Configurazione dei tunnel IPsec IKEv1 da sito a sito con ASDM o CLI su ASAv

Opzioni per il download

  • PDF     (780.4 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (610.3 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (871.9 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:13 aprile 2018
ID documento:119141

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come configurare un tunnel IPsec IKEv1 da sito a sito tra due appliance Cisco Secure Firewall Virtual (ASAv) con versione 9.18.3.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • È necessario stabilire la connettività IP end-to-end
    • Devono essere consentiti i seguenti protocolli:
      1. UDP (User Datagram Protocol) 500 e 4500 per il control plane IPsec
      2. Protocollo IP 50 Encapsulating Security Payload (ESP) per il piano dati IPsec

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Cisco Secure Firewall ASA Virtual con software versione 9.18.3

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Configurazione

    In questa sezione viene descritto come configurare il tunnel VPN da sito a sito tramite la procedura guidata Adaptive Security Device Manager (ASDM) VPN o tramite la CLI.

    Esempio di rete

    Questa topologia viene utilizzata per gli esempi riportati in questo documento:

    Diagramma topologicoDiagramma topologico


    Configurazione mediante la procedura guidata VPN ASDM

    Completare questi passaggi per configurare il tunnel VPN da sito a sito tramite la procedura guidata ASDM:

    1. Aprire ASDM e passare a Wizards > VPN Wizards > Site-to-site VPN Wizard.

      Navigazione Creazione guidata VPNNavigazione Creazione guidata VPN
    2. Fare clic su Next dopo aver raggiunto la home page della procedura guidata.

      Finestra 1 della Creazione guidata VPNFinestra 1 della Creazione guidata VPN

      Nota: le versioni ASDM più recenti forniscono un collegamento a un video che spiega questa configurazione.

    3. Configurare l'indirizzo IP del peer. In questo esempio, l'indirizzo IP del peer è impostato su 10.106.67.91 sul Sito B. Se si configura l'indirizzo IP del peer nel sito A, deve essere modificato in 10.106.67.90. Viene inoltre specificata l'interfaccia attraverso la quale è possibile raggiungere l'estremità remota. Fare clic unaNext volta completato.

      Finestra Creazione guidata VPN 2Finestra Creazione guidata VPN 2
    4. Configurare le reti locali e remote (origine e destinazione del traffico). Questa immagine mostra la configurazione per il Sito B (il contrario si applica al Sito A).

      Finestra Creazione guidata VPN 3Finestra Creazione guidata VPN 3
    5. Nella pagina Protezione configurare la chiave già condivisa (deve corrispondere su entrambe le estremità). Fare clic unaNext volta completato.

      Finestra Creazione guidata VPN 4Finestra Creazione guidata VPN 4
    6. Configurare l'interfaccia di origine per il traffico sull'appliance ASA. L'ASDM crea automaticamente la regola NAT (Network Address Translation) basata sulla versione ASA e la inserisce con il resto della configurazione nel passaggio finale.

      Nota: nell'esempio riportato nel documento, 'inside' è l'origine del traffico.

      Finestra Creazione guidata VPN 5Finestra Creazione guidata VPN 5
    7. La procedura guidata fornisce ora un riepilogo della configurazione trasferita all'appliance ASA. Esaminare e verificare le impostazioni di configurazione e quindi fare clic su Finish.

      Finestra Creazione guidata VPN 6Finestra Creazione guidata VPN 6

    Configurazione dalla CLI

    In questa sezione viene descritto come configurare il tunnel IPsec IKEv1 da sito a sito tramite la CLI.

    Configura sito B

    Suggerimento: per un esempio di configurazione IKEv2 con l'appliance ASA, consultare il documento Cisco sugli esempi di configurazione del tunnel IKEv2 da sito a sito tra l'appliance ASA e il router.

    Fase 1 (IKEv1)

    Completare i seguenti passaggi per la configurazione della fase 1:

    1. Immettere questo comando nella CLI per abilitare IKEv1 sull'interfaccia esterna:

      crypto ikev1 enable outside
    2. Creare un criterio IKEv1 che definisca gli algoritmi o i metodi da utilizzare per l'hashing, l'autenticazione, il gruppo Diffie-Hellman, la durata e la crittografia:

      crypto ikev1 policy 1
      ! The 1 in the above command refers to the Policy suite priority (1 highest, 65535 lowest)
        authentication pre-share
        encryption aes-256
        hash sha
        group 14
        lifetime 86400
    3. Creare un gruppo di tunnel con gli attributi IPsec e configurare l'indirizzo IP del peer e la chiave precondivisa del tunnel:

      tunnel-group 10.106.67.90 type ipsec-l2l
      tunnel-group 10.106.67.90 ipsec-attributes
       ikev1 pre-shared-key cisco
       ! Note the IKEv1 keyword at the beginning of the pre-shared-key command.
      4.

    Fase 2 (IPsec)

    Completare i seguenti passaggi per la configurazione della Fase 2:

    1. Creare un elenco degli accessi che definisca il traffico da crittografare e tunneling. Nell'esempio, il traffico di interesse è il traffico proveniente dal tunnel che ha origine dalla subnet 10.2.2.0 e ha origine nella subnet 10.1.1.0. Può contenere più voci se tra i siti sono coinvolte più subnet.

      object network 10.2.2.0_24
       subnet 10.2.2.0 255.255.255.0
      object network 10.1.1.0_24
       subnet 10.1.1.0 255.255.255.0

      access-list 100 extended permit ip object 10.2.2.0_24 object 10.1.1.0_24
    2. Configurare il set di trasformazioni (TS), che deve includere la parola chiave IKEv1. È necessario creare un servizio di terminal identico anche sull'estremità remota. 

      crypto ipsec ikev1 transform-set myset esp-aes-256 esp-sha-hmac
    3. Configurare la mappa crittografica, che contiene i seguenti componenti:
      • Indirizzo IP peer
      • L'elenco degli accessi definito che contiene il traffico di interesse
      • TS
      • Impostazione PFS (Perfect Forward Secrecy) facoltativa che crea una nuova coppia di chiavi Diffie-Hellman utilizzate per proteggere i dati (entrambi i lati devono essere abilitati PFS prima dell'attivazione della Fase 2)

    4. Applicare la mappa crittografica sull'interfaccia esterna:

      crypto map outside_map 20 match address 100
      crypto map outside_map 20 set peer 10.106.67.90
      crypto map outside_map 20 set ikev1 transform-set myset
      crypto map outside_map 20 set pfs
      crypto map outside_map interface outside
      5.

    Esenzione NAT

    Verificare che il traffico VPN non sia soggetto a nessun'altra regola NAT. Regola NAT utilizzata:

       

    nat (inside,outside) 1 source static 10.2.2.0_24 10.2.2.0_24 destination static 10.1.1.0_24 10.1.1.0_24 no-proxy-arp route-lookup

    Nota: quando si utilizzano più subnet, è necessario creare gruppi di oggetti con tutte le subnet di origine e di destinazione e utilizzarli nella regola NAT.

       

    object-group network 10.x.x.x_SOURCE
     network-object 10.4.4.0 255.255.255.0
     network-object 10.2.2.0 255.255.255.0

    object network 10.x.x.x_DESTINATION
     network-object 10.3.3.0 255.255.255.0
     network-object 10.1.1.0 255.255.255.0

    nat (inside,outside) 1 source static 10.x.x.x_SOURCE 10.x.x.x_SOURCE destination static 10.x.x.x_DESTINATION 10.x.x.x_DESTINATION no-proxy-arp route-lookup 


    Completa configurazione di esempio

    Di seguito è riportata la configurazione completa per il sito B:

    crypto ikev1 enable outside

    crypto ikev1 policy 10
     authentication pre-share
     encryption aes-256
     hash sha
     group 14
     lifetime 86400

    tunnel-group 10.106.67.90 type ipsec-l2l
    tunnel-group 10.106.67.90 ipsec-attributes
     ikev1 pre-shared-key cisco
     !Note the IKEv1 keyword at the beginning of the pre-shared-key command.

    object network 10.2.2.0_24 
     subnet 10.2.2.0 255.255.255.0 
    object network 10.1.1.0_24 
     subnet 10.1.1.0 255.255.255.0

    access-list 100 extended permit ip object 10.2.2.0_24 object 10.1.1.0_24

    crypto ipsec ikev1 transform-set myset esp-aes esp-sha-hmac

    crypto map outside_map 20 match address 100
    crypto map outside_map 20 set peer 10.106.67.90
    crypto map outside_map 20 set ikev1 transform-set myset
    crypto map outside_map 20 set pfs
    crypto map outside_map interface outside

    nat (inside,outside) 1 source static 10.2.2.0_24 10.2.2.0_24 destination static 10.1.1.0_24 10.1.1.0_24 no-proxy-arp route-lookup

    Criteri di gruppo

    Per definire impostazioni specifiche per il tunnel, vengono utilizzati Criteri di gruppo. Questi criteri vengono utilizzati in combinazione con il gruppo di tunnel.

    I Criteri di gruppo possono essere definiti come interni, ovvero gli attributi vengono estratti da quelli definiti sull'appliance ASA, oppure come esterni, ovvero gli attributi vengono estratti da un server esterno. Questo è il comando utilizzato per definire i Criteri di gruppo:

    group-policy SITE_A internal

    Nota: è possibile definire più attributi in Criteri di gruppo. Per un elenco di tutti gli attributi possibili, vedere la sezione Configurazione dei criteri di gruppo.

    Attributi facoltativi di Criteri di gruppo

    L'attributo determinavpn-tunnel-protocol il tipo di tunnel a cui devono essere applicate queste impostazioni. Nell'esempio viene usato IPsec:

    vpn-tunnel-protocol ?
     group-policy mode commands/options:
     IPSec IP Security Protocol l2tp-ipsec L2TP using IPSec for security
     svc SSL VPN Client
     webvpn WebVPN

    vpn-tunnel-protocol ikev1 - Version 8.4 and later


    È possibile configurare il tunnel in modo che rimanga inattivo (nessun traffico) e non si blocchi. Per configurare questa opzione, il valore dellvpn-idle-timeout'attributo deve essere espresso in minuti. In alternativa, è possibile impostare il valore su none, in modo che il tunnel non diventi mai inattivo. 

    Di seguito è riportato un esempio:

    group-policy SITE_A attributes
      vpn-idle-timeout ?

    group-policy mode commands/options:
     <1-35791394> Number of minutes
     alert-interval Specify timeout alert interval in minutes
     none Site-to-Site (IKEv1, IKEv2) and IKEv1 remote-access: Disable
     timeout and allow an unlimited idle period; AnyConnect (SSL,
     IPSec/IKEv2): Use value of default-idle-timeout


    Il comandodefault-group-policy in attributi generali del gruppo di tunnel definisce i criteri di gruppo utilizzati per eseguire il push di alcune impostazioni dei criteri per il tunnel stabilito. Le impostazioni predefinite per le opzioni non definite nei Criteri di gruppo sono derivate da un criterio di gruppo predefinito globale:

    tunnel-group 10.106.67.91 general-attributes
     default-group-policy SITE_A

    Verifica

    Per verificare che la configurazione funzioni correttamente, consultare le informazioni contenute in questa sezione.

    ASDM

    Per visualizzare lo stato del tunnel da ASDM, passare a Monitoring > VPN. Queste informazioni sono fornite:

    • Indirizzo IP peer
    • Protocollo utilizzato per compilare il tunnel
    • Algoritmo di crittografia utilizzato
    • L'ora in cui è stato realizzato il tunnel e il tempo di attività
    • Numero di pacchetti ricevuti e trasferiti
      •

    Suggerimento: fare clicRefresh per visualizzare i valori più recenti, poiché i dati non vengono aggiornati in tempo reale.

    Finestra Monitoraggio VPNFinestra Monitoraggio VPN

    CLI

    Questa sezione descrive come verificare la configurazione tramite la CLI.

    Fase 1

    Immettere questo comando nella CLI per verificare la configurazione della fase 1 sul lato B del sito:

    show crypto ikev1 sa

    IKEv1 SAs:
     
     Active SA: 1
     Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1

    1 IKE Peer: 10.106.67.91
     Type : L2L Role : initiator
     Rekey : no State : MM_ACTIVE


    Fase 2

    Il comandoshow crypto ipsec sa mostra le associazioni di protezione IPSec generate tra i peer. Il tunnel crittografato è costruito tra gli indirizzi IP 10.106.67.90 e 10.106.67.91 per il traffico che scorre tra le reti 10.1.1.0 e 10.2.2.0. È possibile visualizzare le due associazioni di protezione ESP create per il traffico in entrata e in uscita. L'intestazione AH (Authentication Header) non viene utilizzata perché non sono presenti associazioni di protezione AH.

    Immettere questo comando nella CLI per verificare la configurazione della fase 2 sul lato del sito A:

    interface: outside
     Crypto map tag: outside_map, seq num: 20, local addr: 10.106.67.90

     access-list 100 extended permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0 
     local ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
     remote ident (addr/mask/prot/port): (10.2.2.0/255.255.255.0/0/0)
     current_peer: 10.106.67.91


     #pkts encaps: 20, #pkts encrypt: 20, #pkts digest: 20
     #pkts decaps: 20, #pkts decrypt: 20, #pkts verify: 20
     #pkts compressed: 0, #pkts decompressed: 0
     #pkts not compressed: 20, #pkts comp failed: 0, #pkts decomp failed: 0
     #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
     #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
     #TFC rcvd: 0, #TFC sent: 0
     #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
     #send errors: 0, #recv errors: 0

     local crypto endpt.: 10.106.67.90/0, remote crypto endpt.: 10.106.67.91/0
     path mtu 1500, ipsec overhead 74(44), media mtu 1500
     PMTU time remaining (sec): 0, DF policy: copy-df
     ICMP error validation: disabled, TFC packets: disabled
     current outbound spi: F8951DA2
     current inbound spi : 662C7ABE

     inbound esp sas:
     spi: 0x662C7ABE (1714191038)
     SA State: active
     transform: esp-aes-256 esp-sha-hmac no compression 
     in use settings ={L2L, Tunnel, PFS Group 14, IKEv1, }
     slot: 0, conn_id: 1, crypto-map: outside_map
     sa timing: remaining key lifetime (kB/sec): (3914998/28074)
     IV size: 16 bytes
     replay detection support: Y
     Anti replay bitmap: 
     0x00000000 0x001FFFFF
     outbound esp sas:
     spi: 0xF8951DA2 (4170522018)
     SA State: active
     transform: esp-aes-256 esp-sha-hmac no compression 
     in use settings ={L2L, Tunnel, PFS Group 14, IKEv1, }
     slot: 0, conn_id: 1, crypto-map: outside_map
     sa timing: remaining key lifetime (kB/sec): (3914998/28073)
     IV size: 16 bytes
     replay detection support: Y
     Anti replay bitmap: 
     0x00000000 0x00000001


    Immettere questo comando nella CLI per verificare la configurazione della fase 2 sul lato B del sito:

    interface: outside
     Crypto map tag: outside_map, seq num: 20, local addr: 10.106.67.91

     access-list 100 extended permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.0 
     local ident (addr/mask/prot/port): (10.2.2.0/255.255.255.0/0/0)
     remote ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
     current_peer: 10.106.67.90


     #pkts encaps: 20, #pkts encrypt: 20, #pkts digest: 20
     #pkts decaps: 20, #pkts decrypt: 20, #pkts verify: 20
     #pkts compressed: 0, #pkts decompressed: 0
     #pkts not compressed: 20, #pkts comp failed: 0, #pkts decomp failed: 0
     #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
     #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
     #TFC rcvd: 0, #TFC sent: 0
     #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
     #send errors: 0, #recv errors: 0

     local crypto endpt.: 10.106.67.91/0, remote crypto endpt.: 10.106.67.90/0
     path mtu 1500, ipsec overhead 74(44), media mtu 1500
     PMTU time remaining (sec): 0, DF policy: copy-df
     ICMP error validation: disabled, TFC packets: disabled
     current outbound spi: 662C7ABE
     current inbound spi : F8951DA2

     inbound esp sas:
     spi: 0xF8951DA2 (4170522018)
     SA State: active
     transform: esp-aes-256 esp-sha-hmac no compression 
     in use settings ={L2L, Tunnel, PFS Group 14, IKEv1, }
     slot: 0, conn_id: 1, crypto-map: outside_map
     sa timing: remaining key lifetime (kB/sec): (4373998/27737)
     IV size: 16 bytes
     replay detection support: Y
     Anti replay bitmap: 
     0x00000000 0x001FFFFF
     outbound esp sas:
     spi: 0x662C7ABE (1714191038)
     SA State: active
     transform: esp-aes-256 esp-sha-hmac no compression 
     in use settings ={L2L, Tunnel, PFS Group 14, IKEv1, }
     slot: 0, conn_id: 1, crypto-map: outside_map
     sa timing: remaining key lifetime (kB/sec): (4373998/27737)
     IV size: 16 bytes
     replay detection support: Y
     Anti replay bitmap: 
     0x00000000 0x00000001


    Risoluzione dei problemi

    Utilizzare le informazioni fornite in questa sezione per risolvere i problemi di configurazione.

    Immettere questi comandi di debug per determinare la posizione dell'errore del tunnel:  

    • debug crypto ikev1 127 (Fase 1)
    • debug crypto ipsec 127 (Fase 2)

      •

    Di seguito è riportato un esempio completo dell'output del comando debug:

    IPSEC(crypto_map_check)-3: Looking for crypto map matching 5-tuple: Prot=1, saddr=10.1.1.10, sport=23043, daddr=10.2.2.10, dport=23043
    IPSEC(crypto_map_check)-3: Checking crypto map outside_map 20: matched.
    Mar 15 05:41:39 [IKEv1 DEBUG]Pitcher: received a key acquire message, spi 0x0
    IPSEC(crypto_map_check)-3: Looking for crypto map matching 5-tuple: Prot=1, saddr=10.1.1.10, sport=23043, daddr=10.2.2.10, dport=23043
    IPSEC(crypto_map_check)-3: Checking crypto map outside_map 20: matched.
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE Initiator: New Phase 1, Intf inside, IKE Peer 10.106.67.91 local Proxy Address 10.1.1.0, remote Proxy Address 10.2.2.0, Crypto map (outside_map)
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing ISAKMP SA payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing NAT-Traversal VID ver 02 payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing NAT-Traversal VID ver 03 payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing NAT-Traversal VID ver RFC payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing Fragmentation VID + extended capabilities payload
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 172
    Mar 15 05:41:39 [IKEv1]IKE Receiver: Packet received on 10.106.67.90:500 from 10.106.67.91:500
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 132
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing SA payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Oakley proposal is acceptable
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Received NAT-Traversal RFC VID
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Received Fragmentation VID
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, IKE Peer included IKE fragmentation capability flags: Main Mode: True Aggressive Mode: True
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing ke payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing nonce payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing Cisco Unity VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing xauth V6 VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Send IOS VID
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Constructing ASA spoofing IOS Vendor ID payload (version: 1.0.0, capabilities: 20000001)
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Send Altiga/Cisco VPN3000/Cisco ASA GW VID
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing NAT-Discovery payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, computing NAT Discovery hash
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing NAT-Discovery payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, computing NAT Discovery hash
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 432
    Mar 15 05:41:39 [IKEv1]IKE Receiver: Packet received on 10.106.67.90:500 from 10.106.67.91:500
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 432
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing ke payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing ISA_KE payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing nonce payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Received Cisco Unity client VID
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Received xauth V6 VID
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Processing VPN3000/ASA spoofing IOS Vendor ID payload (version: 1.0.0, capabilities: 20000001)
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Received Altiga/Cisco VPN3000/Cisco ASA GW VID
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing NAT-Discovery payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, computing NAT Discovery hash
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing NAT-Discovery payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, computing NAT Discovery hash
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, Connection landed on tunnel_group 10.106.67.91
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Generating keys for Initiator...
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, constructing ID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, constructing hash payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Computing hash for ISAKMP
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Constructing IOS keep alive payload: proposal=32767/32767 sec.
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, constructing dpd vid payload
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) + VENDOR (13) + NONE (0) total length : 96
    Mar 15 05:41:39 [IKEv1]Group = 10.106.67.91, IP = 10.106.67.91, Automatic NAT Detection Status: Remote end is NOT behind a NAT device This end is NOT behind a NAT device
    Mar 15 05:41:39 [IKEv1]IKE Receiver: Packet received on 10.106.67.90:500 from 10.106.67.91:500
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) + VENDOR (13) + NONE (0) total length : 96
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing ID payload
    Mar 15 05:41:39 [IKEv1 DECODE]Group = 10.106.67.91, IP = 10.106.67.91, ID_IPV4_ADDR ID received 10.106.67.91
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing hash payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Computing hash for ISAKMP
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Processing IOS keep alive payload: proposal=32767/32767 sec.
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Received DPD VID
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, Connection landed on tunnel_group 10.106.67.91
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Oakley begin quick mode
    Mar 15 05:41:39 [IKEv1 DECODE]Group = 10.106.67.91, IP = 10.106.67.91, IKE Initiator starting QM: msg id = ad712fa9
    Mar 15 05:41:39 [IKEv1]Group = 10.106.67.91, IP = 10.106.67.91, PHASE 1 COMPLETED
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, Keep-alive type for this connection: DPD
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Starting P1 rekey timer: 73440 seconds.
    Mar 15 05:41:39 [IKEv1]Group = 10.106.67.91, IP = 10.106.67.91, Add to IKEv1 Tunnel Table succeeded for SA with logical ID 8192
    Mar 15 05:41:39 [IKEv1]Group = 10.106.67.91, IP = 10.106.67.91, Add to IKEv1 MIB Table succeeded for SA with logical ID 8192
    IPSEC INFO: Setting an IPSec timer of type SA Purge Timer for 30 seconds with a jitter value of 0
    IPSEC INFO: IPSec SA PURGE timer started SPI 0x0001B739
    IPSEC: New embryonic SA created @ 0x00007f05294f4620, 
     SCB : 0x294CFE60, 
     Direction : inbound
     SPI : 0x50EF49AD
     Session ID : 0x00002000
     VPIF num : 0x00000002
     Tunnel type : l2l
     Protocol : esp
     Lifetime : 240 seconds
     SA handle : 0x0001B739
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, IKE got SPI from key engine: SPI = 0x50ef49ad
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, oakley constructing quick mode
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, constructing blank hash payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, constructing IPSec SA payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, constructing IPSec nonce payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, constructing pfs ke payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, constructing proxy ID
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Transmitting Proxy Id:
     Local subnet: 10.1.1.0 mask 255.255.255.0 Protocol 0 Port 0
     Remote subnet: 10.2.2.0 Mask 255.255.255.0 Protocol 0 Port 0
    Mar 15 05:41:39 [IKEv1 DECODE]Group = 10.106.67.91, IP = 10.106.67.91, IKE Initiator sending Initial Contact
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, constructing qm hash payload
    Mar 15 05:41:39 [IKEv1 DECODE]Group = 10.106.67.91, IP = 10.106.67.91, IKE Initiator sending 1st QM pkt: msg id = ad712fa9
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE_DECODE SENDING Message (msgid=ad712fa9) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + KE (4) + ID (5) + ID (5) + NOTIFY (11) + NONE (0) total length : 464
    Mar 15 05:41:39 [IKEv1]IKE Receiver: Packet received on 10.106.67.90:500 from 10.106.67.91:500
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE_DECODE RECEIVED Message (msgid=ad712fa9) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + KE (4) + ID (5) + ID (5) + NONE (0) total length : 436
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing hash payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing SA payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing nonce payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing ke payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing ISA_KE for PFS in phase 2
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing ID payload
    Mar 15 05:41:39 [IKEv1 DECODE]Group = 10.106.67.91, IP = 10.106.67.91, ID_IPV4_ADDR_SUBNET ID received--10.1.1.0--255.255.255.0
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing ID payload
    Mar 15 05:41:39 [IKEv1 DECODE]Group = 10.106.67.91, IP = 10.106.67.91, ID_IPV4_ADDR_SUBNET ID received--10.2.2.0--255.255.255.0
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, loading all IPSEC SAs
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Generating Quick Mode Key!
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Generating Quick Mode Key!
    Mar 15 05:41:39 [IKEv1]Group = 10.106.67.91, IP = 10.106.67.91, Security negotiation complete for LAN-to-LAN Group (10.106.67.91) Initiator, Inbound SPI = 0x50ef49ad, Outbound SPI = 0xea689811
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, oakley constructing final quick mode
    Mar 15 05:41:39 [IKEv1 DECODE]Group = 10.106.67.91, IP = 10.106.67.91, IKE Initiator sending 3rd QM pkt: msg id = ad712fa9
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE_DECODE SENDING Message (msgid=ad712fa9) with payloads : HDR + HASH (8) + NONE (0) total length : 76
    IPSEC INFO: Setting an IPSec timer of type SA Purge Timer for 30 seconds with a jitter value of 0
    IPSEC INFO: IPSec SA PURGE timer started SPI 0x00024311
    IPSEC: New embryonic SA created @ 0x00007f05294fd920, 
     SCB : 0x294CCDB0, 
     Direction : outbound
     SPI : 0xEA689811
     Session ID : 0x00002000
     VPIF num : 0x00000002
     Tunnel type : l2l
     Protocol : esp
     Lifetime : 240 seconds
     SA handle : 0x00024311
    Rule Lookup for local 10.1.1.0 to remote 10.2.2.0
    Peer matched map outside_map sequence 20
    PROXY MATCH on crypto map outside_map seq 20
    IPSEC DEBUG: Using NP outbound permit rule for SPI 0xEA689811
    IPSEC: Completed host OBSA update, SPI 0xEA689811
    IPSEC: Creating outbound VPN context, SPI 0xEA689811
     Flags : 0x00000005
     SA : 0x00007f05294fd920
     SPI : 0xEA689811
     MTU : 1500 bytes
     VCID : 0x00000000
     Peer : 0x00000000
     SCB : 0x02CEE703
     Channel: 0x00007f0533c4f700
    IPSEC: Completed outbound VPN context, SPI 0xEA689811
    VPN handle: 0x000000000000763c
    IPSEC: New outbound encrypt rule, SPI 0xEA689811
     Src addr: 10.1.1.0
     Src mask: 255.255.255.0
     Dst addr: 10.2.2.0
     Dst mask: 255.255.255.0
     Src ports
     Upper: 0
     Lower: 0
     Op : ignore
     Dst ports
     Upper: 0
     Lower: 0
     Op : ignore
     Protocol: 0
     Use protocol: false
     SPI: 0x00000000
     Use SPI: false
    IPSEC: Completed outbound encrypt rule, SPI 0xEA689811
    Rule ID: 0x00007f05294f8a60
    IPSEC: New outbound permit rule, SPI 0xEA689811
     Src addr: 10.106.67.90
     Src mask: 255.255.255.255
     Dst addr: 10.106.67.91
     Dst mask: 255.255.255.255
     Src ports
     Upper: 0
     Lower: 0
     Op : ignore
     Dst ports
     Upper: 0
     Lower: 0
     Op : ignore
     Protocol: 50
     Use protocol: true
     SPI: 0xEA689811
     Use SPI: true
    IPSEC: Completed outbound permit rule, SPI 0xEA689811
    Rule ID: 0x00007f05294f9110
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, IKE got a KEY_ADD msg for SA: SPI = 0xea689811
    IPSEC: New embryonic SA created @ 0x00007f05294f4620, 
     SCB : 0x294CFE60, 
     Direction : inbound
     SPI : 0x50EF49AD
     Session ID : 0x00002000
     VPIF num : 0x00000002
     Tunnel type: l2l
     Protocol : esp
     Lifetime : 240 seconds
     SA handle : 0x0001B739
    Rule Lookup for local 10.1.1.0 to remote 10.2.2.0
    Peer matched map outside_map sequence 20
    PROXY MATCH on crypto map outside_map seq 20
    IPSEC DEBUG: Using NP inbound permit rule for SPI 0x50EF49AD
    IPSEC: Completed host IBSA update, SPI 0x50EF49AD
    IPSEC: Creating inbound VPN context, SPI 0x50EF49AD
     Flags: 0x00000006
     SA : 0x00007f05294f4620
     SPI : 0x50EF49AD
     MTU : 0 bytes
     VCID : 0x00000000
     Peer : 0x0000763C
     SCB : 0x02CE8BB3
     Channel: 0x00007f0533c4f700
    IPSEC: Completed inbound VPN context, SPI 0x50EF49AD
    VPN handle: 0x00000000000086bc
    IPSEC: Updating outbound VPN context 0x0000763C, SPI 0xEA689811
     Flags: 0x00000005
     SA : 0x00007f05294fd920
     SPI : 0xEA689811
     MTU : 1500 bytes
     VCID : 0x00000000
     Peer : 0x000086BC
     SCB : 0x02CEE703
     Channel: 0x00007f0533c4f700
    IPSEC: Completed outbound VPN context, SPI 0xEA689811
    VPN handle: 0x000000000000763c
    IPSEC: Completed outbound inner rule, SPI 0xEA689811
    Rule ID: 0x00007f05294f8a60
    IPSEC: Completed outbound outer SPD rule, SPI 0xEA689811
    Rule ID: 0x00007f05294f9110
    IPSEC: New inbound tunnel flow rule, SPI 0x50EF49AD
     Src addr: 10.2.2.0
     Src mask: 255.255.255.0
     Dst addr: 10.1.1.0
     Dst mask: 255.255.255.0
     Src ports
     Upper: 0
     Lower: 0
     Op : ignore
     Dst ports
     Upper: 0
     Lower: 0
     Op : ignore
     Protocol: 0
     Use protocol: false
     SPI: 0x00000000
     Use SPI: false
    IPSEC: Completed inbound tunnel flow rule, SPI 0x50EF49AD
    Rule ID: 0x00007f05294f8180
    IPSEC: New inbound decrypt rule, SPI 0x50EF49AD
     Src addr: 10.106.67.91
     Src mask: 255.255.255.255
     Dst addr: 10.106.67.90
     Dst mask: 255.255.255.255
     Src ports
     Upper: 0
     Lower: 0
     Op : ignore
     Dst ports
     Upper: 0
     Lower: 0
     Op : ignore
     Protocol: 50
     Use protocol: true
     SPI: 0x50EF49AD
     Use SPI: true
    IPSEC: Completed inbound decrypt rule, SPI 0x50EF49AD
    Rule ID: 0x00007f05294f7ad0
    IPSEC: New inbound permit rule, SPI 0x50EF49AD
     Src addr: 10.106.67.91
     Src mask: 255.255.255.255
     Dst addr: 10.106.67.90
     Dst mask: 255.255.255.255
     Src ports
     Upper: 0
     Lower: 0
     Op : ignore
     Dst ports
     Upper: 0
     Lower: 0
     Op : ignore
     Protocol: 50
     Use protocol: true
     SPI: 0x50EF49AD
     Use SPI: true
    IPSEC: Completed inbound permit rule, SPI 0x50EF49AD
    Rule ID: 0x00007f05294f4510
    IPSEC INFO: Destroying an IPSec timer of type SA Purge Timer
    IPSEC INFO: Destroying an IPSec timer of type SA Purge Timer
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Pitcher: received KEY_UPDATE, spi 0x50ef49ad
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Starting P2 rekey timer: 24480 seconds.
    Mar 15 05:41:39 [IKEv1]Group = 10.106.67.91, IP = 10.106.67.91, PHASE 2 COMPLETED (msgid=ad712fa9)

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    10-Jul-2015
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Venkata Aditya B
      Cisco TAC Engineer
    • Rahul Govindan
      Cisco TAC Engineer
    • Pavan Gundu
      Tecnico di consulenza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti