Solucionar problemas de depuração do IOS IKEv2 para VPN site a site com PSKs
Opções de download
Linguagem imparcial
O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
Sobre esta tradução
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Introdução
Este documento descreve as depurações do Internet Key Exchange versão 2 (IKEv2) no Cisco IOS® quando uma chave não compartilhada (PSK) é usada.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento da troca de pacotes para IKEv2. Para obter mais informações, consulte Intercâmbio de Pacotes IKEv2 e Depuração no Nível de Protocolo.
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Internet Key Exchange versão 2 (IKEv2)
- Cisco IOS 15.1(1)T ou posterior
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Conventions
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Informações de Apoio
Este documento fornece informações sobre como traduzir determinadas linhas de depuração em uma configuração.
Problema principal
A troca de pacotes em IKEv2 é radicalmente diferente da troca de pacotes em IKEv1. No IKEv1 houve uma troca de fase1 claramente demarcada que consistia em seis (6) pacotes com uma troca de fase 2 depois que consistia em três (3) pacotes; a troca de IKEv2 é variável. Para obter mais informações sobre as diferenças e uma explicação da troca de pacotes, consulte Intercâmbio de Pacotes IKEv2 e Depuração no Nível de Protocolo.
Configuração do roteador
Esta seção lista as configurações usadas neste documento.
Roteador 1
interface Loopback0
ip address 192.168.1.1 255.255.255.0
!
interface Tunnel0
ip address 172.16.0.101 255.255.255.0
tunnel source Ethernet0/0
tunnel mode ipsec ipv4
tunnel destination 10.0.0.2
tunnel protection ipsec profile phse2-prof
!
interface Ethernet0/0
ip address 10.0.0.1 255.255.255.0
crypto ikev2 proposal PHASE1-prop
encryption 3des aes-cbc-128
integrity sha1
group 2
!
crypto ikev2 policy site-pol
proposal PHASE1-prop
!
crypto ikev2 keyring KEYRNG
peer peer1
address 10.0.0.2 255.255.255.0
hostname host1
pre-shared-key local cisco
pre-shared-key remote cisco
!
crypto ikev2 profile IKEV2-SETUP
match identity remote address 0.0.0.0
authentication remote pre-share
authentication local pre-share
keyring local KEYRNG
lifetime 120
!
crypto ipsec transform-set TS esp-3des esp-sha-hmac
!
crypto ipsec profile phse2-prof
set transform-set TS
set ikev2-profile IKEV2-SETUP
!
ip route 0.0.0.0 0.0.0.0 10.0.0.2
ip route 192.168.2.1 255.255.255.255 Tunnel0
Roteador 2
crypto ikev2 proposal PHASE1-prop
encryption 3des aes-cbc-128
integrity sha1
group 2
!
crypto ikev2 keyring KEYRNG
peer peer2
address 10.0.0.1 255.255.255.0
hostname host2
pre-shared-key local cisco
pre-shared-key remote cisco
!
crypto ikev2 profile IKEV2-SETUP
match identity remote address 0.0.0.0
authentication remote pre-share
authentication local pre-share
keyring local KEYRNG
lifetime 120
!
crypto ipsec transform-set TS esp-3des esp-sha-hmac
!
!
crypto ipsec profile phse2-prof
set transform-set TS
set ikev2-profile IKEV2-SETUP
!
interface Loopback0
ip address 192.168.2.1 255.255.255.0
!
interface Ethernet0/0
ip address 10.0.0.2 255.255.255.0
!
interface Tunnel0
ip address 172.16.0.102 255.255.255.0
tunnel source Ethernet0/0
tunnel mode ipsec ipv4
tunnel destination 10.0.0.1
tunnel protection ipsec profile phse2-prof
!
ip route 0.0.0.0 0.0.0.0 10.0.0.1
ip route 192.168.1.1 255.255.255.255 Tunnel0
Troubleshooting
Depurações de roteador
Estes comandos de depuração são usados neste documento:
deb crypto ikev2 packet
deb crypto ikev2 internal
| Descrição da Mensagem do Roteador 1 (Iniciador) | Debugs | Descrição da Mensagem do Roteador 2 (Respondente) | |
|---|---|---|---|
| O roteador 1 recebe um pacote que corresponde à ACL criptografada para o ASA 10.0.0.2 correspondente. Inicia a criação de SA | *11 de novembro 20:28:34.003: IKEv2: Um pacote foi recebido do despachante |
||
| O primeiro par de mensagens é a troca IKE_SA_INIT. Essas mensagens negociam algoritmos criptográficos, trocam momentos e fazem uma troca Diffie-Hellman. Configuração relevante: proposta crypto ikev2 PHASE1-prop encryption 3des aes-cbc-128 integrity sha1 group 2crypto ikev2 keyring KEYRNG peer1 address 10.0.0.2 255.255.255.0 hostname host1 pre-shared-key local cisco pre-shared-key remote cisco |
*11 de novembro 19:30:34.811: IKEv2:(ID da AS = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: IDLE Evento: EV_INIT_SA *11 de novembro 19:30:34.811: IKEv2:(ID da SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evento: EV_GET_IKE_POLICY *Nov 11 19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evento:EV_SET_POLICY *11 de novembro, 19:30:34.811: IKEv2:(SA ID = 1):Definindo políticas configuradas *11 de novembro 19:30:34.811: IKEv2:(ID da SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evento: EV_CHK_AUTH4PKI *Nov 11 19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evento:EV_GEN_DH_KEY *11 de novembro 19:30:34.811: IKEv2:(ID da AS = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evento: EV_NO_EVENT *11 de novembro 19:30:34.811: IKEv2:(ID da SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evento: EV_OK_RED_DH_PUBKEY_RESP *11 de novembro 19:30:34.811: IKEv2:(ID da AS = 1):Ação: Action_Null *11 de novembro 19:30:34.811: IKEv2:(ID da SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evento: EV_GET_CONFIG_MODE *11 de novembro 19:30:34.811: IKEv2:IKEv2 iniciador - nenhum dado de configuração para enviar no exch IKE_SA_INIT *11 de novembro, 19:30:34.811: IKEv2:Sem dados de configuração para enviar ao kit de ferramentas: *11 de novembro 19:30:34.811: IKEv2:(ID da AS = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evento: EV_BLD_MSG *11 de novembro, 19:30:34.811: IKEv2: Criar Carga Específica do Fornecedor: DELETE-REASON *11 de novembro, 19:30:34.811: IKEv2: Criar carga específica do fornecedor: (PERSONALIZADO) *11 de novembro 19:30:34.811: IKEv2:Criar Carga de Notificação: NAT_DETECTION_SOURCE_IP *11 de novembro 19:30:34.811: IKEv2:Criar Carga de Notificação: NAT_DETECTION_DESTINATION_IP |
||
| Iniciador criando pacote IKE_INIT_SA. Ele contém: Cabeçalho ISAKMP (SPI/versão/flags), SAi1 (algoritmo criptográfico suportado pelo iniciador IKE), KEi (valor de chave pública DH do iniciador) e N (Iniciador Nonce). | *11 de novembro 19:30:34.811: IKEv2:(SA ID = 1):Próxima carga: SA, versão: 2.0 Tipo de troca: IKE_SA_INIT, sinalizadores: INITIATOR ID da mensagem: 0, comprimento: 344 Conteúdo da carga: SA Próxima carga: KE, reservado: 0x0, comprimento: 56 última proposta: 0x0, reservado: 0x0, comprimento: 52 Proposta: 1, ID do protocolo: IKE, tamanho SPI: 0, #trans: 5 última transformação: 0x3, reservado: 0x0: comprimento: 8 tipo: 1, reservado: 0x0, id: 3DES última transformação: 0x3, reservado: 0x0: comprimento: 12 tipo: 1, reservado: 0x0, id: AES-CBC última transformação: 0x3, reservado: 0x0: comprimento: 8 tipo: 2, reservado: 0x0, id: SHA1 última transformação: 0x3, reservado: 0x0: comprimento: 8 tipo: 3, reservado: 0x0, id: SHA96 última transformação: 0x0, reservado: 0x0: comprimento: 8 tipo: 4, reservado: 0x0, id: DH_GROUP_1024_MODP/Grupo 2 KE Próxima carga: N, reservado: 0x0, comprimento: 136 Grupo DH: 2, Reservado: 0x0 N Próxima carga: VID, reservado: 0x0, comprimento: 24 VID Próxima carga: VID, reservado: 0x0, comprimento: 23 Próxima carga útil de VID: NOTIFY, reservado: 0x0, comprimento: 21 NOTIFY(NAT_DETECTION_SOURCE_IP) Próxima carga: NOTIFY, reservado: 0x0, comprimento: 28 ID do protocolo de segurança: IKE, tamanho do spi: 0, tipo: NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_DESTINATION_IP) Próxima carga: NONE, reservado: 0x0, comprimento: 28 ID do protocolo de segurança: IKE, tamanho do spi: 0, tipo: NAT_DETECTION_DESTINATION_IP |
||
|
|
|||
| *11 de novembro 19:30:34.814: IKEv2: Um pacote foi recebido do despachante |
O respondente recebe IKE_INIT_SA. | ||
| *Nov 11 19:30:34.814: IKEv2:Próximo payload: SA, versão: 2.0 Tipo de câmbio: IKE_SA_INIT, flags: INITIATOR ID da mensagem: 0, comprimento: 344 |
O respondente inicia a criação de SA para esse par. | ||
| *Nov 11 19:30:34.814: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: IDLE Event:EV_RECV_INIT |
O respondente verifica e processa a mensagem IKE_INIT: (1) Escolhe o conjunto de criptografia dentre os oferecidos pelo iniciador, (2) calcula sua própria chave secreta DH e (3) calcula um valor skeyid, a partir do qual todas as chaves podem ser derivadas para este IKE_SA. Todos, exceto os cabeçalhos de todas as mensagens que vêm depois, são criptografados e autenticados. As chaves usadas para a criptografia e proteção da integridade são derivadas do SKEYID e são conhecidas como: SK_e (criptografia), SK_a (autenticação), SK_d é derivada e usada para derivação de mais material de chaveamento para CHILD_SAs, e uma SK_e e SK_a separadas são calculadas para cada direção. Configuração relevante: crypto ikev2 proposal PHASE1-prop encryption 3des aes-cbc-128 integrity sha1 group 2 crypto ikev2 keyring KEYRNG peer peer2 address 10.0.0.1 255.255.255.0 hostname host2 pre-shared-key local cisco pre-shared-key remote cisco |
||
| *Nov 11 19:30:34.822: IKEv2:(SA ID = 1):Próxima carga: SA, versão: 2.0 Tipo de troca: IKE_SA_INIT, sinalizadores: RESPONDER MSG-RESPONSE ID da mensagem: 0, comprimento: 449 |
O roteador 2 cria a mensagem do respondente para troca IKE_SA_INIT, que é recebida pelo ASA1. Este pacote contém: Cabeçalho ISAKMP (SPI/ versão/sinalizadores), SAr1 (algoritmo criptográfico escolhido pelo respondente IKE), KEr (valor da chave pública DH do respondente) e Respondente Nonce. | ||
| *11 de novembro 19:30:34.822: IKEv2:(ID da SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: INIT_DONE Evento: EV_DONE |
O Roteador 2 envia a mensagem do respondente ao Roteador 1. | ||
|
|
|||
| O roteador 1 recebe o pacote de resposta IKE_SA_INIT do roteador 2. | *11 de novembro 19:30:34.823: IKEv2: Um pacote foi recebido do despachante |
I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = Estado 00000000: Evento INIT_DONE:EV_START_TMR |
O respondente inicia o timer do processo de Autenticação. |
| O Roteador 1 verifica e processa a resposta: (1) a chave secreta DH do iniciador é computada e (2) a ID de interface do iniciador também é gerada. | *Nov 11 19:30:34.823: IKEv2:(SA ID = 1):Próxima carga: SA, versão: 2.0 Tipo de troca: IKE_SA_INIT, sinalizadores: RESPONDER MSG-RESPONSE ID da mensagem: 0, comprimento: 449 *11 de novembro 19:30:34.824: IKEv2:(ID da SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_WAIT_INIT Evento: EV_RECV_INIT |
||
| O iniciador inicia a troca IKE_AUTH e gera o payload de autenticação. O pacote IKE_ AUTH contém: Cabeçalho ISAKMP (SPI/ versão/ flags), IDi (identidade do iniciador), payload AUTH, SAi2 (inicia o SA- semelhante à troca do conjunto de transformação da fase 2 em IKEv1), e TSi e TSr (seletores de Tráfego do Iniciador e do Respondente). Eles contêm os endereços de origem e destino do iniciador e do respondente respectivamente para encaminhar/receber tráfego criptografado. O intervalo de endereços especifica que todo o tráfego de e para esse intervalo é encapsulado. Se a proposta for aceitável para o respondente, ele enviará payloads TS idênticos de volta. O primeiro CHILD_SA é criado para o par proxy_ID que corresponde ao pacote de acionamento. Configuração relevante: crypto ipsec transform-set TS esp-3des esp-sha-hmac crypto ipsec profile phse2-prof set transform-set TS set ikev2-profile IKEV2-SETUP |
*Nov 11 19:30:34.831: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_BLD_AUTH Evento:EV_GEN_AUTH *Nov 11 19:30:34.831: SA Próxima carga: TSi, reservado: 0x0, comprimento: 40 NOTIFY(INITIAL_CONTACT) Próxima carga: NOTIFY, reservado: 0x0, comprimento: 8 |
||
|
|
|||
| *11 de novembro 19:30:34.832: IKEv2: Um pacote foi recebido do despachante |
O roteador 2 recebe e verifica os dados de autenticação recebidos do roteador 1. Configuração relevante: crypto ipsec ikev2 ipsec-proposal AES256 protocol esp encryption aes-256 protocol esp integrity sha-1 md5 |
||
| *11 de novembro 19:30:34.832: IKEv2:(ID da SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_RECV_AUTH |
O Roteador 2 cria a resposta para o pacote IKE_AUTH recebido do Roteador 1. Este pacote de resposta contém: Cabeçalho ISAKMP (SPI/ versão/sinalizadores), IDr. (identidade do respondente), payload AUTH, SAr2 (inicia o SA-similar à troca do conjunto de transformação da fase 2 em IKEv1) e TSi e TSr (seletores de Tráfego do Iniciador e do Respondente). Eles contêm os endereços de origem e destino do iniciador e do respondente respectivamente para encaminhar/receber tráfego criptografado. O intervalo de endereços especifica que todo o tráfego de e para esse intervalo é encapsulado. Esses parâmetros são idênticos àquele que foi recebido do ASA1. | ||
| *Nov 11 19:30:34.833: IKEv2:(SA ID = 1):Próxima carga útil: ENCR, versão: 2.0 Tipo de troca: IKE_AUTH, sinalizadores: RESPONDER MSG-RESPONSE ID da mensagem: 1, comprimento: 252 |
O respondente envia a resposta para IKE_AUTH. | ||
|
|
|||
| O iniciador recebe a resposta do Respondente. | *11 de novembro 19:30:34.834: IKEv2: Um pacote foi recebido do despachante |
*11 de novembro 19:30:34.840: IKEv2:(ID da AS = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: AUTH_DONE Evento: EV_OK_RECD_LOAD_IPSEC |
O respondente insere uma entrada no SAD. |
| O roteador 1 verifica e processa os dados de autenticação nesse pacote. O roteador 1 insere essa AS em seu SAD. | *Nov 11 19:30:34.834: IKEv2:(SA ID = 1):Próxima carga útil: ENCR, versão: 2.0 Tipo de troca: IKE_AUTH, sinalizadores: RESPONDER MSG-RESPONSE ID da mensagem: 1, comprimento: 252 |
||
| O túnel está ativo no iniciador e o status mostraREADY. | *Nov 11 19:30:34.841: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: READYEvent: EV_CHK_IKE_ONLY |
*Nov 11 19:30:34.840: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: READY Evento: EV_R_OK |
O túnel está ativado no Respondente. O túnel do Respondente geralmente aparece antes do Iniciador. |
Depurações CHILD_SA
Essa troca consiste em um único par de solicitação/resposta e foi chamada de troca de fase 2 em IKEv1. Ele pode ser iniciado por qualquer extremidade do IKE_SA após a conclusão das trocas iniciais.
| Descrição da mensagem do roteador 1 CHILD_SA | Debugs | Descrição da mensagem do roteador 2 CHILD_SA |
|---|---|---|
O roteador 1 inicia a troca CHILD_SA. Esta é a solicitação CREATE_CHILD_SA. O pacote CHILD_SA normalmente contém:
|
*11 de novembro 19:31:35.873: IKEv2: Um pacote foi recebido do despachante |
|
| *Nov 11 19:31:35.869: IKEv2:(SA ID = 2):Próxima carga útil: ENCR, versão: 2.0 Tipo de troca: CREATE_CHILD_SA, sinalizadores: INITIATOR ID da mensagem: 2, comprimento: 460 *11 de novembro 19:31:35.873: IKEv2:Criar Carga de Notificação: SET_WINDOW_SIZE |
Esse pacote é recebido pelo Roteador 2. | |
| *Nov 11 19:31:35.882: IKEv2:(SA ID = 2):Próxima carga útil: ENCR, versão: 2.0 Tipo de troca: CREATE_CHILD_SA, sinalizadores: RESPONDER MSG-RESPONSE ID da mensagem: 3, comprimento: 300 |
O roteador 2 agora cria a resposta para a troca CHILD_SA. Esta é a resposta CREATE_CHILD_SA. O pacote CHILD_SA normalmente contém:
|
|
| O Roteador 1 recebe o pacote de resposta do Roteador 2 e conclui a ativação de CHILD_SA. | *Nov 11 19:31:35.882: IKEv2:(SA ID = 2):Próxima carga útil: ENCR, versão: 2.0 Tipo de troca: CREATE_CHILD_SA, sinalizadores: RESPONDER MSG-RESPONSE ID da mensagem: 3, comprimento: 300 |
Verificação de túnel
ISAKMP
Comando
show crypto ikev2 sa detailed
Saída do roteador 1
Router1#show crypto ikev2 sa detailed
IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
1 10.0.0.1/500 10.0.0.2/500 none/none READY
Encr: AES-CBC, keysize: 128,
Hash: SHA96, DH Grp:2,
Auth sign: PSK, Auth verify: PSK
Life/Active Time: 120/10 sec
CE id: 1006, Session-id: 4
Status Description: Negotiation done
Local spi: E58F925107F8B73F Remote spi: AFD098F4147869DA
Local id: 10.0.0.1
Remote id: 10.0.0.2
Local req msg id: 2 Remote req msg id: 0
Local next msg id: 2 Remote next msg id: 0
Local req queued: 2 Remote req queued: 0
Local window: 5 Remote window: 5
DPD configured for 0 seconds, retry 0
NAT-T is not detected
Cisco Trust Security SGT is disabled
Initiator of SA : Yes
Saída do roteador 2
Router2#show crypto ikev2 sa detailed
IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
2 10.0.0.2/500 10.0.0.1/500 none/none READY
Encr: AES-CBC, keysize: 128, Hash: SHA96,
DH Grp:2, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 120/37 sec
CE id: 1006, Session-id: 4
Status Description: Negotiation done
Local spi: AFD098F4147869DA Remote spi: E58F925107F8B73F
Local id: 10.0.0.2
Remote id: 10.0.0.1
Local req msg id: 0 Remote req msg id: 2
Local next msg id: 0 Remote next msg id: 2
Local req queued: 0 Remote req queued: 2
Local window: 5 Remote window: 5
DPD configured for 0 seconds, retry 0
NAT-T is not detected
Cisco Trust Security SGT is disabled
Initiator of SA : No
IPsec
Comando
show crypto ipsec sa
Observação: nesta saída, ao contrário de IKEv1, o valor do grupo DH do PFS aparece como "PFS (Y/N): N, grupo DH: nenhum" durante a primeira negociação de túnel, mas, após uma nova chave ocorrer, os valores corretos aparecem. Isso não é um bug, embora o comportamento esteja descrito na ID de bug Cisco CSCug67056. (Somente usuários registrados da Cisco podem acessar ferramentas ou informações internas da Cisco.)
A diferença entre IKEv1 e IKEv2 é que, neste último, as SAs Filho são criadas como parte da própria troca AUTH. O Grupo DH configurado no mapa de criptografia seria usado somente durante a rechave. Assim, você veria 'PFS (Y/N): N, DH group: none' até o primeiro rechaveamento.
Com IKEv1, você vê um comportamento diferente, porque a criação de SA Filho acontece durante o Modo Rápido, e a mensagem CREATE_CHILD_SA tem uma provisão para transportar a carga útil de Troca de Chaves que especifica os parâmetros DH para derivar um novo segredo compartilhado.
Saída do roteador 1
Router1#show crypto ipsec sa
interface: Tunnel0
Crypto map tag: Tunnel0-head-0,
local addr 10.0.0.1
protected vrf: (none)
local ident (addr/mask/prot/port):
(0.0.0.0/0.0.0.0/256/0)
remote ident (addr/mask/prot/port):
(0.0.0.0/0.0.0.0/256/0)
current_peer 10.0.0.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 10, #pkts encrypt:
10, #pkts digest: 10
#pkts decaps: 10, #pkts decrypt:
10, #pkts verify: 10
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.0.0.1,
remote crypto endpt.: 10.0.0.2
path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
current outbound spi: 0xF6083ADD(4127734493)
PFS (Y/N): N, DH group: none
inbound esp sas:
spi: 0x6B74CB79(1802816377)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 18, flow_id: SW:18,
sibling_flags 80000040,
crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec):
(4276853/3592)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xF6083ADD(4127734493)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 17, flow_id: SW:17,
sibling_flags 80000040,
crypto map: Tunnel0-head-0
sa timing: remaining key
lifetime (k/sec): (4276853/3592)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
outbound ah sas:
outbound pcp sas:
Saída do roteador 2
Router2#show crypto ipsec sa
interface: Tunnel0
Crypto map tag: Tunnel0-head-0, local addr 10.0.0.2
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/256/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/256/0)
current_peer 10.0.0.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
#pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.0.0.2,
remote crypto endpt.: 10.0.0.1
path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
current outbound spi: 0x6B74CB79(1802816377)
PFS (Y/N): N, DH group: none
inbound esp sas:
spi: 0xF6083ADD(4127734493)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 17, flow_id: SW:17,
sibling_flags 80000040,
crypto map: Tunnel0-head-0
sa timing: remaining key lifetime
(k/sec): (4347479/3584)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x6B74CB79(1802816377)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 18, flow_id: SW:18,
sibling_flags 80000040,
crypto map: Tunnel0-head-0
sa timing: remaining key
lifetime (k/sec): (4347479/3584)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
outbound ah sas:
outbound pcp sas:
Você também pode verificar a saída do comando show crypto session em ambos os roteadores; essa saída mostra o status da sessão do túnel como UP-ATIVE.
Router1#show crypto session
Crypto session current status
Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 10.0.0.2 port 500
IKEv2 SA: local 10.0.0.1/500 remote 10.0.0.2/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
Router2#show cry session
Crypto session current status
Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 10.0.0.1 port 500
IKEv2 SA: local 10.0.0.2/500 remote 10.0.0.1/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
Informações Relacionadas
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
2.0 |
12-Apr-2023 |
Atualizar formatação. Recertificação. |
1.0 |
28-Jan-2013 |
Versão inicial |
Colaborado por engenheiros da Cisco
- Anu M ChackLíder técnico de marketing da Cisco
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)