISAKMP - SPI/version/flags. SAr1 : algorithme cryptographique choisi par le répondeur IKE. KEr - Valeur de clé publique DH du répondeur. N - Nonce du répondeur.	IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState : R_BLD_INIT Événement : EV_BLD_MSG IKEv2-PROTO-2 : (6) : envoi du message initial IKEv2-PROTO-3 : proposition IKE : 1, taille SPI : 0 (négociation initiale), Nombre de transformations : 4 AES-CBC SHA1 SHA96 DH_GROUP_768_MODP/Groupe 1 IKEv2-PROTO-5 : Charge utile spécifique au constructeur de construction : DELETE-REASONIKEv2-PROTO-5 : Charge utile spécifique au constructeur de construction : (CUSTOM)IKEv2-PROTO-5 : Charge utile spécifique au constructeur de construction : (CUSTOM)IKEv2-PROTO-5 : Charge utile de notification de construction : NAT_DETECTION_SOURCE_IPIKEv2-PROTO-5 : Charge utile de notification de construction : NAT_DETECTION_DESTINATION_IPIKEv2-PLAT 2 : Echec de la récupération des hashs des émetteurs approuvés ou aucun hash disponible IKEv2-PROTO-5 : Charge utile spécifique au constructeur de la construction : FRAGMENTATIONIKEv2-PROTO-3 : Tx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id: 0x0 IKEv2-PROTO-3 : HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4 : IKEV2 HDR ispi : 58AFF71141BA436B - rspi : FC696330E6B94D7F IKEv2-PROTO-4 : charge utile suivante : SA, version : 2.0 IKEv2-PROTO-4 : type d'échange : IKE_SA_INIT, indicateurs : RESPONDER MSG-RESPONSE IKEv2-PROTO-4 : ID de message : 0x0, longueur : 386 SA Charge utile suivante : KE, réservée : 0x0, longueur : 48 IKEv2-PROTO-4 : dernière proposition : 0x0, réservée : 0x0, longueur : 44 Proposition : 1, ID de protocole : IKE, taille SPI : 0, #trans : 4 IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 12 type : 1, réservé : 0x0, id : AES-CBC IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 8 type : 2, réservé : 0x0, id : SHA1 IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 8 type : 3, réservé : 0x0, id : SHA96 IKEv2-PROTO-4 : dernière transformation : 0x0, réservé : 0x0 : longueur : 8 type : 4, réservé : 0x0, id : DH_GROUP_768_MODP/Groupe 1 KE Charge utile suivante : N, réservée : 0x0, longueur : 104 Groupe DH : 1, Réservé : 0x0 c9 30 f9 32 d4 7c d1 a7 5b 71 72 09 6e 7e 91 0c e1 ce b4 a4 3c f2 8b 74 4e 20 59 b4 0b a1 ff 65 37 88 cc c4 a4 b6 fa 4a 63 03 93 89 e1 7e bd 6a 64 9a 38 24 e2 a8 40 f5 a3 d6 ef f7 1a df 33 cc a1 8e fa dc 9c 34 45 79 1a 7c 29 05 87 8a ac 02 98 2e 7d cb 41 51 d6 fe fc c7 76 83 1d 03 b0 d7 N Charge utile suivante : VID, réservé : 0x0, longueur : 24 c2 28 7f 8c 7d b3 1e 51 fc eb f1 97 ec 97 b8 67 d5 e7 c2 f5 VID Charge utile suivante : VID, réservé : 0x0, longueur : 23
L'ASA envoie le message de réponse pour l'échange IKE_SA_INIT. L'échange IKE_SA_INIT est maintenant terminé. L'ASA démarre le minuteur pour le processus d'authentification.	IKEv2-PLAT-4 : ENVOYÉ PKT [IKE_SA_INIT] [10.0.0.1]:500->[192.168.1.1]:25170 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000000 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState : INIT_DONE Événement : EV_DONE IKEv2-PROTO-3 : (6) : la fragmentation est activée IKEv2-PROTO-3: (6) : Cisco DeleteReason Notify est activé IKEv2-PROTO-3 : (6) : fin de l'échange d'initialisation SA IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState : INIT_DONE Événement : EV_CHK4_ROLE IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState : INIT_DONE Événement : EV_START_TMR. IKEv2-PROTO-3 : (6) : minuteur de démarrage pour attendre le message d'authentification (30 secondes) IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState : R_WAIT_AUTH Événement : EV_NO_EVENT	************************************** Date : 23/04/13 Heure : 16:25:02 Type : Information Source : acvpnagent Description : Fonction : CIPsecProtocol::initiationTunnel Fichier : .\IPsecProtocol.cpp Ligne : 345 Démarrage du tunnel IPsec **************************************	Le client indique que le tunnel IPSec est « en cours d'initialisation ».
	-----------------------------------IKE_SA_INIT terminé---------------------------------
	------------------------------------- IKE_AUTH commence-------------------------------------
	************************************** Date : 23/04/13 Heure : 16:25:00 Type : Information Source : acvpnagent Description : Paramètres de la passerelle sécurisée : Adresse IP : 10.0.0.1 Port : 443 URL : "10.0.0.1" Méthode d'authentification : IKE - EAP-AnyConnect Identité IKE : ************************************ Date : 23/04/13 Heure : 16:25:00 Type : Information Source : acvpnagent Description : Initialisation de la connexion au client Cisco AnyConnect Secure Mobility, version 3.0.1047 ************************************ Date : 23/04/13 Heure : 16:25:02 Type : Information Source : acvpnagent Description : Fonction : ikev2_log Fichier : .\ikev2_anyconnect_osal.cpp Ligne : 2730 Requête reçue pour établir un tunnel IPsec ; sélecteur de trafic local = Plage d'adresses : 0.0.0.0-255.255.255.255 Protocole : 0 Plage de ports : 0-65535 ; sélecteur de trafic distant = Plage d'adresses : 0.0.0.0-255.255.255.255 Protocole : 0 Plage de ports : 0-65535 ************************************ Date : 23/04/13 Heure : 16:25:02 Type : Information Source : acvpnagent Description : Fonction : CIPsecProtocol::connectTransport Fichier : .\IPsecProtocol.cpp Ligne : 1629 Socket IKE ouvert de 192.168.1.1:25171 à 10.0.0.1:4500 **************************************		Le client omet la charge utile AUTH dans le message 3 afin d'indiquer une volonté d'utiliser l'authentification extensible. Lorsque l'authentification EAP (Extensible Authentication Protocol) est spécifiée ou impliquée par le profil client et que le profil ne contient pas l'élément <IKEIdentity>, le client envoie une charge utile IDi de type ID_GROUP avec la chaîne fixe $AnyConnectClient$. Le client initie une connexion à l'ASA sur le port 4500.
L'authentification est effectuée avec EAP. Une seule méthode d'authentification EAP est autorisée dans une conversation EAP. L'ASA reçoit le message IKE_AUTH du client.	IKEv2-PLAT-4 : RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 IKEv2-PROTO-3 : Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] id_m : 0x1
Lorsque le client inclut une charge utile IDi mais pas une charge utile AUTH, cela indique le client a déclaré une identité mais a pas prouvé. Dans les débogages, l'AUTH la charge utile n'est pas présente dans IKE_AUTH paquet envoyé par le client. Le client envoie la charge utile AUTH uniquement après L'échange EAP a réussi. Si l'ASA est disposé à utiliser un méthode d'authentification, il place un EAP charge utile dans le message 4 et différer l'envoi SAr2, TSi et TSr jusqu'à l'initiateur l'authentification est terminée dans un échange IKE_AUTH suivant. Le paquet de l'initiateur IKE_AUTH contient : En-tête ISAKMP - SPI/version/indicateurs. IDi : nom du groupe de tunnels qui le client souhaite se connecter à peut être livré par l'IDi charge utile de type ID_KEY_ID dans le message initial du Échange IKE_AUTH. Ceci se produit lorsque le profil client* est préconfiguré avec un nom de groupe ou, après un succès précédent authentification, le client a mis en cache le nom du groupe dans son fichier de préférences. L'ASA tente d'établir une correspondance avec un groupe de tunnels nom avec le contenu de l'IKE Charge utile IDi. Après le premier VPN IPSec réussi est établi, le client met en cache nom du groupe (alias du groupe) auquel l'utilisateur est authentifié. Ce groupe nom est fourni dans l'ID charge utile de la connexion suivante afin d'indiquer la groupe probable souhaité par le utilisateur. Lorsque l'authentification EAP est spécifié ou implicite par le client profil et le profil ne contiennent l'<IKEIdentity> , le client envoie un ID_GROUP, type de données utiles IDi avec la chaîne fixe $AnyConnectClient$. CERTREQ - Le client est demande à l'ASA d'un certificat privilégié. Certificat les données utiles de demande peuvent être incluses dans un échange lorsque l'expéditeur doit obtenir le certificat de la récepteur. La demande de certificat la charge utile est traitée par inspection du 'codage Cert' afin de déterminer si le processeur dispose de certificats de ce type. Dans l'affirmative, Le champ « Autorité de certification » est inspecté afin de déterminer si le processeur possède des certificats pouvant être validés jusqu'à l'un des la certification spécifiée les autorités. Il peut s'agir d'une chaîne certificats. CFG - CFG_REQUEST/ CFG_REPLY autorise un IKE point d'extrémité demandant des informations de son homologue. Si un attribut de la Configuration CFG_REQUEST n'est pas de longueur nulle, il est prise comme une suggestion à cet effet attribute.The CFG_REPLY retour possible de la charge utile de configuration cette valeur ou une nouvelle valeur. Il peut ajouter également de nouveaux attributs et non inclure certains demandés. Demandeurs ignorés renvoyés attributs qu'ils n'ont pas reconnaître. Dans ces débogages, le Le client demande le tunnel. configuration dans le CFG_REQUEST L'ASA répond à ce message et envoie le tunnel attributs de configuration uniquement après l'échange EAP a réussi. SAi2 - SAi2 lance la SA, similaire à la phase 2 transform set exchange dans IKEv1. TSi et TSr - Initiateur et dispositifs de sélection du trafic répondeur contiennent respectivement la source et l'adresse de destination du initiateur et répondeur afin de transfert et réception chiffrés trafic. Plage d'adresses spécifie que tout le trafic en provenance et à destination cette plage est tunnellisée. Si la la proposition est acceptable pour le répondeur, il envoie un TS identique les charges utiles. Attributs que le client doit fournir pour l'authentification de groupe sont stockées dans un Fichier de profil AnyConnect. Configuration de profil appropriée : <ServerList> <HostEntry> <HostName>Anu-IKEV2 </HostName> <HostAddress>10.0.0.1 </HostAddress> ASA-IKEV2* <PrimaryProtocol>IPsec </PrimaryProtocol> </HostEntry> </ServerList>	IKEv2-PROTO-3 : HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4 : IKEV2 HDR ispi : 58AFF71141BA436B - rspi : FC696330E6B94D7F IKEv2-PROTO-4 : charge utile suivante : ENCR, version : 2.0 IKEv2-PROTO-4 : type d'échange : IKE_AUTH, indicateurs : INITIATOR IKEv2-PROTO-4 : ID de message : 0x1, longueur : 540 IKEv2-PROTO-5 : (6) : la demande a mess_id 1 ; attendu de 1 à 1 VRAI Paquet déchiffré :Données : 465 octets IKEv2-PROTO-5 : analyse des données utiles spécifiques au fournisseur : (PERSONNALISÉ) VID Données utiles suivantes : IDi, réservé : 0x0, longueur : 20 58 af f6 11 52 8d b0 2c b8 da 30 46 be 91 56 fa IDi Charge utile suivante : CERTREQ, réservée : 0x0, longueur : 28 Type d'ID : Nom du groupe, Réservé : 0x0 0x0 2a 24 41 6e 79 43 6f 6e 6e 65 63 74 43 6c 69 65 6e 74 24 2a CERTREQ Charge utile suivante : CFG, réservée : 0x0, longueur : 25 Codage de certificat X.509 Certificat - signature Données CertReq&deux-points ; 20 octets CFG Charge utile suivante : SA, réservée : 0x0, longueur : 196 cfg type : CFG_REQUEST, réservé : 0x0, réservé : 0x0 type d'attribut : adresse IP4 interne, longueur : 0 attrib type : masque de réseau IP4 interne, longueur : 0 type d'attrib : DNS IP4 interne, longueur : 0 type d'attrib : NBNS IP4 interne, longueur : 0 type d'attrib : expiration de l'adresse interne, longueur : 0 type d'attrib : version de l'application, longueur : 27 41 6e 79 43 6f 6e 6e 65 63 74 20 57 69 6e 64 6f 77 73 20 33 2e 30 2e 31 30 34 37 attrib type : adresse IP6 interne, longueur : 0 type d'attribut : sous-réseau IP4 interne, longueur : 0 type d'attrib : Inconnu - 28682, longueur : 15 77 69 6e 78 70 36 34 74 65 6d 70 6c 61 74 65 type d'attrib : inconnu - 28704, longueur : 0 type d'attrib : inconnu - 28705, longueur : 0 type d'attrib : inconnu - 28706, longueur : 0 type d'attrib : inconnu - 28707, longueur : 0 type d'attrib : inconnu - 28708, longueur : 0 type d'attrib : inconnu - 28709, longueur : 0 type d'attrib : inconnu - 28710, longueur : 0 type d'attrib : inconnu - 28672, longueur : 0 type d'attrib : inconnu - 28684, longueur : 0 type d'attrib : inconnu - 28711, longueur : 2 05 7e type d'attrib : inconnu - 28674, longueur : 0 type d'attrib : inconnu - 28712, longueur : 0 type d'attrib : inconnu - 28675, longueur : 0 type d'attrib : inconnu - 28679, longueur : 0 type d'attrib : inconnu - 28683, longueur : 0 type d'attrib : inconnu - 28717, longueur : 0 type d'attrib : inconnu - 28718, longueur : 0 type d'attrib : inconnu - 28719, longueur : 0 type d'attrib : inconnu - 28720, longueur : 0 type d'attrib : inconnu - 28721, longueur : 0 type d'attrib : inconnu - 28722, longueur : 0 type d'attrib : inconnu - 28723, longueur : 0 type d'attrib : inconnu - 28724, longueur : 0 type d'attrib : inconnu - 28725, longueur : 0 type d'attrib : inconnu - 28726, longueur : 0 type d'attrib : inconnu - 28727, longueur : 0 type d'attrib : inconnu - 28729, longueur : 0 SA Charge utile suivante : TSi, réservée : 0x0, longueur : 124 IKEv2-PROTO-4 : dernière proposition : 0x0, réservée : 0x0, longueur : 120 Proposition : 1, ID de protocole : ESP, taille SPI : 4, #trans : 12 IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 12 type : 1, réservé : 0x0, id : AES-CBC IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 12 type : 1, réservé : 0x0, id : AES-CBC IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 12 type : 1, réservé : 0x0, id : AES-CBC IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 8 type : 1, réservé : 0x0, id : 3DES IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 8 type : 1, réservé : 0x0, id : DES IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 8 type : 1, réservé : 0x0, id : NULL IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 8 type : 3, réservé : 0x0, id : SHA512 IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 8 type : 3, réservé : 0x0, id : SHA384 IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 8 type : 3, réservé : 0x0, id : SHA256 IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 8 type : 3, réservé : 0x0, id : SHA96 IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 8 type : 3, réservé : 0x0, id : MD596 IKEv2-PROTO-4 : dernière transformation : 0x0, réservé : 0x0 : longueur : 8 type : 5, réservé : 0x0, id : TSi Charge utile suivante : TSr, réservée : 0x0, longueur : 24 Nombre de services techniques : 1, réservé 0x0, réservé 0x0 Type TS : TS_IPV4_ADDR_RANGE, ID de protocole : 0, longueur : 16 port de début : 0, port de fin : 65535 adresse de début : 0.0.0.0, adresse de fin : 255.255.255.255 TSr Charge utile suivante : NOTIFY, réservée : 0x0, longueur : 24 Nombre de services techniques : 1, réservé 0x0, réservé 0x0 Type TS : TS_IPV4_ADDR_RANGE, ID de protocole : 0, longueur : 16 port de début : 0, port de fin : 65535 adresse de début : 0.0.0.0, adresse de fin : 255.255.255.255
L'ASA génère une réponse au message IKE_AUTH et se prépare à s'authentifier auprès du client.	Paquet déchiffré :Données&deux-points ; 540 octets IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState : R_WAIT_AUTH Événement : EV_RECV_AUTH IKEv2-PROTO-3 : (6) : arrêt du minuteur pour attendre le message d'authentification IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState : R_WAIT_AUTH Événement : EV_CHK_NAT_T IKEv2-PROTO-3 : (6) : vérification de la détection NAT IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState : R_WAIT_AUTH Événement : EV_CHG_NAT_T_PORT IKEv2-PROTO-2 : (6) : NAT a détecté un flottement vers le port d'initialisation 25171, resp port 4500 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState : R_WAIT_AUTH Événement : EV_PROC_ID IKEv2-PROTO-2 : (6) : ID de paramètres valides reçus dans le processus IKEv2-PLAT-3 : (6) méthode d'authentification par homologue définie sur : 0 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState : R_WAIT_AUTH Événement : EV_CHK_IF_PEER_CERT_NEEDS_TO_BE_FETCHED_FOR_PROF_SEL IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState : R_WAIT_AUTH Événement : EV_GET_POLICY_BY_PEERID IKEv2-PROTO-3 : (6) : obtention des stratégies configurées IKEv2-PLAT-3 : nouvelle connexion client AnyConnect détectée en fonction de la charge utile de l'ID IKEv2-PLAT-3 : my_auth_method = 1 IKEv2-PLAT-3 : (6) méthode d'authentification par homologue définie sur : 256 IKEv2-PLAT-3 : supported_peers_auth_method = 16 IKEv2-PLAT-3 : (6) tp_name défini sur : Anu-ikev2 IKEv2-PLAT-3 : point de confiance défini sur : Anu-ikev2 IKEv2-PLAT-3 : ID P1 = 0 IKEv2-PLAT-3 : conversion de IKE_ID_AUTO en = 9 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState : R_WAIT_AUTH Événement : EV_SET_POLICY IKEv2-PROTO-3 : (6) : définition des stratégies configurées IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState : R_WAIT_AUTH Événement : EV_VERIFY_POLICY_BY_PEERID IKEv2-PROTO-3 : (6) : vérification de la stratégie de l'homologue IKEv2-PROTO-3 : (6) : certificat correspondant trouvé IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState : R_WAIT_AUTH Événement : EV_CHK_CONFIG_MODE IKEv2-PROTO-3 : (6) : réception de données de mode de configuration valides IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState : R_WAIT_AUTH Événement : EV_SET_RECD_CONFIG_MODE IKEv2-PLAT-3 : (6) le nom d'hôte DHCP pour DDNS est défini sur : winxp64template IKEv2-PROTO-3 : (6) : définition des données du mode de configuration reçues IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState : R_WAIT_AUTH Événement : EV_CHK_AUTH4EAP IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState : R_WAIT_AUTH Événement : EV_CHK_EAP IKEv2-PROTO-3 : (6) : rechercher l'échange EAP IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState : R_BLD_AUTH Événement : EV_GEN_AUTH IKEv2-PROTO-3 : (6) : générer mes données d'authentification IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState : R_BLD_AUTH Événement : EV_CHK4_SIGN IKEv2-PROTO-3 : (6) : obtenir ma méthode d'authentification IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState : R_BLD_AUTH Événement : EV_SIGN IKEv2-PROTO-3 : (6) : données d'authentification de la signature IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState : R_BLD_AUTH Événement : EV_OK_AUTH_GEN IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState : R_BLD_EAP_AUTH_REQ Événement : EV_AUTHEN_REQ IKEv2-PROTO-2 : (6) : demande à l'authentificateur d'envoyer une requête EAP Nom d'élément créé valeur config-auth Ajout de vpn de valeur client de nom d'attribut à l'élément config-auth Valeur de type de nom d'attribut ajoutée Hello à l'élément config-auth Nom de l'élément créé version 9.0(2)8 Ajout de la valeur de version 9.0(2)8 du nom de l'élément à l'élément config-auth Nom de l'attribut ajouté valeur sg à la version de l'élément Message XML généré ci-dessous < ? xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="hello"> <version who="sg">9.0(2)8</version> </config-auth> IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState : R_BLD_EAP_AUTH_REQ Événement : EV_RECV_EAP_AUTH IKEv2-PROTO-5 : (6) : Action : Action_Null IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState : R_BLD_EAP_AUTH_REQ Événement : EV_CHK_REDIRECT IKEv2-PROTO-3 : (6) : contrôle de redirection avec la plate-forme pour l'équilibrage de charge IKEv2-PLAT-3 : contrôle de redirection sur la plate-forme IKEv2-PLAT-3 : ikev2_osal_redirect : session acceptée par 10.0.0.1 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState : R_BLD_EAP_AUTH_REQ Événement : EV_SEND_EAP_AUTH_REQ IKEv2-PROTO-2 : (6) : envoi d'une demande EAP IKEv2-PROTO-5 : charge utile spécifique au constructeur de la construction : CISCO-GRANITEIKEv2-PROTO-3 : (6) : construction
L'ASA envoie la charge utile AUTH afin de demander des informations d'identification d'utilisateur au client. L'ASA envoie la méthode AUTH en tant que « RSA », de sorte qu'il envoie son propre certificat au client, afin que le client puisse authentifier le serveur ASA. Comme l'ASA est prêt à utiliser une méthode d'authentification extensible, il place une charge utile EAP dans le message 4 et reporte l'envoi de SAr2, TSi et TSr jusqu'à ce que l'authentification de l'initiateur soit terminée dans un échange IKE_AUTH suivant. Ainsi, ces trois charges utiles ne sont pas présentes dans les débogages. Le paquet EAP contient : Code : request - Ce code est envoyé par l'authentificateur à l'homologue. id : 1 - L'id permet de faire correspondre les réponses EAP avec les requêtes. Ici, la valeur est 1, ce qui indique qu'il s'agit du premier paquet dans l'échange EAP. Cette requête EAP a le type 'config-auth' de 'hello ; ' elle est envoyée de l'ASA au client afin de lancer l'échange EAP. Longueur : 150 - La longueur du paquet EAP inclut le code, l'ID, la longueur et les données EAP. Données EAP.	IDr. Charge utile suivante : CERT, réservée : 0x0, longueur : 36 Type d'ID : DN ASN1 DER, Réservé : 0x0 0x0 30 1a 31 18 30 16 06 09 2a 86 48 86 f7 0d 01 09 02 16 09 41 53 41 2d 49 4b 45 56 32 CERT Charge utile suivante : CERT, réservé : 0x0, longueur : 436 Codage de certificat X.509 Certificat - signature Données de certificat&deux-points ; 431 octets CHARGE UTILE SUIVANTE CERT : AUTH, réservé : 0x0, longueur : 436 Codage de certificat X.509 Certificat - signature Données de certificat&deux-points ; 431 octets AUTH Charge utile suivante : EAP, réservé : 0x0, longueur : 136 Méthode d'authentification RSA, réservée : 0x0, réservée 0x0 Données d'authentification&deux-points ; 128 octets EAP Charge utile suivante : AUCUNE, réservée : 0x0, longueur : 154 Code : requête : id : 1, longueur : 150 Type : Inconnu - 254 Données EAP : 145 octets IKEv2-PROTO-3 : Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x1 IKEv2-PROTO-3 : HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4 : IKEV2 HDR ispi : 58AFF71141BA436B - rspi : FC696330E6B94D7F IKEv2-PROTO-4 : charge utile suivante : ENCR, version : 2.0 IKEv2-PROTO-4 : type d'échange : IKE_AUTH, indicateurs : RESPONDER MSG-RESPONSE IKEv2-PROTO-4 : ID de message : 0x1, longueur : 1292 ENCR Charge utile suivante : VID, réservé : 0x0, longueur : 1264 Données chiffrées&deux-points ; 1260 octets
La fragmentation peut se produire si les certificats sont volumineux ou si des chaînes de certificats sont incluses. Les charges utiles KE initiateur et répondeur peuvent également inclure des clés volumineuses, ce qui peut également contribuer à la fragmentation.	IKEv2-PROTO-5 : (6) : paquet de fragmentation, MTU du fragment : 544, Nombre de fragments : 3, ID du fragment : 1 IKEv2-PLAT-4 : SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 IKEv2-PLAT-4 : SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 IKEv2-PLAT-4 : SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001
	************************************** Date : 23/04/13 Heure : 16:25:02 Type : Information Source : acvpnagent Description : Fonction : ikev2_verify_X509_SIG_certs Fichier : .\ikev2_anyconnect_osal.cpp Ligne : 2077 Demande d'acceptation de certificat de l'utilisateur ************************************ Date : 23/04/13 Heure : 16:25:02 Type : Erreur Source : acvpnui Description : Fonction : CapiCertificate::verifyChainPolicy Fichier : .\Certificates\CapiCertificate.cpp Ligne : 2032 Fonction appelée : CertVerifyCertificateChainPolicy Code de retour : -2146762487 (0x800B0109) Description : chaîne de certificats traitée, mais terminée par un certificat racine qui n'est pas approuvé par le fournisseur d'approbation. ************************************ Date : 23/04/13 Heure : 16:25:04 Type : Information Source : acvpnagent Description : Fonction : CEAPMgr::dataRequestCB Fichier : .\EAPMgr.cpp Ligne : 400 Type proposé par EAP : EAP-ANYCONNECT **************************************		Le certificat envoyé par l'ASA est présenté à l'utilisateur. Le certificat n'est pas approuvé. Le type EAP est EAP-ANYCONNECT.
Le client répond à la requête EAP par une réponse. Le paquet EAP contient : Code : response - Ce code est envoyé par l'homologue à l'authentificateur en réponse à la demande EAP. id : 1 - L'id permet de faire correspondre les réponses EAP avec les requêtes. Ici, la valeur est 1, ce qui indique qu'il s'agit d'une réponse à la requête précédemment envoyée par l'ASA (authentificateur). Cette réponse EAP a le type 'config-auth' de 'init' ; le client initialise l'échange EAP et attend que l'ASA génère la demande d'authentification. Longueur : 252 - La longueur du paquet EAP inclut le code, l'ID, la longueur et les données EAP. Données EAP. L'ASA déchiffre cette réponse et le client indique qu'il a reçu la charge utile AUTH dans le paquet précédent (avec le certificat) et a reçu le premier paquet de requête EAP de l'ASA. C'est ce que contient le paquet de réponse EAP « init ».	IKEv2-PLAT-4 : RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000002 IKEv2-PROTO-3 : Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x2 IKEv2-PROTO-3 : HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4 : IKEV2 HDR ispi : 58AFF71141BA436B - rspi : FC696330E6B94D7F IKEv2-PROTO-4 : charge utile suivante : ENCR, version : 2.0 IKEv2-PROTO-4 : type d'échange : IKE_AUTH, indicateurs : INITIATOR IKEv2-PROTO-4 : ID de message : 0x2, longueur : 332 IKEv2-PROTO-5 : (6) : la demande a mess_id 2 ; attendu de 2 à 2 VRAI Paquet déchiffré :Données : 256 octets EAP Charge utile suivante : AUCUNE, réservée : 0x0, longueur : 256 Code : réponse : id : 1, longueur : 252 Type : Inconnu - 254 données EAP:247 octets Paquet déchiffré:Données&deux-points ; 332 octets IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState : R_WAIT_EAP_RESP Événement : EV_RECV_AUTH IKEv2-PROTO-3 : (6) : arrêt du minuteur pour attendre le message d'authentification IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState : R_WAIT_EAP_RESP Événement : EV_RECV_EAP_RESP IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState : R_PROC_EAP_RESP Événement : EV_PROC_MSG IKEv2-PROTO-2 : (6) : traitement de la réponse EAP Message XML reçu ci-dessous du client < ? xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="init"> <device-id>win</device-id> <version who="vpn">3.0.1047</version> <group-select>ASA-IKEV2</group-select> <group-access>ASA-IKEV2</group-access> </config-auth> IKEv2-PROTO-5 : (6) : SM Trace-> SA : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState : R_PROC_EAP_RESP Événement : EV_RECV_EAP_AUTH IKEv2-PROTO-5 : (6) : Action : Action_Null IKEv2-PROTO-5 : (6) : SM Trace-> SA : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState : R_BLD_EAP_REQ Événement : EV_RECV_EAP_REQ
Il s'agit de la deuxième requête envoyée par l'ASA au client. Le paquet EAP contient : Code : request - Ce code est envoyé par l'authentificateur à l'homologue. id : 2 - L'id permet de faire correspondre les réponses EAP avec les requêtes. Ici, la valeur est 2, ce qui indique qu'il s'agit du deuxième paquet dans l'échange. Cette demande a le type 'config-auth' de 'auth-request'; l'ASA demande que le client envoie les informations d'identification d'authentification de l'utilisateur. Longueur : 457 - La longueur du paquet EAP inclut le code, l'ID, la longueur et les données EAP. Données EAP. Charge utile ENCR : Cette charge utile est déchiffrée et son contenu est analysé en tant que charge utile supplémentaire.	IKEv2-PROTO-2 : (6) : envoi d'une demande EAP Message XML généré ci-dessous < ? xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="auth-request"> <version who="sg">9.0(2)8</version> <opaque is-for="sg"> <tunnel-group>ASA-IKEV2</tunnel-group> <config-hash>1367268141499</config-hash> </opaque> <csport>443</csport> <auth id="main"> <formulaire> <input type="text" name="username" label="Username:"></input> <input type="password" name="password" label="Password:"></input> </form> </auth> </config-auth> IKEv2-PROTO-3 : (6) : création d'un paquet pour le cryptage ; le contenu est le suivant : EAP Charge utile suivante : AUCUNE, réservée : 0x0, longueur : 461 Code : requête : id : 2, longueur : 457 Type : Inconnu - 254 Données EAP : 452 octets IKEv2-PROTO-3 : Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x2 IKEv2-PROTO-3 : HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4 : IKEV2 HDR ispi : 58AFF71141BA436B - rspi : FC696330E6B94D7F IKEv2-PROTO-4 : charge utile suivante : ENCR, version : 2.0 IKEv2-PROTO-4 : type d'échange : IKE_AUTH, indicateurs : RESPONDER MSG-RESPONSE IKEv2-PROTO-4 : ID de message : 0x2, longueur : 524 ENCR Charge utile suivante : EAP, réservé : 0x0, longueur : 496 Données codées&deux-points ; 492 octets IKEv2-PLAT-4 : SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000002 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState : R_BLD_EAP_REQ Événement : EV_START_TMR. IKEv2-PROTO-3 : (6) : minuteur de démarrage pour attendre le message d'authentification de l'utilisateur (120 s) IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState : R_WAIT_EAP_RESP Événement : EV_NO_EVENT	************************************** Date : 23/04/13 Heure : 16:25:04 Type : Information Source : acvpnui Description : Fonction : SDIMgr::ProcessPromptData Fichier : .\SDIMgr.cpp Ligne : 281 Le type d'authentification n'est pas SDI. ************************************ Date : 23/04/13 Heure : 16:25:07 Type : Information Source : acvpnui Description : Fonction : ConnectMgr::userResponse Fichier : .\ConnectMgr.cpp Ligne : 985 Traitement de la réponse utilisateur. **************************************	Le client demande l'authentification de l'utilisateur et l'envoie à l'ASA en tant que réponse EAP dans le paquet suivant (« auth-reply »).
Le client envoie un autre message d'initiateur IKE_AUTH avec la charge utile EAP. Le paquet EAP contient : Code : response - Ce code est envoyé par l'homologue à l'authentificateur en réponse à la demande EAP. id : 2 - L'id permet de faire correspondre les réponses EAP avec les requêtes. Ici, la valeur est 2, ce qui indique qu'il s'agit d'une réponse à la requête précédemment envoyée par l'ASA (authentificateur). Longueur : 420 - La longueur du paquet EAP inclut le code, l'ID, la longueur et les données EAP. Données EAP.	IKEv2-PLAT-4 : RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PROTO-3 : Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x3 IKEv2-PROTO-3 : HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4 : IKEV2 HDR ispi : 58AFF71141BA436B - rspi : FC696330E6B94D7F IKEv2-PROTO-4 : charge utile suivante : ENCR, version : 2.0 IKEv2-PROTO-4 : Type d'échange : IKE_AUTH, indicateurs : INITIATOR IKEv2-PROTO-4 : ID de message : 0x3, longueur : 492 IKEv2-PROTO-5 : (6) : la demande a mess_id 3 ; attendu du 3 au 3 VRAI Paquet déchiffré :Données : 424 octets EAP Charge utile suivante : AUCUNE, réservée : 0x0, longueur : 424 Code : réponse : id : 2, longueur : 420 Type : Inconnu - 254 Données EAP : 415 octets
L'ASA traite cette réponse. Le client a demandé à l'utilisateur d'entrer ses informations d'identification. Cette réponse EAP a le type 'config-auth' de 'auth-reply'. Ce paquet contient les informations d'identification saisies par l'utilisateur.	paquet déchiffré:données: 492 octets IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState : R_WAIT_EAP_RESP Événement : EV_RECV_AUTH IKEv2-PROTO-3 : (6) : arrêt du minuteur pour attendre le message d'authentification IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState : R_WAIT_EAP_RESP Événement : EV_RECV_EAP_RESP IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState : R_PROC_EAP_RESP Événement : EV_PROC_MSG IKEv2-PROTO-2 : (6) : traitement de la réponse EAP Message XML reçu ci-dessous du client < ? xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="auth-reply"> <device-id>win</device-id> <version who="vpn">3.0.1047</version> <jeton_session></jeton_session> <id_session></id_session> <opaque is-for="sg"> <tunnel-group>ASA-IKEV2</tunnel-group> <config-hash>1367268141499</config-hash></opaque> <auth> <password>cisco123</password> <username>Anu</username></auth> </config-auth> IKEv2-PLAT-1 : EAP : authentification de l'utilisateur initiée IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState : R_PROC_EAP_RESP Événement : EV_NO_EVENT IKEv2-PLAT-5 : EAP : rappel AAA Récupération du résumé du certificat de serveur : DACE1C274785F28BA11D64453096BAE294A3172E IKEv2-PLAT-5: EAP:succès du rappel AAA IKEv2-PROTO-3 : réponse reçue de l'authentificateur IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState : R_PROC_EAP_RESP Événement : EV_RECV_EAP_AUTH IKEv2-PROTO-5 : (6) : Action : Action_Null
L'ASA crée une troisième requête EAP dans l'échange. Le paquet EAP contient : Code : request - Ce code est envoyé par l'authentificateur à l'homologue. id : 3 - L'id permet de faire correspondre les réponses EAP avec les requêtes. Ici, la valeur est 3, ce qui indique qu'il s'agit du troisième paquet dans l'échange. Ce paquet a le type 'config-auth' de 'complete'; l'ASA a reçu une réponse et l'échange EAP est terminé. Longueur : 4235 - La longueur du paquet EAP inclut le code, l'ID, la longueur et les données EAP. Données EAP. Charge utile ENCR : Cette charge utile est déchiffrée et son contenu est analysé en tant que charge utile supplémentaire.	IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState : R_BLD_EAP_REQ Événement : EV_RECV_EAP_REQ IKEv2-PROTO-2 : (6) : envoi d'une demande EAP Message XML généré ci-dessous < ? xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="complete"> <version who="sg">9.0(2)8</version> <session-id>32768</session-id> <session-token>18wA0TtGmDxPKPQCJywC7fB7EWLCEgz-ZtjYpAyXx2yJH0H3H8t5xpBOx3Ixag</session-token> <auth id="success"> <message id="0" param1="" param2=""></message> </auth> IKEv2-PROTO-3 : (6) : création d'un paquet pour le cryptage ; le contenu est le suivant : EAP Charge utile suivante : AUCUNE, réservée : 0x0, longueur : 4239 Code : demande : id : 3, longueur : 4235 Type : Inconnu - 254 Données EAP : 4 230 octets IKEv2-PROTO-3 : Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x3 IKEv2-PROTO-3 : HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4 : IKEV2 HDR ispi : 58AFF71141BA436B - rspi : FC696330E6B94D7F IKEv2-PROTO-4 : charge utile suivante : ENCR, version : 2.0 IKEv2-PROTO-4 : type d'échange : IKE_AUTH, indicateurs : RESPONDER MSG-RESPONSE IKEv2-PROTO-4 : ID de message : 0x3, longueur : 4300 ENCR Charge utile suivante : EAP, réservé : 0x0, longueur : 4272 Données chiffrées&deux-points;4268 octets IKEv2-PROTO-5 : (6) : paquet de fragmentation, MTU de fragment : 544, nombre de fragments : 9, ID de fragment : 2 IKEv2-PLAT-4 : SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4 : SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4 : SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4 : SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4 : SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4 : SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4 : SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4 : SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4 : SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState : R_BLD_EAP_REQ Événement : EV_START_TMR. IKEv2-PROTO-3 : (6) : minuteur de démarrage pour attendre le message d'authentification de l'utilisateur (120 secondes) IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState : R_WAIT_EAP_RESP Événement : EV_NO_EVENT
	************************************** Date : 23/04/13 Heure : 16:25:07 Type : Information Source : acvpnagent Description : Profil actuel : Anyconnect-ikev2.xml Paramètres de configuration de la session VPN reçue : Keep Installed : activé Paramètre du proxy : ne pas modifier Serveur proxy : aucun URL PAC du proxy : aucun Exceptions proxy : aucune Verrouillage du proxy : activé Exclure le fractionnement : la préférence d'accès LAN local est désactivée Inclure le fractionnement : désactivé Split DNS : désactivé Caractère générique LAN local : la préférence d'accès LAN local est désactivée Règles de pare-feu : aucune Adresse du client : 10.2.2.1 Masque client : 255.0.0.0 Adresse IPv6 du client : inconnue Masque IPv6 du client : inconnu MTU : 1406 IKE Keep Alive : 20 secondes IKE DPD : 30 secondes Délai de session : 0 seconde Délai de déconnexion : 1 800 secondes Délai d'inactivité : 1 800 secondes Serveur : inconnu Hôte MUS : inconnu Message de l'utilisateur LDAP : none État de la quarantaine : désactivé VPN toujours actif : non désactivé Durée du bail : 0 seconde Domaine par défaut : inconnu Page d'accueil : inconnu Déconnexion du retrait de la carte à puce : activée Réponse de licence : inconnue **************************************		L'ASA envoie les paramètres de configuration VPN du message « complete » au client et attribue une adresse IP au client à partir du pool VPN.
Le client envoie le paquet initiateur avec la charge utile EAP. Le paquet EAP contient : Code : response - Ce code est envoyé par l'homologue à l'authentificateur en réponse à la demande EAP. id : 3 - L'id permet de faire correspondre les réponses EAP avec les requêtes. Ici, la valeur est 3, ce qui indique qu'il s'agit d'une réponse à la requête précédemment envoyée par l'ASA (authentificateur). L'ASA reçoit maintenant le paquet de réponse du client, qui a le type 'config-auth' de 'ack'; cette réponse accuse réception du message EAP 'complete' envoyé précédemment par l'ASA . Longueur : 173 - La longueur du paquet EAP inclut le code, l'ID, la longueur et les données EAP. Données EAP.	IKEv2-PLAT-4 : RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000004 IKEv2-PROTO-3 : Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x4 IKEv2-PROTO-3 : HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4 : IKEV2 HDR ispi : 58AFF71141BA436B - rspi : FC696330E6B94D7F IKEv2-PROTO-4 : charge utile suivante : ENCR, version : 2.0 IKEv2-PROTO-4 : type d'échange : IKE_AUTH, indicateurs : INITIATOR IKEv2-PROTO-4 : ID de message : 0x4, longueur : 252 IKEv2-PROTO-5 : (6) : la demande a mess_id 4 ; attendu de 4 à 4 VRAI Paquet déchiffré :Données : 177 octets EAP Charge utile suivante : AUCUNE, réservée : 0x0, longueur : 177 Code : réponse : id : 3, longueur : 173 Type : Inconnu - 254 Données EAP : 168 octets
L'ASA traite ce paquet. Les L'échange EAP a réussi. L'ASA prépare l'envoi du tunnel-group configuration dans le paquet suivant, qui a déjà été demandé par le client dans la charge utile IDi. L'ASA reçoit le paquet de réponse du client, qui a le type « config-auth » « ack ». Ceci La réponse accuse réception du PAE message 'complete' envoyé par le ASA précédemment. Configuration appropriée : tunnel-group ASA-IKEV2 type remote-access tunnel-group ASA-IKEV2 general-attributes address-pool webvpn1 authorization-server-group LOCAL default-group-policy ASA-IKEV2 tunnel-group ASA-IKEV2 webvpn-attributes group-alias ASA-IKEV2 enable L'échange EAP est maintenant réussi. Le paquet EAP contient : Code : success - Ce code est envoyé par l'authentificateur au homologue après l'achèvement d'un EAP méthode d'authentification. Ceci indique que l'homologue a authentifié avec succès auprès du authentificateur. id : 3 - L'id permet de faire correspondre Réponses EAP avec les requêtes. Ici, la valeur est 3, ce qui indique qu'il s'agit d'une réponse à la demande précédemment envoyée par le ASA (authentificateur). La troisième série de paquets dans l'échange était réussi, et l'échange EAP a réussi. Longueur : 4 - Longueur du PAE Le paquet inclut le code, l'id, et les données EAP. Données EAP.	paquet déchiffré:données:252 octets IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState : R_WAIT_EAP_RESP Événement : EV_RECV_AUTH IKEv2-PROTO-3 : (6) : arrêt du minuteur pour attendre le message d'authentification IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState : R_WAIT_EAP_RESP Événement : EV_RECV_EAP_RESP IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState : R_PROC_EAP_RESP Événement : EV_PROC_MSG IKEv2-PROTO-2 : (6) : traitement de la réponse EAP Message XML reçu ci-dessous du client < ? xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="ack"> <device-id>win</device-id> <version who="vpn">3.0.1047</version> </config-auth> IKEv2-PLAT-3 : (6) aggrAuthHdl défini sur 0x2000 IKEv2-PLAT-3 : (6) tg_name défini sur : ASA-IKEV2 IKEv2-PLAT-3 : (6) tunn grp type défini sur : RA IKEv2-PLAT-1 : EAP : authentification réussie IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState : R_PROC_EAP_RESP Événement : EV_RECV_EAP_SUCCESS IKEv2-PROTO-2 : (6) : envoi d'un message d'état EAP IKEv2-PROTO-3 : (6) : création d'un paquet pour le cryptage ; le contenu est le suivant : EAP Charge utile suivante : AUCUNE, réservée : 0x0, longueur : 8 Code : succès : id : 3, longueur : 4 IKEv2-PROTO-3 : Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x4 IKEv2-PROTO-3 : HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4 : IKEV2 HDR ispi : 58AFF71141BA436B - rspi : FC696330E6B94D7F IKEv2-PROTO-4 : charge utile suivante : ENCR, version : 2.0 IKEv2-PROTO-4 : type d'échange : IKE_AUTH, indicateurs : RESPONDER MSG-RESPONSE IKEv2-PROTO-4 : ID de message : 0x4, longueur : 76 ENCR Charge utile suivante : EAP, réservé : 0x0, longueur : 48 Données chiffrées&deux-points;44 octets IKEv2-PLAT-4 : SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000004 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState : R_PROC_EAP_RESP Événement : EV_START_TMR. IKEv2-PROTO-3 : (6) : minuteur de démarrage pour attendre le message d'authentification (30 secondes) IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState : R_WAIT_EAP_AUTH_VERIFY Événement : EV_NO_EVENT
L’échange EAP ayant réussi, le client envoie le paquet d’initiateur IKE_AUTH avec la charge utile AUTH. La charge utile AUTH est générée à partir de la clé secrète partagée.	IKEv2-PLAT-4 : RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PROTO-3 : Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] id_m : 0x5 IKEv2-PROTO-3 : HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4 : IKEV2 HDR ispi : 58AFF71141BA436B - rspi : FC696330E6B94D7F IKEv2-PROTO-4 : charge utile suivante : ENCR, version : 2.0 IKEv2-PROTO-4 : type d'échange : IKE_AUTH, indicateurs : INITIATOR IKEv2-PROTO-4 : ID de message : 0x5, longueur : 92 IKEv2-PROTO-5 : (6) : la demande a mess_id 5 ; attendu de 5 à 5 VRAI Paquet déchiffré:Données:28 octets AUTH Charge utile suivante : AUCUNE, réservée : 0x0, longueur : 28 Méthode d'authentification PSK, réservée : 0x0, réservée 0x0 Données d'authentification : 20 octets
Lorsque l'authentification EAP est spécifiée ou sous-entendu par le profil client et le le profil ne contient pas la <IKEIdentity>, le client envoie un ID_GROUP de type IDi avec la chaîne fixe $AnyConnectClient$. ASA traite ce message. Configuration appropriée : crypto dynamic-map dynmap 1000 set ikev2 ipsec-proposal 3des crypto map crymap 10000 ipsec-isakmp dynamic dynmap crypto map crymap interface outside	Paquet déchiffré : données : 92 octets IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : R_WAIT_EAP_AUTH_VERIFY Événement : EV_RECV_AUTH IKEv2-PROTO-3 : (6) : arrêt du minuteur pour attendre le message d'authentification IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : R_VERIFY_AUTH Événement : EV_GET_EAP_KEY IKEv2-PROTO-2 : (6) : envoyer AUTH pour vérifier l'homologue après l'échange EAP IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : R_VERIFY_AUTH Événement : EV_VERIFY_AUTH IKEv2-PROTO-3 : (6) : vérification des données d'authentification IKEv2-PROTO-3 : (6) : *Utiliser la clé pré-partagée pour id $AnyConnectClient$, key len 20* IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : R_VERIFY_AUTH Événement : EV_GET_CONFIG_MODE IKEv2-PLAT-3 : réponse du mode de configuration mise en file d'attente IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : R_VERIFY_AUTH Événement : EV_NO_EVENT IKEv2-PLAT-3 : PSH : client=AnyConnect client-version=3.0.1047 client-os=Windows client-os-version= IKEv2-PLAT-3 : réponse du mode de configuration terminée IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : R_VERIFY_AUTH Événement : EV_OK_GET_CONFIG IKEv2-PROTO-3 : (6) : disposer des données du mode de configuration à envoyer IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : R_VERIFY_AUTH Événement : EV_CHK4_IC IKEv2-PROTO-3 : (6) : traitement du contact initial IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : R_VERIFY_AUTH Événement : EV_CHK_REDIRECT IKEv2-PROTO-5: (6) : la vérification de redirection est déjà effectuée pour cette session, elle est ignorée IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : R_VERIFY_AUTH Événement : EV_PROC_SA_TS IKEv2-PROTO-2 : (6) : traitement du message d'authentification IKEv2-PLAT-1 : Crypto-carte : carte dynamique seq 1000. Sélecteur ajusté utilisant l'adresse IP attribuée IKEv2-PLAT-3 : Crypto-carte : correspondance sur la carte dynamique séquence 1000 IKEv2-PLAT-3 : PFS désactivé pour la connexion RA IKEv2-PROTO-3 : (6) : IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : R_VERIFY_AUTH Événement : EV_NO_EVENT IKEv2-PLAT-2 : rappel SPI PFKEY reçu pour SPI 0x30B848A4, erreur FALSE IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : R_VERIFY_AUTH Événement : EV_OK_RECD_IPSEC_RESP IKEv2-PROTO-2 : (6) : traitement du message d'authentification
L'ASA crée le message de réponse IKE_AUTH avec les charges utiles SA, TSi et TSr. Le paquet du répondeur IKE_AUTH contient : En-tête ISAKMP - SPI/version/flags. AUTH payload - Avec la méthode d'authentification choisie. CFG - CFG_REQUEST/ CFG_REPLY permet à un terminal IKE de demander des informations à son homologue. Si un attribut de la charge utile de configuration CFG_REQUEST n'est pas de longueur nulle, il est considéré comme une suggestion pour cet attribut. La charge utile de configuration CFG_REPLY peut renvoyer cette valeur ou une nouvelle valeur. Il peut également ajouter de nouveaux attributs et ne pas en inclure certains. Les demandeurs ignorent les attributs renvoyés qu'ils ne reconnaissent pas. L'ASA répond au client avec les attributs de configuration de tunnel dans le paquet CFG_REPLY. SAr2 : SAr2 initie la SA, qui est similaire à l'échange d'ensembles de transformation de phase 2 dans IKEv1. TSi et TSr - Les sélecteurs de trafic de l'initiateur et du répondeur contiennent respectivement les adresses source et de destination de l'initiateur et du répondeur afin de transmettre et de recevoir le trafic chiffré. La plage d’adresses indique que tout le trafic en provenance et à destination de cette plage est tunnellisé. Si la proposition est acceptable pour le répondeur, il renvoie des données utiles TS identiques. Charge utile ENCR : Cette charge utile est déchiffrée et son contenu est analysé en tant que charge utile supplémentaire.	IKEv2-PROTO-5 : (6) : SM Trace-> SA : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : R_BLD_AUTH Événement : EV_MY_AUTH_METHOD IKEv2-PROTO-3 : (6) : Obtenir ma méthode d'authentification IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : R_BLD_AUTH Événement : EV_GET_PRESHR_KEY IKEv2-PROTO-3 : (6) : Obtenir la clé prépartagée de l'homologue pour $AnyConnectClient$ IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : R_BLD_AUTH Événement : EV_GEN_AUTH IKEv2-PROTO-3 : (6) : générer mes données d'authentification IKEv2-PROTO-3 : (6) : utilisez la clé pré-partagée pour id hostname=ASA-IKEV2, key len 20 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : R_BLD_AUTH Événement : EV_CHK4_SIGN IKEv2-PROTO-3 : (6) : obtenir ma méthode d'authentification IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : R_BLD_AUTH Événement : EV_OK_AUTH_GEN IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : R_BLD_EAP_AUTH_VERIFY Événement : EV_GEN_AUTH IKEv2-PROTO-3 : (6) : générer mes données d'authentification IKEv2-PROTO-3 : (6) : utilisez la clé pré-partagée pour id hostname=ASA-IKEV2, key len 20 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : R_BLD_EAP_AUTH_VERIFY Événement : EV_SEND_AUTH IKEv2-PROTO-2 : (6) : Envoyer AUTH, pour vérifier l'homologue après l'échange EAP IKEv2-PROTO-3 : proposition ESP : 1, taille SPI : 4 (négociation IPSec), Nombre de transformations : 3 AES-CBC SHA96 IKEv2-PROTO-5 : Construct Notify Payload : ESP_TFC_NO_SUPPORTIKEv2-PROTO-5 : Construct Notify Payload : NON_FIRST_FRAGSIKEv2-PROTO-3 : (6) : création d'un paquet pour le cryptage ; le contenu est : AUTH Charge utile suivante : CFG, réservée : 0x0, longueur : 28 Méthode d'authentification PSK, réservée : 0x0, réservée 0x0 Données d'authentification&deux-points ; 20 octets CFG Charge utile suivante : SA, réservée : 0x0, longueur : 4196 cfg type : CFG_REPLY, réservé : 0x0, réservé : 0x0 type d'attribut : adresse IP4 interne, longueur : 4 01 01 01 01 attrib type : masque de réseau IP4 interne, longueur : 4 00 00 00 00 type d'attrib : expiration de l'adresse interne, longueur : 4 00 00 00 00 type d'attrib : version de l'application, longueur : 16 41 53 41 20 31 30 30 2e 37 28 36 29 31 31 36 00 type d'attrib : inconnu - 28704, longueur : 4 00 00 00 00 type d'attrib : inconnu - 28705, longueur : 4 00 00 07 08 type d'attrib : inconnu - 28706, longueur : 4 00 00 07 08 type d'attrib : inconnu - 28707, longueur : 1 01 type d'attrib : inconnu - 28709, longueur : 4 00 00 00 1e type d'attrib : inconnu - 28710, longueur : 4 00 00 00 14 type d'attrib : inconnu - 28684, longueur : 1 01 type d'attrib : inconnu - 28711, longueur : 2 05 7e type d'attrib : inconnu - 28679, longueur : 1 00 type d'attrib : inconnu - 28683, longueur : 4 80 0b 00 01 type d'attrib : inconnu - 28725, longueur : 1 00 type d'attrib : inconnu - 28726, longueur : 1 00 type d'attrib : Inconnu - 28727, longueur : 4056 3c 3f 78 6d 6c 20 76 65 72 73 69 6f 6e 3d 22 31 2e 30 22 20 65 6e 63 6f 64 69 6e 67 3d 22 55 54 46 2d 38 22 3f 3e 3c 63 6f 6e 66 69 67 2d 61 75 74 68 20 63 6c 69 65 6e 74 3d 22 76 70 6e 22 20 74 79 70 65 3d 22 63 6f 6d 70 6c 65 74 65 22 3e 3c 76 65 72 73 69 6f 6e 20 77 68 6f 3d 22 73 67 22 3e 31 30 30 2e 37 28 36 29 31 31 36 3c 2f 76 65 72 73 69 6f 6e 3e 3c 73 65 73 73 69 6f 6e 2d 69 64 3e 38 31 39 32 3c 2f 73 65 73 73 69 6f 6e <snip> 72 6f 66 69 6c 65 2d 6d 61 6e 69 66 65 73 74 3e 3c 2f 63 6f 6e 66 69 67 3e 3c 2f 63 6f 6e 66 69 67 2d 61 75 74 68 3e 00 type d'attrib : inconnu - 28729, longueur : 1 00 SA Charge utile suivante : TSi, réservée : 0x0, longueur : 44 IKEv2-PROTO-4 : dernière proposition : 0x0, réservée : 0x0, longueur : 40 Proposition : 1, ID de protocole : ESP, taille SPI : 4, #trans : 3 IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 12 type : 1, réservé : 0x0, id : AES-CBC IKEv2-PROTO-4 : dernière transformation : 0x3, réservé : 0x0 : longueur : 8 type : 3, réservé : 0x0, id : SHA96 IKEv2-PROTO-4 : dernière transformation : 0x0, réservé : 0x0 : longueur : 8 type : 5, réservé : 0x0, id : TSi Charge utile suivante : TSr, réservée : 0x0, longueur : 24 Nombre de services techniques : 1, réservé 0x0, réservé 0x0 Type TS : TS_IPV4_ADDR_RANGE, ID de protocole : 0, longueur : 16 port de début : 0, port de fin : 65535 adresse de début : 10.2.2.1, adresse de fin : 10.2.2.1 TSr Charge utile suivante : NOTIFY, réservée : 0x0, longueur : 24 Nombre de services techniques : 1, réservé 0x0, réservé 0x0 Type TS : TS_IPV4_ADDR_RANGE, ID de protocole : 0, longueur : 16 port de début : 0, port de fin : 65535 adresse de début : 0.0.0.0, adresse de fin : 255.255.255.255 IKEv2-PROTO-3 : Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x5 IKEv2-PROTO-3 : HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4 : IKEV2 HDR ispi : 58AFF71141BA436B - rspi : FC696330E6B94D7F IKEv2-PROTO-4 : charge utile suivante : ENCR, version : 2.0 IKEv2-PROTO-4 : type d'échange : IKE_AUTH, indicateurs : RESPONDER MSG-RESPONSE IKEv2-PROTO-4 : ID de message : 0x5, longueur : 4396 ENCR Charge utile suivante : AUTH, réservée : 0x0, longueur : 4368 Données codées&deux-points ; 4364 octets
L'ASA envoie ce message de réponse IKE_AUTH, qui est fragmenté en neuf paquets. L'échange IKE_AUTH est terminé.	IKEv2-PROTO-5 : (6) : paquet de fragmentation, MTU de fragment : 544, nombre de fragments : 9, ID de fragment : 3 IKEv2-PLAT-4 : SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 : SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 : SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 : SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 : SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 : SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 : SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 : SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 : SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : AUTH_DONE Événement : EV_OK IKEv2-PROTO-5 : (6) : Action : Action_Null IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : AUTH_DONE Événement : EV_PKI_SESH_CLOSE
	************************************** Date : 23/04/13 Heure : 16:25:07 Type : Information Source : acvpnagent Description : Fonction : ikev2_log Fichier : .\ikev2_anyconnect_osal.cpp Ligne : 2730 La connexion IPsec a été établie. ************************************ Date : 23/04/13 Heure : 16:25:07 Type : Information Source : acvpnagent Description : enregistrement de session IPsec : Cryptage : AES-CBC PRF : SHA1 HMAC : SHA96 Méthode d'authentification locale : PSK Méthode d'authentification à distance : PSK ID de séquence : 0 Taille de la clé : 192 Groupe DH : 1 Temps de nouvelle saisie : 4294967 secondes Adresse locale : 192.168.1.1 Adresse distante : 10.0.0.1 Port local : 4500 Port distant : 4500 ID de session : 1 ************************************ Date : 23/04/13 Heure : 16:25:07 Type : Information Source : acvpnui Description : Le profil configuré sur la passerelle sécurisée est : Anyconnect-ikev2.xml ************************************ Date : 23/04/13 Heure : 16:25:07 Type : Information Source : acvpnui Description : informations de type de message envoyées à l'utilisateur : Établissement de la session VPN... **************************************		Le client signale la connexion IPSec comme établie. Le client détecte également le profil utilisateur sur l'ASA.
	----------------------------Fin de l'échange IKE_AUTH-----------------------------------
	************************************** Date : 23/04/13 Heure : 16:25:07 Type : Information Source : acvpndownloader Description : Fonction : ProfileMgr::loadProfiles Fichier : ..\Api\ProfileMgr.cpp Ligne : 148 Profils chargés : C:\Documents and Settings\All Utilisateurs\Données d'application\Cisco\Client Cisco AnyConnect Secure Mobility\Profil\anyconnect-ikev2.xml ************************************ ************************************ Date : 23/04/13 Heure : 16:25:07 Type : Information Source : acvpndownloader Description : Paramètres de préférences actuels : ServiceDisable : false CertificateStoreOverride : false CertificateStore : Tous ShowPreConnectMessage : false AutoConnectOnStart : false MinimizeOnConnect : true LocalLanAccess : false Reconnexion automatique : true AutoReconnectBehavior : DisconnectOnSuspend UseStartBeforeLogon : false AutoUpdate : true RSASecurIDIntégration : automatique WindowsLogonEnforcement : SingleLocalLogon WindowsVPNEstablishment : UtilisateursLocauxUniquement ProxySettings : natif AllowLocalProxyConnections : true PPPExclusion : Désactiver PPPExclusionServerIP : AutomaticVPNPolicy : false TrustedNetworkPolicy : déconnexion StratégieRéseauNonFiable : Connexion DomainesDNSDapprouvés : Serveurs DNS approuvés : AlwaysOn : false ConnectFailurePolicy : Fermée AllowCaptivePortalRemediation : false CaptivePortalRemediationTimeout : 5 ApplyLastVPNLocalResourceRules : false AllowVPNDisconnect : true EnableScripting : false TerminateScriptOnNextEvent : false EnablePostSBLOnConnectScript : true AutomaticCertSelection : true RetainVpnOnLogoff : false ApplicationUtilisateur : SameUserOnly EnableAutomaticServerSelection : false AméliorationSélectionAutoServeur : 20 AutoServerSelectionSuspendTime : 4 Délai d'authentification : 12 SafeWordSofTokenIntegration : false AllowIPsecOverSSL : false ClearSmartcardPin : true ************************************ Date : 23/04/13 Heure : 16:25:07 Type : Information Source : acvpnui Description : informations de type de message envoyées à l'utilisateur : Établissement du VPN - Examen du système... ************************************ Date : 23/04/13 Heure : 16:25:07 Type : Information Source : acvpnui Description : informations de type de message envoyées à l'utilisateur : Établissement du VPN - Activation de l'adaptateur VPN... ************************************ Date : 23/04/13 Heure : 16:25:07 Type : Information Source : acvpnagent Description : Fonction : CVirtualAdapter::DoRegistryRepair Fichier : .\WindowsVirtualAdapter.cpp Ligne : 1869 Clé de contrôle VA trouvée : SYSTEM\CurrentControlSet\ENUM\ROOT\NET\0000\Control ************************************ Date : 23/04/13 Heure : 16:25:07 Type : Information Source : acvpnagent Description : Une nouvelle interface réseau a été détectée. ************************************ Date : 23/04/13 Heure : 16:25:07 Type : Information Source : acvpnagent Description : Fonction : CRouteMgr::logInterfaces Fichier : .\RouteMgr.cpp Ligne : 2076 Fonction appelée : logInterfaces Code de retour : 0 (0x00000000) Description : Liste d'interfaces d'adresses IP : 10.2.2.1 192.168.1.1 ************************************ Date : 23/04/13 Heure : 16:25:08 Type : Information Source : acvpnagent Description : Configuration de l'hôte : Adresse publique : 192.168.1.1 Masque public : 255.255.255.0 Adresse privée : 10.2.2.1 Masque privé : 255.0.0.0 Adresse IPv6 privée : N/A Masque IPv6 privé : N/A Homologues distants : 10.0.0.1 (port TCP 443, port UDP 500), 10.0.0.1 (port UDP 4500) Réseaux privés : aucun Réseaux publics : aucun Mode tunnel : oui **************************************		Le profil XML est chargé sur le client. Puisque le client a maintenant une adresse IP de l'ASA, le client continue à activer l'adaptateur VPN.
La connexion est entrée dans la base de données de l'association de sécurité (SA) et l'état est REGISTERED. L'ASA effectue également certaines vérifications comme les statistiques de la carte d'accès commune (CAC), la présence de SA dupliquées et définit des valeurs comme la détection d'homologue mort (DPD) et ainsi de suite.	IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : AUTH_DONE Événement : EV_INSERT_IKE IKEv2-PROTO-2 : (6) : SA créée ; insertion de SA dans la base de données IKEv2-PLAT-3 : ÉTAT DE LA CONNEXION : UP... peer : 192.168.1.1:25171, phase1_id : $AnyConnectClient$ IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : AUTH_DONE Événement : EV_REGISTER_SESSION IKEv2-PLAT-3 : (6) nom d'utilisateur défini sur : Anu IKEv2-PLAT-3 : ÉTAT DE LA CONNEXION : ENREGISTRÉ... homologue : 192.168.1.1:25171, phase1_id : $AnyConnectClient$ IKEv2-PROTO-3 : (6) : initialisation de DPD, configurée pendant 10 secondes IKEv2-PLAT-3 : (6) mib_index défini sur : 4501 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : AUTH_DONE Événement : EV_GEN_LOAD_IPSEC IKEv2-PROTO-3 : (6) : chargement des clés IPSEC IKEv2-PLAT-3 : Crypto-carte : correspondance sur la carte dynamique séquence 1000 IKEv2-PLAT-3 : (6) DPD Durée max. : 30 IKEv2-PLAT-3 : (6) DPD Durée max. : 30 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : AUTH_DONE Événement : EV_START_ACCT IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : AUTH_DONE Événement : EV_CHECK_DUPE IKEv2-PROTO-3 : (6) : recherche d'une association de sécurité dupliquée IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : AUTH_DONE Événement : EV_CHK4_ROLE IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : READY Événement : EV_R_UPDATE_CAC_STATS IKEv2-PLAT-5 : nouvelle demande ikev2 sa activée IKEv2-PLAT-5 : diminution du nombre de négociations entrantes IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : READY Event: EV_R_OK IKEv2-PROTO-3 : (6) : minuteur de démarrage pour supprimer le contexte de négociation IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState : READY Event: EV_NO_EVENT IKEv2-PLAT-2 : PFKEY add SA reçue pour SPI 0x77EE5348, erreur FALSE IKEv2-PLAT-2 : réception d'une SA de mise à jour PFKEY pour SPI 0x30B848A4, erreur FALSE
	************************************** Date : 23/04/13 Heure : 16:25:08 Type : Information Source : acvpnagent Description : La connexion VPN a été établie et peut désormais transmettre des données. ************************************ Date : 23/04/13 Heure : 16:25:08 Type : Information Source : acvpnui Description : informations de type de message envoyées à l'utilisateur : Établissement du VPN - Configuration du système... ************************************ Date : 23/04/13 Heure : 16:25:08 Type : Information Source : acvpnui Description : informations de type de message envoyées à l'utilisateur : Établissement du VPN... ************************************ Date : 23/04/13 Heure : 16:25:37 Type : Information Source : acvpnagent Fichier : .\IPsecProtocol.cpp Ligne : 945 Le tunnel IPsec est établi **************************************		Le client signale que le tunnel est actif et prêt à transmettre le trafic.

Vérification du tunnel

AnyConnect

L'exemple de sortie de la commande show vpn-sessiondb detail anyconnect est le suivant :

Session Type: AnyConnect Detailed

   Username     : Anu                    Index        : 2
   Assigned IP  : 10.2.2.1                Public IP    : 192.168.1.1
   Protocol     : IKEv2 IPsecOverNatT AnyConnect-Parent
   License      : AnyConnect Premium
   Encryption   : AES192 AES256          Hashing      : none SHA1 SHA1
   Bytes Tx     : 0                      Bytes Rx     : 11192
   Pkts Tx      : 0                      Pkts Rx      : 171
   Pkts Tx Drop : 0                      Pkts Rx Drop : 0
   Group Policy : ASA-IKEV2              Tunnel Group : ASA-IKEV2
   Login Time   : 22:06:24 UTC Mon Apr 22 2013
   Duration     : 0h:02m:26s
   Inactivity   : 0h:00m:00s
   NAC Result   : Unknown
   VLAN Mapping : N/A                    VLAN         : none

   IKEv2 Tunnels: 1
   IPsecOverNatT Tunnels: 1
   AnyConnect-Parent Tunnels: 1 

   AnyConnect-Parent:
     Tunnel ID    : 2.1
     Public IP    : 192.168.1.1
     Encryption   : none                   Auth Mode    : userPassword
   Idle Time Out: 30 Minutes             Idle TO Left : 27 Minutes
   Client Type  : AnyConnect
   Client Ver   : 3.0.1047 
    IKEv2:
     Tunnel ID    : 2.2
     UDP Src Port : 25171                  UDP Dst Port : 4500
     Rem Auth Mode: userPassword
     Loc Auth Mode: rsaCertificate
     Encryption   : AES192                 Hashing      : SHA1
     Rekey Int (T): 86400 Seconds          Rekey Left(T): 86254 Seconds
     PRF          : SHA1                   D/H Group    : 1
     Filter Name  :
     Client OS    : Windows
    IPsecOverNatT:
     Tunnel ID    : 2.3
     Local Addr   : 0.0.0.0/0.0.0.0/0/0
     Remote Addr  : 10.2.2.1/255.255.255.255/0/0
     Encryption   : AES256                 Hashing      : SHA1
   Encapsulation: Tunnel
   Rekey Int (T): 28800 Seconds          Rekey Left(T): 28654 Seconds
   Rekey Int (D): 4608000 K-Bytes        Rekey Left(D): 4607990 K-Bytes
   Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes 
   Bytes Tx     : 0                      Bytes Rx     : 11192
   Pkts Tx      : 0                      Pkts Rx      : 171
    NAC:
     Reval Int (T): 0 Seconds              Reval Left(T): 0 Seconds
     SQ Int (T)   : 0 Seconds              EoU Age(T)   : 146 Seconds
     Hold Left (T): 0 Seconds              Posture Token:    
    Redirect URL :

ISAKMP

Exemple de résultat de la commande show crypto ikev2 sa :

ASA-IKEV2#  show crypto ikev2 sa

      IKEv2 SAs:

      Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

      Tunnel-id                 Local                Remote     Status         Role
       55182129    10.0.0.1/4500         192.168.1.1/25171      READY    RESPONDER
            Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
            Life/Active Time: 86400/112 sec
      Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535   
                remote selector 10.2.2.1/0 - 10.2.2.1/65535
              ESP spi in/out: 0x30b848a4/0x77ee5348

Exemple de résultat de la commande show crypto ikev2 sa detail :

ASA-IKEV2# show crypto ikev2 sa detail

    IKEv2 SAs:

    Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

    Tunnel-id                 Local                Remote     Status         Role
     55182129    10.0.0.1/4500         192.168.1.1/25171      READY    RESPONDER
       Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
         Life/Active Time: 86400/98 sec
         Session-id: 2
         Status Description: Negotiation done
         Local spi: FC696330E6B94D7F       Remote spi: 58AFF71141BA436B
         Local id: hostname=ASA-IKEV2
         Remote id: *$AnyConnectClient$*
         Local req mess id: 0              Remote req mess id: 9
         Local next mess id: 0             Remote next mess id: 9
         Local req queued: 0               Remote req queued: 9
         Local window: 1                   Remote window: 1
         DPD configured for 10 seconds, retry 2
         NAT-T is detected  outside
         Assigned host addr: 10.2.2.1
   Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535
             remote selector 10.2.2.1/0 - 10.2.2.1/65535
             ESP spi in/out: 0x30b848a4/0x77ee5348
          AH spi in/out: 0x0/0x0
          CPI in/out: 0x0/0x0
            Encr: AES-CBC, keysize: 256, esp_hmac: SHA96
            ah_hmac: None, comp: IPCOMP_NONE, mode tunnel

IPSEC

Exemple de résultat de la commande show crypto ipsec sa :

ASA-IKEV2# show crypto ipsec sa
   interface: outside
       Crypto map tag: dynmap, seq num: 1000, local addr: 10.0.0.1

     local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
        remote ident (addr/mask/prot/port): (10.2.2.1/255.255.255.255/0/0)
        current_peer: 192.168.1.1, username: Anu
        dynamic allocated peer ip: 10.2.2.1

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
         #pkts decaps: 163, #pkts decrypt: 108, #pkts verify: 108
         #pkts compressed: 0, #pkts decompressed: 0
         #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
         #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
         #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
         #send errors: 0, #recv errors: 55

      local crypto endpt.: 10.0.0.1/4500, remote crypto endpt.: 192.168.1.1/25171
         path mtu 1488, ipsec overhead 82, media mtu 1500
         current outbound spi: 77EE5348
         current inbound spi : 30B848A4

     inbound esp sas:
         spi: 0x30B848A4 (817383588)
            transform: esp-aes-256 esp-sha-hmac no compression
            in use settings ={RA, Tunnel,  NAT-T-Encaps, }
            slot: 0, conn_id: 8192, crypto-map: dynmap
            sa timing: remaining key lifetime (sec): 28685
            IV size: 16 bytes
            replay detection support: Y
            Anti replay bitmap:
            0xFFAD6BED 0x7ABFD5BF
       outbound esp sas:
         spi: 0x77EE5348 (2012107592)
            transform: esp-aes-256 esp-sha-hmac no compression
            in use settings ={RA, Tunnel,  NAT-T-Encaps, }
            slot: 0, conn_id: 8192, crypto-map: dynmap
            sa timing: remaining key lifetime (sec): 28685
            IV size: 16 bytes
            replay detection support: Y
            Anti replay bitmap:
           0x00000000 0x00000001

Informations connexes

Historique de révision

Révision	Date de publication	Commentaires
1.0	04-May-2013	Première publication

Contribution d’experts de Cisco

Anu M. Chacko, Jay Young, and Atri Basu
Cisco TAC Engineers.

Ce document vous est-il utile?

Commentaires

Contacter Cisco

Ouvrir un dossier d’assistance
(Un contrat de service de Cisco est requis)

Débogages ASA IKEv2 pour le dépannage VPN d'accès à distance

Options de téléchargement

Langage exempt de préjugés

À propos de cette traduction

Table des matières

Introduction

Conditions préalables

Exigences

Composants utilisés

Problème principal

Scénario

Commandes de débogage

Configuration ASA

Fichier XML

Journaux de débogage et descriptions

Vérification du tunnel

AnyConnect

ISAKMP

IPSEC

Informations connexes

Historique de révision

Contribution d’experts de Cisco

Ce document vous est-il utile?

Contacter Cisco

Ce document s’applique à ces produits