ASA IPsec- en IKE-debugs (IKEv1 hoofdmodus) voor probleemoplossing bij technische opmerking
Downloadopties
Inclusief taalgebruik
De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Over deze vertaling
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Inhoud
Inleiding
In dit document worden de tekortkomingen van de adaptieve security applicatie (ASA) beschreven, wanneer zowel de hoofdmodus als de vooraf gedeelde sleutel (PSK) wordt gebruikt. De vertaling van bepaalde debug-lijnen in de configuratie wordt ook besproken.
De onderwerpen die niet in dit document worden besproken omvatten het doorgeven van verkeer nadat de tunnel is opgericht en basisconcepten van IPsec of Internet Key Exchange (IKE).
Voorwaarden
Vereisten
Lezers van dit document zouden kennis van deze onderwerpen moeten hebben.
-
PSK
-
IKE
Gebruikte componenten
De informatie in dit document is gebaseerd op deze hardware- en softwareversies:
-
Cisco ASA 9.3.2
-
Routers die Cisco IOS® 12.4T uitvoeren
kernvraagstuk
IKE en IPsec debugs zijn soms cryptisch, maar u kunt ze gebruiken om te begrijpen waar een probleem van de IPsec VPN-tunnelvestiging zich bevindt.
Scenario
De hoofdmodus wordt doorgaans gebruikt tussen LAN-to-LAN tunnels of, in het geval van externe toegang (EzVPN) wanneer certificaten worden gebruikt voor verificatie.
Deze apparaten komen van twee ASA’s die softwareversie 9.3.2 uitvoeren. De twee apparaten zullen een LAN-to-LAN tunnel vormen.
Er worden twee hoofdscenario's beschreven:
- ASA als initiator voor IKE
- ASA als responder voor IKE
Gebruikte debug-opdrachten
debug van crypto ikev1 127
debug van crypto ipsec 127
ASA-configuratie
IPsec-configuratie:
crypto ipsec transform-set TRANSFORM esp-aes esp-sha-hmac[an error occurred while processing this directive]
crypto map MAP 10 match address VPN
crypto map MAP 10 set peer 10.0.0.2
crypto map MAP 10 set transform-set TRANSFORM
crypto map MAP 10 set reverse-route
crypto map MAP interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group 10.0.0.2 type ipsec-l2l
tunnel-group 10.0.0.2 ipsec-attributes
pre-shared-key cisco
access-list VPN extended permit tcp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
IP-configuratie:
ciscoasa#
show ip
[an error occurred while processing this directive]
System IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet0/0 inside 192.168.1.1 255.255.255.0 manual
GigabitEthernet0/1 outside 10.0.0.1 255.255.255.0 manual
Current IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet0/0 inside 192.168.1.1 255.255.255.0 manual
GigabitEthernet0/1 outside 10.0.0.1 255.255.255.0 manual
NAT-configuratie:
object network INSIDE-RANGE[an error occurred while processing this directive]
subnet 192.168.1.0 255.255.255.0 object network FOREIGN_NETWORK
subnet 192.168.2.0 255.255.255
nat (inside,outside) source static INSIDE-RANGE INSIDE-RANGE destination static
FOREIGN_NETWORK FOREIGN_NETWORK no-proxy-arp route-lookup
Ontbreken
| Beschrijving van initiator-bericht |
Debugs |
Beschrijving van bericht weergeven |
|||
| De omwisseling van de hoofdmodus begint; Er is geen beleid gedeeld en de peers zijn nog steeds in MM_NO_STATE.
Als initiator begint de ASA de lading te construeren. |
[IKEv1 DEBUG]: Steek: kreeg een sleutel, spi 0x0 |
|
|||
| Fabric M1
Dit proces isOmvat iOorspronkelijk voorstel voor IKE en sOndersteunde NAT-T verkopers. |
[IKEv1 DEBUG]: IP = 10.0.0.2, waarbij ISAKMP SA-lading wordt geconstrueerd [IKEv1 DEBUG]: IP = 10.0.0.2, waarbij NAT-traversal VID wordt geconstrueerd voor een lading van meer dan 200 |
||||
| Stuur MM1. |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=0) met payload: HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) totale lengte : 168 |
||||
| = ========================================================================================================================================================================================================================================================= |
|
||||
|
|
[IKEv1]: IP = 10.0.0.2, IKE_DECODE ONTVANGEN Bericht (msgid=0) met payload: HDR + SA (1) + VENDOR (13) +VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) totale lengte : 164 |
MM1 ontvangen van de initiatiefnemer.
|
|||
|
|
[IKEv1 DEBUG]: IP = 10.0.0.2, verwerking van SA-lading [IKEv1 DEBUG]: IP = 10.0.0.2, het voorstel van Oakley is aanvaardbaar [IKEv1 DEBUG]: IP = 10.0.0.2, verwerking van VID-lading [IKEv1 DEBUG]: IP = 10.0.0.2, IKE SA-voorstel # 1, Transformeer # 1 acceptabele matches wereldwijde IKE-vermelding # 2 |
Verwerking M1.
De vergelijking van het ISAKMP/IKE-beleid begint. De externe peer advertenties die het NAT-T kan gebruiken.
Gerelateerde configuratie: controle vooraf encryptie 3DES hash sha groep 2 levensduur: 8640 |
|||
|
|
[IKEv1 DEBUG]: IP = 10.0.0.2, waarbij ISAKMP SA-lading wordt geconstrueerd |
bouwen M2.
In dit bericht selecteert de responder welke beleidsinstellingen u wilt gebruiken. Ook worden de NAT-versies die het kan gebruiken geadverteerd. |
|||
|
|
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=0) met payload: HDR + SA (1) + VENDOR (13) + VENDOR (13) + NONE(0) totale lengte : 128 |
Stuur MM2. |
|||
|
|
<================================"======"=========="======================="="="="="="="<="="="="="="="="="="="="="="="<="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="<="<="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="=" |
|
|||
| MM2 ontvangen van de responder. |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE ONTVANGEN Bericht (msgid=0) met payload: HDR + SA (1) + VENDOR (13) + NONE (0) totale lengte: 104
|
|
|||
| Procesmodule M2. |
[IKEv1 DEBUG]: IP = 10.0.0.2, verwerking van SA-lading
|
|
|||
| Fabric MM3.
Dit proces isOmvatNAT ontdekkingsnuttige ladingen, Diffie- Hellman (DH) Key Exchange (KE) - nuttige ladingen (i)nitator bevat g, p en A voor de respons), en DPD ondersteuning. |
30 nov. 10:38:29 [IKEv1 DEBUG]: IP = 10.0.0.2, waarbij de nuttige lading wordt geconstrueerd |
|
|||
| Stuur MM3. |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=0) met payload: HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) totale lengte : 304
|
|
|||
|
|
= ========================================================================================================================================================================================================================================================= |
|
|||
|
|
[IKEv1]: IP = 10.0.0.2, IKE_DECODE ONTVANGEN Bericht (msgid=0) met payload: HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (130) + NAT-D (130) + NONE (0) totale lengte : 284 |
MM3 ontvangen van de initiatiefnemer. |
|||
|
|
[IKEv1 DEBUG]: IP = 10.0.0.2, verwerking bij nuttige lading |
Procesmodule M3.
Van NAT-D payload-responder kan bepalen of indicatielampje zit achter NAT en als Achter NAT zit een antwoordapparaat.
Van de DH KE krijgt de payload-responder waarden van p, g en A. |
|||
|
|
[IKEv1 DEBUG]: IP = 10.0.0.2, NAT-detectieshash voor computers |
BOUW M4.
Dit proces isOmvat NAT ontdekkingslading, DH KEesponder genereert "B" en "s" (stuurt "B" terug naar initator), en DPD VID. |
|||
|
|
[IKEv1]: IP = 10.0.0.2, verbinding geland op tunnel_group 10.0.0.2 |
De peer wordt geassocieerd met de 10.0.0.2 L2L tunnelgroep en de encryptie en de haktoetsen worden gegenereerd van de "s" hierboven en de pre-gedeeld-sleutel. |
|||
|
|
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=0) met payload: HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (130) + NAT-D (130) + NONE (0) totale lengte : 304 |
Stuur MM4. |
|||
|
|
<==================================="===="=========="=================="="="="="="="="="="="="="="="<="<="<="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="<="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="=" |
|
|||
| MM4 ontvangen van een responder. |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE ONTVANGEN Bericht (msgid=0) met payload: HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) totale lengte : 304
|
|
|||
| PROCES M4.
Vanuit de NAT-D-lading kan de initiatiefnemer nu bepalen of De beheerder zit achter NAT en of Achter NAT zit een antwoordapparaat.
|
[IKEv1 DEBUG]: IP = 10.0.0.2, verwerking zoals lading |
|
|||
|
De peer wordt geassocieerd met de 10.0.0.2 L2L tunnelgroep en de initator genereert encryptie en haktoetsen met behulp van "s" hierboven en de pre-Shared key.
|
[IKEv1]: IP = 10.0.0.2, verbinding geland op tunnel_group 10.0.0.2 [IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2, genererende toetsen voor Initiator... |
|
|||
| Opstellen M5.
Gerelateerde configuratie: auto met encryptie - identiteit |
[IKEv1 DEBUG]: Groep = 10.0.0.2, IP = 10.0.0.2, waarbij de ID-lading wordt geconstrueerd |
|
|||
| Verzenden MM5. |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=0) met payload: HDR + ID (5) + HASH (8) + IOS-BEHOUD (128) +VENDOR (13) + NIET (0) totale lengte: 96 |
|
|||
|
|
= ========================================================================================================================================================================================================================================================= |
|
|||
| Responder ligt niet achter een NAT. Geen NAT-T vereist. |
[IKEv1]: Groep = 10.0.0.2, IP = 10.0.0.2, automatische NAT-detectiestatus: Afstandseinde zit NIET achter een NAT-apparaat Dit uiteinde zit NIET achter een NAT-apparaat |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE ONTVANGEN Bericht (msgid=0) met payload: HDR + ID (5) + HASH (8) + NONE (0) totale lengte: 64 |
MM5 ontvangen van initiatiefnemer.
Dit proces isOmvat rd e oto peer Identity (ID) en ceen verbindingslanding op een bepaalde tunnelgroep. |
||
|
|
[IKEv1 DEBUG]: Groep = 10.0.0.2, IP = 10.0.0.2, verwerkings-ID-lading [IKEv1]: IP = 10.0.0.2, verbinding geland op tunnel_group 10.0.0.2 |
PROCES M5.
Verificatie met vooraf gedeelde toetsen begint nu. Verificatie vindt plaats op beide peers; daarom ziet u twee reeksen corresponderende echtheidsprocessen.
Gerelateerde configuratie: |
|||
|
|
Detectiestatus: Afstandseinde zit NIET achter een NAT-apparaat Dit uiteinde zit NIET achter een NAT-apparaat |
Nee NAT-T vereist in dit geval. |
|||
|
|
[IKEv1 DEBUG]: Groep = 10.0.0.2, IP = 10.0.0.2, waarbij de ID-lading wordt geconstrueerd |
BOUW M6.
Verzenden van identiteit omvat rekey times die zijn gestart en identiteit die naar een externe peer wordt verstuurd. |
|||
|
|
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=0) met payload: HDR + ID (5) + HASH (8) + IOS-BEHOUD (128) +VENDOR (13) + NIET (0) totale lengte: 96 |
Stuur MM6. |
|||
|
|
<====================================="===="=========================="="===="="<="=="<==="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="<="="="="<="="="="="="="="="="="="="="="="="="="="="="="="="="<="="="="=" |
|
|||
| MM6 ontvangen van een responder. |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE ONTVANGEN Bericht (msgid=0) met payload: HDR + ID (5) + HASH (8) + NONE (0) totale lengte: 64 |
[IKEv1]: Groep = 10.0.0.2, IP = 10.0.0.2, FASE 1 VOLTOOID |
Fase 1 voltooid.
Start de uitzettimer.
Gerelateerde configuratie: |
||
| PROCES M6.
Dit proces isOmvat remotionele identiteit verzonden van peer en feindbeslissing over te kiezen tunnelgroep . |
[IKEv1 DEBUG]: Groep = 10.0.0.2, IP = 10.0.0.2, verwerkings-ID-lading |
|
|||
| Fase 1 voltooid.
Start ISAKMP-uitzettimer.
Verwante cconfiguratie: tunnelgroep 10.0.0.2 type ipsec-l2l tunnelgroep 10.0.0.2 ipsec-eigenschappen cisco met voorgedeelde toets |
[IKEv1]: Groep = 10.0.0.2, IP = 10.0.0.2, FASE 1 VOLTOOID |
|
|||
| Fase 2 (snelle modus) begint. |
IPSEC: Nieuwe embryonaal-SA gemaakt bij 0x53FC3C00, |
||||
| Bevestig QM1.
Dit proces omvat: proxy-ID’s en IPsec beleid.
Gerelateerde configuratie: Toegang tot VPN-lijst uitgebreide vergunning ICMP 192.168.1.0 255.255.255.0 192.168.2.0 255.255.0 |
[IKEv1 DEBUG]: Groep = 10.0.0.2, IP = 10.0.0.2, IKE kreeg SPI van de sleutelmotor: SPI = 0xfd2d851f [IKEv1-DECODE]: Groep = 10.0.0.2, IP = 10.0.0.2, IKE-initiator die eerste contactgegevens stuurt |
|
|||
| Verzenden QM1. |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=7b80c2b0) met payload: HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + MEDEDELING (11) + GEEN (0) totale lengte : 200 |
|
|||
|
|
========================================================================================================================================================================================================================================================== |
|
|||
|
|
[IKEv1-DECODE]: IP = 10.0.0.2, IKE Responder vanaf QM: msg steun = 52481cf5 [IKEv1]: IP = 10.0.0.2, IKE_DECODE ONTVANGEN Bericht (msgid=52481cf5) met payload: HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0) totale lengte: 172 |
QM1 ontvangen van initiatiefnemer.
Responder start fase 2 (QM). |
|||
| [IKEv1 DEBUG]: Groep = 10.0.0.2, IP = 10.0.0.2, verwerkingslading |
Verwerking van QM1.
Dit proces vergelijkt afgelegen proxy met lokaal en selecteert aanvaardbare IPsec beleid.
Verwante configuratie: crypto ipsec transformatie-set TRANSFORM esp-aes esp-sha-hmac Toegang tot VPN-lijst uitgebreide vergunning ICMP 192.168.1.0 255.255.255.0 192.168.2.0 255.255.0 crypto kaart MAP 10 matchadres van VPN |
||||
|
|
[IKEv1-DECODE]: Groep = 10.0.0.2, IP = 10.0.0.2, ID_IPV4_ADDR_SUBNET ID ontvangen—192.168.2.0—255.255.255.0[IKEv1]: Groep = 10.0.0.2, IP = 10.0.0.2, ontvangen externe IP Proxy Subnet-gegevens in ID-payload: Adres 192.168.2.0, masker 255.255.255.0, protocol 1, poort 0 [IKEv1 DEBUG]: Groep = 10.0.0.2, IP = 10.0.0.2, verwerkings-ID-lading |
Afgelegen en lokale subnetten (192.168.2.0/24 en 192.168.1.0/24) worden ontvangen. |
|||
|
|
[IKEv1]: Groep = 10.0.0.2, IP = 10.0.0.2, QM IsRekeyed old als niet gevonden door addr |
Er wordt gezocht naar een bijpassend statische cryptoingang. |
|||
|
|
[IKEv1]: Groep = 10.0.0.2, IP = 10.0.0.2, IKE: SPI eisen! |
Bevestig QM2.
Dit proces isOmvatbevestiging van de identiteit van volmacht, tunneltype en een De controle wordt uitgevoerd voor gespiegelde crypto ACL’s. |
|||
|
|
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=52481cf5) met payload: HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0) totale lengte: 172 |
Verzend QM2. |
|||
|
|
<====================================="=========="======================="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="<="<="<="<="="="="="="="="="="="="="="="="="="="="="="="="="="="="="="=" |
|
|||
| QM2 ontvangen van een responder. |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE ONTVANGEN Bericht (msgid=7b80c2b0) met payload: HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + MEDEDELING (11) + GEEN (0) totale lengte : 200 |
|
|||
| Verwerking van QM2.
In dit proces remotionele eindsignaal stuurt parameters en de kortste voorgestelde fase 2 van de levenscyclus wordt gekozen . |
[IKEv1 DEBUG]: Groep = 10.0.0.2, IP = 10.0.0.2, verwerkingslading |
|
|||
| Vonden het koppelen van crypto kaart "MAP" en ingang 10 en het matchen met toegangslijst "VPN". |
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2, NP encryptie regelt het zoeken naar crypto kaart MAP 10 matching ACL VPN: teruggegeven cs_id=53f11198; regel=53f11a90 |
|
|||
| Dit apparaat heeft een SPI’s 0xfd2d851f en 0xdde50931f gegenereerd voor respectievelijk inkomende en uitgaande verkeer. |
[IKEv1 DEBUG]: Groep = 10.0.0.2, IP = 10.0.0.2, genereert snelmodus! |
|
|||
| bouw QM3.
Bevestig alle SPI's die aan een externe peer zijn gemaakt. |
IPSEC: Voltooide IBSA-update, SPI 0xFD2D851F |
|
|||
| Verzend QM3. |
[IKEv1-DECODE]: Groep = 10.0.0.2, IP = 10.0.0.2, IKE-initiator die een derde QM-pakket stuurt: msg id = 7b80c2b0 |
|
|||
|
|
= ========================================================================================================================================================================================================================================================= |
|
|||
| Fase 2 voltooid.
De initiator is nu klaar om pakketten te versleutelen en te decrypteren met deze SPI-waarden. |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING Message (msgid=7b80c2b0) met payload: HDR + HASH (8) + NONE (0) totale lengte :76 |
[IKEv1]: IP = 10.0.0.2, IKE_DECODE ONTVANGEN Bericht (msgid=52481cf5) met payload: HDR + HASH (8) + NONE (0) totale lengte: 52 |
QM3 ontvangen van initiatiefnemer. |
||
|
|
[IKEv1 DEBUG]: Groep = 10.0.0.2, IP = 10.0.0.2, lading verwerkingshangende lading |
QM3-proces.
Er worden encryptiesleutels gegenereerd voor de data-eenheden.
Tijdens deze procedure: SPI's worden ingesteld om het verkeer over te brengen. |
|||
|
|
[IKEv1]: Groep = 10.0.0.2, IP = 10.0.0.2, Security onderhandeling voltooid voor LAN-to-LAN groep (10.0.0.2) Responder, inkomende SPI = 0x1698cac7, uitgaande SPI = 0xdb680406 IPSEC: Voltooide IBSA-update, SPI 0x1698CAC7 |
Aan de gegevens SA's worden SPI's toegewezen. |
|||
|
|
[IKEv1 DEBUG]: Groep = 10.0.0.2, IP = 10.0.0.2, Starttimer P2: 3060 seconden. |
Start IPsec opnieuw. |
|||
|
|
[IKEv1]: Groep = 10.0.0.2, IP = 10.0.0.2, FASE 2 COMPLETED (msgid=52481cf5) |
Fase 2 voltooid. Zowel responder als initiator kunnen verkeer versleutelen/decrypteren. |
|||
Tunnelverificatie
Opmerking: Aangezien ICMP wordt gebruikt om de tunnel te activeren, is slechts één IPSec SA omhoog. Protocol 1 = ICMP.
show crypto ipsec sa
interface: outside
Crypto map tag: MAP, seq num: 10, local addr: 10.0.0.1
access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/1/0)
remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/1/0)
current_peer: 10.0.0.2
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 10.0.0.1/0, remote crypto endpt.: 10.0.0.2/0
path mtu 1500, ipsec overhead 74, media mtu 1500
current outbound spi: DB680406
current inbound spi : 1698CAC7
inbound esp sas:
spi: 0x1698CAC7(379112135)[an error occurred while processing this directive]
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 16384, crypto-map: MAP
sa timing: remaining key lifetime (kB/sec): (3914999/3326)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x0000001F
outbound esp sas:
spi: 0xDB680406 (3681027078)
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 16384, crypto-map: MAP
sa timing: remaining key lifetime (kB/sec): (3914999/3326)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001show crypto isakmp sa
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 10.0.0.2
Type :L2LRole :responder
Rekey : no State :MM_ACTIVE[an error occurred while processing this directive]
Gerelateerde informatie
- Een goede plek om te beginnen is wikipedia-artikel op IPSec2. Standaard en referenties bevatten veel nuttige informatie
- IPsec-probleemoplossing: Opdrachten begrijpen en gebruiken
- Technische ondersteuning en documentatie – Cisco Systems
Bijgedragen door Cisco-engineers
- Atri Basu, Marcin Latosiewicz, and Jay Young TaylorCisco TAC Engineers.
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)