Nota tecnica sulla risoluzione dei problemi relativi ai debug ASA IPsec e IKE (modalità principale IKEv1)
Opzioni per il download
Linguaggio senza pregiudizi
La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Informazioni su questa traduzione
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
Sommario
Introduzione
In questo documento vengono descritti i debug su Adaptive Security Appliance (ASA) quando si usano sia la modalità principale sia la chiave precondivisa (PSK). Viene inoltre descritta la conversione di alcune righe di debug nella configurazione.
Gli argomenti non trattati in questo documento includono il traffico di passaggio dopo la definizione del tunnel e i concetti base di IPsec o IKE (Internet Key Exchange).
Prerequisiti
Requisiti
Questo documento è utile per conoscere i seguenti argomenti.
-
PSK
-
IKE
Componenti usati
Le informazioni di questo documento si basano sulle seguenti versioni hardware e software:
-
Cisco ASA 9.3.2
-
Router con Cisco IOS® 12.4T
Problema principale
I debug IKE e IPsec a volte sono crittografati, ma è possibile utilizzarli per capire dove si è verificato un problema di creazione del tunnel VPN IPsec.
Scenario
La modalità principale viene in genere utilizzata tra tunnel da LAN a LAN oppure, nel caso dell'accesso remoto (EzVPN), quando i certificati vengono utilizzati per l'autenticazione.
I debug vengono eseguiti da due appliance ASA con software versione 9.3.2. I due dispositivi formeranno un tunnel LAN-LAN.
Vengono descritti due scenari principali:
- ASA come iniziatore per IKE
- ASA che risponde a IKE
Comandi di debug usati
debug crypto ikev1 127
debug crypto ipsec 127
Configurazione ASA
Configurazione IPSec:
crypto ipsec transform-set TRANSFORM esp-aes esp-sha-hmac[an error occurred while processing this directive]
crypto map MAP 10 match address VPN
crypto map MAP 10 set peer 10.0.0.2
crypto map MAP 10 set transform-set TRANSFORM
crypto map MAP 10 set reverse-route
crypto map MAP interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group 10.0.0.2 type ipsec-l2l
tunnel-group 10.0.0.2 ipsec-attributes
pre-shared-key cisco
access-list VPN extended permit tcp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
Configurazione IP:
ciscoasa#
show ip
[an error occurred while processing this directive]
System IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet0/0 inside 192.168.1.1 255.255.255.0 manual
GigabitEthernet0/1 outside 10.0.0.1 255.255.255.0 manual
Current IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet0/0 inside 192.168.1.1 255.255.255.0 manual
GigabitEthernet0/1 outside 10.0.0.1 255.255.255.0 manual
Configurazione NAT:
object network INSIDE-RANGE[an error occurred while processing this directive]
subnet 192.168.1.0 255.255.255.0 object network FOREIGN_NETWORK
subnet 192.168.2.0 255.255.255
nat (inside,outside) source static INSIDE-RANGE INSIDE-RANGE destination static
FOREIGN_NETWORK FOREIGN_NETWORK no-proxy-arp route-lookup
Debug
| Descrizione messaggio iniziatore |
Debug |
Descrizione messaggio risponditore |
|||
| Inizio scambio modalità principale; non sono stati condivisi criteri e i peer sono ancora in MM_NO_STATE.
Come iniziatore, l'ASA inizia a costruire il payload. |
[DEBUG IKEv1]: Caraffa: ricevuto messaggio di acquisizione chiave, spi 0x0 |
|
|||
| Costruzione MM1
Questo processo èInclude iProposta iniziale per IKE e sfornitori NAT-T supportati. |
[DEBUG IKEv1]: IP = 10.0.0.2, creazione del payload SA ISAKMP [DEBUG IKEv1]: IP = 10.0.0.2, costruzione di NAT-Traversal VID ver 02 payload |
||||
| Inviare MM1. |
[IKEv1]: IP = 10.0.0.2, messaggio di invio IKE_DECODE (msgid=0) con payload: HDR + SA (1) + FORNITORE (13) + FORNITORE (13) + FORNITORE (13) + FORNITORE (13) + FORNITORE (13) + NESSUNO (0) lunghezza totale: 168 |
||||
| ===========================================================> |
|
||||
|
|
[IKEv1]: IP = 10.0.0.2, IKE_DECODE RECEIVED Message (msgid=0) con payload: HDR + SA (1) + FORNITORE (13) + FORNITORE (13) + FORNITORE (13) + FORNITORE (13) + FORNITORE (13) + NESSUNO (0) lunghezza totale: 164 |
MM1 ricevuto dall'iniziatore.
|
|||
|
|
[DEBUG IKEv1]: IP = 10.0.0.2, elaborazione del payload SA [DEBUG IKEv1]: IP = 10.0.0.2, la proposta Oakley è accettabile [DEBUG IKEv1]: IP = 10.0.0.2, elaborazione payload VID [DEBUG IKEv1]: IP = 10.0.0.2, proposta SA IKE n. 1, trasformazione n. 1 accettabile Corrisponde alla voce IKE globale n. 2 |
Elaborare MM1.
Inizia il confronto tra le policy ISAKMP/IKE. Il peer remoto annuncia di poter utilizzare NAT-T.
Configurazione correlata: pre-condivisione di autenticazione crittografia 3des hash sha gruppo 2 life 86400 |
|||
|
|
[DEBUG IKEv1]: IP = 10.0.0.2, costruzione del payload SA ISAKMP |
Costruzione MM2
In questo messaggio il risponditore seleziona le impostazioni dei criteri isakmp da utilizzare. Inoltre, annuncia le versioni NAT-T che può utilizzare. |
|||
|
|
[IKEv1]: IP = 10.0.0.2, messaggio di invio IKE_DECODE (msgid=0) con payload: HDR + SA (1) + VENDOR (13) + VENDOR (13) + NONE(0) lunghezza totale: 128 |
Invia MM2. |
|||
|
|
<========================MM2================================== |
|
|||
| MM2 ricevuto da responder. |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE RECEIVED Message (msgid=0) con payload: HDR + SA (1) + FORNITORE (13) + NESSUNO (0) lunghezza totale: 104
|
|
|||
| Elaborazione MM2. |
[DEBUG IKEv1]: IP = 10.0.0.2, elaborazione del payload SA
|
|
|||
| Costruire MM3.
Questo processo èIncludepayload di rilevamento NAT, Diffie- Payload Key Exchange (KE) Hellman (DH) (i)nitator include g, p e A per rispondere), e Supporto DPD. |
Nov 30 10:38:29 [IKEv1 DEBUG]: IP = 10.0.0.2, creazione del payload della chiave |
|
|||
| Invia MM3. |
[IKEv1]: IP = 10.0.0.2, messaggio di invio IKE_DECODE (msgid=0) con payload: HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) lunghezza totale: 304
|
|
|||
|
|
=======================================================> |
|
|||
|
|
[IKEv1]: IP = 10.0.0.2, IKE_DECODE RECEIVED Message (msgid=0) con payload: HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (130) + NAT-D (130) + NONE (0) lunghezza totale: 284 |
MM3 ricevuto dall'iniziatore. |
|||
|
|
[DEBUG IKEv1]: IP = 10.0.0.2, payload chiave di elaborazione |
Elaborazione di MM3.
Da payload NAT-D il risponditore è in grado di determinare se l'iniziatore è dietro NAT e se il responder è dietro NAT.
Dal DH KE, il risponditore del payload ottiene i valori di p, g e A. |
|||
|
|
[DEBUG IKEv1]: IP = 10.0.0.2, elaborazione dell'hash di rilevamento NAT |
Costruire MM4.
Questo processo èInclude payload di rilevamento NAT, DH KE rIl risponder genera "B" e "s" (restituisce "B" all'iniziatore), e DPD VIDEO |
|||
|
|
[IKEv1]: IP = 10.0.0.2, connessione terminata sul gruppo di tunnel 10.0.0.2 |
Il peer viene associato al gruppo di tunnel L2L 10.0.0.2 e le chiavi di crittografia e hash vengono generate dalla "s" sopra riportata e dalla chiave già condivisa. |
|||
|
|
[IKEv1]: IP = 10.0.0.2, messaggio di invio IKE_DECODE (msgid=0) con payload: HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (130) + NAT-D (130) + NONE (0) lunghezza totale: 304 |
Invia MM4. |
|||
|
|
<=========================================================== |
|
|||
| MM4 ricevuto dal risponditore. |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE RECEIVED Message (msgid=0) con payload: HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) lunghezza totale: 304
|
|
|||
| Elabora MM4.
Dai payload NAT-D, l'iniziatore è ora in grado di determinare se il l'iniziatore è dietro NAT e se il responder è dietro NAT.
|
[DEBUG IKEv1]: IP = 10.0.0.2, elaborazione come payload |
|
|||
|
Il peer è associato al gruppo di tunnel L2L 10.0.0.2 e l'iniziatore genera chiavi di crittografia e hash utilizzando "s" sopra e la chiave precondivisa.
|
[IKEv1]: IP = 10.0.0.2, connessione terminata sul gruppo di tunnel 10.0.0.2 [DEBUG IKEv1]: Gruppo = 10.0.0.2, IP = 10.0.0.2, Generazione delle chiavi per l'iniziatore in corso... |
|
|||
| Costruire MM5.
Configurazione correlata: crypto isakmp identity auto |
[DEBUG IKEv1]: Gruppo = 10.0.0.2, IP = 10.0.0.2, creazione payload ID |
|
|||
| Invio MM5 |
[IKEv1]: IP = 10.0.0.2, messaggio di invio IKE_DECODE (msgid=0) con payload: HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) + FORNITORE (13) + NESSUNO (0) lunghezza totale: 96 |
|
|||
|
|
=========================================================> |
|
|||
| Responder non è dietro alcun NAT. NAT-T non richiesto. |
[IKEv1]: Gruppo = 10.0.0.2, IP = 10.0.0.2, Stato rilevamento NAT automatico: L'estremità remota NON è dietro un dispositivo NAT Questa estremità NON è dietro un dispositivo NAT |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE RECEIVED Message (msgid=0) con payload: HDR + ID (5) + HASH (8) + NONE (0) lunghezza totale : 64 |
MM5 ricevuto dall'iniziatore.
Questo processo èInclude ridentità peer remota (ID) e catterraggio della connessione su un particolare gruppo di tunnel. |
||
|
|
[DEBUG IKEv1]: Gruppo = 10.0.0.2, IP = 10.0.0.2, payload ID elaborazione [IKEv1]: IP = 10.0.0.2, connessione terminata sul gruppo di tunnel 10.0.0.2 |
Elaborare MM5.
L'autenticazione con chiavi già condivise inizia ora. L'autenticazione viene eseguita su entrambi i peer; verranno pertanto visualizzati due set di processi di autenticazione corrispondenti.
Configurazione correlata: |
|||
|
|
Stato rilevamento: L'estremità remota NON è dietro un dispositivo NAT Questa estremità NON è dietro un dispositivo NAT |
No NAT-T richiesto in questo caso. |
|||
|
|
[DEBUG IKEv1]: Gruppo = 10.0.0.2, IP = 10.0.0.2, creazione payload ID |
Costruire MM6.
Invia identità include i tempi di rigenerazione delle chiavi avviati e l'identità inviata al peer remoto. |
|||
|
|
[IKEv1]: IP = 10.0.0.2, messaggio di invio IKE_DECODE (msgid=0) con payload: HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) + FORNITORE (13) + NESSUNO (0) lunghezza totale: 96 |
Invia MM6. |
|||
|
|
<========================================================== |
|
|||
| MM6 ricevuto dal risponditore. |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE RECEIVED Message (msgid=0) con payload: HDR + ID (5) + HASH (8) + NONE (0) lunghezza totale : 64 |
[IKEv1]: Gruppo = 10.0.0.2, IP = 10.0.0.2, FASE 1 COMPLETATA |
Fase 1 completata.
Avviare il timer di reimpostazione chiavi isakmp.
Configurazione correlata: |
||
| Elabora MM6.
Questo processo èInclude ridentità remota inviata da peer e fDecisione finale relativa al gruppo di tunnel da selezionare. |
[DEBUG IKEv1]: Gruppo = 10.0.0.2, IP = 10.0.0.2, payload ID elaborazione |
|
|||
| Fase 1 completata.
Avviare il timer di reimpostazione chiavi ISAKMP.
C correlataConfigurazione: tunnel group 10.0.0.2 tipo ipsec-l2l gruppo di tunnel 10.0.0.2 ipsec-attributes cisco pre-shared-key |
[IKEv1]: Gruppo = 10.0.0.2, IP = 10.0.0.2, FASE 1 COMPLETATA |
|
|||
| Inizia la fase 2 (modalità rapida). |
IPSEC Nuova SA embrionale creata @ 0x53FC3C00, |
||||
| Costruire QM1.
Questo processo include ID proxy e IPsec politiche.
Configurazione correlata: access-list VPN extended allow icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 |
[DEBUG IKEv1]: Gruppo = 10.0.0.2, IP = 10.0.0.2, IKE ha ottenuto SPI dal motore della chiave: SPI = 0xfd2d851f [DECODIFICA IKEv1]: Gruppo = 10.0.0.2, IP = 10.0.0.2, Invio del contatto iniziale da parte dell'iniziatore IKE |
|
|||
| Invio QM1 |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=7b80c2b0) con payload: HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NOTIFY (11) + NONE (0) lunghezza totale: 200 |
|
|||
|
|
================================QM1========================> |
|
|||
|
|
[DECODIFICA IKEv1]: IP = 10.0.0.2, QM iniziale del risponditore IKE: messaggio id = 52481cf5 [IKEv1]: IP = 10.0.0.2, IKE_DECODE RECEIVED Message (msgid=52481cf5) con payload: HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0) lunghezza totale: 172 |
QM1 ricevuto dall'iniziatore.
Il risponditore inizia la fase 2 (QM). |
|||
| [DEBUG IKEv1]: Gruppo = 10.0.0.2, IP = 10.0.0.2, elaborazione payload hash |
Elaborare QM1.
Questo processo confronta i proxy remoti con quelli locali e seleziona IP accettabilesec policy.
Configurazione correlata: crypto ipsec transform-set TRANSFORM esp-aes esp-sha-hmac access-list VPN extended allow icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 mappa crittografica MAP 10 corrispondente all'indirizzo VPN |
||||
|
|
[DECODIFICA IKEv1]: Gruppo = 10.0.0.2, IP = 10.0.0.2, ID_IPV4_ADDR_SUBNET ID ricevuto—192.168.2.0—255.255.255.0[IKEv1]: Gruppo = 10.0.0.2, IP = 10.0.0.2, Ricevuti dati subnet proxy IP remoto nel payload ID: Indirizzo 192.168.2.0, Maschera 255.255.255.0, Protocollo 1, Porta 0 [DEBUG IKEv1]: Gruppo = 10.0.0.2, IP = 10.0.0.2, payload ID elaborazione |
Vengono ricevute le subnet remote e locali (192.168.2.0/24 e 192.168.1.0/24). |
|||
|
|
[IKEv1]: Gruppo = 10.0.0.2, IP = 10.0.0.2, QM IsRekeyed old sa non trovato da addr |
Trovata una voce di crittografia statica corrispondente. |
|||
|
|
[IKEv1]: Gruppo = 10.0.0.2, IP = 10.0.0.2, IKE: richiesta SPI! |
Costruire QM2.
Questo processo èInclude cconferma delle identità proxy, del tipo di tunnel e di viene eseguita la verifica degli ACL di crittografia con mirroring. |
|||
|
|
[IKEv1]: IP = 10.0.0.2, messaggio di invio IKE_DECODE (msgid=52481cf5) con payload: HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0) lunghezza totale: 172 |
Inviare QM2. |
|||
|
|
<=============================QM2================================ |
|
|||
| QM2 ricevuto dal risponditore. |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE RECEIVED Message (msgid=7b80c2b0) con payload: HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NOTIFY (11) + NONE (0) lunghezza totale: 200 |
|
|||
| Elaborare QM2.
In questo processo, rl'estremità remota invia i parametri e vengono selezionate le durate di fase 2 proposte più brevi. |
[DEBUG IKEv1]: Gruppo = 10.0.0.2, IP = 10.0.0.2, elaborazione payload hash |
|
|||
| Trovata la mappa crittografica "MAP" e la voce 10 corrispondenti e la relativa corrispondenza con la "VPN" dell'elenco degli accessi. |
[DEBUG IKEv1]: Gruppo = 10.0.0.2, IP = 10.0.0.2, la regola di crittografia NP cerca la mappa crittografica MAP 10 corrispondente alla VPN ACL: restituito cs_id=53f11198; rule=53f11a90 |
|
|||
| L'accessorio ha generato gli SPI 0xfd2d851f e 0xdde50931 rispettivamente per il traffico in entrata e in uscita. |
[DEBUG IKEv1]: Gruppo = 10.0.0.2, IP = 10.0.0.2, Generazione della chiave in modalità rapida! |
|
|||
| Costruire QM3.
Conferma tutti gli SPI creati nel peer remoto. |
IPSEC Aggiornamento IBSA host completato, SPI 0xFD2D851F |
|
|||
| Inviare QM3. |
[DECODIFICA IKEv1]: Gruppo = 10.0.0.2, IP = 10.0.0.2, Iniziatore IKE che invia il terzo pacchetto QM: id messaggio = 7b80c2b0 |
|
|||
|
|
==============================QM3==========================> |
|
|||
| Fase 2 completata.
L'iniziatore è ora pronto a crittografare e decrittografare i pacchetti utilizzando questi valori SPI. |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=7b80c2b0) con payload: HDR + HASH (8) + NONE (0) lunghezza totale: 76 |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE RECEIVED Message (msgid=52481cf5) con payload: HDR + HASH (8) + NONE (0) lunghezza totale : 52 |
QM3 ricevuto dall'iniziatore. |
||
|
|
[DEBUG IKEv1]: Gruppo = 10.0.0.2, IP = 10.0.0.2, elaborazione payload hash |
Elaborare QM3.
Le chiavi di crittografia vengono generate per le associazioni di protezione dei dati.
Durante questo processo, Gli SPI vengono impostati per consentire il passaggio del traffico. |
|||
|
|
[IKEv1]: Gruppo = 10.0.0.2, IP = 10.0.0.2, negoziazione della sicurezza completata per il risponditore LAN-to-LAN (10.0.0.2), SPI in entrata = 0x1698cac7, SPI in uscita = 0xdb680406 IPSEC Aggiornamento IBSA host completato, SPI 0x1698CAC7 |
Gli SPI vengono assegnati alle associazioni di protezione dei dati. |
|||
|
|
[DEBUG IKEv1]: Gruppo = 10.0.0.2, IP = 10.0.0.2, Avvio del timer di reimpostazione chiave P2: 3.060 secondi. |
Avviare i tempi di rigenerazione delle chiavi IPsec. |
|||
|
|
[IKEv1]: Gruppo = 10.0.0.2, IP = 10.0.0.2, FASE 2 COMPLETATA (msgid=52481cf5) |
Fase 2 completata. Sia il risponditore che l'iniziatore sono in grado di crittografare/decrittografare il traffico. |
|||
Verifica tunnel
Nota: Poiché per attivare il tunnel viene utilizzato ICMP, è attiva una sola associazione di protezione IPSec. Protocollo 1 = ICMP.
show crypto ipsec sa
interface: outside
Crypto map tag: MAP, seq num: 10, local addr: 10.0.0.1
access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/1/0)
remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/1/0)
current_peer: 10.0.0.2
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 10.0.0.1/0, remote crypto endpt.: 10.0.0.2/0
path mtu 1500, ipsec overhead 74, media mtu 1500
current outbound spi: DB680406
current inbound spi : 1698CAC7
inbound esp sas:
spi: 0x1698CAC7(379112135)[an error occurred while processing this directive]
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 16384, crypto-map: MAP
sa timing: remaining key lifetime (kB/sec): (3914999/3326)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x0000001F
outbound esp sas:
spi: 0xDB680406 (3681027078)
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 16384, crypto-map: MAP
sa timing: remaining key lifetime (kB/sec): (3914999/3326)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001show crypto isakmp sa
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 10.0.0.2
Type :L2LRole :responder
Rekey : no State :MM_ACTIVE[an error occurred while processing this directive]
Informazioni correlate
- Un buon punto di partenza è articolo di wikipedia su IPSec. Standard and references contiene molte informazioni utili
- Risoluzione dei problemi IPSec: descrizione e uso dei comandi di debug
- Documentazione e supporto tecnico – Cisco Systems
Contributo dei tecnici Cisco
- Atri Basu, Marcin Latosiewicz, and Jay Young TaylorCisco TAC Engineers.
Feedback