リモート アクセス VPN の ASA IKEv2 デバッグのトラブルシューティング

ダウンロード オプション

  • PDF     (492.3 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (104.1 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (125.3 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2013 年 10 月 9 日
Document ID:116158

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

このドキュメントでは、Cisco AnyConnect セキュア モビリティ クライアントでインターネット キー エクスチェンジ バージョン 2(IKEv2)が使用されているときに、Cisco 適応型セキュリティ アプライアンス(ASA)でのデバッグを理解する方法について説明します。また、特定のデバッグ行を ASA 設定に変換する方法に関する情報も示します。

このドキュメントでは、ASA に VPN トンネルが確立された後にトラフィックをどのように受け渡すかについては説明せず、IPSec や IKE の基本概念も含まれていません。

前提条件

要件

IKEv2 のパケット交換についての知識があることが推奨されます。詳細については、「IKEv2 のパケット交換とプロトコル レベル デバッグ」を参照してください。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • インターネット キー交換バージョン 2(IKEv2)
  • Cisco 適応型セキュリティ アプライアンス(ASA)バージョン 8.4 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

主な問題

Cisco Technical Assistance Center(TAC)では、IPsec VPN トンネルの確立に問題があっても、コマンドが暗号化できる場合を把握するために、IKE や IPSec のデバッグコマンドを頻繁に使用しています。

シナリオ

デバッグ コマンド

debug crypto ikev2 protocol 127
debug crypto ikev2 platform 127
debug aggregate-auth xml 5

ASA の設定

この ASA 設定では基本中の基本であり、外部サーバを使用しません。

interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 10.0.0.1 255.255.255.0

ip local pool webvpn1 10.2.2.1-10.2.2.10

crypto ipsec ikev2 ipsec-proposal 3des
 protocol esp encryption aes-256 aes 3des des
 protocol esp integrity sha-1
crypto dynamic-map dynmap 1000 set ikev2 ipsec-proposal 3des
crypto map crymap 10000 ipsec-isakmp dynamic dynmap
crypto map crymap interface outside

crypto ca trustpoint Anu-ikev2
 enrollment self
 crl configure

crypto ikev2 policy 10
 encryption aes-192
 integrity sha
 group 2
 prf sha
 lifetime seconds 86400

crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint Anu-ikev2
ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1
ssl trust-point Anu-ikev2 outside

webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-3.0.1047-k9.pkg 1
 anyconnect profiles Anyconnect-ikev2 disk0:/anyconnect-ikev2.xml
 anyconnect enable
 tunnel-group-list enable

group-policy ASA-IKEV2 internal
group-policy ASA-IKEV2 attributes
 wins-server none
 dns-server none
 vpn-tunnel-protocol ikev2 
 default-domain none
 webvpn
  anyconnect modules value dart
  anyconnect profiles value Anyconnect-ikev2 type user

username Anu password lAuoFgF7KmB3D0WI encrypted privilege 15

tunnel-group ASA-IKEV2 type remote-access
tunnel-group ASA-IKEV2 general-attributes
 address-pool webvpn1
 default-group-policy ASA-IKEV2
tunnel-group ASA-IKEV2 webvpn-attributes
 group-alias ASA-IKEV2 enable

XML ファイル

<ServerList>
        <HostEntry>
                <HostName>Anu-IKEV2</HostName>
                <HostAddress>10.0.0.1</HostAddress>
                <UserGroup>ASA-IKEV2</UserGroup>
                <PrimaryProtocol>IPsec</PrimaryProtocol>
        </HostEntry>
</ServerList>

:XMLクライアントプロファイルのユーザグループ名は、ASAのトンネルグループの名前と同じである必要があります。同じでない場合は、「Invalid Host Entry.Please re-enter」というエラー メッセージが AnyConnect クライアントに表示されます。

デバッグ ログと説明

:Diagnostics and Reporting Tool(DART)のログは通常、通信が非常に多いため、この例では重要ではないため、特定のDARTログが省略されています。

サーバ メッセージの説明

デバッグ

クライアント メッセージの説明
 

日付:2013/04/23
時間:16:24:55
タイプ:情報
出典:acvpnui

説明:関数:ClientIfcBase::connect
ファイル: .\ClientIfcBase.cpp
回線:964
A VPN connection to Anu-IKEV2 has been requested by the user.

0.****************************************
日付:2013/04/23
時間:16:24:55
タイプ:情報
出典:acvpnui

説明:ユーザに送信されるメッセージタイプ情報:
Contacting Anu-IKEV2.
0.****************************************
日付:2013/04/23
時間:16:24:55
タイプ:情報
出典:acvpnui

説明:関数:ApiCert::getCertList
ファイル: .\ApiCert.cpp
回線:259
見つかった証明書の数: 0
0.****************************************
日付:2013/04/23
時間:16:25:00
タイプ:情報
出典:acvpnui

説明:セキュアゲートウェイへのVPN接続の開始https://10.0.0.1/ASA-IKEV2
0.****************************************
日付:2013/04/23
時間:16:25:00
タイプ:情報
出典:acvpnagent

説明:GUIクライアントによって開始されるトンネル。

0.****************************************

日付:2013/04/23
時間:16:25:02
タイプ:情報
出典:acvpnagent

説明:関数:CIPsecProtocol::connectTransport
ファイル: .\IPsecProtocol.cpp
回線:1629
Opened IKE socket from 192.168.1.1:25170 to 10.0.0.1:500
0.****************************************

 クライアントが ASA への VPN トンネルを開始します。
  ---------------------------------IKE_SA_INIT交換が開始します------------------------------  

ASA がクライアントから IKE_SA_INIT メッセージを受信します。

IKEv2-PLAT-4: RECV PKT [IKE_SA_INIT] [192.168.1.1]:25170->[10.0.0.1]:500 InitSPI=0x58aff71141ba436b RespSPI=0x0000000000000000 MID=00000000

IKEv2-PROTO-3: Rx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id: 0x0

  

最初の 1 組のメッセージは IKE_SA_INIT 交換です。これらのメッセージでは暗号化アルゴリズムのネゴシエーション、ナンスの交換、Diffie-Hellman(DH)交換を行います。

クライアントから受信した IKE_SA_INIT メッセージには次のフィールドが含まれています。

  1. ISAKMP ヘッダー - SPI/バージョン/フラグ
  2. SAi1 - IKE の発信側がサポートする暗号化アルゴリズム
  3. KEi - 発信側の DH 公開キーの値
  4. N - 発信側のナンス
 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: 0000000000000000]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B - rspi:0000000000000000
IKEv2-PROTO-4:次のペイロード:SA、バージョン:2.0
IKEv2-PROTO-4:交換タイプ:IKE_SA_INIT、フラグ:イニシエータ
IKEv2-PROTO-4:メッセージID:0x0、長さ:528

 SA:次のペイロード:KE、予約済み:0x0、長さ:168
IKEv2-PROTO-4:最終提案:0x0、予約済み:0x0、長さ:164
  プロポーザル:1、プロトコルID:IKE、SPIサイズ:0、#trans:18
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:12
    タイプ:1、予約済み:0x0、id:AES-CBC
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:12
    タイプ:1、予約済み:0x0、id:AES-CBC
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:12
    タイプ:1、予約済み:0x0、id:AES-CBC
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:8
    タイプ:1、予約済み:0x0、ID:3DES
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:8
    タイプ:1、予約済み:0x0、id:DES
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:8
    タイプ:2、予約済み:0x0、id:SHA512
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:8
    タイプ:2、予約済み:0x0、id:SHA384
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:8
    タイプ:2、予約済み:0x0、id:SHA256
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:8
    タイプ:2、予約済み:0x0、ID:SHA1
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:8
    タイプ:2、予約済み:0x0、ID:MD5
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:8
    タイプ:3、予約済み:0x0、id:SHA512
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:8
    タイプ:3、予約済み:0x0、id:SHA384
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:8
    タイプ:3、予約済み:0x0、id:SHA256
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:8
    タイプ:3、予約済み:0x0、id:SHA96
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:8
    タイプ:3、予約済み:0x0、ID:MD596
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:8
    タイプ:4、予約済み:0x0、ID:DH_GROUP_1536_MODP/グループ5
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:8
    タイプ:4、予約済み:0x0、ID:DH_GROUP_1024_MODP/Group 2
IKEv2-PROTO-4:最後の変換:0x0、予約済み:0x0:長さ:8
    タイプ:4、予約済み:0x0、ID:DH_GROUP_768_MODP/Group 1

 KE 次のペイロード:N、予約済み:0x0、長さ:104
    DHグループ:1、予約済み:0x0

     eb 5e 29 fe cb 2e d1 28 ed 4a 54 b1 13 7c b8 89
     f7 62 13 6b df 95 88 28 b5 97 ba 52 ef e4 1d 28
     ca 06 d1 36 b6 67 32 9a c2 dd 4e d8 c7 80 de 20
     36 34 c5 b3 3e 1d 83 1a c7 fb 9d b8 c5 f5 ed 5f
     ba ba 4f b6 b2 e2 2d 43 4f a0 b6 90 9a 11 3f 7d
     0a 21 c3 4d d3 0a d2 1e 33 43 d3 5e cc 4b 38 e0
 N次のペイロード:VID、予約済み:0x0、長さ:24

     20 12 8f 22 7b 16 23 52 e4 29 4d 98 c7 fd a8 77
     ce 7c 0b b4
IKEv2-PROTO-5:Parse Vendor Specific Payload:CISCO-DELETE-REASON VID次のペイロード:VID、予約済み:0x0、長さ:23		  

ASA は
IKE_INIT メッセージを確認し、処理します。ASA は次を実行します。

  1. 暗号スイートを発信側が
    提供したものから選択します。
  2. 自身の DH 秘密キーを計算します。
  3. この IKE_SA 用のすべてのキーを
    導出することができる SKEYID 値
    を計算します。後続のすべての
    メッセージのヘッダーが
    暗号化され、認証されます。「
    暗号化に使用されたキーおよび
    完全性の保護は、SKEYID から
    導出され、次のように知られています。

    1. SK_e - 暗号化
    2. SK_a - 認証
    3. SK_d - CHILD_SAs
      の詳細なキー関連情報の
      導出のために
      導出し、使用
    SK_e と SK_a は
    方向ごとに個々に計算されます。

関連コンフィギュレーション

crypto ikev2 policy 10
 encryption aes-192 integrity 
 sha group 2  prf sha lifetime 
 seconds 86400
crypto ikev2 enable outside
 Decrypted packet:Data:528 bytes
IKEv2-PLAT-3:カスタムVIDペイロードの処理
IKEv2-PLAT-3:ピアから受信したCisco Copyright VID
IKEv2-PLAT-3:ピアからAnyConnect EAP VIDを受信する
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLEイベント: EV_RECV_INIT
IKEv2-PROTO-3:(6):NATディスカバリの確認
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLEイベント: EV_CHK_REDIRECT
IKEv2-PROTO-5: (6):リダイレクトチェックは必要ありません。スキップします
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLEイベント: EV_CHK_CAC
IKEv2-PLAT-5:新しいikev2 sa要求が許可されました
IKEv2-PLAT-5:着信ネゴシエーションサービスカウントを1増やす
IKEv2-PLAT-5:無効なPSHハンドル
IKEv2-PLAT-5:無効なPSHハンドル
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLEイベント: EV_CHK_COOKIE
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLEイベント: EV_CHK4_COOKIE_NOTIFY
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INITイベント: EV_VERIFY_MSG
IKEv2-PROTO-3:(6):SA初期化メッセージの確認
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INITイベント: EV_INSERT_SA
IKEv2-PROTO-3:(6):SAの挿入
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INITイベント: EV_GET_IKE_POLICY
IKEv2-PROTO-3:(6):設定済みポリシーの取得
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INITイベント: EV_PROC_MSG
IKEv2-PROTO-2: (6):初期メッセージを処理しています
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INITイベント: EV_DETECT_NAT
IKEv2-PROTO-3:(6):NATディスカバリ通知の処理
IKEv2-PROTO-5:(6):nat detect src notifyの処理
IKEv2-PROTO-5:(6):リモートアドレスが一致しません
IKEv2-PROTO-5:(6):nat detect dst notifyの処理
IKEv2-PROTO-5:(6):ローカルアドレスが一致しました
IKEv2-PROTO-5:(6):ホストはNAT外部に配置されます
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INITイベント: EV_CHK_CONFIG_MODE
IKEv2-PROTO-3: (6):有効な構成モードデータを受信しました
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INITイベント: EV_SET_RECD_CONFIG_MODE
IKEv2-PROTO-3:(6):受信した設定モードデータを設定
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INITイベント: EV_SET_POLICY
IKEv2-PROTO-3:(6):設定済みポリシーの設定
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INITイベント: EV_CHK_AUTH4PKI
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INITイベント: EV_PKI_SESH_OPEN
IKEv2-PROTO-3:(6):PKIセッションのオープン
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INITイベント: EV_GEN_DH_KEY
IKEv2-PROTO-3:(6):DH公開キーの計算
IKEv2-PROTO-3:(6):
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INITイベント: EV_NO_EVENT
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INITイベント: EV_OK_RECD_DH_PUBKEY_RESP
IKEv2-PROTO-5:(6):アクション: Action_Null
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INITイベント: EV_GEN_DH_SECRET
IKEv2-PROTO-3:(6):DH秘密キーの計算
IKEv2-PROTO-3:(6):
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INITイベント: EV_NO_EVENT
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INITイベント: EV_OK_RECD_DH_SECRET_RESP
IKEv2-PROTO-5:(6):アクション: Action_Null
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INITイベント: EV_GEN_SKEYID
IKEv2-PROTO-3: (6): skeyidを生成します
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Event: EV_GET_CONFIG_MODE		  

ASA は IKE_SA_INIT 交換の応答メッセージを作成します。

このパケットには次が含まれます。

  1. ISAKMP ヘッダー - SPI/バージョン/フラグ
  2. SAr1 - IKE の応答側が選択する暗号化アルゴリズム
  3. KEr - 応答側の DH 公開キーの値
  4. N - 応答側のナンス
 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Event:EV_BLD_MSG
IKEv2-PROTO-2:(6):初期メッセージの送信
IKEv2-PROTO-3:IKEプロポーザル:1、SPIサイズ:0(初期ネゴシエーション)
変換の数: 4
   AES-CBC SHA1 SHA96 DH_GROUP_768_MODP/Group 1
IKEv2-PROTO-5:ベンダー固有ペイロードの構築:DELETE-REASONIKEv2-PROTO-5:ベンダー固有ペイロードの構築: (CUSTOM)IKEv2-PROTO-5:ベンダー固有ペイロードの構築: (CUSTOM)IKE v2-PROTO-5:コンストラクト通知ペイロード: NAT_DETECTION_SOURCE_IPIKEv2-PROTO-5:コンストラクト通知ペイロード: NAT_DETECTION_DESTINATION_IPIKEv2-PLAT-2:信頼された発行者のハッシュを取得できなかったか、使用可能な発行者がありません
IKEv2-PROTO-5:ベンダー固有ペイロードの構築:FRAGMENTATIONIKEv2-PROTO-3: Tx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id: 0x0
IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:次のペイロード:SA、バージョン:2.0
IKEv2-PROTO-4:交換タイプ:IKE_SA_INIT、フラグ:応答側MSG-RESPONSE
IKEv2-PROTO-4:メッセージID:0x0、長さ:386
 SA:次のペイロード:KE、予約済み:0x0、長さ:48
IKEv2-PROTO-4:最終提案:0x0、予約済み:0x0、長さ:44
  プロポーザル:1、プロトコルID:IKE、SPIサイズ:0、#trans:4
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:12
    タイプ:1、予約済み:0x0、id:AES-CBC
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:8
    タイプ:2、予約済み:0x0、ID:SHA1
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:8
    タイプ:3、予約済み:0x0、id:SHA96
IKEv2-PROTO-4:最後の変換:0x0、予約済み:0x0:長さ:8
    タイプ:4、予約済み:0x0、ID:DH_GROUP_768_MODP/Group 1

 KE 次のペイロード:N、予約済み:0x0、長さ:104
    DHグループ:1、予約済み:0x0

     c9 30 f9 32 d4 7c d1 a7 5b 71 72 09 6e 7e 91 0c
     e1 ce b4 a4 3c f2 8b 74 4e 20 59 b4 0b a1 ff 65
     37 88 cc c4 a4 b6 fa 4a 63 03 93 89 e1 7e bd 6a
     64 9a 38 24 e2 a8 40 f5 a3 d6 ef f7 1a df 33 cc
     a1 8e fa dc 9c 34 45 79 1a 7c 29 05 87 8a ac 02
     98 2e 7d cb 41 51 d6 fe fc c7 76 83 1d 03 b0 d7
 N次のペイロード:VID、予約済み:0x0、長さ:24

     c2 28 7f 8c 7d b3 1e 51 fc eb f1 97 ec 97 b8 67
     d5 e7 c2 f5
 VID次ペイロード:VID、予約済み:0x0、長さ:23		  
ASA が IKE_SA_INIT 交換の応答メッセージを送信します。これで IKE_SA_INIT 交換が完了しました。ASA 認証プロセスのタイマーを起動します。  IKEv2-PLAT-4: SENT PKT [IKE_SA_INIT] [10.0.0.1]:500->[192.168.1.1]:25170 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000000
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DONEイベント: EV_DONE
IKEv2-PROTO-3: (6):フラグメンテーションが有効になっている
IKEv2-PROTO-3:(6):Cisco DeleteReason Notifyが有効
IKEv2-PROTO-3:(6):SA初期化交換を完了します。
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DONEイベント: EV_CHK4_ROLE
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DONE Event: EV_START_TMR.
IKEv2-PROTO-3:(6):認証メッセージを待機するタイマーの開始(30秒)
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_WAIT_AUTHイベント: EV_NO_EVENT    

 0.****************************************
日付:2013/04/23
時間:16:25:02
タイプ:情報
出典:acvpnagent

説明:関数:CIPsecProtocol::initiateTunnel
ファイル: .\IPsecProtocol.cpp
回線:345
IPsec tunnel is initiating
0.****************************************

クライアントは IPSec トンネルを「initiating」と示しています。
   -----------------------------------IKE_SA_INIT完了---------------------------------  
  ------------------------------------- IKE_AUTHの開始-------------------------------------  
  0.****************************************
日付:2013/04/23
時間:16:25:00
タイプ:情報
出典:acvpnagent

説明:セキュアなゲートウェイパラメータ:
 IPアドレス:10.0.0.1
 ポート:443
 URL: "10.0.0.1"
 認証方法:IKE - EAP-AnyConnect
 IKE Identity:
0.****************************************
日付:2013/04/23
時間:16:25:00
タイプ:情報
出典:acvpnagent

説明:Cisco AnyConnectセキュアモビリティクライアント接続の開始、バージョン3.0.1047
0.****************************************

日付:2013/04/23
時間:16:25:02
タイプ:情報
出典:acvpnagent

説明:関数:ikev2_log
ファイル: .\ikev2_anyconnect_osal.cpp
回線:2730
IPSecトンネルを確立する要求を受信しました。ローカルトラフィックセレクタ=アドレス範囲: 0.0.0.0-255.255.255.255プロトコル: 0ポート範囲: 0-65535リモートトラフィックセレクタ=アドレス範囲: 0.0.0-255.255.255.255プロトコル: 0ポート範囲: 0-65535
0.****************************************
日付:2013/04/23
時間:16:25:02
タイプ:情報
出典:acvpnagent

説明:関数:CIPsecProtocol::connectTransport
ファイル: .\IPsecProtocol.cpp
回線:1629
Opened IKE socket from 192.168.1.1:25171 to 10.0.0.1:4500
0.****************************************

 クライアントは、拡張認証の使用を要求するため、メッセージ 3 から AUTH ペイロードを省略します。拡張可能認証プロトコル(EAP)による認証を指定するか、クライアント プロファイルによって指示され、プロファイルに <IKEIdentity> 要素が含まれていない場合は、クライアントは固定文字列 *$AnyConnectClient$* を含めて ID_GROUP タイプの IDi ペイロードを送信します。クライアントはポート 4500 で ASA への接続を開始します。

この認証は、EAP を使用して行われます。EAP のメッセージ交換では、単一の EAP 認証方式だけが許可されています。ASA がクライアントから IKE_AUTH メッセージを受信します。

IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f7MID=00000001

IKEv2-PROTO-3:Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x1

  

クライアントに IDi ペイロードが含まれていても
AUTH ペイロードが含まれていない場合は、
クライアントは ID を宣言たものの証明されて
いないことを示します。デバッグでは、AUTH
ペイロードはクライアントから送信される
IKE_AUTH パケットにはありません。クライアント例外とは、
EAP 交換が正常に行われた後にのみ、
AUTH ペイロードを送信します。ASA が
拡張認証方式を使用
する場合は、EAP ペイロードを
メッセージ 4 に配置し、送信側の
認証が後続の IKE_AUTH 交換で
完了するまで、SAr2、TSi、および
TSr の送信を延期します。

IKE_AUTH の発信側パケットには、次が含まれています。

  1. ISAKMP ヘッダー -
    SPI/バージョン/フラグ
  2. IDi - クライアントが接続したい
    トンネル グループの名前は、
    IKE_AUTH 交換の最初の
    メッセージのタイプ ID_KEY_ID の
    IDi ペイロードで提供される場合が
    あります。これは
    クライアント プロファイル* が
    グループ名で事前に設定されているか、
    前回の正常な認証後に、
    クライアントが優先順位ファイルの
    グループ名をキャッシュしている場合に
    発生します。ASA は
    トンネル グループ名と IKE IDi
    ペイロードの内容を一致させようと
    します。最初に成功した
    IPsec VPN が確立された後、
    クライアントはユーザが認証された
    グループ名(グループ エイリアス)を
    キャッシュします。このグループ
    名は、ユーザが希望した
    予測グループを示すために、
    次の接続試行の
    IDi ペイロードで提供
    されます。EAP 認証がクライアント プロファイル
    で指定または示唆されていて、
    プロファイルに <IKEIdentity> 要素
    が含まれていない場合は、
    クライアントは固定文字列
    *$AnyConnectClient$* を
    含んだ ID_GROUP タイプの
    IDi ペイロードを送信します。
  3. CERTREQ:クライアントは
    優先度の高い証明書の
    ASA を要求しています。証明書
    要求ペイロードは、送信側が
    受信側の証明書を入手する
    必要がある場合に、交換の際に
    含められる場合があります。証明書要求
    ペイロードは、プロセッサに
    この種の証明書があるか
    どうかを特定するため、
    [Cert encodindg] フィールドの検査
    により処理されます。この場合、
    指定した証明機関のいずれか
    で検証できる証明書がプロセッサ
    にあるかかどうかを特定するために、
    [Certification Authority]
    フィールドが検査
    されます。これは、証明書のチェーンである場合があります。
    指定できます。
  4. CFG - CFG_REQUEST/
    CFG_REPLY では、IKE
    エンドポイントを使用して、ピア
    の情報を要求できます。CFG_REQUEST 設定
    ペイロードの属性がゼロ長でない
    場合は、その属性
    についての推奨として
    属性CFG_REPLY
    設定ペイロードがその値、または
    新しい値を返すことがあります。また、
    新しい属性を追加して、
    要求したものを含めない場合があります。
    要求側は、認識しない
    属性が返された場合は
    それらを無視します。このようなデバッグでは、
    クライアントが CFG_REQUEST
    でトンネル設定を要求
    します。ASA は
    EAP 交換が成功した後にだけ、
    これに応答し、トンネル設定
    属性を送信します。
  5. SAi2 - SAi2 は、IKEv1 の
    フェーズ 2 のトランスフォーム セットの
    交換に類似した SA を開始します。
  6. TSi および TSr - 発信側と
    応答側のトラフィック セレクタには、
    暗号化されたトラフィックを転送
    および受信するために、発信側と
    応答側の送信元と宛先の
    アドレスがそれぞれ含まれて
    います。アドレス範囲は、
    その範囲を対象とするすべてのトラフィック
    がトンネリングされることを指定します。If the
    が応答側に受け入れられる場合は、
    同じ TS ペイロードを送り返し
    ます。

クライアントがグループ認証用に提供する
必要がある属性は AnyConnect
プロファイル ファイルに保存されています。

*関連プロファイル設定:

<ServerList>
<HostEntry>
  <HostName>Anu-IKEV2
  </HostName>
  <HostAddress>10.0.0.1
  </HostAddress>
  
         
         
           ASA-IKEV2 
          
 
         
<PrimaryProtocol>IPsec
</PrimaryProtocol>
</HostEntry>
</ServerList>
 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:次のペイロード:ENCR、バージョン:2.0
IKEv2-PROTO-4:交換タイプ:IKE_AUTH、フラグ:INITIATOR
IKEv2-PROTO-4:メッセージID:0x1、長さ:540
IKEv2-PROTO-5: (6):要求にmess_id 1があります。予期される値は1 ~ 1です
REAL Decrypted packet:Data:465 bytes
IKEv2-PROTO-5: Parse Vendor Specific Payload: (CUSTOM) VID Next payload: IDi, reserved: 0x0, length: 20

     58 af f6 11 52 8d b0 2c b8 da 30 46 be 91 56 fa
 IDi次のペイロード:CERTREQ、予約済み:0x0、長さ:28
    Idタイプ:グループ名、予約済み: 0x0 0x0

     2a 24 41 6e 79 43 6f 6e 6e 65 63 74 43 6c 69 65
     6e 74 24 2a
 CERTREQ次のペイロード:CFG、予約済み:0x0、長さ:25
    Cert encoding X.509 Certificate - signature
CertReqデータ(&C)、20バイト
 CFG:次のペイロード:SA、予約済み:0x0、長さ:196
    cfg type: CFG_REQUEST、予約済み:0x0、予約済み:0x0

   属性タイプ:内部IP4アドレス、長さ: 0

   属性タイプ:内部IP4ネットマスク、長さ: 0

   属性タイプ:内部IP4 DNS、長さ: 0

   属性タイプ:内部IP4 NBNS、長さ: 0

   属性タイプ:内部アドレス有効期限、長さ: 0

   属性タイプ:アプリケーション・バージョン、長さ: 27

     41 6e 79 43 6f 6e 6e 65 63 74 20 57 69 6e 64 6f
     77 73 20 33 2e 30 2e 31 30 34 37
   属性タイプ:内部IP6アドレス、長さ: 0

   属性タイプ:内部IP4サブネット、長さ: 0

   属性タイプ:不明 – 28682、長さ: 15

     77 69 6e 78 70 36 34 74 65 6d 70 6c 61 74 65
   属性タイプ:不明 – 28704、長さ: 0

   属性タイプ:不明 – 28705、長さ: 0

   属性タイプ:不明 – 28706、長さ: 0

   属性タイプ:不明 – 28707、長さ: 0

   属性タイプ:不明 – 28708、長さ: 0

   属性タイプ:不明 – 28709、長さ: 0

   属性タイプ:不明 – 28710、長さ: 0

   属性タイプ:不明 – 28672、長さ: 0

   属性タイプ:不明 – 28684、長さ: 0

   属性タイプ:不明 – 28711、長さ: 2

     05 7e
   属性タイプ:不明 – 28674、長さ: 0

   属性タイプ:不明 – 28712、長さ: 0

   属性タイプ:不明 – 28675、長さ: 0

   属性タイプ:不明 – 28679、長さ: 0

   属性タイプ:不明 – 28683、長さ: 0

   属性タイプ:不明 – 28717、長さ: 0

   属性タイプ:不明 – 28718、長さ: 0

   属性タイプ:不明 – 28719、長さ: 0

   属性タイプ:不明 – 28720、長さ: 0

   属性タイプ:不明 – 28721、長さ: 0

   属性タイプ:不明 – 28722、長さ: 0

   属性タイプ:不明 – 28723、長さ: 0

   属性タイプ:不明 – 28724、長さ: 0

   属性タイプ:不明 – 28725、長さ: 0

   属性タイプ:不明 – 28726、長さ: 0

   属性タイプ:不明 – 28727、長さ: 0

   属性タイプ:不明 – 28729、長さ: 0

 SA:次のペイロード:TSi、予約済み:0x0、長さ:124
IKEv2-PROTO-4:最終提案:0x0、予約済み:0x0、長さ:120
  提案:1、プロトコルID:ESP、SPIサイズ:4、#trans:12
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:12
    タイプ:1、予約済み:0x0、id:AES-CBC
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:12
    タイプ:1、予約済み:0x0、id:AES-CBC
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:12
    タイプ:1、予約済み:0x0、id:AES-CBC
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:8
    タイプ:1、予約済み:0x0、ID:3DES
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:8
    タイプ:1、予約済み:0x0、id:DES
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:8
    タイプ:1、予約済み:0x0、ID:NULL
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:8
    タイプ:3、予約済み:0x0、id:SHA512
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:8
    タイプ:3、予約済み:0x0、id:SHA384
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:8
    タイプ:3、予約済み:0x0、id:SHA256
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:8
    タイプ:3、予約済み:0x0、id:SHA96
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:8
    タイプ:3、予約済み:0x0、ID:MD596
IKEv2-PROTO-4:最後の変換:0x0、予約済み:0x0:長さ:8
    タイプ:5、予約済み:0x0、id:

 TSi次のペイロード:TSr、予約済み:0x0、長さ:24
    TS数:1、予約済み0x0、予約済み0x0
    TSタイプ: TS_IPV4_ADDR_RANGE、プロトコルID: 0、長さ: 16
    開始ポート:0、終了ポート:65535
    開始アドレス: 0.0.0.0、終了アドレス: 255.255.255.255
 TSr次のペイロード:NOTIFY、予約済み:0x0、長さ:24
    TS数:1、予約済み0x0、予約済み0x0
    TSタイプ: TS_IPV4_ADDR_RANGE、プロトコルID: 0、長さ: 16
    開始ポート:0、終了ポート:65535
    開始アドレス: 0.0.0.0、終了アドレス: 255.255.255.255		  

ASA は IKE_AUTH メッセージへの応答を生成し、クライアントに対して自身を認証するための準備を行います。

復号化されたパケット:データ(&C)、540バイト
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTHイベント: EV_RECV_AUTH
IKEv2-PROTO-3: (6):認証メッセージを待機するタイマーを停止しています
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTHイベント: EV_CHK_NAT_T
IKEv2-PROTO-3:(6):NATディスカバリの確認
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTHイベント: EV_CHG_NAT_T_PORT
IKEv2-PROTO-2:(6):NATがfloatを検出してポート25171を初期化、ポート4500を応答
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTHイベント: EV_PROC_ID
IKEv2-PROTO-2: (6):プロセスIDの有効なパラメーターを受け取りました
IKEv2-PLAT-3:(6)ピア認証方式:0
IKEv2-PROTO-5:(6):SMトレース – > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(EはSPI番号を示します) r) MsgID = 00000001 CurState: R_WAIT_AUTHイベント: EV_CHK_IF_PEER_CERT_NEEDS_TO_BE_FETCHED_FOR_PROF_SEL
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTHイベント: EV_GET_POLICY_BY_PEERID
IKEv2-PROTO-3:(6):設定されたポリシーの取得
IKEv2-PLAT-3:IDペイロードに基づいて新しいAnyConnectクライアント接続を検出する
IKEv2-PLAT-3:my_auth_method = 1
IKEv2-PLAT-3:(6)ピア認証方式:256に設定
IKEv2-PLAT-3:supported_peers_auth_method = 16
IKEv2-PLAT-3:(6) tp_nameをAnu-ikev2に設定
IKEv2-PLAT-3:トラストポイントをAnu-ikev2に設定
IKEv2-PLAT-3:P1 ID = 0
IKEv2-PLAT-3:IKE_ID_AUTOの= 9への変換
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTHイベント: EV_SET_POLICY
IKEv2-PROTO-3:(6):設定済みポリシーの設定
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTHイベント: EV_VERIFY_POLICY_BY_PEERID
IKEv2-PROTO-3:(6):ピアのポリシーの確認
IKEv2-PROTO-3: (6):一致する証明書が見つかりました
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTHイベント: EV_CHK_CONFIG_MODE
IKEv2-PROTO-3: (6):有効な構成モードデータを受信しました
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTHイベント: EV_SET_RECD_CONFIG_MODE
IKEv2-PLAT-3:(6) DDNSのDHCPホスト名はwinxp64templateに設定されます。
IKEv2-PROTO-3:(6):受信した設定モードデータを設定
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTHイベント: EV_CHK_AUTH4EAP
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTHイベント: EV_CHK_EAP
IKEv2-PROTO-3:(6):EAP交換の確認
IKEv2-PROTO-5:(6):SM Trace-> SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState:R_BLD_AUTHイベント:EV_GEN_AUTH
IKEv2-PROTO-3: (6):認証データを生成する
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTHイベント: EV_CHK4_SIGN
IKEv2-PROTO-3: (6):認証方式を取得する
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTHイベント: EV_SIGN
IKEv2-PROTO-3:(6):認証データの署名
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTHイベント: EV_OK_AUTH_GEN
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQイベント: EV_AUTHEN_REQ
IKEv2-PROTO-2:(6):オーセンティケータにEAP要求を送信するように要求する

Created element name config-auth value
Added attribute name client value vpn to element config-auth
Added attribute name type value hello to element config-auth
Created element name version value 9.0(2)8
Added element name version value 9.0(2)8 to element config-auth
Added attribute name who value sg to element version
Generated XML message below
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="hello">
<version who="sg">9.0(2)8</version>
</config-auth>

IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ Event: EV_RECV_EAP_AUTH
IKEv2-PROTO-5:(6):アクション: Action_Null
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ Event: EV_CHK_REDIRECT
IKEv2-PROTO-3:(6):プラットフォームによるロードバランシングのリダイレクトチェック
IKEv2-PLAT-3:プラットフォームでのリダイレクトチェック
IKEv2-PLAT-3:ikev2_osal_redirect:セッションは10.0.0.1によって受け入れられました
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQイベント: EV_SEND_EAP_AUTH_REQ
IKEv2-PROTO-2:(6):EAP要求の送信
IKEv2-PROTO-5:ベンダー固有ペイロードの構築:CISCO-GRANITEIKEv2-PROTO-3:(6):構築

  

ASA はクライアントからユーザ クレデンシャルを要求するために、AUTH ペイロードを送信します。ASA は AUTH メソッドを「RSA」として送信するため、自身の証明書をクライアントに送信することになます。これにより、クライアントは ASA サーバを認証できます。

ASA には拡張性認証方式の使用を希望しているため、EAP ペイロードをメッセージ 4 に配置し、発信側の認証が後続の IKE_AUTH 交換が完了するまで SAr2、TSi、および TSr の送信を延期します。したがって、これらの 3 種類のペイロードはデバッグにありません。

EAP パケットには次が含まれています。

  1. Code: request:このコードは、オーセンティケータによってピアに送信されます。
  2. id:1 - IDは、要求へのEAP応答の照合に役立ちます。ここで、値は、EAP 交換の最初のパケットであることを示す 1 です。このEAP要求の「config-auth」タイプは「hello」です。EAP交換を開始するためにASAからクライアントに送信されます。
  3. Length: 150 - EAPパケットの長さには、コード、ID、長さ、EAPデータが含まれます。
  4. EAP データ
  IDr。次のペイロード:CERT、予約済み:0x0、長さ:36
    Idタイプ: DER ASN1 DN、予約済み: 0x0 0x0

     30 1a 31 18 30 16 06 09 2a 86 48 86 f7 0d 01 09
     02 16 09 41 53 41 2d 49 4b 45 56 32
 CERT:次のペイロード:CERT、予約済み:0x0、長さ:436
    Cert encoding X.509 Certificate - signature
証明書データ(&C)、431バイト
 CERT次のペイロード:AUTH、予約済み:0x0、長さ:436
    Cert encoding X.509 Certificate - signature
証明書データ(&C)、431バイト
 AUTH:次のペイロード:EAP、予約済み:0x0、長さ:136
    認証方式RSA、予約済み:0x0、予約済み0x0
認証データ(&C)、128バイト
 EAP 次のペイロード:なし、予約済み:0x0、長さ:154
    コード:要求:id:1、長さ:150
    タイプ:不明 – 254
EAPデータ:145バイト

IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x1
IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:次のペイロード:ENCR、バージョン:2.0
IKEv2-PROTO-4:交換の種類: IKE_AUTH、フラグ:応答側MSG-RESPONSE
IKEv2-PROTO-4:メッセージID:0x1、長さ:1292
 ENCR次ペイロード:VID、予約済み:0x0、長さ:1264
Encrypted data&colon;1260 bytes		  

フラグメンテーションは、証明書が大きいか、証明書チェーンが含まれている場合に発生する可能性があります。発信側と応答側の両方の KE ペイロードにも、フラグメンテーションを引き起こす可能性がある大きいキーが含まれている場合がありす。

 IKEv2-PROTO-5:(6):パケットのフラグメント化、フラグメントMTU:544、フラグメント数:3、フラグメントID:1
IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001
IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001
IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001		  
 

0.****************************************
日付:2013/04/23
時間:16:25:02
タイプ:情報
出典:acvpnagent

説明:関数:ikev2_verify_X509_SIG_certs
ファイル: .\ikev2_anyconnect_osal.cpp
回線:2077
Requesting certificate acceptance from user
0.****************************************
日付:2013/04/23
時間:16:25:02
タイプ:エラー
出典:acvpnui

説明:関数:CCapiCertificate::verifyChainPolicy
ファイル: .\Certificates\CapiCertificate.cpp
回線:2032
呼び出された関数: CertVerifyCertificateChainPolicy
リターンコード: -2146762487 (0x800B0109)
説明:証明書チェーンは処理されましたが、信頼プロバイダーによって信頼されていないルート証明書で終了しました。
0.****************************************
日付:2013/04/23
時間:16:25:04
タイプ:情報
出典:acvpnagent

説明:関数: CEAPMgr::dataRequestCB
ファイル: .\EAPMgr.cpp
回線:400
EAPの推奨タイプ:EAP-ANYCONNECT
0.****************************************

 ASA から送信された証明書がユーザに表示されます。この証明書は信頼されていません。EAP タイプは EAP-ANYCONNECT です。

クライアントは、応答という形で EAP 要求に応答します。

EAP パケットには次が含まれています。

  1. Code: response:このコードは、EAP要求への応答としてピアがオーセンティケータに送信します。
  2. id:1: IDは、要求へのEAP応答の照合に役立ちます。ここで、値は 1 です。これは、ASA(オーセンティケータ)によって前に送信された要求への応答であることを示します。このEAP応答の「config-auth」タイプは「init」です。クライアントはEAP交換を初期化し、ASAが認証要求を生成するのを待機します。
  3. Length: 252 - EAPパケットの長さには、コード、ID、長さ、EAPデータが含まれます。
  4. EAP データ

ASA はこの応答を復号化し、クライアントは前のパケット(および証明書)で AUTH ペイロードを受信し、ASA から最初の EAP 要求パケットを受信したことを伝えます。これが「init」EAP 応答パケットに含まれているものです。

IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000002
IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x2
IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:次のペイロード:ENCR、バージョン:2.0
IKEv2-PROTO-4:交換タイプ:IKE_AUTH、フラグ:INITIATOR
IKEv2-PROTO-4:メッセージID:0x2、長さ:332
IKEv2-PROTO-5: (6):要求にmess_id 2があります。予期される値は2 ~ 2です
REAL Decrypted packet:Data:256 bytes
 EAP 次のペイロード:なし、予約済み:0x0、長さ:256
    コード:応答: id:1長さ:252
    タイプ:不明 – 254
EAP data:247 bytes

復号化されたパケット:データ(&C)、332バイト
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_WAIT_EAP_RESPイベント: EV_RECV_AUTH
IKEv2-PROTO-3: (6):認証メッセージを待機するタイマーを停止しています
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_WAIT_EAP_RESPイベント: EV_RECV_EAP_RESP

IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_PROC_EAP_RESPイベント: EV_PROC_MSG
IKEv2-PROTO-2:(6):EAP応答の処理

Received XML message below from the client
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="init">
<device-id>win</device-id>
<version who="vpn">3.0.1047</version>
<group-select>ASA-IKEV2</group-select>
<group-access>ASA-IKEV2</group-access>
</config-auth>
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_PROC_EAP_RESPイベント: EV_RECV_EAP_AUTH

IKEv2-PROTO-5:(6):アクション: Action_Null
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_BLD_EAP_REQイベント: EV_RECV_EAP_REQ

  

これは、ASA がクライアントに送信した 2 番目の要求です。

EAP パケットには次が含まれています。

  1. Code: request:このコードは、オーセンティケータによってピアに送信されます。
  2. id:2 - IDは、要求へのEAP応答の照合に役立ちます。ここで、値は、EAP 交換の 2 番目のパケットであることを示す 2 です。この要求は、「config-auth」タイプが「auth-request」です。ASAは、クライアントがユーザ認証クレデンシャルを送信するように要求します。
  3. Length: 457 - EAPパケットの長さには、コード、ID、長さ、EAPデータが含まれます。
  4. EAP データ

ENCR ペイロード:

このペイロードは復号化され、そのコンテンツは追加ペイロードとして解析されます。

IKEv2-PROTO-2:(6):EAP要求の送信

Generated XML message below
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="auth-request">
<version who="sg">9.0(2)8</version>
<opaque is-for="sg">
<tunnel-group>ASA-IKEV2</tunnel-group>
<config-hash>1367268141499</config-hash>
</opaque>
<csport>443</csport>
<auth id="main">
<form>
<input type="text" name="username" label="Username:"></input>
<input type="password" name="password" label="Password:"></input>
</form>
</auth>
</config-auth>
IKEv2-PROTO-3:(6):暗号化用パケットの構築。内容は次のとおりです。
 EAPの次のペイロード:なし、予約済み:0x0、長さ:461
    コード:要求:ID:2、長さ:457
    タイプ:不明 – 254
EAPデータ:452バイト

IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x2
IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:次のペイロード:ENCR、バージョン:2.0
IKEv2-PROTO-4:交換の種類: IKE_AUTH、フラグ: RESPONDER MSG-RESPONSE
IKEv2-PROTO-4:メッセージID:0x2、長さ:524
 ENCR次ペイロード:EAP、予約済み:0x0、長さ:496
Encrypted data&colon;492 bytes

IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000002
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_BLD_EAP_REQ Event: EV_START_TMR.
IKEv2-PROTO-3:(6):Starting timer to wait for user auth message(120秒)
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_WAIT_EAP_RESPイベント: EV_NO_EVENT   

 0.****************************************
日付:2013/04/23
時間:16:25:04
タイプ:情報
出典:acvpnui

説明:関数:
SDIMgr::ProcessPromptData
ファイル: .\SDIMgr.cpp
回線:281
Authentication type is not SDI.
0.****************************************
日付:2013/04/23
時間:16:25:07
タイプ:情報
出典:acvpnui

説明:関数:ConnectMgr::userResponse
ファイル: .\ConnectMgr.cpp
回線:985
Processing user response.
0.****************************************

クライアントはユーザ認証を要求し、次のパケット(「auth-reply」)の EAP 応答として ASA に送信します。

クライアントが EAP のペイロードがある別の IKE_AUTH 発信側メッセージを送信します。

EAP パケットには次が含まれています。

  1. Code: response:このコードは、EAP要求への応答としてピアがオーセンティケータに送信します。
  2. id:2 - IDは、要求へのEAP応答の照合に役立ちます。ここで、値は 2 です。これは、ASA(オーセンティケータ)によって前に送信された要求への応答であることを示します。
  3. Length: 420 - EAPパケットの長さには、コード、ID、長さ、EAPデータが含まれます。
  4. EAP データ
  IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x3
IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:次のペイロード:ENCR、バージョン:2.0
IKEv2-PROTO-4:交換タイプ:IKE_AUTH、フラグ:INITIATOR
IKEv2-PROTO-4:メッセージID:0x3、長さ:492
IKEv2-PROTO-5: (6):要求にmess_id 3があります。予期される値は3 ~ 3です


REAL Decrypted packet:Data:424 bytes
 EAP 次のペイロード:なし、予約済み:0x0、長さ:424
    コード:応答:id:2、長さ:420
    タイプ:不明 – 254
EAPデータ:415バイト		  

ASA がこの応答を処理します。クライアントは、ユーザがクレデンシャルを入力するように要求しています。この EAP 応答は「config-auth」タイプが「cauth-reply」になります。 このパケットにはユーザが入力したクレデンシャルが含まれています。

Decrypted packet:Data:492 bytes
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_WAIT_EAP_RESPイベント: EV_RECV_AUTH
IKEv2-PROTO-3: (6):認証メッセージを待機するタイマーを停止しています
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_WAIT_EAP_RESPイベント: EV_RECV_EAP_RESP
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_PROC_EAP_RESPイベント: EV_PROC_MSG
IKEv2-PROTO-2:(6):EAP応答の処理

Received XML message below from the client
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="auth-reply">
<device-id>win</device-id>
<version who="vpn">3.0.1047</version>
<session-token></session-token>
<session-id></session-id>
<opaque is-for="sg">
<tunnel-group>ASA-IKEV2</tunnel-group>
<config-hash>1367268141499</config-hash></opaque>
<auth>
<password>cisco123</password>
<username>Anu</username></auth>
</config-auth>
IKEv2-PLAT-1:EAP:開始ユーザ認証
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_PROC_EAP_RESPイベント: EV_NO_EVENT
IKEv2-PLAT-5:EAP:AAAコールバック
取得されたサーバ証明書ダイジェスト:DACE1C274785F28BA11D64453096BAE294A3172E
IKEv2-PLAT-5:EAP:AAAコールバックでの成功
IKEv2-PROTO-3:オーセンティケータから応答を受信しました
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_PROC_EAP_RESPイベント: EV_RECV_EAP_AUTH
IKEv2-PROTO-5:(6):アクション: Action_Null

  

ASA は交換で 3 番目の EAP 要求を作成します。

EAP パケットには次が含まれています。

  1. Code: request:このコードは、オーセンティケータによってピアに送信されます。
  2. id:3 - IDは、要求へのEAP応答の照合に役立ちます。ここで、値は EAP 交換の 3 番目のパケットであることを示す 3 です。このパケットの「config-auth」タイプは「complete」です。ASAは応答を受信し、EAP交換は完了します。
  3. Length: 4235 - EAPパケットの長さには、コード、ID、長さ、EAPデータが含まれます。
  4. EAP データ

ENCR ペイロード:

このペイロードは復号化され、そのコンテンツは追加ペイロードとして解析されます。

IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_BLD_EAP_REQイベント: EV_RECV_EAP_REQ
IKEv2-PROTO-2:(6):EAP要求の送信

Generated XML message below
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="complete">
<version who="sg">9.0(2)8</version>
<session-id>32768</session-id>
<session-token>18wA0TtGmDxPKPQCJywC7fB7EWLCEgz-ZtjYpAyXx2yJH0H3G3H8t5xpBOx3Ixag</session-token>
<auth id="success">
<message id="0" param1="" param2=""></message>
</auth>


IKEv2-PROTO-3:(6):暗号化用パケットの構築。内容は次のとおりです。
 EAP 次のペイロード:なし、予約済み:0x0、長さ:4239
    コード:要求:ID:3、長さ:4235
    タイプ:不明 – 254
EAPデータ:4230バイト

IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x3
IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:次のペイロード:ENCR、バージョン:2.0
IKEv2-PROTO-4:交換の種類: IKE_AUTH、フラグ: RESPONDER MSG-RESPONSE
IKEv2-PROTO-4:メッセージID:0x3、長さ:4300
 ENCR 次ペイロード:EAP、予約済み:0x0、長さ:4272
Encrypted data&colon;4268 bytes

IKEv2-PROTO-5:(6):パケットのフラグメント化、フラグメントMTU:544、フラグメント数:9、フラグメントID:2
IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_BLD_EAP_REQ Event: EV_START_TMR.
IKEv2-PROTO-3:(6):ユーザ認証メッセージを待機するタイマーの開始(120秒)
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_WAIT_EAP_RESPイベント: EV_NO_EVENT

  
  0.****************************************
日付:2013/04/23
時間:16:25:07
タイプ:情報
出典:acvpnagent

説明:現在のプロファイル:Anyconnect-ikev2.xml
Received VPN Session Configuration Settings:
 Keep Installed:有効
 プロキシ設定:変更しない
 プロキシサーバー:なし
 プロキシPAC URL:なし
 プロキシ例外:なし
 プロキシロックダウン:有効
 スプリット除外:ローカルLANアクセスプリファレンスが無効である
 含める分割:無効
 スプリットDNS:無効
 ローカルLANワイルドカード:ローカルLANアクセスプリファレンスが無効になっている
 ファイアウォールルール:なし
 クライアントアドレス:10.2.2.1
 クライアントマスク:255.0.0.0
 クライアントIPv6アドレス:不明
 クライアントIPv6マスク:不明
 MTU:1406
 IKEキープアライブ:20秒
 IKE DPD:30秒
 セッションタイムアウト:0秒
 接続解除タイムアウト:1800秒
 アイドルタイムアウト:1800秒
 サーバ:不明
 MUSホスト:不明
 DAPユーザメッセージ:none
 検疫状態:無効
 Always On VPN:無効にしない
 リース期間:0秒
 既定のドメイン:不明
 ホームページ:不明
 スマートカードの取り外しの切断:有効
 ライセンス応答:不明
0.****************************************		 ASA は、「complete」メッセージで VPN 構成設定をクライアントに送信し、IP アドレスを VPN プールからクライアントに割り当てます。

クライアントは EAP ペイロードを含む発信側パケットを送信します。

EAP パケットには次が含まれています。

  1. Code: response:このコードは、EAP要求への応答としてピアがオーセンティケータに送信します。
  2. id:3 - IDは、要求へのEAP応答の照合に役立ちます。ここで、値は 3 です。これは、ASA(オーセンティケータ)によって前に送信された要求への応答であることを示します。これでASAはクライアントから応答パケットを受信します。このパケットの「config-auth」タイプは「ack」です。この応答は、ASAによって事前に送信されたEAP「complete」メッセージを確認します(この応答はEAP応答として使用されます)。
  3. Length: 173 - EAPパケットの長さには、コード、ID、長さ、EAPデータが含まれます。
  4. EAP データ
  IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000004
IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x4
IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:次のペイロード:ENCR、バージョン:2.0
IKEv2-PROTO-4:交換タイプ:IKE_AUTH、フラグ:INITIATOR
IKEv2-PROTO-4:メッセージID:0x4、長さ:252
IKEv2-PROTO-5: (6):要求にmess_id 4があります。予期される値は4 ~ 4です


REAL Decrypted packet:Data:177 bytes
 EAP 次のペイロード:なし、予約済み:0x0、長さ:177
    コード:応答:ID:3、長さ:173
    タイプ:不明 – 254
EAPデータ:168バイト		  

ASA がこのパケットを処理します。「
AUTH ペイロードを送信します。ASA は
次のパケットでトンネル グループを送信
する準備を行います。これは、クライアント
が以前 IDi ペイロードで要求
しています。ASA はクライアントから
応答パケットを受信します。この
「config-aut」タイプは「ack」です。これは
この応答で、ASA が前に送信
した EAP 「complete」メッセージの
受信を確認します。

関連コンフィギュレーション

tunnel-group ASA-IKEV2 
 type remote-access
tunnel-group ASA-IKEV2 
 general-attributes
 address-pool webvpn1
 authorization-server-group 
 LOCAL default-group-policy 
  ASA-IKEV2
tunnel-group ASA-IKEV2
 webvpn-attributes
 group-alias ASA-IKEV2 
 enable

これで EAP 交換が成功しました。

EAP パケットには次が含まれています。

  1. Code: success:このコードは
    EAP 認証方式の完了後に
    オーセンティケータがピアに送信します。
    認証方式を設定します。これは
    ピアがオーセンティケータに
    正常に認証されたことを
    示します。
  2. id:3 - idは、
    要求との照合に役立ちます。
    ここで、値は 3 です。これは、
    ASA(オーセンティケータ)が以前送信
    した要求への応答であることを
    示します。交換の 3 セット
    目のパケットが成功し、
    EAP 交換が成功
    しました。
  3. Length: 4 - EAPの長さ
    長さには、コード、ID、長さ、
    EAP データが含まれます。
  4. EAP データ

Decrypted packet:Data:252 bytes
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_WAIT_EAP_RESPイベント: EV_RECV_AUTH
IKEv2-PROTO-3: (6):認証メッセージを待機するタイマーを停止しています
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_WAIT_EAP_RESPイベント: EV_RECV_EAP_RESP
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_PROC_EAP_RESPイベント: EV_PROC_MSG
IKEv2-PROTO-2:(6):EAP応答の処理

Received XML message below from the client
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="ack">
<device-id>win</device-id>
<version who="vpn">3.0.1047</version>
</config-auth>

IKEv2-PLAT-3:(6)aggrAuthHdlを0x2000に設定
IKEv2-PLAT-3:(6) tg_nameをASA-IKEV2に設定
IKEv2-PLAT-3:(6) tunn grpタイプをRAに設定
IKEv2-PLAT-1:EAP:認証の成功
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_PROC_EAP_RESPイベント: EV_RECV_EAP_SUCCESS
IKEv2-PROTO-2:(6):EAPステータスメッセージの送信
IKEv2-PROTO-3:(6):暗号化用パケットの構築。内容は次のとおりです。
 EAPの次のペイロード:なし、予約済み:0x0、長さ:8
    コード:成功: id: 3、長さ: 4

IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x4
IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:次のペイロード:ENCR、バージョン:2.0
IKEv2-PROTO-4:交換タイプ:IKE_AUTH、フラグ:応答側MSG-RESPONSE
IKEv2-PROTO-4:メッセージID:0x4、長さ:76
 ENCR次ペイロード:EAP、予約済み:0x0、長さ:48
Encrypted data&colon;44 bytes

IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000004

IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_PROC_EAP_RESPイベント: EV_START_TMR.
IKEv2-PROTO-3:(6):認証メッセージを待機するタイマーの開始(30秒)
IKEv2-PROTO-5:(6):SM Trace-> SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState:R_WAIT_EAP_AUTH_VERIFYイベント:EV_NO_EVENT

  
EAP 交換が成功したため、クライアントは AUTH ペイロードを含む IKE_AUTH 発信側パケットを送信します。AUTH ペイロードは共有秘密キーから生成されます。  IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x5
IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:次のペイロード:ENCR、バージョン:2.0
IKEv2-PROTO-4:交換タイプ:IKE_AUTH、フラグ:INITIATOR
IKEv2-PROTO-4:メッセージID:0x5、長さ:92
IKEv2-PROTO-5: (6):要求にmess_id 5があります。予期される値は5 ~ 5です。


REAL Decrypted packet:Data:28 bytes
 AUTH:次のペイロード:なし、予約済み:0x0、長さ:28
    認証方式PSK、予約済み:0x0、予約済み0x0
認証データ:20バイト		  

EAP 認証が指定されている、または
クライアント プロファイルで示唆されており、
プロファイルに <IKEIdentity> 要素が
含まれていない場合は、クライアントは
固定文字列 *$AnyConnectClient$*
を含む ID_GROUP タイプの IDi ペイロードを送信します。

ASA がこのメッセージを処理します。

関連コンフィギュレーション

crypto dynamic-map dynmap 1000 
 set ikev2 ipsec-proposal 3des
crypto map crymap 10000 
 ipsec-isakmp dynamic dynmap
crypto map crymap interface 
 outside

Decrypted packet:Data:92 bytes
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_WAIT_EAP_AUTH_VERIFYイベント: EV_RECV_AUTH
IKEv2-PROTO-3: (6):認証メッセージを待機するタイマーを停止しています
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTHイベント: EV_GET_EAP_KEY
IKEv2-PROTO-2:(6):EAP交換後にピアを確認するためにAUTHを送信します。
IKEv2-PROTO-5:(6):SM Trace-> SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState:R_VERIFY_AUTHイベント:EV_VERIFY_AUTH
IKEv2-PROTO-3:(6):認証データの確認
IKEv2-PROTO-3:(6):ID *$AnyConnectClient$*、キー長20に事前共有キーを使用
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Event: EV_GET_CONFIG_MODE
IKEv2-PLAT-3:設定モードの応答がキューイングされる
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTHイベント: EV_NO_EVENT
IKEv2-PLAT-3:PSH:client=AnyConnect client-version=3.0.1047 client-os=Windows client-os-version=
IKEv2-PLAT-3:設定モードの応答が完了しました
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Event: EV_OK_GET_CONFIG
IKEv2-PROTO-3:(6):送信する設定モードデータを保持する
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTHイベント: EV_CHK4_IC
IKEv2-PROTO-3:(6):初期連絡先の処理
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Event: EV_CHK_REDIRECT
IKEv2-PROTO-5: (6):このセッションのリダイレクトチェックは既に完了しています。スキップしています
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Event: EV_PROC_SA_TS
IKEv2-PROTO-2: (6):認証メッセージを処理しています
IKEv2-PLAT-1:暗号マップ:マップdynmap seq 1000。Adjusted selector using assigned IP
IKEv2-PLAT-3:暗号マップ:ダイナミックマップdynmap seq 1000での一致
IKEv2-PLAT-3:RA接続に対してPFSが無効
IKEv2-PROTO-3:(6):
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTHイベント: EV_NO_EVENT
IKEv2-PLAT-2:SPI 0x30B848A4に対するPFKEY SPIコールバックを受信しました。エラーFALSE
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTHイベント: EV_OK_RECD_IPSEC_RESP

IKEv2-PROTO-2: (6):認証メッセージを処理しています

  

ASA は、SA、TSi、および TSr のペイロードを含む IKE_AUTH 応答メッセージを作成します。

IKE_AUTH の応答側パケットには、次が含まれています。

  1. ISAKMP ヘッダー - SPI/バージョン/フラグ
  2. AUTH ペイロード - 選択した認証方式が含まれる
  3. CFG - CFG_REQUEST/CFG_REPLY により、IKE エンドポイントがピアの情報を要求できます。CFG_REQUEST 設定ペイロードの属性の長さがゼロでない場合は、その属性の推奨として考えることができます。CFG_REPLY 設定ペイロードは、その値、または新しい値を返すことがあります。また、新しい属性を追加して、要求されたものを含めない場合もあります。要求側は、認識しない属性が返された場合は、それを無視します。ASA は、CFG_REPLY パケットのトンネル設定属性でクライアントに応答します。
  4. SAr2 - SAr2 が IKEv1 のフェーズ 2 トランスフォーム セット交換と同様の SA を開始します。
  5. TSi と TSr - 発信側と応答側のトラフィックのセレクタには、暗号化されたトラフィックを転送および受信するために、発信側と受信側の発信元および宛先のアドレスがそれぞれ含まれています。このアドレス範囲は、宛先および送信元がこの範囲内であるすべてのトラフィックをトンネルすることを指定します。提案が応答側で受け入れ可能な場合、応答側は同一の TS ペイロードを送り返します。

ENCR ペイロード:

このペイロードは復号化され、そのコンテンツは追加ペイロードとして解析されます。

IKEv2-PROTO-5:(6):SM Trace-> SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState:R_BLD_AUTHイベント:EV_MY_AUTH_METHOD
IKEv2-PROTO-3: (6):認証方式を取得する
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTHイベント: EV_GET_PRESHR_KEY
IKEv2-PROTO-3: (6): *$AnyConnectClient$*のピアの事前共有キーを取得します
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTHイベント: EV_GEN_AUTH
IKEv2-PROTO-3: (6):認証データを生成する
IKEv2-PROTO-3:(6):id hostname=ASA-IKEV2、キー長20に事前共有キーを使用します
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTHイベント: EV_CHK4_SIGN
IKEv2-PROTO-3: (6):認証方式を取得する
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTHイベント: EV_OK_AUTH_GEN
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_EAP_AUTH_VERIFYイベント: EV_GEN_AUTH
IKEv2-PROTO-3: (6):認証データを生成する
IKEv2-PROTO-3:(6):ID hostname=ASA-IKEV2、キー長20に事前共有キーを使用
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_EAP_AUTH_VERIFYイベント: EV_SEND_AUTH
IKEv2-PROTO-2:(6):EAP交換後にピアを確認するためにAUTHを送信します。
IKEv2-PROTO-3:ESPプロポーザル:1、SPIサイズ:4(IPSecネゴシエーション)
トランスフォーム数: 3
   AES-CBC SHA96   
IKEv2-PROTO-5:コンストラクト通知ペイロード: ESP_TFC_NO_SUPPORTIKEv2-PROTO-5:コンストラクト通知ペイロード: NON_FIRST_FRAGSIKEv2-PROTO-3: (6):暗号化のためのパケットを構築。内容は次のとおりです:
 AUTH:次のペイロード:CFG、予約済み:0x0、長さ:28
    認証方式PSK、予約済み:0x0、予約済み0x0
認証データ(&C)、20バイト
 CFG:次のペイロード:SA、予約済み:0x0、長さ:4196
    cfgタイプ:CFG_REPLY、予約済み:0x0、予約済み:0x0

   属性タイプ:内部IP4アドレス、長さ:4

     01 01 01 01
   属性タイプ:内部IP4ネットマスク、長さ:4

     00 00 00 00
   属性タイプ:内部アドレス有効期限、長さ:4

     00 00 00 00
   属性タイプ:アプリケーションバージョン、長さ:16

     41 53 41 20 31 30 30 2e 37 28 36 29 31 31 36 00
   属性タイプ:不明 – 28704、長さ: 4

     00 00 00 00
   属性タイプ:不明 – 28705、長さ: 4

     00 00 07 08
   属性タイプ:不明 – 28706、長さ: 4

     00 00 07 08
   属性タイプ:不明 – 28707、長さ: 1

     01
   属性タイプ:不明 – 28709、長さ: 4

     00 00 00 1e
   属性タイプ:不明 – 28710、長さ: 4

     00 00 00 14
   属性タイプ:不明 – 28684、長さ: 1

     01
   属性タイプ:不明 – 28711、長さ: 2

     05 7e
   属性タイプ:不明 – 28679、長さ: 1

     00
   属性タイプ:不明 – 28683、長さ: 4

     80 0b 00 01
   属性タイプ:不明 – 28725、長さ: 1

     00
   属性タイプ:不明 – 28726、長さ: 1

     00
   属性タイプ:不明 – 28727、長さ: 4056

     3c 3f 78 6d 6c 20 76 65 72 73 69 6f 6e 3d 22 31
     2e 30 22 20 65 6e 63 6f 64 69 6e 67 3d 22 55 54
     46 2d 38 22 3f 3e 3c 63 6f 6e 66 69 67 2d 61 75
     74 68 20 63 6c 69 65 6e 74 3d 22 76 70 6e 22 20
     74 79 70 65 3d 22 63 6f 6d 70 6c 65 74 65 22 3e
     3c 76 65 72 73 69 6f 6e 20 77 68 6f 3d 22 73 67
     22 3e 31 30 30 2e 37 28 36 29 31 31 36 3c 2f 76
     65 72 73 69 6f 6e 3e 3c 73 65 73 73 69 6f 6e 2d
     69 64 3e 38 31 39 32 3c 2f 73 65 73 73 69 6f 6e
<中略>
     72 6f 66 69 6c 65 2d 6d 61 6e 69 66 65 73 74 3e
     3c 2f 63 6f 6e 66 69 67 3e 3c 2f 63 6f 6e 66 69
     67 2d 61 75 74 68 3e 00
   属性タイプ:不明 – 28729、長さ: 1

     00
 SA:次のペイロード:TSi、予約済み:0x0、長さ:44
IKEv2-PROTO-4:最終提案:0x0、予約済み:0x0、長さ:40
  プロポーザル:1、プロトコルID:ESP、SPIサイズ:4、#trans:3
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:12
    タイプ:1、予約済み:0x0、id:AES-CBC
IKEv2-PROTO-4:最後の変換:0x3、予約済み:0x0:長さ:8
    タイプ:3、予約済み:0x0、id:SHA96
IKEv2-PROTO-4:最後の変換:0x0、予約済み:0x0:長さ:8
    タイプ:5、予約済み:0x0、id:

 TSi次のペイロード:TSr、予約済み:0x0、長さ:24
    TS数:1、予約済み0x0、予約済み0x0
    TSタイプ: TS_IPV4_ADDR_RANGE、プロトコルID: 0、長さ: 16
    開始ポート:0、終了ポート:65535
    開始アドレス:10.2.2.1、終了アドレス:10.2.2.1
 TSrの次のペイロード:NOTIFY、予約済み:0x0、長さ:24
    TS数:1、予約済み0x0、予約済み0x0
    TSタイプ: TS_IPV4_ADDR_RANGE、プロトコルID: 0、長さ: 16
    開始ポート:0、終了ポート:65535
    開始アドレス: 0.0.0.0、終了アドレス: 255.255.255.255

IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x5
IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:次のペイロード:ENCR、バージョン:2.0
IKEv2-PROTO-4:交換タイプ:IKE_AUTH、フラグ:応答側メッセージ応答
IKEv2-PROTO-4:メッセージID:0x5、長さ:4396
 ENCR次ペイロード:AUTH、予約済み:0x0、長さ:4368
Encrypted data&colon;4364 bytes

  
ASA は、9 個のパケットに断片化されたこの IKE_AUTH 応答メッセージを送信します。IKE_AUTH 交換が完了します。 IKEv2-PROTO-5:(6):パケットのフラグメント化、フラグメントMTU:544、フラグメント数:9、フラグメントID:3
IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONEイベント: EV_OK
IKEv2-PROTO-5:(6):アクション: Action_Null
IKEv2-PROTO-5:(6):SM Trace-> SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState:AUTH_DONEイベント:EV_PKI_SESH_CLOSE		  
  0.****************************************
日付:2013/04/23
時間:16:25:07
タイプ:情報
出典:acvpnagent

説明:関数:ikev2_log
ファイル: .\ikev2_anyconnect_osal.cpp
回線:2730
The IPsec connection has been established.
0.****************************************
日付:2013/04/23
時間:16:25:07
タイプ:情報
出典:acvpnagent

説明:IPsecセッションの登録:
 暗号化:AES-CBC
 PRF:SHA1
 HMAC: SHA96
 ローカル認証方式:PSK
 リモート認証方式:PSK
 シーケンスID: 0
 キーサイズ:192
 DHグループ:1
 キー再生成時間:4294967秒
 ローカルアドレス:192.168.1.1
 リモートアドレス:10.0.0.1
 ローカルポート:4500
 リモートポート:4500
 セッションID:1
0.****************************************
日付:2013/04/23
時間:16:25:07
タイプ:情報
出典:acvpnui

説明:セキュアゲートウェイで設定されているプロファイルはAnyconnect-ikev2.xmlです。
0.****************************************
日付:2013/04/23
時間:16:25:07
タイプ:情報
出典:acvpnui

説明:ユーザに送信されるメッセージタイプ情報:
Establishing VPN session...
0.****************************************		 The client reports the IPSec connection as established.The client also detects the user profile on the ASA.
   ----------------------------IKE_AUTH交換が終了する-----------------------------------  
 

0.****************************************
日付:2013/04/23
時間:16:25:07
タイプ:情報
出典:acvpndownloader

説明:関数:ProfileMgr::loadProfiles
ファイル: ..\Api\ProfileMgr.cpp
回線:148
Loaded profiles:
C:\Documents and Settings\All Users\Application Data\Cisco\Cisco AnyConnect Secure Mobility Client\Profile\anyconnect-ikev2.xml
0.****************************************
0.****************************************
日付:2013/04/23
時間:16:25:07
タイプ:情報
出典:acvpndownloader

説明:現在のプリファレンス設定:
ServiceDisable: false
CertificateStoreOverride: false
証明書ストア:すべて
ShowPreConnectMessage:偽
AutoConnectOnStart:偽
MinimizeOnConnect: true
LocalLanAccess:偽
自動再接続: true
AutoReconnectBehavior: DisconnectOnSuspend
UseStartBeforeLogon: false
自動更新: true
RSASecurIDIntegration:自動
WindowsLogonEnforcement: SingleLocalLogon
WindowsVPNの確立: LocalUsersOnly
プロキシ設定:ネイティブ
AllowLocalProxyConnections: true
PPPExclusion:無効
PPPExclusionServerIP:
AutomaticVPNpolicy:偽
TrustedNetworkPolicy:切断
UntrustedNetworkPolicy:接続
TrustedDNSDomains:
TrustedDNSServers:
AlwaysOn:偽
ConnectFailurePolicy:終了
AllowCaptivePortalRemediation: false
CaptivePortalRemediationTimeout:5
ApplyLastVPNLocalResourceRules: false
AllowVPNDisconnect: true
EnableScripting:偽
TerminateScriptOnNextEvent: false
EnablePostSBLOnConnectScript: true
AutomaticCertSelection: true
RetainVpnOnLogoff:偽
UserEnforcement:SameUserOnly
EnableAutomaticServerSelection: false
AutoServerSelectionImprovement: 20
AutoServerSelectionSuspendTime: 4
認証タイムアウト:12
SafeWordSofTokenIntegration: false
AllowIPsecOverSSL:偽
ClearSmartcardPin: true
0.****************************************
日付:2013/04/23
時間:16:25:07
タイプ:情報
出典:acvpnui

説明:ユーザに送信されるメッセージタイプ情報:
Establishing VPN - Examining system...
0.****************************************
日付:2013/04/23
時間:16:25:07
タイプ:情報
出典:acvpnui

説明:ユーザに送信されるメッセージタイプ情報:
Establishing VPN - Activating VPN adapter...
0.****************************************
日付:2013/04/23
時間:16:25:07
タイプ:情報
出典:acvpnagent

説明:関数:CVirtualAdapter::DoRegistryRepair
ファイル: .\WindowsVirtualAdapter.cpp
回線:1869
見つかったVAコントロールキー:SYSTEM\CurrentControlSet\ENUM\ROOT\NET\0000\Control

0.****************************************
日付:2013/04/23
時間:16:25:07
タイプ:情報
出典:acvpnagent

説明:新しいネットワークインターフェイスが検出されました。
0.****************************************
日付:2013/04/23
時間:16:25:07
タイプ:情報
出典:acvpnagent

説明:関数:CRouteMgr::logInterfaces
ファイル: .\RouteMgr.cpp
回線:2076
呼び出された関数: logInterfaces
リターンコード: 0 (0x00000000)
説明:IPアドレスインターフェイスリスト:
10.2.2.1
192.168.1.1
0.****************************************
日付:2013/04/23
時間:16:25:08
タイプ:情報
出典:acvpnagent

説明:ホスト設定:
 パブリックアドレス:192.168.1.1
 パブリックマスク:255.255.255.0
 プライベートアドレス:10.2.2.1
 プライベートマスク:255.0.0.0
 プライベートIPv6アドレス:なし
 プライベートIPv6マスク:該当なし
 リモートピア:10.0.0.1(TCPポート443、UDPポート500)、10.0.0.1(UDPポート4500)
 プライベートネットワーク:なし
 パブリックネットワーク:なし
 トンネルモード:はい
0.****************************************

 XML プロファイルはクライアントにロードされます。クライアントは、ASA の IP アドレスを持っているため、クライアントは VPN アダプタの有効化に進みます。

接続はセキュリティ アソシエーション(SA)データベースへ入り、ステータスは REGISTERED になります。また、ASA は、Common Access Card(CAC)の統計情報や、重複 SA の有無など、いくつかの検査を行い、デッド ピア検出(DPD)などの値を設定します。

  IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONEイベント: EV_INSERT_IKE
IKEv2-PROTO-2:(6):SAが作成されました。SAをデータベースに挿入します。
IKEv2-PLAT-3:
接続状態:アップ…ピア:192.168.1.1:25171、phase1_id: *$AnyConnectClient$*
IKEv2-PROTO-5:(6):SM Trace-> SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState:AUTH_DONEイベント:EV_REGISTER_SESSION
IKEv2-PLAT-3:(6)ユーザ名をAnuに設定
IKEv2-PLAT-3:
接続ステータス:登録済み...ピア:192.168.1.1:25171、phase1_id: *$AnyConnectClient$*
IKEv2-PROTO-3:(6):DPDの初期化、10秒間設定
IKEv2-PLAT-3:(6) mib_indexを4501に設定
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONEイベント: EV_GEN_LOAD_IPSEC
IKEv2-PROTO-3:(6):IPSECキーマテリアルをロードする
IKEv2-PLAT-3:暗号マップ:ダイナミックマップdynmap seq 1000での一致
IKEv2-PLAT-3:(6)DPD最大時間:30
IKEv2-PLAT-3:(6)DPD最大時間:30
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONEイベント: EV_START_ACCT
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONEイベント: EV_CHECK_DUPE
IKEv2-PROTO-3:(6):重複SAのチェック
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONEイベント: EV_CHK4_ROLE
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: READYイベント: EV_R_UPDATE_CAC_STATS
IKEv2-PLAT-5:新しいikev2 sa要求がアクティブ化されました
IKEv2-PLAT-5:着信ネゴシエーションのデクリメントカウント
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: READYイベント: EV_R_OK
IKEv2-PROTO-3: (6):ネゴシエーションコンテキストを削除するためのタイマーを開始しています
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: READYイベント: EV_NO_EVENT
IKEv2-PLAT-2:SPI 0x77EE5348に対するPFKEY add SAを受信しました。エラーFALSE
IKEv2-PLAT-2:SPI 0x30B848A4のPFKEYアップデートSAを受信しました。エラーFALSE		  
  0.****************************************
日付:2013/04/23
時間:16:25:08
タイプ:情報
出典:acvpnagent

説明:VPN接続が確立され、データを渡せるようになりました。
0.****************************************
日付:2013/04/23
時間:16:25:08
タイプ:情報
出典:acvpnui

説明:ユーザに送信されるメッセージタイプ情報:
Establishing VPN - Configuring system...
0.****************************************
日付:2013/04/23
時間:16:25:08
タイプ:情報
出典:acvpnui

説明:ユーザに送信されるメッセージタイプ情報:
Establishing VPN...
0.****************************************
日付:2013/04/23
時間:16:25:37
タイプ:情報
出典:acvpnagent


ファイル: .\IPsecProtocol.cpp
回線:945
IPsec tunnel is established
0.****************************************		 クライアントは、トンネルが起動しており、トラフィックを渡す準備が整っていることを報告します。

トンネルの確認

AnyConnect

show vpn-sessiondb detail anyconnect コマンドの出力例を次に示します。

Session Type: AnyConnect Detailed

   Username     : Anu                    Index        : 2
   Assigned IP  : 10.2.2.1                Public IP    : 192.168.1.1
   Protocol     : IKEv2 IPsecOverNatT AnyConnect-Parent
   License      : AnyConnect Premium
   Encryption   : AES192 AES256          Hashing      : none SHA1 SHA1
   Bytes Tx     : 0                      Bytes Rx     : 11192
   Pkts Tx      : 0                      Pkts Rx      : 171
   Pkts Tx Drop : 0                      Pkts Rx Drop : 0
   Group Policy : ASA-IKEV2              Tunnel Group : ASA-IKEV2
   Login Time   : 22:06:24 UTC Mon Apr 22 2013
   Duration     : 0h:02m:26s
   Inactivity   : 0h:00m:00s
   NAC Result   : Unknown
   VLAN Mapping : N/A                    VLAN         : none

   IKEv2 Tunnels: 1
   IPsecOverNatT Tunnels: 1
   AnyConnect-Parent Tunnels: 1 

   AnyConnect-Parent:
     Tunnel ID    : 2.1
     Public IP    : 192.168.1.1
     Encryption   : none                   Auth Mode    : userPassword
   Idle Time Out: 30 Minutes             Idle TO Left : 27 Minutes
   Client Type  : AnyConnect
   Client Ver   : 3.0.1047 
    IKEv2:
     Tunnel ID    : 2.2
     UDP Src Port : 25171                  UDP Dst Port : 4500
     Rem Auth Mode: userPassword
     Loc Auth Mode: rsaCertificate
     Encryption   : AES192                 Hashing      : SHA1
     Rekey Int (T): 86400 Seconds          Rekey Left(T): 86254 Seconds
     PRF          : SHA1                   D/H Group    : 1
     Filter Name  :
     Client OS    : Windows
    IPsecOverNatT:
     Tunnel ID    : 2.3
     Local Addr   : 0.0.0.0/0.0.0.0/0/0
     Remote Addr  : 10.2.2.1/255.255.255.255/0/0
     Encryption   : AES256                 Hashing      : SHA1
   Encapsulation: Tunnel
   Rekey Int (T): 28800 Seconds          Rekey Left(T): 28654 Seconds
   Rekey Int (D): 4608000 K-Bytes        Rekey Left(D): 4607990 K-Bytes
   Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes 
   Bytes Tx     : 0                      Bytes Rx     : 11192
   Pkts Tx      : 0                      Pkts Rx      : 171
    NAC:
     Reval Int (T): 0 Seconds              Reval Left(T): 0 Seconds
     SQ Int (T)   : 0 Seconds              EoU Age(T)   : 146 Seconds
     Hold Left (T): 0 Seconds              Posture Token:    
    Redirect URL :

ISAKMP

show crypto ikev2 sa コマンドの出力例を次に示します。

ASA-IKEV2#  show crypto ikev2 sa

      IKEv2 SAs:

      Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

      Tunnel-id                 Local                Remote     Status         Role
       55182129    10.0.0.1/4500         192.168.1.1/25171      READY    RESPONDER
            Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
            Life/Active Time: 86400/112 sec
      Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535   
                remote selector 10.2.2.1/0 - 10.2.2.1/65535
              ESP spi in/out: 0x30b848a4/0x77ee5348 

show crypto ikev2 sa detail コマンドの出力例を次に示します。

ASA-IKEV2# show crypto ikev2 sa detail

    IKEv2 SAs:

    Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

    Tunnel-id                 Local                Remote     Status         Role
     55182129    10.0.0.1/4500         192.168.1.1/25171      READY    RESPONDER
       Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
         Life/Active Time: 86400/98 sec
         Session-id: 2
         Status Description: Negotiation done
         Local spi: FC696330E6B94D7F       Remote spi: 58AFF71141BA436B
         Local id: hostname=ASA-IKEV2
         Remote id: *$AnyConnectClient$*
         Local req mess id: 0              Remote req mess id: 9
         Local next mess id: 0             Remote next mess id: 9
         Local req queued: 0               Remote req queued: 9
         Local window: 1                   Remote window: 1
         DPD configured for 10 seconds, retry 2
         NAT-T is detected  outside
         Assigned host addr: 10.2.2.1
   Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535
             remote selector 10.2.2.1/0 - 10.2.2.1/65535
             ESP spi in/out: 0x30b848a4/0x77ee5348
          AH spi in/out: 0x0/0x0
          CPI in/out: 0x0/0x0
            Encr: AES-CBC, keysize: 256, esp_hmac: SHA96
            ah_hmac: None, comp: IPCOMP_NONE, mode tunnel

IPSec

show crypto ipsec sa コマンドの出力例を次に示します。

ASA-IKEV2# show crypto ipsec sa
   interface: outside
       Crypto map tag: dynmap, seq num: 1000, local addr: 10.0.0.1

     local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
        remote ident (addr/mask/prot/port): (10.2.2.1/255.255.255.255/0/0)
        current_peer: 192.168.1.1, username: Anu
        dynamic allocated peer ip: 10.2.2.1

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
         #pkts decaps: 163, #pkts decrypt: 108, #pkts verify: 108
         #pkts compressed: 0, #pkts decompressed: 0
         #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
         #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
         #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
         #send errors: 0, #recv errors: 55

      local crypto endpt.: 10.0.0.1/4500, remote crypto endpt.: 192.168.1.1/25171
         path mtu 1488, ipsec overhead 82, media mtu 1500
         current outbound spi: 77EE5348
         current inbound spi : 30B848A4

     inbound esp sas:
         spi: 0x30B848A4 (817383588)
            transform: esp-aes-256 esp-sha-hmac no compression
            in use settings ={RA, Tunnel,  NAT-T-Encaps, }
            slot: 0, conn_id: 8192, crypto-map: dynmap
            sa timing: remaining key lifetime (sec): 28685
            IV size: 16 bytes
            replay detection support: Y
            Anti replay bitmap:
            0xFFAD6BED 0x7ABFD5BF
       outbound esp sas:
         spi: 0x77EE5348 (2012107592)
            transform: esp-aes-256 esp-sha-hmac no compression
            in use settings ={RA, Tunnel,  NAT-T-Encaps, }
            slot: 0, conn_id: 8192, crypto-map: dynmap
            sa timing: remaining key lifetime (sec): 28685
            IV size: 16 bytes
            replay detection support: Y
            Anti replay bitmap:
           0x00000000 0x00000001

関連情報

更新履歴

改定 発行日 コメント
1.0
04-May-2013
初版
TAC Authored

シスコ エンジニア提供

  • Anu M. Chacko, Jay Young, and Atri Basu
    Cisco TAC Engineers.

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています