ASA IPsec および IKE デバッグ(IKEv1 メイン モード)のトラブルシューティング テクニカルノート
ダウンロード オプション
偏向のない言語
この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
翻訳について
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
概要
このドキュメントでは、メイン モードと事前共有キー(PSK)の両方を使用する場合の適応型セキュリティ アプライアンス(ASA)でのデバッグについて説明します。設定への特定のデバッグ行の変換についても説明します。
このドキュメントで説明しないトピックには、トンネル確立後の通過トラフィック、および IPsec またはインターネット キー交換(IKE)の基本概念が含まれます。
前提条件
要件
このドキュメントの読者は次のトピックについて理解している必要があります。
-
PSK
-
IKE
使用するコンポーネント
このドキュメントの情報は、次のハードウェアとソフトウェアのバージョンに基づいています。
-
Cisco ASA 9.3.2
-
Cisco IOS® 12.4T で稼働するルータ
主な問題
IKE および IPsec のデバッグはわかりにくいことがありますが、これらのデバッグを使用して、IPsec VPN トンネル確立の問題が発生している場所を理解できます。
シナリオ
メイン モードは通常、LAN-to-LAN トンネル間に使用されるか、リモート アクセス(EzVPN)の場合は認証に証明書を使用するときに使用されます。
デバッグは、ソフトウェアバージョン9.3.2が稼働する2つのASAから行われます。2つのデバイスはLAN-to-LANトンネルを形成します。
説明する主なシナリオは、次の 2 つです。
- IKE の発信側としての ASA
- IKE の応答側としての ASA
使用する debug コマンド
debug crypto ikev1 127
debug crypto ipsec 127
ASA の設定
IPsec の設定:
crypto ipsec transform-set TRANSFORM esp-aes esp-sha-hmac[an error occurred while processing this directive]
crypto map MAP 10 match address VPN
crypto map MAP 10 set peer 10.0.0.2
crypto map MAP 10 set transform-set TRANSFORM
crypto map MAP 10 set reverse-route
crypto map MAP interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group 10.0.0.2 type ipsec-l2l
tunnel-group 10.0.0.2 ipsec-attributes
pre-shared-key cisco
access-list VPN extended permit tcp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
IP 設定:
ciscoasa#
show ip
[an error occurred while processing this directive]
System IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet0/0 inside 192.168.1.1 255.255.255.0 manual
GigabitEthernet0/1 outside 10.0.0.1 255.255.255.0 manual
Current IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet0/0 inside 192.168.1.1 255.255.255.0 manual
GigabitEthernet0/1 outside 10.0.0.1 255.255.255.0 manual
NAT の設定
object network INSIDE-RANGE[an error occurred while processing this directive]
subnet 192.168.1.0 255.255.255.0 object network FOREIGN_NETWORK
subnet 192.168.2.0 255.255.255
nat (inside,outside) source static INSIDE-RANGE INSIDE-RANGE destination static
FOREIGN_NETWORK FOREIGN_NETWORK no-proxy-arp route-lookup
デバッグ
| 発信側メッセージの説明 |
デバッグ |
応答側メッセージの説明 |
|||
| メイン モードの交換が開始します。ポリシーは共有されておらず、ピアは依然として MM_NO_STATE になっています。
イニシエータとしての ASA が、ペイロードの構築を開始します。 |
[IKEv1 DEBUG]:Pitcher:received a key acquire message, spi 0x0 |
|
|||
| MM1 を構成します。
このプロセスはncludes iIKEおよびsの初期プロポーザルサポートされているNAT-Tベンダー。 |
[IKEv1 DEBUG]:IP = 10.0.0.2, constructing ISAKMP SA payload [IKEv1 DEBUG]:IP = 10.0.0.2, constructing NAT-Traversal VID ver 02 payload |
||||
| MM1 を送信します。 |
[IKEv1]:IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=0) with payloads :HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length :168 |
||||
| ==========================MM1=============================> |
|
||||
|
|
[IKEv1]:IP = 10.0.0.2, IKE_DECODE RECEIVED Message (msgid=0) with payloads :HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0)の合計長さ:164 |
発信側から MM1 を受信しました。
|
|||
|
|
[IKEv1 DEBUG]:IP = 10.0.0.2, processing SA payload [IKEv1 DEBUG]:IP = 10.0.0.2, Oakley proposal is acceptable [IKEv1 DEBUG]:IP = 10.0.0.2, processing VID payload [IKEv1 DEBUG]:IP = 10.0.0.2, IKE SA Proposal # 1, Transform # 1 acceptable Matches global IKE entry # 2 |
MM1 を処理します。
ISAKMP/IKE ポリシーの比較を開始します。 リモート ピアが、NAT-T を使用できることをアドバタイズします。
関連する設定: authentication pre-share encryption 3des hash sha group 2 lifetime 86400 |
|||
|
|
[IKEv1 DEBUG]:IP = 10.0.0.2, constructing ISAKMP SA payload |
構成 MM2
このメッセージでは、使用する isakmp ポリシー設定を応答側が選択します。 また、使用できる NAT-T バージョンをアドバタイズします。 |
|||
|
|
[IKEv1]:IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=0) with payloads :HDR + SA (1) + VENDOR (13) + VENDOR (13) + NONE(0) total length :128 |
MM2 を送信します。 |
|||
|
|
<========================MM2============================== |
|
|||
| 応答側から MM2 を受信しました。 |
[IKEv1]:IP = 10.0.0.2, IKE_DECODE RECEIVED Message (msgid=0) with payloads :HDR + SA (1) + VENDOR (13) + NONE (0) total length :104
|
|
|||
| MM2 を処理します。 |
[IKEv1 DEBUG]:IP = 10.0.0.2, processing SA payload
|
|
|||
| MM3 を構成します。
このプロセスはncludesNAT検出ペイロード、 ディフィー-Hellman(DH)キー交換(KE)ペイロード(i)nitatorには、g、p、およびAから応答側が含まれます)。 DPDのサポート。 |
Nov 30 10:38:29 [IKEv1 DEBUG]:IP = 10.0.0.2, constructing ke payload |
|
|||
| MM3 を送信します。 |
[IKEv1]:IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=0) with payloads :HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length :304
|
|
|||
|
|
==============================MM3========================> |
|
|||
|
|
[IKEv1]:IP = 10.0.0.2, IKE_DECODE RECEIVED Message (msgid=0) with payloads :HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (130) + NAT-D (130) + NONE (0) total length :284 |
イニシエータからの MM3 を受信します。 |
|||
|
|
[IKEv1 DEBUG]:IP = 10.0.0.2, processing ke payload |
MM3 を処理します。
NAT-Dペイロードから、レスポンダは イニシエータがNATの背後にあり、 レスポンダがNATの背後にあります。
DH KE から、ペイロード応答側は、値 p、g、および A を取得します。 |
|||
|
|
[IKEv1 DEBUG]:IP = 10.0.0.2, computing NAT Discovery hash |
MM4 を構成します。
このプロセスはncludes NAT 検出ペイロード, DH KE responderは「B」と「s」を生成し(イニシエータに「B」を返します)、 DPD VID。 |
|||
|
|
[IKEv1]:IP = 10.0.0.2, Connection landed on tunnel_group 10.0.0.2 |
ピアが 10.0.0.2 L2L トンネル グループに関連付けられ、上記の「s」と事前共有キーからハッシュ キーが生成されます。 |
|||
|
|
[IKEv1]:IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=0) with payloads :HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (130) + NAT-D (130) + NONE (0) total length :304 |
MM4 を送信します。 |
|||
|
|
<===========================MM4=========================== |
|
|||
| レスポンダからの MM4 を受信します。 |
[IKEv1]:IP = 10.0.0.2, IKE_DECODE RECEIVED Message (msgid=0) with payloads :HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length :304
|
|
|||
| MM4 を処理します。
NAT-Dペイロードから、イニシエータは ルータがNATの背後にあり、 レスポンダがNATの背後にあります。
|
[IKEv1 DEBUG]:IP = 10.0.0.2, processing ike payload |
|
|||
|
ピアは、10.0.0.2 L2L トンネル グループに関連付けられており、発信側は、上の「s」と事前共有キーを使用して暗号化とハッシュ キーを生成します。
|
[IKEv1]:IP = 10.0.0.2, Connection landed on tunnel_group 10.0.0.2 [IKEv1 DEBUG]:Group = 10.0.0.2, IP = 10.0.0.2, Generating keys for Initiator... |
|
|||
| MM5 を構成します。
関連する設定: crypto isakmp identity auto |
[IKEv1 DEBUG]:Group = 10.0.0.2, IP = 10.0.0.2, constructing ID payload |
|
|||
| 送信 MM5 |
[IKEv1]:IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=0) with payloads :HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) +VENDOR (13) + NONE (0) total length :96 |
|
|||
|
|
===========================MM5===========================> |
|
|||
| 応答側は NAT の背後にありません。NAT-T は必要ありません。 |
[IKEv1]:Group = 10.0.0.2, IP = 10.0.0.2, Automatic NAT Detection Status:Remote end is NOT behind a NAT device This end is NOT behind a NAT device |
[IKEv1]:IP = 10.0.0.2, IKE_DECODE RECEIVED Message (msgid=0) with payloads :HDR + ID (5) + HASH (8) + NONE (0) total length :64 |
イニシエータからの MM5 を受信します。
このプロセスはncludes rリモートピアID(ID)およびc特定のトンネルグループで接続が開始されます。 |
||
|
|
[IKEv1 DEBUG]:Group = 10.0.0.2, IP = 10.0.0.2, processing ID payload [IKEv1]:IP = 10.0.0.2, Connection landed on tunnel_group 10.0.0.2 |
MM5 を処理します。
事前共有キーを使用した認証を開始します。 認証は両方のピアで行われます。そのため、対応する 2 つの認証プロセスのセットが表示されます。
関連する設定: |
|||
|
|
Detection Status:Remote end is NOT behind a NAT device This end is NOT behind a NAT device |
No この場合、NAT-Tが必要です。 |
|||
|
|
[IKEv1 DEBUG]:Group = 10.0.0.2, IP = 10.0.0.2, constructing ID payload |
MM6 を構成します。
ID を送信します。 開始されたキー再生成タイマーとリモート ピアに送信された ID が含まれます。 |
|||
|
|
[IKEv1]:IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=0) with payloads :HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) +VENDOR (13) + NONE (0) total length :96 |
MM6 を送信します。 |
|||
|
|
<===========================MM6=========================== |
|
|||
| レスポンダからの MM6 を受信します。 |
[IKEv1]:IP = 10.0.0.2, IKE_DECODE RECEIVED Message (msgid=0) with payloads :HDR + ID (5) + HASH (8) + NONE (0) total length :64 |
[IKEv1]:Group = 10.0.0.2, IP = 10.0.0.2, PHASE 1 COMPLETED |
フェーズ 1 が完了しました。
isakmp キー再生成タイマーを開始します。
関連する設定: |
||
| MM6 を処理します。
このプロセスはncludes rピアおよびfから送信されたリモートID選択するトンネルグループに関する最終的な決定。 |
[IKEv1 DEBUG]:Group = 10.0.0.2, IP = 10.0.0.2, processing ID payload |
|
|||
| フェーズ 1 が完了しました。
ISAKMP キー再生成タイマーを開始します。
関連c設定: tunnel group 10.0.0.2 type ipsec-l2l tunnel group 10.0.0.2 ipsec-attributes pre-shared-key cisco |
[IKEv1]:Group = 10.0.0.2, IP = 10.0.0.2, PHASE 1 COMPLETED |
|
|||
| フェーズ 2(クイック モード)が開始します。 |
IPSEC:New embryonic SA created @ 0x53FC3C00, |
||||
| QM1 を構成します。
このプロセスには次のものが含まれます プロキシIDとIP秒 ポリシー.
関連する設定: access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 |
[IKEv1 DEBUG]:Group = 10.0.0.2, IP = 10.0.0.2, IKE got SPI from key engine:SPI = 0xfd2d851f [IKEv1 DECODE]:Group = 10.0.0.2, IP = 10.0.0.2, IKE Initiator sending Initial Contact |
|
|||
| 送信 QM1。 |
[IKEv1]:IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=7b80c2b0) with payloads :HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NOTIFY (11) + NONE (0) total length :200 |
|
|||
|
|
===============================QM1========================> |
|
|||
|
|
[IKEv1 DECODE]:IP = 10.0.0.2, IKE Responder starting QM: msg id = 52481cf5 [IKEv1]:IP = 10.0.0.2, IKE_DECODE RECEIVED Message (msgid=52481cf5) with payloads :HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0) total length :172 |
発信側から QM1 を受信しました。
応答側がフェーズ 2(QM)を開始します。 |
|||
| [IKEv1 DEBUG]:Group = 10.0.0.2, IP = 10.0.0.2, processing hash payload |
QM1 を処理します。
このプロセス リモートプロキシをローカルと 許容可能なIPを選択する秒 ポリシーに該当するトラフィックを区別します。
関連コンフィギュレーション:crypto ipsec transform-set TRANSFORM esp-aes esp-sha-hmac access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 crypto map MAP 10 match address VPN |
||||
|
|
[IKEv1 DECODE]:Group = 10.0.0.2, IP = 10.0.0.2, ID_IPV4_ADDR_SUBNET ID received--192.168.2.0--255.255.255.0[IKEv1]:Group = 10.0.0.2, IP = 10.0.0.2, Received remote IP Proxy Subnet data in ID Payload:Address 192.168.2.0, Mask 255.255.255.0, Protocol 1, Port 0 [IKEv1 DEBUG]:Group = 10.0.0.2, IP = 10.0.0.2, processing ID payload |
リモート サブネットとローカル サブネット(192.168.2.0/24 と 192.168.1.0/24)を受信します。 |
|||
|
|
[IKEv1]:Group = 10.0.0.2, IP = 10.0.0.2, QM IsRekeyed old sa not found by addr |
一致するスタティック クリプト エントリが検索され、検出されます。 |
|||
|
|
[IKEv1]:Group = 10.0.0.2, IP = 10.0.0.2, IKE:requesting SPI! |
QM2 を構成します。
このプロセスはncludes cプロキシID、トンネルタイプ、および ミラー暗号ACLに対してチェックが実行されます。 |
|||
|
|
[IKEv1]:IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=52481cf5) with payloads :HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0) total length :172 |
QM2 を送信します。 |
|||
|
|
<============================QM2=========================== |
|
|||
| レスポンダからの QM2 を受信します。 |
[IKEv1]:IP = 10.0.0.2, IKE_DECODE RECEIVED Message (msgid=7b80c2b0) with payloads :HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NOTIFY (11) + NONE (0) total length :200 |
|
|||
| QM2 を処理します。
このプロセスでは、 rリモートエンドがパラメータを送信し、 提案されたフェーズ 2 ライフタイムの中から最短のものが選択されます。 |
[IKEv1 DEBUG]:Group = 10.0.0.2, IP = 10.0.0.2, processing hash payload |
|
|||
| 一致するクリプト マップ「MAP」、エントリ 10 が見つかり、アクセス リスト「VPN」と一致しました。 |
[IKEv1 DEBUG]:Group = 10.0.0.2, IP = 10.0.0.2, NP encrypt rule look up for crypto map MAP 10 matching ACL VPN:returned cs_id=53f11198;rule=53f11a90 |
|
|||
| アプライアンスは、着信トラフィックと発信トラフィック用にそれぞれ SPI 0xfd2d851f と 0xdde50931 を生成しました。 |
[IKEv1 DEBUG]:Group = 10.0.0.2, IP = 10.0.0.2, Generating Quick Mode Key! |
|
|||
| QM3 を構成します。
Confirm リモートピアに対して作成されたすべてのSPI。 |
IPSEC:Completed host IBSA update, SPI 0xFD2D851F |
|
|||
| QM3 を送信します。 |
[IKEv1 DECODE]:Group = 10.0.0.2, IP = 10.0.0.2, IKE Initiator sending 3rd QM pkt:msg id = 7b80c2b0 |
|
|||
|
|
=============================QM3==========================> |
|
|||
| フェーズ 2 が完了しました。
発信側は、これらの SPI 値を使用してパケットを暗号化および復号化する準備ができました。 |
[IKEv1]:IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=7b80c2b0) with payloads :HDR + HASH (8) + NONE (0)合計長:76 |
[IKEv1]:IP = 10.0.0.2, IKE_DECODE RECEIVED Message (msgid=52481cf5) with payloads :HDR + HASH (8) + NONE (0) total length :52 |
イニシエータからの QM3 を受信します。 |
||
|
|
[IKEv1 DEBUG]:Group = 10.0.0.2, IP = 10.0.0.2, processing hash payload |
QM3 を処理します。
データ SA の暗号キーが生成されます。
このプロセス中に、 トラフィックを渡すために SPI が設定されます。 |
|||
|
|
[IKEv1]:Group = 10.0.0.2, IP = 10.0.0.2, Security negotiation complete for LAN-to-LAN Group (10.0.0.2) Responder, Inbound SPI = 0x1698cac7, Outbound SPI = 0xdb680406 IPSEC:Completed host IBSA update, SPI 0x1698CAC7 |
SPI がデータ SA に割り当てられます。 |
|||
|
|
[IKEv1 DEBUG]:Group = 10.0.0.2, IP = 10.0.0.2, Starting P2 rekey timer:3060 seconds. |
IPsec キー再生成時刻を開始します。 |
|||
|
|
[IKEv1]:Group = 10.0.0.2, IP = 10.0.0.2, PHASE 2 COMPLETED (msgid=52481cf5) |
フェーズ 2 が完了しました。応答側と発信側の両方がトラフィックを暗号化および復号化できます。 |
|||
トンネルの確認
注:トンネルのトリガーには ICMP が使用されるため、1 つの IPSec SA のみがアップされています(プロトコル 1 = ICMP)。
show crypto ipsec sa
interface: outside
Crypto map tag: MAP, seq num: 10, local addr: 10.0.0.1
access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/1/0)
remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/1/0)
current_peer: 10.0.0.2
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 10.0.0.1/0, remote crypto endpt.: 10.0.0.2/0
path mtu 1500, ipsec overhead 74, media mtu 1500
current outbound spi: DB680406
current inbound spi : 1698CAC7
inbound esp sas:
spi: 0x1698CAC7(379112135)[an error occurred while processing this directive]
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 16384, crypto-map: MAP
sa timing: remaining key lifetime (kB/sec): (3914999/3326)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x0000001F
outbound esp sas:
spi: 0xDB680406 (3681027078)
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 16384, crypto-map: MAP
sa timing: remaining key lifetime (kB/sec): (3914999/3326)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001show crypto isakmp sa
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 10.0.0.2
Type :L2LRole :responder
Rekey : no State :MM_ACTIVE[an error occurred while processing this directive]
関連情報
- 始めるのにふさわしい場所は IPsec に関する Wikipedia 記事.標準と参照には多くの有用な情報が含まれています
- IPSec のトラブルシューティング:debug コマンドの説明と使用
- テクニカル サポートとドキュメント – Cisco Systems
シスコ エンジニア提供
- Atri Basu, Marcin Latosiewicz, and Jay Young TaylorCisco TAC Engineers.
フィードバックシスコに問い合わせ
- サポート ケースをオープン
- (シスコ サービス契約が必要です。)