Depurações de ASA IKEv2 para solução de problemas de VPN de acesso remoto

Opções de download

PDF (351.8 KB)
Ver no Adobe Reader em vários dispositivos
ePub (107.3 KB)
Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
Mobi (Kindle) (121.1 KB)
Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos

Atualizado:9 de outubro de 2013

ID do documento:116158

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Pré-requisitos

Requisitos

Componentes Utilizados

Problema principal

Cenário

Comandos debug

Configuração do ASA

Arquivo XML

Logs e descrições de depuração

Verificação de túnel

AnyConnect

ISAKMP

IPSec

Informações Relacionadas

Introdução

Este documento descreve como entender as depurações no Cisco Adaptive Security Appliance (ASA) quando o Internet Key Exchange versão 2 (IKEv2) é usado com um Cisco AnyConnect Secure Mobility Client. Este documento também fornece informações sobre como converter determinadas linhas de depuração em uma configuração do ASA.

Este documento não descreve como passar o tráfego após um túnel VPN ter sido estabelecido para o ASA, nem inclui conceitos básicos de IPSec ou IKE.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento da troca de pacotes para IKEv2. Para obter mais informações, consulte Intercâmbio de Pacotes IKEv2 e Depuração no Nível de Protocolo.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

Internet Key Exchange versão 2 (IKEv2)
Cisco Adaptive Security Appliance (ASA) versão 8.4 ou posterior

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Problema principal

O Cisco Technical Assistance Center (TAC) geralmente usa comandos debug IKE e IPSec para entender onde há um problema com o estabelecimento de túnel VPN IPSec, mas os comandos podem ser criptografados.

Cenário

Comandos debug

debug crypto ikev2 protocol 127
debug crypto ikev2 platform 127
debug aggregate-auth xml 5

Configuração do ASA

Essa configuração ASA é estritamente básica, sem o uso de servidores externos.

interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 10.0.0.1 255.255.255.0

ip local pool webvpn1 10.2.2.1-10.2.2.10

crypto ipsec ikev2 ipsec-proposal 3des
 protocol esp encryption aes-256 aes 3des des
 protocol esp integrity sha-1
crypto dynamic-map dynmap 1000 set ikev2 ipsec-proposal 3des
crypto map crymap 10000 ipsec-isakmp dynamic dynmap
crypto map crymap interface outside

crypto ca trustpoint Anu-ikev2
 enrollment self
 crl configure

crypto ikev2 policy 10
 encryption aes-192
 integrity sha
 group 2
 prf sha
 lifetime seconds 86400

crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint Anu-ikev2
ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1
ssl trust-point Anu-ikev2 outside

webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-3.0.1047-k9.pkg 1
 anyconnect profiles Anyconnect-ikev2 disk0:/anyconnect-ikev2.xml
 anyconnect enable
 tunnel-group-list enable

group-policy ASA-IKEV2 internal
group-policy ASA-IKEV2 attributes
 wins-server none
 dns-server none
 vpn-tunnel-protocol ikev2 
 default-domain none
 webvpn
  anyconnect modules value dart
  anyconnect profiles value Anyconnect-ikev2 type user

username Anu password lAuoFgF7KmB3D0WI encrypted privilege 15

tunnel-group ASA-IKEV2 type remote-access
tunnel-group ASA-IKEV2 general-attributes
 address-pool webvpn1
 default-group-policy ASA-IKEV2
tunnel-group ASA-IKEV2 webvpn-attributes
 group-alias ASA-IKEV2 enable

Arquivo XML

<ServerList>
        <HostEntry>
                <HostName>Anu-IKEV2</HostName>
                <HostAddress>10.0.0.1</HostAddress>
                <UserGroup>ASA-IKEV2</UserGroup>
                <PrimaryProtocol>IPsec</PrimaryProtocol>
        </HostEntry>
</ServerList>

Observação: o nome do UserGroup no perfil do cliente XML deve ser o mesmo do nome do grupo de túneis no ASA. Caso contrário, a mensagem de erro 'Entrada de host inválida. Insira novamente' é visto no cliente AnyConnect.

Logs e descrições de depuração

Observação: os registros da DART (Diagnostics and Reporting Tool, ferramenta de diagnóstico e geração de relatórios) geralmente são muito chatos, por isso alguns registros do DART foram omitidos neste exemplo devido à insignificância.

Descrição da Mensagem do Servidor	Debugs		Descrição da Mensagem do Cliente
	Data: 23/04/2013 Tempo : 16:24:55 Tipo : Informações Fonte: acvpnui Descrição : Função: ClientIfcBase::connect Arquivo: .\ClientIfcBase.cpp Linha: 964 Uma conexão VPN para Anu-IKEV2 foi solicitada pelo usuário. ************************************** Data: 23/04/2013 Tempo : 16:24:55 Tipo : Informações Fonte: acvpnui Descrição : informações sobre o tipo de mensagem enviadas ao usuário: Contatando Anu-IKEV2. ************************************ Data: 23/04/2013 Tempo : 16:24:55 Tipo : Informações Fonte: acvpnui Descrição : Função: ApiCert::getCertList Arquivo: .\ApiCert.cpp Linha: 259 Número de certificados encontrados: 0 ************************************ Data: 23/04/2013 Tempo : 16:25:00 Tipo : Informações Fonte: acvpnui Descrição : Iniciando conexão VPN para o gateway seguro https://10.0.0.1/ASA-IKEV2 ************************************ Data: 23/04/2013 Tempo : 16:25:00 Tipo : Informações Origem : acvpnagent Descrição : túnel iniciado pelo cliente GUI. ************************************ Data: 23/04/2013 Tempo : 16:25:02 Tipo : Informações Origem : acvpnagent Descrição : Função: CIPsecProtocol::connectTransport Arquivo: .\IPsecProtocol.cpp Linha: 1629 Soquete IKE aberto de 192.168.1.1:25170 a 10.0.0.1:500 **************************************		O cliente inicia o túnel VPN para o ASA.
	---------------------------------IKE_SA_INIT O Exchange é iniciado------------------------------
O ASA recebe a mensagem IKE_SA_INIT do cliente.	IKEv2-PLAT-4: RECEPÇÃO PKT [IKE_SA_INIT] [192.168.1.1]:25170->[10.0.0.1]:500 InitSPI=0x58aff71141ba436b RespSPI=0x0000000000000000 MID=00000000 IKEv2-PROTO-3: Rx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id: 0x0
O primeiro par de mensagens é a troca de IKE_SA_INIT. Essas mensagens negociam algoritmos criptográficos, trocam momentos e fazem uma troca Diffie-Hellman (DH). A mensagem IKE_SA_INIT recebida do cliente contém estes campos: Cabeçalho ISAKMP - SPI/version/flags. SAi1 - Algoritmo criptográfico suportado pelo iniciador IKE. KEi - Valor de chave pública DH do iniciador. N - Nonce do iniciador.	IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: 0000000000000000] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: 0000000000000000 IKEv2-PROTO-4: Próxima carga: SA, versão: 2.0 IKEv2-PROTO-4: Tipo de troca: IKE_SA_INIT, sinalizadores: INITIATOR IKEv2-PROTO-4: ID da mensagem: 0x0, comprimento: 528 SA Próxima carga: KE, reservado: 0x0, comprimento: 168 IKEv2-PROTO-4: última proposta: 0x0, reservado: 0x0, comprimento: 164 Proposta: 1, ID do protocolo: IKE, tamanho SPI: 0, #trans: 18 IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 12 tipo: 1, reservado: 0x0, id: AES-CBC IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 12 tipo: 1, reservado: 0x0, id: AES-CBC IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 12 tipo: 1, reservado: 0x0, id: AES-CBC IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 8 tipo: 1, reservado: 0x0, id: 3DES IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 8 tipo: 1, reservado: 0x0, id: DES IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 8 tipo: 2, reservado: 0x0, id: SHA512 IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 8 tipo: 2, reservado: 0x0, id: SHA384 IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 8 tipo: 2, reservado: 0x0, id: SHA256 IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 8 tipo: 2, reservado: 0x0, id: SHA1 IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 8 tipo: 2, reservado: 0x0, id: MD5 IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 8 tipo: 3, reservado: 0x0, id: SHA512 IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 8 tipo: 3, reservado: 0x0, id: SHA384 IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 8 tipo: 3, reservado: 0x0, id: SHA256 IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 8 tipo: 3, reservado: 0x0, id: SHA96 IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 8 tipo: 3, reservado: 0x0, id: MD596 IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 8 tipo: 4, reservado: 0x0, id: DH_GROUP_1536_MODP/Grupo 5 IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 8 tipo: 4, reservado: 0x0, id: DH_GROUP_1024_MODP/Grupo 2 IKEv2-PROTO-4: última transformação: 0x0, reservado: 0x0: comprimento: 8 tipo: 4, reservado: 0x0, id: DH_GROUP_768_MODP/Grupo 1 KE Próxima carga: N, reservado: 0x0, comprimento: 104 Grupo DH: 1, Reservado: 0x0 eb 5e 29 fe cb 2e d1 28 ed 4a 54 b1 13 7c b8 89 f7 62 13 6b df 95 88 28 b5 97 ba 52 ef e4 1d 28 ca 06 d1 36 b6 67 32 9a c2 dd 4e d8 c7 80 de 20 36 34 c5 b3 3e 1d 83 1a c7 fb 9d b8 c5 f5 ed 5f ba ba 4f b6 b2 e2 2d 43 4f a0 b6 90 9a 11 3f 7d 0a 21 c3 4d d3 0a d2 1e 33 43 d3 5e cc 4b 38 e0 N Próxima carga: VID, reservado: 0x0, comprimento: 24 20 12 8f 22 7b 16 23 52 e4 29 4d 98 c7 fd a8 77 ce 7c 0b b4 IKEv2-PROTO-5: Analisar Carga Específica do Fornecedor: CISCO-DELETE-REASON VID Próxima carga: VID, reservado: 0x0, comprimento: 23
O ASA verifica e processa o mensagem IKE_INIT. O ASA: Escolhe o conjunto de criptografia de propostas pelo iniciador. Calcula sua própria chave secreta DH. Calcula um valor SKEYID a partir de para as quais todas as chaves podem ser derivadas este IKE_SA. Os cabeçalhos de todos as mensagens subsequentes são criptografado e autenticado. O as chaves usadas para criptografia e a proteção de integridade são derivadas do SKEYID e são conhecidos como: _SK - Criptografia. SK_a - Autenticação SK_d - Derivado e usado para derivação de outros material de chave para CHILD_SAs. SK_e e SK_a separadas são calculado para cada direção. Configuração relevante: crypto ikev2 policy 10 encryption aes-192 integrity sha group 2 prf sha lifetime seconds 86400 crypto ikev2 enable outside	Pacote descriptografado:Dados: 528 bytes IKEv2-PLAT-3: Processar cargas de VID personalizadas IKEv2-PLAT-3: VID de direitos autorais da Cisco recebido do par IKEv2-PLAT-3: VID do EAP do AnyConnect recebido do par IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: Evento IDLE: EV_RECV_INIT IKEv2-PROTO-3: (6): Verificar descoberta de NAT IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: Evento IDLE: EV_CHK_REDIRECT IKEv2-PROTO-5: (6): a verificação de redirecionamento não é necessária, ignorando-a IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: Evento IDLE: EV_CHK_CAC IKEv2-PLAT-5: Nova solicitação ikev2 sa admitida IKEv2-PLAT-5: Incrementando a negociação de entrada como contagem em um IKEv2-PLAT-5: IDENTIFICADOR PSH INVÁLIDO IKEv2-PLAT-5: IDENTIFICADOR PSH INVÁLIDO IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE Evento: EV_CHK_COOKIE IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: Evento IDLE: EV_CHK4_COOKIE_NOTIFY IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Evento: EV_VERIFY_MSG IKEv2-PROTO-3: (6): Verificar mensagem de inicialização de SA IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Evento: EV_INSERT_SA IKEv2-PROTO-3: (6): Inserir SA IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Evento: EV_GET_IKE_POLICY IKEv2-PROTO-3: (6): Obtendo políticas configuradas IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Evento: EV_PROC_MSG IKEv2-PROTO-2: (6): processando mensagem inicial IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Evento: EV_DETECT_NAT IKEv2-PROTO-3: (6): processar notificação de descoberta de NAT IKEv2-PROTO-5: (6): processando notificação src de detecção de nat IKEv2-PROTO-5: (6): endereço remoto não correspondido IKEv2-PROTO-5: (6): processando notificação dst de detecção nat IKEv2-PROTO-5: (6): endereço local correspondente IKEv2-PROTO-5: (6): o host está localizado na NAT externa IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Evento: EV_CHK_CONFIG_MODE IKEv2-PROTO-3: (6): dados do modo de configuração válidos recebidos IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Evento: EV_SET_RECD_CONFIG_MODE IKEv2-PROTO-3: (6): definir dados do modo de configuração recebidos IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_SET_POLICY IKEv2-PROTO-3: (6): Definindo políticas configuradas IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_CHK_AUTH4PKI IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_PKI_SESH_OPEN IKEv2-PROTO-3: (6): Abrindo uma sessão PKI IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_GEN_DH_KEY IKEv2-PROTO-3: (6): Computando chave pública DH IKEv2-PROTO-3: (6): IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_NO_EVENT IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_OK_RECD_DH_PUBKEY_RESP IKEv2-PROTO-5: (6): Ação: Action_Null IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_GEN_DH_SECRET IKEv2-PROTO-3: (6): Computando chave secreta DH IKEv2-PROTO-3: (6): IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_NO_EVENT IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_OK_RECD_DH_SECRET_RESP IKEv2-PROTO-5: (6): Ação: Action_Null IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_GEN_SKEYID IKEv2-PROTO-3: (6): Gerar skeyid IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_GET_CONFIG_MODE
O ASA constrói a mensagem de resposta para a troca de IKE_SA_INIT. Este pacote contém: Cabeçalho ISAKMP - SPI/version/flags. SAr1 - Algoritmo criptográfico escolhido pelo respondedor IKE. KEr - Valor de chave pública DH do respondente. N - Respondente Nonce.	IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_BLD_MSG IKEv2-PROTO-2: (6): Enviando mensagem inicial IKEv2-PROTO-3: Proposta IKE: 1, tamanho SPI: 0 (negociação inicial), Número de transformações: 4 AES-CBC SHA1 SHA96 DH_GROUP_768_MODP/Grupo 1 IKEv2-PROTO-5: Construir Carga Específica do Fornecedor: DELETE-REASONIKEv2-PROTO-5: Construir Carga Específica do Fornecedor: (CUSTOM)IKEv2-PROTO-5: Construir Carga Específica do Fornecedor: (CUSTOM)IKEv2-PROTO-5: Construir Carga de Notificação: NAT_DETECTION_SOURCE_IPIKEv2-PROTO-5: Construir Carga de Notificação: NAT_DETECTION_DESTINATION_IPIKE 2-PLAT-2: falha ao recuperar hashes de emissores confiáveis ou nenhum disponível IKEv2-PROTO-5: Construir Carga Específica do Fornecedor: FRAGMENTATIONIKEv2-PROTO-3: Tx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id: 0x0 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Próxima carga: SA, versão: 2.0 IKEv2-PROTO-4: Tipo de troca: IKE_SA_INIT, sinalizadores: RESPONDER MSG-RESPONSE IKEv2-PROTO-4: ID da mensagem: 0x0, comprimento: 386 SA Próxima carga: KE, reservado: 0x0, comprimento: 48 IKEv2-PROTO-4: última proposta: 0x0, reservado: 0x0, comprimento: 44 Proposta: 1, ID do protocolo: IKE, tamanho SPI: 0, #trans: 4 IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 12 tipo: 1, reservado: 0x0, id: AES-CBC IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 8 tipo: 2, reservado: 0x0, id: SHA1 IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 8 tipo: 3, reservado: 0x0, id: SHA96 IKEv2-PROTO-4: última transformação: 0x0, reservado: 0x0: comprimento: 8 tipo: 4, reservado: 0x0, id: DH_GROUP_768_MODP/Grupo 1 KE Próxima carga: N, reservado: 0x0, comprimento: 104 Grupo DH: 1, Reservado: 0x0 c9 30 f9 32 d4 7c d1 a7 5b 71 72 09 6e 7e 91 0c e1 ce b4 a4 3c f2 8b 74 4e 20 59 b4 0b a1 ff 65 37 88 cc c4 a4 b6 fa 4a 63 03 93 89 e1 7e bd 6a 64 9a 38 24 e2 a8 40 f5 a3 d6 ef f7 1a df 33 cc a1 8e fa dc 9c 34 45 79 1a 7c 29 05 87 8a ac 02 98 2e 7d cb 41 51 d6 fe fc c7 76 83 1d 03 b0 d7 N Próxima carga: VID, reservado: 0x0, comprimento: 24 c2 28 7f 8c 7d b3 1e 51 fc eb f1 97 ec 97 b8 67 d5 e7 c2 f5 VID Próxima carga: VID, reservado: 0x0, comprimento: 23
O ASA envia a mensagem de resposta para troca de IKE_SA_INIT. A troca IKE_SA_INIT está concluída. O ASA inicia o temporizador para o processo de autenticação.	IKEv2-PLAT-4: PKT ENVIADO [IKE_SA_INIT] [10.0.0.1]:500->[192.168.1.1]:25170 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000000 IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DONE Evento: EV_DONE IKEv2-PROTO-3: (6): a fragmentação está habilitada IKEv2-PROTO-3: (6): a Notificação DeleteReason da Cisco está habilitada IKEv2-PROTO-3: (6): concluir troca de inicialização de SA IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DONE Evento: EV_CHK4_ROLE IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DONE Evento: EV_START_TMR IKEv2-PROTO-3: (6): iniciando temporizador para aguardar mensagem de autenticação (30 seg) IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_WAIT_AUTH Evento: EV_NO_EVENT	************************************** Data: 23/04/2013 Tempo : 16:25:02 Tipo : Informações Origem : acvpnagent Descrição : Função: CIPsecProtocol::initiateTunnel Arquivo: .\IPsecProtocol.cpp Linha: 345 O túnel IPsec está sendo iniciado **************************************	O cliente mostra o túnel IPSec como 'iniciando'.
	-----------------------------------IKE_SA_INIT Concluído---------------------------------
	------------------------------------- IKE_AUTH Começa-------------------------------------
	************************************** Data: 23/04/2013 Tempo : 16:25:00 Tipo : Informações Origem : acvpnagent Descrição : Parâmetros do Secure Gateway: Endereço IP: 10.0.0.1 Porta: 443 URL: 10.0.0.1 Método de autenticação: IKE - EAP-AnyConnect Identidade IKE: ************************************ Data: 23/04/2013 Tempo : 16:25:00 Tipo : Informações Origem : acvpnagent Descrição: Iniciando a conexão do Cisco AnyConnect Secure Mobility Client, versão 3.0.1047 ************************************ Data: 23/04/2013 Tempo : 16:25:02 Tipo : Informações Origem : acvpnagent Descrição : Função: ikev2_log Arquivo: .\ikev2_anyconnect_osal.cpp Linha: 2730 Recebida a solicitação para estabelecer um túnel IPsec; seletor de tráfego local = Intervalo de endereço: 0.0.0.0-255.255.255.255 Protocolo: 0 Intervalo de porta: 0-65535 ; seletor de tráfego remoto = Intervalo de endereço: 0.0.0.0-255.255.255 Protocolo: 0 Intervalo de porta: 0-65535 ************************************ Data: 23/04/2013 Tempo : 16:25:02 Tipo : Informações Origem : acvpnagent Descrição : Função: CIPsecProtocol::connectTransport Arquivo: .\IPsecProtocol.cpp Linha: 1629 Soquete IKE aberto de 192.168.1.1:25171 a 10.0.0.1:4500 **************************************		O cliente omite o payload de AUTH da mensagem 3 para indicar o desejo de usar a autenticação extensível. Quando a autenticação EAP (Extensible Authentication Protocol) é especificada ou implícita pelo perfil do cliente e o perfil não contém o elemento <IKEIdentity>, o cliente envia uma carga IDi do tipo ID_GROUP com a sequência fixa $AnyConnectClient$. O cliente inicia uma conexão com o ASA na porta 4500.
A autenticação é feita com EAP. Somente um único método de autenticação EAP é permitido em uma conversação EAP. O ASA recebe a mensagem IKE_AUTH do cliente.	IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x1
Quando o cliente inclui uma carga IDi mas não uma carga AUTH, isso indica o cliente declarou uma identidade, mas não provaram. Nas depurações, o comando AUTH o payload não está presente em IKE_AUTH pacote enviado pelo cliente. O cliente envia o payload de AUTH somente após o comando Troca de EAP bem-sucedida. Se o ASA está disposto a usar uma método de autenticação, ele coloca um EAP payload na mensagem 4 e adia o envio SAr2, TSi e TSr até o iniciador a autenticação é concluída em um intercâmbio IKE_AUTH subsequente. O pacote do iniciador IKE_AUTH contém: Cabeçalho ISAKMP - SPI/versão/sinalizadores. IDi - O nome do grupo de túneis que o cliente deseja se conectar a pode ser entregue pelo IDi carga útil do tipo ID_KEY_ID em a mensagem inicial do Intercâmbio IKE_AUTH. Este ocorre quando o perfil do cliente* é pré-configurado com um nome de grupo ou, depois de uma avaliação autenticação, o cliente tem armazenou em cache o nome do grupo em seu arquivo de preferências. O ASA tenta corresponder um grupo de túneis com o conteúdo do IKE Carga IDi. Após a primeira a VPN IPSec bem-sucedida é estabelecido, o cliente armazena em cache o nome do grupo (alias de grupo) ao qual o usuário autenticado. Este grupo nome é entregue no IDi carga útil da próxima conexão tentativa de indicar a grupo provável desejado pelo usuário. Quando a autenticação EAP é especificado ou implícito pelo cliente perfil e o perfil não contém o <IKEIdentity> elemento, o cliente envia um ID_GROUP tipo IDi payload com a string fixa $AnyConnectClient$. CERTREQ - O cliente está solicitar o ASA para um certificado preferencial. Certificado cargas úteis de solicitação podem ser incluídas em uma troca quando o remetente precisa obter o certificado do receptor. A solicitação de certificado a carga útil é processada por inspeção da "codificação Cert" para determinar se o processador tem algum certificados deste tipo. Em caso afirmativo, o O campo 'Autoridade de Certificação' é inspecionados para determinar se o processador tiver certificados que podem ser validados até um dos a certificação especificada autoridades competentes. Isso pode ser uma cadeia de certificados. CFG - CFG_REQUEST/ CFG_REPLY permite um IKE ponto final para solicitar informações de seu par. Se um atributo no estado configuração de CFG_REQUEST a carga útil não é de comprimento zero, é tomado como uma sugestão para que attribute.The CFG_REPLY carga útil de configuração pode retornar valor ou um novo valor. Pode também adicionar novos atributos e não incluir alguns solicitados. Os solicitantes ignoram os retornos atributos que eles não reconhecem. Nessas depurações, o comando o cliente está solicitando o túnel configuração no CFG_REQUEST. O ASA responde a isso e envia o túnel atributos de configuração somente após troca de EAP bem-sucedida. SAi2 - SAi2 inicia a SA, que é semelhante à fase 2 troca de conjunto de transformação em IKEv1. TSi e TSr - O iniciador e seletores de tráfego do respondente contêm, respectivamente, a fonte e o endereço de destino do iniciador e respondente para encaminhar e receber criptografado tráfego. O intervalo de endereços especifica que todo o tráfego de e para esse alcance está em túnel. Se a proposta é aceitável para o respondente, ele envia TS idênticos cargas úteis de volta. Os atributos que o cliente deve fornecer para autenticação de grupo são armazenadas em um Arquivo de perfil do AnyConnect. Configuração de perfil relevante: <ServerList> <HostEntry> <HostName>Anu-IKEV2 </HostName> <HostAddress>10.0.0.1 </HostAddress> ASA-IKEV2* <PrimaryProtocol>IPsec </PrimaryProtocol> </HostEntry> </ServerList>	IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Próxima carga útil: ENCR, versão: 2.0 IKEv2-PROTO-4: Tipo de troca: IKE_AUTH, sinalizadores: INITIATOR IKEv2-PROTO-4: ID da mensagem: 0x1, comprimento: 540 IKEv2-PROTO-5: (6): A solicitação tem messe_id 1; esperada de 1 a 1 REAL Pacote descriptografado:Dados: 465 bytes IKEv2-PROTO-5: Analisar Carga Específica do Fornecedor: (PERSONALIZADO) VID Próxima carga: IDi, reservado: 0x0, comprimento: 20 58 af f6 11 52 8d b0 2c b8 da 30 46 be 91 56 fa IDi Próxima carga: CERTREQ, reservado: 0x0, comprimento: 28 Tipo de identificação: Nome do grupo, Reservado: 0x0 0x0 24 41 6e 79 43 6f 6e 6e 65 63 74 43 6c 69 65 6e 74 24 2a CERTREQ Próxima carga útil: CFG, reservado: 0x0, comprimento: 25 Certificado X.509 de codificação de certificado - assinatura Dados de CertReq&o; 20 bytes CFG Próxima carga útil: SA, reservado: 0x0, comprimento: 196 cfg tipo: CFG_REQUEST, reservado: 0x0, reservado: 0x0 tipo de atributo: endereço IP4 interno, comprimento: 0 tipo de atributo: máscara de rede IP4 interna, comprimento: 0 tipo de atributo: IP4 interno DNS, comprimento: 0 tipo de atributo: IP4 interno NBNS, comprimento: 0 tipo de atributo: endereço interno expirado, comprimento: 0 tipo de atributo: versão do aplicativo, comprimento: 27 41 6e 79 43 6f 6e 6e 65 63 74 20 57 69 6e 64 6f 77 73 20 33 2e 30 2e 31 30 34 37 tipo de atributo: endereço IP6 interno, comprimento: 0 tipo de atributo: sub-rede IP4 interna, comprimento: 0 tipo de atributo: Desconhecido - 28682, comprimento: 15 77 69 6e 78 70 36 34 74 65 6d 70 6c 61 74 65 tipo de atributo: Desconhecido - 28704, comprimento: 0 tipo de atributo: Desconhecido - 28705, comprimento: 0 tipo de atributo: Desconhecido - 28706, comprimento: 0 tipo de atributo: Desconhecido - 28707, comprimento: 0 tipo de atributo: Desconhecido - 28708, comprimento: 0 tipo de atributo: Desconhecido - 28709, comprimento: 0 tipo de atributo: Desconhecido - 28710, comprimento: 0 tipo de atributo: Desconhecido - 28672, comprimento: 0 tipo de atributo: Desconhecido - 28684, comprimento: 0 tipo de atributo: Desconhecido - 28711, comprimento: 2 05 7e tipo de atributo: Desconhecido - 28674, comprimento: 0 tipo de atributo: Desconhecido - 28712, comprimento: 0 tipo de atributo: Desconhecido - 28675, comprimento: 0 tipo de atributo: Desconhecido - 28679, comprimento: 0 tipo de atributo: Desconhecido - 28683, comprimento: 0 tipo de atributo: Desconhecido - 28717, comprimento: 0 tipo de atributo: Desconhecido - 28718, comprimento: 0 tipo de atributo: Desconhecido - 28719, comprimento: 0 tipo de atributo: Desconhecido - 28720, comprimento: 0 tipo de atributo: Desconhecido - 28721, comprimento: 0 tipo de atributo: Desconhecido - 28722, comprimento: 0 tipo de atributo: Desconhecido - 28723, comprimento: 0 tipo de atributo: Desconhecido - 28724, comprimento: 0 tipo de atributo: Desconhecido - 28725, comprimento: 0 tipo de atributo: Desconhecido - 28726, comprimento: 0 tipo de atributo: Desconhecido - 28727, comprimento: 0 tipo de atributo: Desconhecido - 28729, comprimento: 0 SA Próxima carga: TSi, reservado: 0x0, comprimento: 124 IKEv2-PROTO-4: última proposta: 0x0, reservado: 0x0, comprimento: 120 Proposta: 1, ID do protocolo: ESP, tamanho SPI: 4, #trans: 12 IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 12 tipo: 1, reservado: 0x0, id: AES-CBC IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 12 tipo: 1, reservado: 0x0, id: AES-CBC IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 12 tipo: 1, reservado: 0x0, id: AES-CBC IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 8 tipo: 1, reservado: 0x0, id: 3DES IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 8 tipo: 1, reservado: 0x0, id: DES IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 8 tipo: 1, reservado: 0x0, id: NULL IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 8 tipo: 3, reservado: 0x0, id: SHA512 IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 8 tipo: 3, reservado: 0x0, id: SHA384 IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 8 tipo: 3, reservado: 0x0, id: SHA256 IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 8 tipo: 3, reservado: 0x0, id: SHA96 IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 8 tipo: 3, reservado: 0x0, id: MD596 IKEv2-PROTO-4: última transformação: 0x0, reservado: 0x0: comprimento: 8 tipo: 5, reservado: 0x0, id: TSi Próxima carga útil: TSr, reservado: 0x0, comprimento: 24 Número de TSs: 1, 0x0 reservado, 0x0 reservado Tipo de TS: TS_IPV4_ADDR_RANGE, id do proto: 0, comprimento: 16 porta inicial: 0, porta final: 65535 end. inicial: 0.0.0.0, end. final: 255.255.255.255 TSr Próxima carga útil: NOTIFY, reservado: 0x0, comprimento: 24 Número de TSs: 1, 0x0 reservado, 0x0 reservado Tipo de TS: TS_IPV4_ADDR_RANGE, id do proto: 0, comprimento: 16 porta inicial: 0, porta final: 65535 end. inicial: 0.0.0.0, end. final: 255.255.255.255
O ASA gera uma resposta para a mensagem IKE_AUTH e se prepara para se autenticar no cliente.	Pacote descriptografado:Dados e dois-pontos; 540 bytes IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_RECV_AUTH IKEv2-PROTO-3: (6): Parando temporizador para aguardar mensagem de autenticação IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_CHK_NAT_T IKEv2-PROTO-3: (6): Verificar descoberta de NAT IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_CHG_NAT_T_PORT IKEv2-PROTO-2: (6): o NAT detectou flutuação para inicializar porta 25171, respectivamente porta 4500 IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_PROC_ID IKEv2-PROTO-2: (6): parâmetros válidos recebidos na ID do processo IKEv2-PLAT-3: (6) método de autenticação de peer definido como: 0 IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_CHK_IF_PEER_CERT_NEEDS_TO_BE_FETCHED_FOR_PROF_SEL IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_GET_POLICY_BY_PEERID IKEv2-PROTO-3: (6): Obtendo políticas configuradas IKEv2-PLAT-3: nova conexão do AnyConnect Client detectada com base no payload de ID IKEv2-PLAT-3: my_auth_method = 1 IKEv2-PLAT-3: (6) método de autenticação de peer definido como: 256 IKEv2-PLAT-3: supported_peers_auth_method = 16 IKEv2-PLAT-3: (6) tp_name definido como: Anu-ikev2 IKEv2-PLAT-3: ponto de confiança definido como: Anu-ikev2 IKEv2-PLAT-3: ID de P1 = 0 IKEv2-PLAT-3: Tradução de IKE_ID_AUTO para = 9 IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_SET_POLICY IKEv2-PROTO-3: (6): Definindo políticas configuradas IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_VERIFY_POLICY_BY_PEERID IKEv2-PROTO-3: (6): verificar política do par IKEv2-PROTO-3: (6): Certificado correspondente encontrado IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_CHK_CONFIG_MODE IKEv2-PROTO-3: (6): dados do modo de configuração válidos recebidos IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_SET_RECD_CONFIG_MODE IKEv2-PLAT-3: (6) O nome de host DHCP para DDNS está definido como: winxp64template IKEv2-PROTO-3: (6): definir dados do modo de configuração recebidos IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_CHK_AUTH4EAP IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_CHK_EAP IKEv2-PROTO-3: (6): Verificar troca de EAP IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTH Evento: EV_GEN_AUTH IKEv2-PROTO-3: (6): Gerar meus dados de autenticação IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTH Evento: EV_CHK4_SIGN IKEv2-PROTO-3: (6): Obter meu método de autenticação IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTH Evento: EV_SIGN IKEv2-PROTO-3: (6): dados de autenticação de assinatura IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTH Evento: EV_OK_AUTH_GEN IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ Evento: EV_AUTHEN_REQ IKEv2-PROTO-2: (6): Solicitando que o autenticador envie uma solicitação EAP Valor config-auth do nome do elemento criado Valor de cliente de nome de atributo adicionado a elemento config-auth Valor de tipo de nome de atributo adicionado hello ao elemento config-auth Valor da versão do nome do elemento criado 9.0(2)8 Valor 9.0(2)8 da versão do nome do elemento adicionado ao elemento config-auth Adicionado nome do atributo que valoriza sg para a versão do elemento Mensagem XML gerada abaixo <?xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="hello"> <version who="sg">9.0(2)8</version> </config-auth> IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ Evento: EV_RECV_EAP_AUTH IKEv2-PROTO-5: (6): Ação: Action_Null IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ Evento: EV_CHK_REDIRECT IKEv2-PROTO-3: (6): verificação de redirecionamento com plataforma para balanceamento de carga IKEv2-PLAT-3: verificação de redirecionamento na plataforma IKEv2-PLAT-3: ikev2_osal_redirect: Sessão aceita por 10.0.0.1 IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ Evento: EV_SEND_EAP_AUTH_REQ IKEv2-PROTO-2: (6): Enviando solicitação EAP IKEv2-PROTO-5: Criar carga específica do fornecedor: CISCO-GRANITEIKEv2-PROTO-3: (6): Criar
O ASA envia o payload de AUTH para solicitar credenciais de usuário do cliente. O ASA envia o método AUTH como 'RSA', para que ele envie seu próprio certificado ao cliente, de modo que o cliente possa autenticar o servidor ASA. Como o ASA está disposto a usar um método de autenticação extensível, ele coloca um payload EAP na mensagem 4 e adia o envio de SAr2, TSi e TSr até que a autenticação do iniciador seja concluída em uma troca IKE_AUTH subsequente. Assim, essas três cargas não estão presentes nas depurações. O pacote EAP contém: Code: request - Este código é enviado pelo autenticador ao peer. id: 1 - A id ajuda a corresponder as respostas EAP com as solicitações. Aqui, o valor é 1, o que indica que é o primeiro pacote na troca de EAP. Essa solicitação EAP tem o tipo 'config-auth' de 'hello;' e é enviada do ASA para o cliente para iniciar a troca de EAP. Comprimento: 150 - O comprimento do pacote EAP inclui os dados de código, id, comprimento e EAP. Dados EAP.	IDr. Próxima carga: CERT, reservado: 0x0, comprimento: 36 Tipo de ID: DN DER ASN1, Reservado: 0x0 0x0 30 1a 31 18 30 16 06 09 2a 86 48 86 f7 0d 01 09 02 16 09 41 53 41 2d 49 4b 45 56 32 CERT Próxima carga: CERT, reservado: 0x0, comprimento: 436 Certificado X.509 de codificação de certificado - assinatura Cert data&colon; 431 bytes Próxima carga útil CERT: AUTH, reservada: 0x0, comprimento: 436 Certificado X.509 de codificação de certificado - assinatura Cert data&colon; 431 bytes AUTH Próxima carga útil: EAP, reservado: 0x0, comprimento: 136 Método de autenticação RSA, reservado: 0x0, reservado 0x0 Auth data&colon; 128 bytes Próxima carga EAP: NENHUMA, reservada: 0x0, comprimento: 154 Código: solicitação: id: 1, comprimento: 150 Tipo: Desconhecido - 254 Dados EAP: 145 bytes IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x1 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Próxima carga útil: ENCR, versão: 2.0 IKEv2-PROTO-4: Tipo de troca: IKE_AUTH, sinalizadores: RESPONDER MSG-RESPONSE IKEv2-PROTO-4: ID da mensagem: 0x1, comprimento: 1292 Próximo payload de ENCR: VID, reservado: 0x0, comprimento: 1264 &Dois-pontos criptografados; 1260 bytes
A fragmentação poderá ocorrer se os certificados forem grandes ou se as cadeias de certificados forem incluídas. As cargas de KE do iniciador e do respondente também podem incluir chaves grandes, o que também pode contribuir para a fragmentação.	IKEv2-PROTO-5: (6): Fragmentação de pacote, Fragmentação de MTU: 544, Número de fragmentos: 3, ID do Fragmento: 1 IKEv2-PLAT-4: PKT ENVIADO [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 IKEv2-PLAT-4: PKT ENVIADO [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 IKEv2-PLAT-4: PKT ENVIADO [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001
	************************************** Data: 23/04/2013 Tempo : 16:25:02 Tipo : Informações Origem : acvpnagent Descrição : Função: ikev2_verify_X509_SIG_certs Arquivo: .\ikev2_anyconnect_osal.cpp Linha: 2077 Solicitando aceitação do certificado do usuário ************************************ Data: 23/04/2013 Tempo : 16:25:02 Tipo : Erro Fonte: acvpnui Descrição : Função: CapiCertificate::verifyChainPolicy Arquivo: .\Certificates\CapiCertificate.cpp Linha: 2032 Função Chamada: CertVerifyCertificateChainPolicy Código de retorno: -2146762487 (0x800B0109) Descrição: uma cadeia de certificados processada, mas terminada em um certificado raiz que não é confiável para o provedor de confiança. ************************************ Data: 23/04/2013 Tempo : 16:25:04 Tipo : Informações Origem : acvpnagent Descrição : Função: CEAPMgr::dataRequestCB Arquivo: .\EAPMgr.cpp Linha: 400 Tipo proposto de EAP: EAP-ANYCONNECT **************************************		O certificado enviado pelo ASA é apresentado ao usuário. O certificado não é confiável. O tipo de EAP é EAP-ANYCONNECT.
O cliente responde à solicitação EAP com uma resposta. O pacote EAP contém: Code: response - Este código é enviado pelo peer para o autenticador em resposta à solicitação EAP. id: 1 - A id ajuda a corresponder as respostas EAP com as solicitações. Aqui, o valor é 1, o que indica que essa é uma resposta à solicitação enviada anteriormente pelo ASA (autenticador). Esta resposta EAP tem o tipo 'config-auth' de 'init'; o cliente está inicializando a troca EAP e está aguardando que o ASA gere a solicitação de autenticação. Comprimento: 252 - O comprimento do pacote EAP inclui os dados de código, id, comprimento e EAP. Dados EAP. O ASA descriptografa essa resposta, e o cliente diz que recebeu o payload de AUTH no pacote anterior (com o certificado) e recebeu o primeiro pacote de solicitação EAP do ASA. Isso é o que o pacote de resposta EAP 'init' contém.	IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000002 IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x2 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Próxima carga útil: ENCR, versão: 2.0 IKEv2-PROTO-4: Tipo de troca: IKE_AUTH, sinalizadores: INITIATOR IKEv2-PROTO-4: ID da mensagem: 0x2, comprimento: 332 IKEv2-PROTO-5: (6): A solicitação tem messe_id 2; esperada de 2 a 2 REAL Pacote descriptografado:Dados: 256 bytes Próxima carga EAP: NENHUMA, reservada: 0x0, comprimento: 256 Código: resposta: id: 1, comprimento: 252 Tipo: Desconhecido - 254 Dados EAP:247 bytes Pacote descriptografado:Dados e dois-pontos; 332 bytes IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_WAIT_EAP_RESP Evento: EV_RECV_AUTH IKEv2-PROTO-3: (6): Parando temporizador para aguardar mensagem de autenticação IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_WAIT_EAP_RESP Evento: EV_RECV_EAP_RESP IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_PROC_EAP_RESP Evento: EV_PROC_MSG IKEv2-PROTO-2: (6): processando resposta EAP Mensagem XML recebida abaixo do cliente <?xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="init"> <device-id>win</device-id> <version who="vpn">3.0.1047</version> <group-select>ASA-IKEV2</group-select> <group-access>ASA-IKEV2</group-access> </config-auth> IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_PROC_EAP_RESP Evento: EV_RECV_EAP_AUTH IKEv2-PROTO-5: (6): Ação: Action_Null IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_BLD_EAP_REQ Evento: EV_RECV_EAP_REQ
Esta é a segunda solicitação enviada pelo ASA ao cliente. O pacote EAP contém: Code: request - Este código é enviado pelo autenticador ao peer. id: 2 - A id ajuda a corresponder as respostas EAP com as solicitações. Aqui, o valor é 2, o que indica que é o segundo pacote na troca. Esta solicitação tem o tipo 'config-auth' de 'auth-request'; o ASA está solicitando que o cliente envie as credenciais de autenticação do usuário. Comprimento: 457 - O comprimento do pacote EAP inclui os dados de código, id, comprimento e EAP. Dados EAP. payload ENCR: Essa carga é descriptografada e seu conteúdo é analisado como cargas adicionais.	IKEv2-PROTO-2: (6): Enviando solicitação EAP Mensagem XML gerada abaixo <?xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="auth-request"> <version who="sg">9.0(2)8</version> <opaque is-for="sg"> <tunnel-group>ASA-IKEV2</tunnel-group> <config-hash>1367268141499</config-hash> </opaco> <csport>443</csport> <auth id="main"> <formulário> <input type="text" name="username" label="Username:"></input> <input type="password" name="password" label="Password:"></input> </formulário> </auth> </config-auth> IKEv2-PROTO-3: (6): Criando pacote para criptografia; o conteúdo é: Próxima carga EAP: NENHUMA, reservada: 0x0, comprimento: 461 Código: pedido: id: 2, comprimento: 457 Tipo: Desconhecido - 254 Dados EAP: 452 bytes IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x2 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Próxima carga útil: ENCR, versão: 2.0 IKEv2-PROTO-4: Tipo de troca: IKE_AUTH, sinalizadores: RESPONDER MSG-RESPONSE IKEv2-PROTO-4: ID da mensagem: 0x2, comprimento: 524 ENCR Próxima carga útil: EAP, reservado: 0x0, comprimento: 496 &Dois-pontos criptografados; 492 bytes IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000002 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_BLD_EAP_REQ Evento: EV_START_TMR IKEv2-PROTO-3: (6): Iniciando temporizador para aguardar mensagem de autenticação do usuário (120 seg) IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_WAIT_EAP_RESP Evento: EV_NO_EVENT	************************************** Data: 23/04/2013 Tempo : 16:25:04 Tipo : Informações Fonte: acvpnui Descrição : Função: SDIMgr::ProcessPromptData Arquivo: .\SDIMgr.cpp Linha: 281 O tipo de autenticação não é SDI. ************************************ Data: 23/04/2013 Tempo : 16:25:07 Tipo : Informações Fonte: acvpnui Descrição : Função: ConnectMgr::userResponse Arquivo: .\ConnectMgr.cpp Linha: 985 Processando resposta do usuário. **************************************	O cliente solicita a autenticação do usuário e a envia ao ASA como uma resposta EAP no próximo pacote ('auth-reply').
O cliente envia outra mensagem do iniciador IKE_AUTH com o payload EAP. O pacote EAP contém: Code: response - Este código é enviado pelo peer para o autenticador em resposta à solicitação EAP. id: 2 - A id ajuda a corresponder as respostas EAP com as solicitações. Aqui, o valor é 2, o que indica que essa é uma resposta à solicitação enviada anteriormente pelo ASA (autenticador). Comprimento: 420 - O comprimento do pacote EAP inclui os dados de código, id, comprimento e EAP. Dados EAP.	IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x3 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Próxima carga útil: ENCR, versão: 2.0 IKEv2-PROTO-4: Tipo de intercâmbio: IKE_AUTH, sinalizadores: INITIATOR IKEv2-PROTO-4: ID da mensagem: 0x3, comprimento: 492 IKEv2-PROTO-5: (6): A solicitação tem messe_id 3; esperada de 3 a 3 REAL Pacote descriptografado:Dados: 424 bytes Próxima carga útil de EAP: NONE, reservada: 0x0, comprimento: 424 Código: resposta: id: 2, comprimento: 420 Tipo: Desconhecido - 254 Dados EAP: 415 bytes
O ASA processa essa resposta. O cliente solicitou que o usuário insira as credenciais. Esta resposta EAP tem o tipo 'config-auth' de 'auth-reply.' Este pacote contém as credenciais inseridas pelo usuário.	Pacote descriptografado:Dados: 492 bytes IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_WAIT_EAP_RESP Evento: EV_RECV_AUTH IKEv2-PROTO-3: (6): Parando temporizador para aguardar mensagem de autenticação IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_WAIT_EAP_RESP Evento: EV_RECV_EAP_RESP IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_PROC_EAP_RESP Evento: EV_PROC_MSG IKEv2-PROTO-2: (6): processando resposta EAP Mensagem XML recebida abaixo do cliente <?xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="auth-reply"> <device-id>win</device-id> <version who="vpn">3.0.1047</version> <session-token></session-token> <session-id></session-id> <opaque is-for="sg"> <tunnel-group>ASA-IKEV2</tunnel-group> <config-hash>1367268141499</config-hash></opaque> <auth> <password>cisco123</password> <username>Anu</username></auth> </config-auth> IKEv2-PLAT-1: EAP:Autenticação de Usuário Iniciada IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_PROC_EAP_RESP Evento: EV_NO_EVENT IKEv2-PLAT-5: EAP:Em retorno de chamada AAA Resumo de certificados do servidor recuperado: DACE1C274785F28BA11D64453096BAE294A3172E IKEv2-PLAT-5: EAP:sucesso no retorno de chamada AAA IKEv2-PROTO-3: resposta recebida do autenticador IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_PROC_EAP_RESP Evento: EV_RECV_EAP_AUTH IKEv2-PROTO-5: (6): Ação: Action_Null
O ASA cria uma terceira solicitação EAP na troca. O pacote EAP contém: Code: request - Este código é enviado pelo autenticador ao peer. id: 3 - A id ajuda a corresponder as respostas EAP com as solicitações. Aqui, o valor é 3, o que indica que é o terceiro pacote na troca. Este pacote tem o tipo 'config-auth' de 'complete'; o ASA recebeu uma resposta e a troca de EAP está completa. Comprimento: 4235 - O comprimento do pacote EAP inclui os dados de código, id, comprimento e EAP. Dados EAP. payload ENCR: Essa carga é descriptografada e seu conteúdo é analisado como cargas adicionais.	IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_BLD_EAP_REQ Evento: EV_RECV_EAP_REQ IKEv2-PROTO-2: (6): Enviando solicitação EAP Mensagem XML gerada abaixo <?xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="complete"> <version who="sg">9.0(2)8</version> <session-id>32768</session-id> <session-token>18wA0TtGmDxPKPQCJywC7fB7EWLCEgz-ZtjYpAyXx2yJH0H3G3H8t5xpBOx3Ixag</session-token> <auth id="success"> <message id="0" param1="" param2=""></message> </auth> IKEv2-PROTO-3: (6): Criando pacote para criptografia; o conteúdo é: Próxima carga útil de EAP: NONE, reservada: 0x0, comprimento: 4239 Código: pedido: id: 3, comprimento: 4235 Tipo: Desconhecido - 254 Dados EAP: 4.230 bytes IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x3 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Próxima carga útil: ENCR, versão: 2.0 IKEv2-PROTO-4: Tipo de troca: IKE_AUTH, sinalizadores: RESPONDER MSG-RESPONSE IKEv2-PROTO-4: ID da mensagem: 0x3, comprimento: 4300 ENCR Próxima carga útil: EAP, reservado: 0x0, comprimento: 4272 Dados e vírgula criptografados;4268 bytes IKEv2-PROTO-5: (6): Fragmentação de pacote, MTU de Fragmento: 544, Número de fragmentos: 9, ID de Fragmento: 2 IKEv2-PLAT-4: PKT ENVIADO [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: PKT ENVIADO [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: PKT ENVIADO [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: PKT ENVIADO [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: PKT ENVIADO [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: PKT ENVIADO [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: PKT ENVIADO [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: PKT ENVIADO [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: PKT ENVIADO [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_BLD_EAP_REQ Evento: EV_START_TMR IKEv2-PROTO-3: (6): iniciando temporizador para aguardar mensagem de autenticação de usuário (120 seg) IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_WAIT_EAP_RESP Evento: EV_NO_EVENT
	************************************** Data: 23/04/2013 Tempo : 16:25:07 Tipo : Informações Origem : acvpnagent Descrição : Perfil atual: Anyconnect-ikev2.xml Configurações da Sessão VPN Recebidas: Manter instalado: habilitado Configuração de proxy: não modificar Servidor proxy: nenhum URL da PAC do proxy: nenhuma Exceções de proxy: nenhuma Bloqueio de Proxy: habilitado Split Exclude: a preferência de acesso à LAN local está desativada Split Include: desativado DNS dividido: desabilitado Curinga de LAN local: preferência de acesso de LAN local está desabilitada Regras de firewall: nenhuma Endereço do cliente: 10.2.2.1 Máscara do cliente: 255.0.0.0 Endereço IPv6 do cliente: desconhecido Máscara IPv6 do cliente: desconhecida MTU: 1406 Keep Alive do IKE: 20 segundos DPD do IKE: 30 segundos Tempo limite da sessão: 0 segundos Tempo limite de desconexão: 1800 segundos Tempo limite de ociosidade: 1800 segundos Servidor: desconhecido Host MUS: desconhecido Mensagem de usuário DAP: nenhum Estado de quarentena: desabilitado VPN Always On: não desabilitada Duração da concessão: 0 segundos Domínio padrão: desconhecido Página inicial: desconhecida Desconexão da remoção do cartão inteligente: habilitada Resposta da licença: desconhecida **************************************		O ASA envia as definições de configuração de VPN na mensagem 'complete' para o cliente e aloca um endereço IP para o cliente do pool de VPNs.
O cliente envia o pacote do iniciador com o payload EAP. O pacote EAP contém: Code: response - Este código é enviado pelo peer para o autenticador em resposta à solicitação EAP. id: 3 - A id ajuda a corresponder as respostas EAP com as solicitações. Aqui, o valor é 3, o que indica que essa é uma resposta à solicitação enviada anteriormente pelo ASA (autenticador). O ASA agora recebe o pacote de resposta do cliente, que tem o tipo 'config-auth' de 'ack'; essa resposta confirma a mensagem EAP 'complete' enviada anteriormente pelo ASA . Comprimento: 173 - O comprimento do pacote EAP inclui os dados de código, id, comprimento e EAP. Dados EAP.	IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000004 IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x4 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Próxima carga útil: ENCR, versão: 2.0 IKEv2-PROTO-4: Tipo de intercâmbio: IKE_AUTH, sinalizadores: INITIATOR IKEv2-PROTO-4: ID da mensagem: 0x4, comprimento: 252 IKEv2-PROTO-5: (6): A solicitação tem messe_id 4; esperada de 4 a 4 REAL Pacote descriptografado:Dados: 177 bytes Próxima carga útil de EAP: NONE, reservada: 0x0, comprimento: 177 Código: resposta: id: 3, comprimento: 173 Tipo: Desconhecido - 254 Dados EAP: 168 bytes
O ASA processa esse pacote. O Troca de EAP bem-sucedida. O ASA prepara para enviar o grupo de túneis configuração no próximo pacote, que foi solicitado anteriormente pelo cliente em a carga IDi. O ASA recebe o pacote de resposta do cliente, que tem o tipo 'config-auth' de 'ack'. Este a resposta confirma o EAP mensagem de 'conclusão' enviada pelo ASA anteriormente. Configuração relevante: tunnel-group ASA-IKEV2 type remote-access tunnel-group ASA-IKEV2 general-attributes address-pool webvpn1 authorization-server-group LOCAL default-group-policy ASA-IKEV2 tunnel-group ASA-IKEV2 webvpn-attributes group-alias ASA-IKEV2 enable A troca de EAP agora foi bem-sucedida. O pacote EAP contém: Código: sucesso - Este código é enviado pelo autenticador ao peer após a conclusão de um EAP método de autenticação. Este indica que o peer autenticado com êxito no autenticador. id: 3 - O id ajuda a corresponder ao Respostas EAP com as solicitações. Aqui o valor é 3, que indica que esta é uma resposta a a solicitação enviada anteriormente pelo ASA (autenticador). O terceiro conjunto de pacotes na troca foi bem-sucedido e a troca de EAP é bem-sucedido. Comprimento: 4 - Comprimento do EAP pacote inclui o código, a id, e dados EAP. Dados EAP.	Pacote descriptografado:Dados:252 bytes IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_WAIT_EAP_RESP Evento: EV_RECV_AUTH IKEv2-PROTO-3: (6): Parando temporizador para aguardar mensagem de autenticação IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_WAIT_EAP_RESP Evento: EV_RECV_EAP_RESP IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_PROC_EAP_RESP Evento: EV_PROC_MSG IKEv2-PROTO-2: (6): processando resposta EAP Mensagem XML recebida abaixo do cliente <?xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="ack"> <device-id>win</device-id> <version who="vpn">3.0.1047</version> </config-auth> IKEv2-PLAT-3: (6) aggrAuthHdl definido como 0x2000 IKEv2-PLAT-3: (6) tg_name definido como: ASA-IKEV2 IKEv2-PLAT-3: (6) tipo de grp de sintonia definido como: RA IKEv2-PLAT-1: EAP:autenticação bem-sucedida IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_PROC_EAP_RESP Evento: EV_RECV_EAP_SUCCESS IKEv2-PROTO-2: (6): Enviando mensagem de status EAP IKEv2-PROTO-3: (6): Criando pacote para criptografia; o conteúdo é: Próxima carga EAP: NENHUMA, reservada: 0x0, comprimento: 8 Código: sucesso: id: 3, comprimento: 4 IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x4 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Próxima carga útil: ENCR, versão: 2.0 IKEv2-PROTO-4: Tipo de troca: IKE_AUTH, sinalizadores: RESPONDER MSG-RESPONSE IKEv2-PROTO-4: ID da mensagem: 0x4, comprimento: 76 Próxima carga útil de ENCR: EAP, reservada: 0x0, comprimento: 48 Dados criptografados e ponto-e-vírgula;44 bytes IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000004 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_PROC_EAP_RESP Evento: EV_START_TMR IKEv2-PROTO-3: (6): iniciando temporizador para aguardar mensagem de autenticação (30 seg) IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_WAIT_EAP_AUTH_VERIFY Evento: EV_NO_EVENT
Como a troca de EAP é bem-sucedida, o cliente envia o pacote do iniciador IKE_AUTH com o payload de AUTH. O payload de AUTH é gerado a partir da chave secreta compartilhada.	IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x5 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Próxima carga útil: ENCR, versão: 2.0 IKEv2-PROTO-4: Tipo de troca: IKE_AUTH, sinalizadores: INITIATOR IKEv2-PROTO-4: ID da mensagem: 0x5, comprimento: 92 IKEv2-PROTO-5: (6): A solicitação tem messe_id 5; esperada de 5 a 5 REAL Pacote descriptografado:Dados:28 bytes AUTH Próxima carga: NONE, reservado: 0x0, comprimento: 28 Método de autenticação PSK, reservado: 0x0, reservado 0x0 Dados de autenticação: 20 bytes
Quando a autenticação EAP é especificada ou implícito no perfil do cliente e no perfil não contém o elemento <IKEIdentity>, o cliente envia uma carga IDi do tipo ID_GROUP com a cadeia de caracteres fixa $AnyConnectClient$. O ASA processa essa mensagem. Configuração relevante: crypto dynamic-map dynmap 1000 set ikev2 ipsec-proposal 3des crypto map crymap 10000 ipsec-isakmp dynamic dynmap crypto map crymap interface outside	Pacote descriptografado:Dados: 92 bytes IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_WAIT_EAP_AUTH_VERIFY Evento: EV_RECV_AUTH IKEv2-PROTO-3: (6): Parando temporizador para aguardar mensagem de autenticação IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Evento: EV_GET_EAP_KEY IKEv2-PROTO-2: (6): Enviar AUTH, para verificar o par após a troca de EAP IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Evento: EV_VERIFY_AUTH IKEv2-PROTO-3: (6): Verificar dados de autenticação IKEv2-PROTO-3: (6): *Usar chave pré-compartilhada para id $AnyConnectClient$, key len 20* IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Evento: EV_GET_CONFIG_MODE IKEv2-PLAT-3: resposta do modo de configuração na fila IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Evento: EV_NO_EVENT IKEv2-PLAT-3: PSH: cliente=AnyConnect client-version=3.0.1047 client-os=Windows client-os-version= IKEv2-PLAT-3: resposta do modo de configuração concluída IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Evento: EV_OK_GET_CONFIG IKEv2-PROTO-3: (6): tem dados do modo de configuração para enviar IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Evento: EV_CHK4_IC IKEv2-PROTO-3: (6): processando contato inicial IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Evento: EV_CHK_REDIRECT IKEv2-PROTO-5: (6): a verificação de redirecionamento já foi feita para esta sessão, ignorando-a IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Evento: EV_PROC_SA_TS IKEv2-PROTO-2: (6): processando mensagem de autenticação IKEv2-PLAT-1: Mapa de Criptografia: Mapa dynmap seq 1000. Seletor ajustado usando o IP atribuído IKEv2-PLAT-3: Mapa de Criptografia: correspondência no mapa dinâmico dynmap seq 1000 IKEv2-PLAT-3: PFS desabilitado para conexão RA IKEv2-PROTO-3: (6): IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Evento: EV_NO_EVENT IKEv2-PLAT-2: retorno de chamada SPI PFKEY recebido para SPI 0x30B848A4, erro FALSE IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Evento: EV_OK_RECD_IPSEC_RESP IKEv2-PROTO-2: (6): processando mensagem de autenticação
O ASA cria a mensagem de resposta IKE_AUTH com as cargas SA, TSi e TSr. O pacote do respondente IKE_AUTH contém: Cabeçalho ISAKMP - SPI/version/flags. payload de AUTH - Com o método de autenticação escolhido. CFG - CFG_REQUEST/ CFG_REPLY permite que um endpoint IKE solicite informações de seu peer. Se um atributo no payload de configuração CFG_REQUEST não tiver comprimento zero, ele será considerado como uma sugestão para esse atributo. O payload de configuração CFG_REPLY pode retornar esse valor ou um novo valor. Ele também pode adicionar novos atributos e não incluir alguns solicitados. Os solicitantes ignoram os atributos retornados que não reconhecem. O ASA responde ao cliente com os atributos de configuração de túnel no pacote CFG_REPLY. SAr2 - SAr2 inicia o SA, que é semelhante à troca do conjunto de transformação da fase 2 em IKEv1. TSi e TSr - Os seletores de tráfego do iniciador e do respondente contêm, respectivamente, o endereço de origem e de destino do iniciador e do respondente para encaminhar e receber tráfego criptografado. O intervalo de endereços especifica que todo o tráfego de e para esse intervalo é encapsulado. Se a proposta for aceitável para o respondente, ele enviará payloads TS idênticos de volta. payload ENCR: Essa carga é descriptografada e seu conteúdo é analisado como cargas adicionais.	IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH Evento: EV_MY_AUTH_METHOD IKEv2-PROTO-3: (6): Obter meu método de autenticação IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH Evento: EV_GET_PRESHR_KEY IKEv2-PROTO-3: (6): Obter chave pré-compartilhada do par para $AnyConnectClient$ IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH Evento: EV_GEN_AUTH IKEv2-PROTO-3: (6): Gerar meus dados de autenticação IKEv2-PROTO-3: (6): Usar chave pré-compartilhada para id hostname=ASA-IKEV2, key len 20 IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH Evento: EV_CHK4_SIGN IKEv2-PROTO-3: (6): Obter meu método de autenticação IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH Evento: EV_OK_AUTH_GEN IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_EAP_AUTH_VERIFY Evento: EV_GEN_AUTH IKEv2-PROTO-3: (6): Gerar meus dados de autenticação IKEv2-PROTO-3: (6): usar chave pré-compartilhada para id hostname=ASA-IKEV2, key len 20 IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_EAP_AUTH_VERIFY Evento: EV_SEND_AUTH IKEv2-PROTO-2: (6): Send AUTH, para verificar o par após a troca de EAP IKEv2-PROTO-3: ESP Proposta: 1, SPI tamanho: 4 (negociação IPSec), Número de transformações: 3 AES-CBC SHA96 IKEv2-PROTO-5: Construir Carga de Notificação: ESP_TFC_NO_SUPPORTIKEv2-PROTO-5: Construir Carga de Notificação: NON_FIRST_FRAGSIKEv2-PROTO-3: (6): Criando pacote para criptografia; o conteúdo é: AUTH Próxima carga útil: CFG, reservado: 0x0, comprimento: 28 Método de autenticação PSK, reservado: 0x0, reservado 0x0 Auth data&colon; 20 bytes CFG Próxima carga útil: SA, reservado: 0x0, comprimento: 4196 cfg tipo: CFG_REPLY, reservado: 0x0, reservado: 0x0 tipo de atributo: endereço IP4 interno, comprimento: 4 01 01 01 01 tipo de atributo: máscara de rede IP4 interna, comprimento: 4 00 00 00 00 tipo de atributo: expiração de endereço interno, comprimento: 4 00 00 00 00 tipo de atributo: versão do aplicativo, comprimento: 16 41 53 41 20 31 30 30 2e 37 28 36 29 31 31 36 00 tipo de atributo: Desconhecido - 28704, comprimento: 4 00 00 00 00 tipo de atributo: Desconhecido - 28705, comprimento: 4 00 00 07 08 tipo de atributo: Desconhecido - 28706, comprimento: 4 00 00 07 08 tipo de atributo: Desconhecido - 28707, comprimento: 1 01 tipo de atributo: Desconhecido - 28709, comprimento: 4 00 00 00 1e tipo de atributo: Desconhecido - 28710, comprimento: 4 00 00 00 14 tipo de atributo: Desconhecido - 28684, comprimento: 1 01 tipo de atributo: Desconhecido - 28711, comprimento: 2 05 7e tipo de atributo: Desconhecido - 28679, comprimento: 1 00 tipo de atributo: Desconhecido - 28683, comprimento: 4 80 0b 00 01 tipo de atributo: Desconhecido - 28725, comprimento: 1 00 tipo de atributo: Desconhecido - 28726, comprimento: 1 00 tipo de atributo: Desconhecido - 28727, comprimento: 4056 3c 3f 78 6d 6c 20 76 65 72 73 69 6f 6e 3d 22 31 2e 30 22 20 65 6e 63 6f 64 69 6e 67 3d 22 55 54 46 2d 38 22 3f 3e 3c 63 6f 6e 66 69 67 2d 61 75 74 68 20 63 6c 69 65 6e 74 3d 22 76 70 6e 22 20 74 79 70 65 3d 22 63 6f 6d 70 6c 65 74 65 22 3e 3c 76 65 72 73 69 6f 6e 20 77 68 6f 3d 22 73 67 22 3e 31 30 30 2e 37 28 36 29 31 31 36 3c 2f 76 65 72 73 69 6f 6e 3c 73 65 73 73 69 6f 6e 2d 69 64 3e 38 31 39 32 3c 2f 73 65 73 73 69 6f 6e <snip> 72 6f 66 69 6c 65 2d 6d 61 6e 69 66 65 73 74 3e 3c 2f 63 6f 6e 66 69 67 3e 3c 2f 63 6f 6e 66 69 67 2d 61 75 74 68 3e 00 tipo de atributo: Desconhecido - 28729, comprimento: 1 00 SA Próxima carga útil: TSi, reservado: 0x0, comprimento: 44 IKEv2-PROTO-4: última proposta: 0x0, reservado: 0x0, comprimento: 40 Proposta: 1, ID do protocolo: ESP, tamanho SPI: 4, #trans: 3 IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 12 tipo: 1, reservado: 0x0, id: AES-CBC IKEv2-PROTO-4: última transformação: 0x3, reservado: 0x0: comprimento: 8 tipo: 3, reservado: 0x0, id: SHA96 IKEv2-PROTO-4: última transformação: 0x0, reservado: 0x0: comprimento: 8 tipo: 5, reservado: 0x0, id: TSi Próxima carga útil: TSr, reservado: 0x0, comprimento: 24 Número de TSs: 1, 0x0 reservado, 0x0 reservado Tipo de TS: TS_IPV4_ADDR_RANGE, id do proto: 0, comprimento: 16 porta inicial: 0, porta final: 65535 end. inicial: 10.2.2.1, end. final: 10.2.2.1 TSr Próxima carga útil: NOTIFY, reservado: 0x0, comprimento: 24 Número de TSs: 1, 0x0 reservado, 0x0 reservado Tipo de TS: TS_IPV4_ADDR_RANGE, id do proto: 0, comprimento: 16 porta inicial: 0, porta final: 65535 end. inicial: 0.0.0.0, end. final: 255.255.255.255 IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x5 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Próxima carga útil: ENCR, versão: 2.0 IKEv2-PROTO-4: Tipo de intercâmbio: IKE_AUTH, sinalizadores: RESPONDER MSG-RESPONSE IKEv2-PROTO-4: ID da mensagem: 0x5, comprimento: 4396 ENCR Próxima carga útil: AUTH, reservado: 0x0, comprimento: 4368 Dados criptografados e dois-pontos; 4364 bytes
O ASA envia essa mensagem de resposta IKE_AUTH, que é fragmentada em nove pacotes. A troca de IKE_AUTH está concluída.	IKEv2-PROTO-5: (6): Fragmentação de pacote, MTU de Fragmento: 544, Número de fragmentos: 9, ID de Fragmento: 3 IKEv2-PLAT-4: PKT ENVIADO [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: PKT ENVIADO [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: PKT ENVIADO [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: PKT ENVIADO [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: PKT ENVIADO [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: PKT ENVIADO [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: PKT ENVIADO [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: PKT ENVIADO [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: PKT ENVIADO [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Evento: EV_OK IKEv2-PROTO-5: (6): Ação: Action_Null IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Evento: EV_PKI_SESH_CLOSE
	************************************** Data: 23/04/2013 Tempo : 16:25:07 Tipo : Informações Origem : acvpnagent Descrição : Função: ikev2_log Arquivo: .\ikev2_anyconnect_osal.cpp Linha: 2730 Conexão IPsec estabelecida. ************************************ Data: 23/04/2013 Tempo : 16:25:07 Tipo : Informações Origem : acvpnagent Descrição : registro de sessão IPsec: Criptografia: AES-CBC PRF: SHA1 HMAC: SHA96 Método de autenticação local: PSK Método de autenticação remota: PSK ID da sequência: 0 Tamanho da chave: 192 Grupo DH: 1 Tempo de rechaveamento: 4294967 segundos Endereço local: 192.168.1.1 Endereço remoto: 10.0.0.1 Porta local: 4500 Porta remota: 4500 ID da sessão: 1 ************************************ Data: 23/04/2013 Tempo : 16:25:07 Tipo : Informações Fonte: acvpnui Descrição : O perfil configurado no gateway seguro é: Anyconnect-ikev2.xml ************************************ Data: 23/04/2013 Tempo : 16:25:07 Tipo : Informações Fonte: acvpnui Descrição : informações sobre o tipo de mensagem enviadas ao usuário: Estabelecendo sessão VPN... **************************************		O cliente relata a conexão IPSec como estabelecida. O cliente também detecta o perfil de usuário no ASA.
	----------------------------Intercâmbio IKE_AUTH termina-----------------------------------
	************************************** Data: 23/04/2013 Tempo : 16:25:07 Tipo : Informações Origem : acvpndownloader Descrição : Função: ProfileMgr::loadProfiles Arquivo: ..\Api\ProfileMgr.cpp Linha: 148 Perfis carregados: C:\Documents and Settings\All Users\Application Data\Cisco\Cisco AnyConnect Secure Mobility Client\Profile\anyconnect-ikev2.xml ************************************ ************************************ Data: 23/04/2013 Tempo : 16:25:07 Tipo : Informações Origem : acvpndownloader Descrição : Configurações de preferência atuais: ServiceDisable: falso CertificateStoreOverride: falso Repositório de Certificados: Todos ShowPreConnectMessage: falso AutoConnectOnStart: falso MinimizarAoConectar: verdadeiro LocalLanAccess: falso Reconexão Automática: verdadeiro AutoReconnectBehavior: DisconnectOnSuspend UsarIniciarAntesLogon: falso AutoUpdate: verdadeiro RSASecurIDIntegration: Automático WindowsLogonEnforcement: SingleLocalLogon EstabelecimentoVPNdoWindows: LocalUsersOnly ProxySettings: Nativo AllowLocalProxyConnections: verdadeiro PPPExclusion: Desabilitar IPdoServidorDeExclusãoPPPE: AutomaticVPNPolicy: falso TrustedNetworkPolicy: Desconectar UntrustedNetworkPolicy: Conectar DomíniosDNSDonfiados: ServidoresDNS Confiáveis: AlwaysOn: falso ConnectFailurePolicy: Fechado AllowCaptivePortalRemediation: falso Tempo limite de correção do portal cativo: 5 ApplyLastVPNLocalResourceRules: falso AllowVPNDisconnect: true AtivarScript: falso TerminateScriptOnNextEvent: falso EnablePostSBLOnConnectScript: verdadeiro AutomaticCertSelection: verdadeiro RetainVpnOnLogoff: falso Imposição do Usuário: SameUserOnly EnableAutomaticServerSelection: false AperfeiçoamentoDaSeleçãoDeServidorAutomático: 20 Hora de SuspensãoSeleçãoAutomáticaServidor: 4 Tempo limite de autenticação: 12 SafeWordSofTokenIntegration: falso AllowIPsecOverSSL: falso ClearSmartcardPin: verdadeiro ************************************ Data: 23/04/2013 Tempo : 16:25:07 Tipo : Informações Fonte: acvpnui Descrição : informações sobre o tipo de mensagem enviadas ao usuário: Estabelecendo VPN - Examinando sistema... ************************************ Data: 23/04/2013 Tempo : 16:25:07 Tipo : Informações Fonte: acvpnui Descrição : informações sobre o tipo de mensagem enviadas ao usuário: Estabelecendo VPN - Ativando adaptador VPN... ************************************ Data: 23/04/2013 Tempo : 16:25:07 Tipo : Informações Origem : acvpnagent Descrição : Função: CVirtualAdapter::DoRegistryRepair Arquivo: .\WindowsVirtualAdapter.cpp Linha: 1869 Encontrada chave de Controle VA: SYSTEM\CurrentControlSet\ENUM\ROOT\NET\0000\Control ************************************ Data: 23/04/2013 Tempo : 16:25:07 Tipo : Informações Origem : acvpnagent Descrição : Uma nova interface de rede foi detectada. ************************************ Data: 23/04/2013 Tempo : 16:25:07 Tipo : Informações Origem : acvpnagent Descrição : Função: CRouteMgr::logInterfaces Arquivo: .\RouteMgr.cpp Linha: 2076 Função Chamada: logInterfaces Código de Retorno: 0 (0x00000000) Descrição: IP Address Interface List: 10.2.2.1 192.168.1.1 ************************************ Data: 23/04/2013 Tempo : 16:25:08 Tipo : Informações Origem : acvpnagent Descrição : Configuração do host: Endereço público: 192.168.1.1 Máscara pública: 255.255.255.0 Endereço privado: 10.2.2.1 Máscara Privada: 255.0.0.0 Endereço IPv6 privado: N/D Máscara IPv6 privada: N/D Pontos remotos: 10.0.0.1 (porta TCP 443, porta UDP 500), 10.0.0.1 (porta UDP 4500) Redes privadas: nenhuma Redes públicas: nenhuma Modo de túnel: sim **************************************		O perfil XML é carregado no cliente. Como o cliente agora tem um endereço IP do ASA, ele continua a ativar o adaptador VPN.
A conexão é inserida no banco de dados SA (Security Association) e o status é REGISTERED. O ASA também executa algumas verificações, como estatísticas de Cartão de Acesso Comum (CAC), presença de SAs duplicadas e define valores como detecção de ponto inativo (DPD) e assim por diante.	IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Evento: EV_INSERT_IKE IKEv2-PROTO-2: (6): SA criado; inserindo SA no banco de dados IKEv2-PLAT-3: STATUS DA CONEXÃO: UP... peer: 192.168.1.1:25171, phase1_id: $AnyConnectClient$ IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Evento: EV_REGISTER_SESSION IKEv2-PLAT-3: (6) nome de usuário definido como: Anu IKEv2-PLAT-3: STATUS DA CONEXÃO: REGISTERED... peer: 192.168.1.1:25171, phase1_id: $AnyConnectClient$ IKEv2-PROTO-3: (6): Inicializando DPD, configurado por 10 segundos IKEv2-PLAT-3: (6) mib_index definido como: 4501 IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Evento: EV_GEN_LOAD_IPSEC IKEv2-PROTO-3: (6): carregar material de chave IPSEC IKEv2-PLAT-3: Mapa de Criptografia: correspondência em mapa dinâmico dynmap seq 1000 IKEv2-PLAT-3: (6) Tempo máx. DPD será: 30 IKEv2-PLAT-3: (6) Tempo máx. DPD será: 30 IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Evento: EV_START_ACCT IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Evento: EV_CHECK_DUPE IKEv2-PROTO-3: (6): Verificando SA duplicada IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Evento: EV_CHK4_ROLE IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: Evento READY: EV_R_UPDATE_CAC_STATS IKEv2-PLAT-5: nova solicitação sa de ikev2 ativada IKEv2-PLAT-5: contagem de diminuição para negociação de entrada IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: Evento READY: EV_R_OK IKEv2-PROTO-3: (6): iniciando temporizador para excluir contexto de negociação IKEv2-PROTO-5: (6): Rastreamento SM-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: READY Evento: EV_NO_EVENT IKEv2-PLAT-2: SA de adição de PFKEY recebida para SPI 0x77EE5348, erro FALSE IKEv2-PLAT-2: SA de atualização de PFKEY recebida para SPI 0x30B848A4, erro FALSE
	************************************** Data: 23/04/2013 Tempo : 16:25:08 Tipo : Informações Origem : acvpnagent Descrição: a conexão VPN foi estabelecida e agora pode transmitir dados. ************************************ Data: 23/04/2013 Tempo : 16:25:08 Tipo : Informações Fonte: acvpnui Descrição : informações sobre o tipo de mensagem enviadas ao usuário: Estabelecendo VPN - Configurando sistema... ************************************ Data: 23/04/2013 Tempo : 16:25:08 Tipo : Informações Fonte: acvpnui Descrição : informações sobre o tipo de mensagem enviadas ao usuário: Estabelecendo VPN... ************************************ Data: 23/04/2013 Tempo : 16:25:37 Tipo : Informações Origem : acvpnagent Arquivo: .\IPsecProtocol.cpp Linha: 945 Túnel IPsec estabelecido **************************************		O cliente relata o túnel como ativo e pronto para passar o tráfego.

Verificação de túnel

AnyConnect

A saída de exemplo do comando show vpn-sessiondb detail anyconnect é:

Session Type: AnyConnect Detailed

   Username     : Anu                    Index        : 2
   Assigned IP  : 10.2.2.1                Public IP    : 192.168.1.1
   Protocol     : IKEv2 IPsecOverNatT AnyConnect-Parent
   License      : AnyConnect Premium
   Encryption   : AES192 AES256          Hashing      : none SHA1 SHA1
   Bytes Tx     : 0                      Bytes Rx     : 11192
   Pkts Tx      : 0                      Pkts Rx      : 171
   Pkts Tx Drop : 0                      Pkts Rx Drop : 0
   Group Policy : ASA-IKEV2              Tunnel Group : ASA-IKEV2
   Login Time   : 22:06:24 UTC Mon Apr 22 2013
   Duration     : 0h:02m:26s
   Inactivity   : 0h:00m:00s
   NAC Result   : Unknown
   VLAN Mapping : N/A                    VLAN         : none

   IKEv2 Tunnels: 1
   IPsecOverNatT Tunnels: 1
   AnyConnect-Parent Tunnels: 1 

   AnyConnect-Parent:
     Tunnel ID    : 2.1
     Public IP    : 192.168.1.1
     Encryption   : none                   Auth Mode    : userPassword
   Idle Time Out: 30 Minutes             Idle TO Left : 27 Minutes
   Client Type  : AnyConnect
   Client Ver   : 3.0.1047 
    IKEv2:
     Tunnel ID    : 2.2
     UDP Src Port : 25171                  UDP Dst Port : 4500
     Rem Auth Mode: userPassword
     Loc Auth Mode: rsaCertificate
     Encryption   : AES192                 Hashing      : SHA1
     Rekey Int (T): 86400 Seconds          Rekey Left(T): 86254 Seconds
     PRF          : SHA1                   D/H Group    : 1
     Filter Name  :
     Client OS    : Windows
    IPsecOverNatT:
     Tunnel ID    : 2.3
     Local Addr   : 0.0.0.0/0.0.0.0/0/0
     Remote Addr  : 10.2.2.1/255.255.255.255/0/0
     Encryption   : AES256                 Hashing      : SHA1
   Encapsulation: Tunnel
   Rekey Int (T): 28800 Seconds          Rekey Left(T): 28654 Seconds
   Rekey Int (D): 4608000 K-Bytes        Rekey Left(D): 4607990 K-Bytes
   Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes 
   Bytes Tx     : 0                      Bytes Rx     : 11192
   Pkts Tx      : 0                      Pkts Rx      : 171
    NAC:
     Reval Int (T): 0 Seconds              Reval Left(T): 0 Seconds
     SQ Int (T)   : 0 Seconds              EoU Age(T)   : 146 Seconds
     Hold Left (T): 0 Seconds              Posture Token:    
    Redirect URL :

ISAKMP

A saída de exemplo do comando show crypto ikev2 sa é:

ASA-IKEV2#  show crypto ikev2 sa

      IKEv2 SAs:

      Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

      Tunnel-id                 Local                Remote     Status         Role
       55182129    10.0.0.1/4500         192.168.1.1/25171      READY    RESPONDER
            Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
            Life/Active Time: 86400/112 sec
      Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535   
                remote selector 10.2.2.1/0 - 10.2.2.1/65535
              ESP spi in/out: 0x30b848a4/0x77ee5348

A saída de exemplo do comando show crypto ikev2 sa detail é:

ASA-IKEV2# show crypto ikev2 sa detail

    IKEv2 SAs:

    Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

    Tunnel-id                 Local                Remote     Status         Role
     55182129    10.0.0.1/4500         192.168.1.1/25171      READY    RESPONDER
       Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
         Life/Active Time: 86400/98 sec
         Session-id: 2
         Status Description: Negotiation done
         Local spi: FC696330E6B94D7F       Remote spi: 58AFF71141BA436B
         Local id: hostname=ASA-IKEV2
         Remote id: *$AnyConnectClient$*
         Local req mess id: 0              Remote req mess id: 9
         Local next mess id: 0             Remote next mess id: 9
         Local req queued: 0               Remote req queued: 9
         Local window: 1                   Remote window: 1
         DPD configured for 10 seconds, retry 2
         NAT-T is detected  outside
         Assigned host addr: 10.2.2.1
   Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535
             remote selector 10.2.2.1/0 - 10.2.2.1/65535
             ESP spi in/out: 0x30b848a4/0x77ee5348
          AH spi in/out: 0x0/0x0
          CPI in/out: 0x0/0x0
            Encr: AES-CBC, keysize: 256, esp_hmac: SHA96
            ah_hmac: None, comp: IPCOMP_NONE, mode tunnel

IPSec

A saída de exemplo do comando show crypto ipsec sa é:

ASA-IKEV2# show crypto ipsec sa
   interface: outside
       Crypto map tag: dynmap, seq num: 1000, local addr: 10.0.0.1

     local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
        remote ident (addr/mask/prot/port): (10.2.2.1/255.255.255.255/0/0)
        current_peer: 192.168.1.1, username: Anu
        dynamic allocated peer ip: 10.2.2.1

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
         #pkts decaps: 163, #pkts decrypt: 108, #pkts verify: 108
         #pkts compressed: 0, #pkts decompressed: 0
         #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
         #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
         #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
         #send errors: 0, #recv errors: 55

      local crypto endpt.: 10.0.0.1/4500, remote crypto endpt.: 192.168.1.1/25171
         path mtu 1488, ipsec overhead 82, media mtu 1500
         current outbound spi: 77EE5348
         current inbound spi : 30B848A4

     inbound esp sas:
         spi: 0x30B848A4 (817383588)
            transform: esp-aes-256 esp-sha-hmac no compression
            in use settings ={RA, Tunnel,  NAT-T-Encaps, }
            slot: 0, conn_id: 8192, crypto-map: dynmap
            sa timing: remaining key lifetime (sec): 28685
            IV size: 16 bytes
            replay detection support: Y
            Anti replay bitmap:
            0xFFAD6BED 0x7ABFD5BF
       outbound esp sas:
         spi: 0x77EE5348 (2012107592)
            transform: esp-aes-256 esp-sha-hmac no compression
            in use settings ={RA, Tunnel,  NAT-T-Encaps, }
            slot: 0, conn_id: 8192, crypto-map: dynmap
            sa timing: remaining key lifetime (sec): 28685
            IV size: 16 bytes
            replay detection support: Y
            Anti replay bitmap:
           0x00000000 0x00000001

Informações Relacionadas

Histórico de revisões

Revisão	Data de publicação	Comentários
1.0	04-May-2013	Versão inicial

Colaborado por engenheiros da Cisco

Anu M. Chacko, Jay Young, and Atri Basu
Cisco TAC Engineers.

Este documento lhe foi útil?

Feedback

Contate a Cisco

Abrir um caso de suporte
(É necessário um Contrato de Serviço da Cisco)

Depurações de ASA IKEv2 para solução de problemas de VPN de acesso remoto

Opções de download

Linguagem imparcial

Sobre esta tradução

Contents

Introdução

Pré-requisitos

Requisitos

Componentes Utilizados

Problema principal

Cenário

Comandos debug

Configuração do ASA

Arquivo XML

Logs e descrições de depuração

Verificação de túnel

AnyConnect

ISAKMP

IPSec

Informações Relacionadas

Histórico de revisões

Colaborado por engenheiros da Cisco

Este documento lhe foi útil?

Contate a Cisco

Este documento se refere a estes produtos