Configurar ASA para ASA Dynamic para Static IKEv1/IPsec

Opções de download

  • PDF     (2.0 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.9 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:22 de junho de 2015
ID do documento:119007

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como habilitar o ASA para aceitar conexões VPN IPsec dinâmicas de site a site a partir de qualquer par dinâmico.

    Pré-requisitos

    Requisitos

    A Cisco recomenda ter conhecimento deste tópico:

    • Dispositivo de segurança adaptável (ASA)

    Componentes Utilizados

    As informações neste documento são baseadas no Cisco ASA (5510 e 5520) Firewall Software Release 9.x ou posterior.

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    Este documento descreve como habilitar o Adaptive Security Appliance (ASA) para aceitar conexões VPN IPsec dinâmicas de um ponto a outro (ASA neste caso). Como mostra o Diagrama de Rede neste documento, o túnel IPsec é estabelecido quando o túnel é iniciado somente a partir da extremidade do ASA remoto. O Central-ASA não pode iniciar um túnel VPN devido à configuração de IPsec dinâmico. O endereço IP do Remote-ASA é desconhecido.

    Configure Central-ASA para aceitar dinamicamente conexões de um endereço IP curinga (0.0.0.0/0) e uma chave pré-compartilhada curinga. O Remote-ASA é então configurado para criptografar o tráfego das sub-redes locais para as sub-redes do Central-ASA, conforme especificado pela lista de acesso de criptografia. Ambos os lados executam a isenção de NAT (Network Address Translation Conversão de Endereço de Rede) para ignorar o NAT para o tráfego IPsec.

    Configurar

    Observação: use a Command Lookup Tool para obter mais informações sobre os comandos usados nesta seção. Somente usuários registrados da Cisco têm acesso a ferramentas e informações internas da Cisco.

    Diagrama de Rede

    119007-config-asa9x-ike-ipsec-1

    Configuração do ASDM

    Central-ASA (Peer Estático)

    Em um ASA com um endereço IP estático, configure a VPN de forma que ela aceite conexões dinâmicas de um peer desconhecido enquanto ainda autentica o peer usando uma chave pré-compartilhada IKEv1:

    1. Escolha Configuration > Site-to-Site VPN > Advanced > Crypto Maps. A janela exibe a lista de entradas de mapa de criptografia que já estão no lugar (se houver alguma). Como o ASA não sabe qual é o endereço IP do peer, para que o ASA aceite a conexão, configure Dynamic-map com transform-set correspondente (Proposta de IPsec). Clique em Add.

      119007-config-asa9x-ike-ipsec-2

    2. Na janela Create IPsec Rule, na guia Tunnel Policy (Crypto Map) - Basic, escolha outside na lista suspensa Interface e dynamic na lista suspensa PolicyType. No campo Priority, atribua a prioridade para este gabinete de entrada se houver várias entradas em Dynamic-Map. Em seguida, clique em Select ao lado do campo IKE v1 IPsec Proposal para selecionar a proposta IPsec.

      119007-config-asa9x-ike-ipsec-3

    3. Quando a caixa de diálogo Select IPsec Proposals (Transform Sets) for aberta, escolha entre as propostas IPsec atuais ou clique em Add para criar uma nova e usar a mesma. Clique em OK quando terminar.

      119007-config-asa9x-ike-ipsec-4

    4. Na guia Tunnel Policy (Crypto Map)-Advanced, marque a caixa de seleção Enable NAT-T (necessária se um dos pares estiver por trás de um dispositivo NAT) e a caixa de seleção Enable Reverse Route Injection. Quando o túnel VPN é ativado para o peer dinâmico, o ASA instala uma rota dinâmica para a rede VPN remota negociada que aponta para a interface VPN.

      119007-config-asa9x-ike-ipsec-9

      Opcionalmente, na guia Seleção de tráfego, você também pode definir o tráfego VPN interessante para o peer dinâmico e clicar em OK.

      119007-config-asa9x-ike-ipsec-6

      119007-config-asa9x-ike-ipsec-7

      Como mencionado anteriormente, como o ASA não tem nenhuma informação sobre o endereço IP do peer dinâmico remoto, a solicitação de conexão desconhecida permanece sob DefaultL2LGroup que existe no ASA por padrão. Para que a autenticação tenha êxito, a chave pré-compartilhada (cisco123 neste exemplo) configurada no peer remoto precisa corresponder a uma em DefaultL2LGroup.

    5. Escolha Configuration > Site-to-Site VPN > Advanced > Tunnel Groups, selecione DefaultL2LGroup, clique em Edit e configure a chave pré-compartilhada desejada. Clique em OK quando terminar.

      119007-config-asa9x-ike-ipsec-8

      Observação: isso cria uma chave pré-compartilhada curinga no par estático (Central-ASA). Qualquer dispositivo/peer que conheça essa chave pré-compartilhada e suas propostas de correspondência pode estabelecer com êxito um túnel VPN e acessar recursos por VPN. Verifique se essa chave pré-compartilhada não é compartilhada com entidades desconhecidas e se não é fácil de adivinhar.

    6. Escolha Configuration > Site-to-Site VPN > Group Policies e selecione a política de grupo de sua escolha (política de grupo padrão neste caso). Clique em Editar e edite a política de grupo na caixa de diálogo Editar política de grupo interna. Clique em OK quando terminar.

      119007-config-asa9x-ike-ipsec-9

    7. Escolha Configuration > Firewall > NAT Rules e, na janela Add Nat Rule, configure uma regra no nat (NAT-EXEMPT) para o tráfego VPN. Clique em OK quando terminar.

      119007-config-asa9x-ike-ipsec-10

    Remote-ASA (Peer dinâmico)

    1. Escolha Wizards > VPN Wizards > Site-to-site VPN Wizard assim que o aplicativo ASDM se conectar ao ASA.

      119007-config-asa9x-ike-ipsec-11

    2. Clique em Next.

      119007-config-asa9x-ike-ipsec-12

    3. Escolha outside na lista suspensa VPN Access Interface para especificar o endereço IP externo do peer remoto. Selecione a interface (WAN) onde o mapa de criptografia é aplicado. Clique em Next.

      119007-config-asa9x-ike-ipsec-13

    4. Especifique os hosts/redes que devem ter permissão para passar pelo túnel VPN. Nesta etapa, você precisa fornecer as redes locais e remotas para o túnel VPN. Clique nos botões ao lado dos campos Local Network (Rede local) e Remote Network (Rede remota) e escolha o endereço conforme o requisito. Clique em Avançar quando terminar.

      T119007-config-asa9x-ike-ipsec-14

    5. Insira as informações de autenticação a serem usadas, que é uma chave pré-compartilhada neste exemplo. A chave pré-compartilhada usada neste exemplo é cisco123. Por padrão, o Tunnel Group Name é o endereço IP do peer remoto se você configurar a VPN LAN a LAN (L2L).

      119007-config-asa9x-ike-ipsec-15

      OU

      Você pode personalizar a configuração para incluir a política IKE e IPsec de sua escolha. Deve haver pelo menos uma política correspondente entre os pares:

      1. Na guia Authentication Methods, insira a chave pré-compartilhada do IKE versão 1 no campo Pre-shared Key. Neste exemplo, é cisco123.

        119007-config-asa9x-ike-ipsec-16

      2. Clique na guia Algoritmos de criptografia.
    6. Clique em Gerenciar ao lado do campo Política IKE, clique em Adicionar e configure uma Política IKE personalizada (fase-1). Clique em OK quando terminar.

      119007-config-asa9x-ike-ipsec-17

    7. Clique em Select ao lado do campo IPsec Proposal e selecione a proposta IPsec desejada. Clique em Avançar quando terminar.

      119007-config-asa9x-ike-ipsec-19

      Opcionalmente, você pode ir para a guia Perfect Forward Secrecy e marcar a caixa de seleção Enable Perfect Forward Secrecy (PFS). Clique em Avançar quando terminar.

      119007-config-asa9x-ike-ipsec-20

    8. Marque a caixa ao lado de Isentar host/rede do ASA da conversão de endereço para impedir que o tráfego do túnel comece a Network Address Translation. Escolha local ou inside na lista suspensa para definir a interface onde a rede local pode ser alcançada. Clique em Next.

      119007-config-asa9x-ike-ipsec-21

    9. O ASDM exibe um resumo da VPN recém-configurada. Verifique e clique em Finish.

      119007-config-asa9x-ike-ipsec-22

    Configuração de CLI

    Configuração do ASA Central (Peer Estático)

    1. Configure uma regra NO-NAT/ NAT-EXEMPT para o tráfego VPN conforme mostrado neste exemplo: 
      object network 10.1.1.0-remote_network
        subnet 10.1.1.0 255.255.255.0

      	object network 10.1.2.0-inside_network
      	 subnet 10.1.2.0 255.255.255.0

      	nat (inside,outside) source static 10.1.2.0-inside_network 10.1.2.0-inside_network
       destination static 10.1.1.0-remote_network 10.1.1.0-remote_network 
      no-proxy-arp route-lookup
    2. Configure a chave pré-compartilhada em DefaultL2LGroup para autenticar qualquer peer remoto de L2L dinâmico: 
      tunnel-group DefaultL2LGroup ipsec-attributes
       ikev1 pre-shared-key cisco123
    3. Defina a política de fase 2/ISAKMP: 
      crypto ikev1 policy 10
       authentication pre-share
       encryption aes-256
       hash sha
       group 2
       lifetime 86400
    4. Defina a política de IPsec/conjunto de transformação da fase 2: 
      crypto ipsec ikev1 transform-set tset esp-aes-256 esp-sha-hmac  
    5. Configure o mapa dinâmico com estes parâmetros:
      • Conjunto de transformações necessário
      • Habilitar a Injeção de Rota Reversa (RRI), que permite que o Security Appliance aprenda informações de roteamento para clientes conectados (opcional)
      crypto dynamic-map outside_dyn_map 1 set ikev1 transform-set tset
      crypto dynamic-map outside_dyn_map 1 set reverse-route
    6. Vincule o mapa dinâmico ao mapa de criptografia, aplique o mapa de criptografia e habilite ISAKMP/IKEv1 na interface externa: 
      crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map

      crypto map outside_map interface outside 
      crypto ikev1 enable outside

    Remote-ASA (Peer dinâmico)

    1. Configure uma regra de isenção de NAT para o tráfego VPN: 
      object network 10.1.1.0-inside_network
       subnet 10.1.1.0 255.255.255.0

      object network 10.1.2.0-remote_network
       subnet 10.1.2.0 255.255.255.0

      nat (inside,outside) source static 10.1.1.0-inside_network 10.1.1.0-inside_network 
      destination static 10.1.2.0-remote_network 10.1.2.0-remote_network 
      no-proxy-arp route-lookup
    2. Configure um grupo de túneis para um par VPN estático e uma chave pré-compartilhada. 
      tunnel-group 172.16.2.1 type ipsec-l2l
      tunnel-group 172.16.2.1 ipsec-attributes
       ikev1 pre-shared-key cisco123
    3. Definir a política de PHASE-1/ISAKMP: 
      crypto ikev1 policy 10
       authentication pre-share
       encryption aes-256
       hash sha

       group 2
       lifetime 86400
    4. Defina uma política de IPsec/conjunto de transformações da fase 2: 
      crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
    5. Configure uma lista de acesso que defina o tráfego/a rede VPN interessante: 
      access-list outside_cryptomap extended permit ip object 
      10.1.1.0-inside_network object 10.1.2.0-remote_network
    6. Configure o mapa de criptografia estático com estes parâmetros:
      • Crypto/VPN access-list
      • Endereço IP do peer IPsec remoto
      • Conjunto de transformações necessário
      crypto map outside_map 1 match address outside_cryptomap
      crypto map outside_map 1 set peer 172.16.2.1
      crypto map outside_map 1 set ikev1 transform-set ESP-AES-256-SHA 
    7. Aplique o mapa de criptografia e ative o ISAKMP/IKEv1 na interface externa: 
      crypto map outside_map interface outside 
      crypto ikev1 enable outside

    Verificar

    Use esta seção para confirmar se a configuração funciona corretamente.

    A Output Interpreter Tool oferece suporte a determinados comandos show. Use a ferramenta Output Interpreter para visualizar uma análise do resultado gerado pelo comando show..

    note-icon

    Observação: somente usuários registrados da Cisco podem acessar ferramentas e informações internas da Cisco.

    • show crypto isakmp sa — Exibe todas as associações de segurança atuais (SAs) de IKE em um peer.
    • show crypto ipsec sa — Exibe todas as SAs IPsec atuais.

    Esta seção mostra a saída de verificação de exemplo para os dois ASAs.

    ASA central

    Central-ASA#show crypto isakmp sa

    	 	IKEv1 SAs:

    	 	   Active SA: 1
    	    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    	Total IKE SA: 1

    	 	1   IKE Peer: 172.16.1.1
    	    Type    : L2L             Role    : responder
    	    Rekey   : no              State   : MM_ACTIVE

    	 	 	Central-ASA# show crypto ipsec sa
    	interface: outside
    	    Crypto map tag: outside_dyn_map, seq num: 1, local addr: 172.16.2.1

    	 	      local ident (addr/mask/prot/port): (10.1.2.0/255.255.255.0/0/0)
    	      remote ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
    	      current_peer: 172.16.1.1

    	 	      #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
    	      #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
    	      #pkts compressed: 0, #pkts decompressed: 0
    	      #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
    	      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
    	      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
    	      #TFC rcvd: 0, #TFC sent: 0
    	      #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
    	      #send errors: 0, #recv errors: 0

    	 	      local crypto endpt.: 172.16.2.1/0, remote crypto endpt.: 172.16.1.1/0
    	      path mtu 1500, ipsec overhead 74(44), media mtu 1500
    	      PMTU time remaining (sec): 0, DF policy: copy-df
    	      ICMP error validation: disabled, TFC packets: disabled
    	      current outbound spi: 30D071C0
    	      current inbound spi : 38DA6E51

    	 	    inbound esp sas:
    	      spi: 0x38DA6E51 (953839185)
    	         transform: esp-aes-256 esp-sha-hmac no compression
    	         in use settings ={L2L, Tunnel, IKEv1, }
    	         slot: 0, conn_id: 28672, crypto-map: outside_dyn_map
    	         sa timing: remaining key lifetime (kB/sec): (3914999/28588)
    	         IV size: 16 bytes
    	         replay detection support: Y
    	         Anti replay bitmap:
    	          0x00000000 0x0000001F
    	    outbound esp sas:
    	      spi: 0x30D071C0 (818966976)
    	         transform: esp-aes-256 esp-sha-hmac no compression
    	         in use settings ={L2L, Tunnel, IKEv1, }
    	         slot: 0, conn_id: 28672, crypto-map: outside_dyn_map
    	         sa timing: remaining key lifetime (kB/sec): (3914999/28588)
    	         IV size: 16 bytes
    	         replay detection support: Y
    	         Anti replay bitmap:
    	          0x00000000 0x00000001

    ASA remoto

    Remote-ASA#show crypto isakmp sa

    	 	IKEv1 SAs:

    	 	   Active SA: 1
    	    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    	Total IKE SA: 1

    	 	1   IKE Peer: 172.16.2.1
    	    Type    : L2L             Role    : initiator
    	    Rekey   : no              State   : MM_ACTIVE

    	 	Remote-ASA#show crypto ipsec sa
    	interface: outside
    	    Crypto map tag: outside_map, seq num: 1, local addr: 172.16.1.1

    	 	      access-list outside_cryptomap extended permit ip 10.1.1.0 
                 255.255.255.0 10.1.2.0 255.255.255.0
    	      local ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
    	      remote ident (addr/mask/prot/port): (10.1.2.0/255.255.255.0/0/0)
    	      current_peer: 172.16.2.1

    	 	      #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
    	      #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
    	      #pkts compressed: 0, #pkts decompressed: 0
    	      #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
    	      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
    	      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
    	      #TFC rcvd: 0, #TFC sent: 0
    	      #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
    	      #send errors: 0, #recv errors: 0

    	 	      local crypto endpt.: 172.16.1.1/0, remote crypto endpt.: 172.16.2.1/0
    	      path mtu 1500, ipsec overhead 74(44), media mtu 1500
    	      PMTU time remaining (sec): 0, DF policy: copy-df
    	      ICMP error validation: disabled, TFC packets: disabled
    	      current outbound spi: 38DA6E51
    	      current inbound spi : 30D071C0

    	 	    inbound esp sas:
    	      spi: 0x30D071C0 (818966976)
    	         transform: esp-aes-256 esp-sha-hmac no compression
    	         in use settings ={L2L, Tunnel, IKEv1, }
    	         slot: 0, conn_id: 8192, crypto-map: outside_map
    	         sa timing: remaining key lifetime (kB/sec): (4373999/28676)
    	         IV size: 16 bytes
    	         replay detection support: Y
    	         Anti replay bitmap:
    	          0x00000000 0x0000001F
    	    outbound esp sas:
    	      spi: 0x38DA6E51 (953839185)
    	         transform: esp-aes-256 esp-sha-hmac no compression
    	         in use settings ={L2L, Tunnel, IKEv1, }
    	         slot: 0, conn_id: 8192, crypto-map: outside_map
    	         sa timing: remaining key lifetime (kB/sec): (4373999/28676)
    	         IV size: 16 bytes
    	         replay detection support: Y
    	         Anti replay bitmap:
    	          0x00000000 0x00000001

    Troubleshooting

    Esta seção disponibiliza informações para a solução de problemas de configuração.

    A Output Interpreter Tool suporta determinadosshow comandos. Use a Output Interpreter Tool para exibir uma análise da saída doshow comando.

    note-icon

    Observação: somente usuários registrados da Cisco podem acessar ferramentas e informações internas da Cisco.

    note-icon

    Nota:Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

    Use estes comandos da forma mostrada:

    clear crypto ikev1 sa <peer IP address> 
    Clears the Phase 1 SA for a specific peer.

    Cuidado: o comandoclear crypto isakmp saé intrusivo, pois limpa todos os túneis VPN ativos.

    No PIX/ASA Software Release 8.0(3) e Mais Recente, uma SA IKE individual pode ser apagada usando o comando clear crypto isakmp sa<peer ip address>. Em versões de software anteriores à 8.0(3), use o comando vpn-sessiondb logoff tunnel-group <tunnel-group-name> para limpar SAs IKE e IPsec para um único túnel.

    Remote-ASA#vpn-sessiondb logoff tunnel-group 172.16.2.1
    Do you want to logoff the VPN session(s)? [confirm]
    INFO: Number of sessions from TunnelGroup "172.16.2.1" logged off : 1
    clear crypto ipsec sa peer <peer IP address>
    !!! Clears the required Phase 2 SA for specific peer.
    
debug crypto condition peer < Peer address>
    !!! Set IPsec/ISAKMP debug filters.
    debug crypto isakmp sa <debug level> 
    !!! Provides debug details of ISAKMP SA negotiation.
    debug crypto ipsec sa <debug level>
    !!! Provides debug details of IPsec SA negotiations

    undebug all
    !!! To stop the debugs

    Depurações usadas:

    debug cry condition peer <remote peer public IP>
    debug cry ikev1 127
    debug cry ipsec 127

    Remote-ASA (Iniciador)

    Insira este comando packet-tracer para iniciar o túnel:

    Remote-ASA#packet-tracer input inside icmp 10.1.1.10 8 0 10.1.2.10 detailed 
    IPSEC(crypto_map_check)-3: Checking crypto map outside_map 1: matched.
    Jan 19 22:00:06 [IKEv1 DEBUG]Pitcher: received a key acquire message, spi 0x0
    IPSEC(crypto_map_check)-3: Looking for crypto map matching 5-tuple: 
    Prot=1, saddr=10.1.1.10, sport=0, daddr=10.1.2.10, dport=0
    IPSEC(crypto_map_check)-3: Checking crypto map outside_map 1: matched.
    Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE Initiator: New Phase 1, Intf 
    inside, IKE Peer 172.16.2.1 local Proxy Address 10.1.1.0, remote Proxy Address 
    10.1.2.0, Crypto map (outside_map)
    :
    .
    Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE SENDING Message (msgid=0) 
    with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) + 
    VENDOR (13) + NONE (0) total length : 172
    Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE RECEIVED Message (msgid=0) 
    with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + NONE (0) 
    total length : 132
    :
    .
    Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE SENDING Message (msgid=0) 
    with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + 
    VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 304
    Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE RECEIVED Message (msgid=0) 
    with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + 
    VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 304
    :
    .
    Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, Connection landed on tunnel_group 172.16.2.1
    <skipped>...
    Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE SENDING Message (msgid=0) with 
    payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) + VENDOR (13) + 
    NONE (0) total length : 96
    Jan 19 22:00:06 [IKEv1]Group = 172.16.2.1, IP = 172.16.2.1, 
    Automatic NAT Detection Status: Remote end is NOT behind a NAT device 
    This end is NOT behind a NAT device
    Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE RECEIVED Message 
    (msgid=0) with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) 
    + VENDOR (13) + NONE (0) total length : 96
    Jan 19 22:00:06 [IKEv1 DEBUG]Group = 172.16.2.1, IP = 172.16.2.1, processing ID payload
    Jan 19 22:00:06 [IKEv1 DECODE]Group = 172.16.2.1, IP = 172.16.2.1, 
    ID_IPV4_ADDR ID received 172.16.2.1
    :
    .
    Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, Connection landed on tunnel_group 172.16.2.1
    Jan 19 22:00:06 [IKEv1 DEBUG]Group = 172.16.2.1, IP = 172.16.2.1, 
    Oakley begin quick mode
    Jan 19 22:00:06 [IKEv1]Group = 172.16.2.1, IP = 172.16.2.1, PHASE 1 COMPLETED


    Jan 19 22:00:06 [IKEv1 DECODE]Group = 172.16.2.1, IP = 172.16.2.1, IKE Initiator 
    starting QM    : msg id = c45c7b30
    :
    .
    Jan 19 22:00:06 [IKEv1 DEBUG]Group = 172.16.2.1, IP = 172.16.2.1, Transmitting Proxy Id:
     Local subnet: 10.1.1.0 mask 255.255.255.0 Protocol 0 Port 0
     Remote subnet: 10.1.2.0 Mask 255.255.255.0 Protocol 0 Port 0
    :
    .
    Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE SENDING Message 
    (msgid=c45c7b30) with payloads : HDR + HASH (8) + SA (1) + NONCE 
    (10) + ID (5) + ID (5) + NOTIFY (11) + NONE (0) total length : 200
    Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE RECEIVED Message 
    (msgid=c45c7b30) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + 
    ID (5) + ID (5) + NONE (0) total length : 172
    :
    .
    Jan 19 22:00:06 [IKEv1 DEBUG]Group = 172.16.2.1, IP = 172.16.2.1, processing ID payload
    Jan 19 22:00:06 [IKEv1 DECODE]Group = 172.16.2.1, IP = 172.16.2.1, 
    ID_IPV4_ADDR_SUBNET ID received--10.1.1.0--255.255.255.0
    Jan 19 22:00:06 [IKEv1 DEBUG]Group = 172.16.2.1, IP = 172.16.2.1, processing ID payload
    Jan 19 22:00:06 [IKEv1 DECODE]Group = 172.16.2.1, IP = 172.16.2.1, 
    ID_IPV4_ADDR_SUBNET ID received--10.1.2.0--255.255.255.0
    :
    .
    Jan 19 22:00:06 [IKEv1]Group = 172.16.2.1, IP = 172.16.2.1, 
    Security negotiation complete for LAN-to-LAN Group (172.16.2.1) 
    Initiator, Inbound SPI = 0x30d071c0, Outbound SPI = 0x38da6e51
    :
    .
    Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE SENDING Message 
    (msgid=c45c7b30) with payloads : HDR + HASH (8) + NONE (0) total length : 76
    :
    .
    Jan 19 22:00:06 [IKEv1]Group = 172.16.2.1, IP = 172.16.2.1, 
    PHASE 2 COMPLETED     (msgid=c45c7b30)

    Central-ASA (Respondente)

    Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE RECEIVED Message (msgid=0) 
    with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) + 
    VENDOR (13) + NONE (0) total length : 172
    :
    .	
    Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE SENDING Message (msgid=0) 
    with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + NONE (0) total length 
    : 
    132	
    Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE RECEIVED Message (msgid=0) 
    with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) 
    + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 304
    :
    .	
    Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, Connection landed on tunnel_group 
    DefaultL2LGroup    	
    Jan 20 12:42:35 [IKEv1 DEBUG]Group = DefaultL2LGroup, IP = 172.16.1.1, 
    Generating keys for Responder...	
    Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE SENDING Message (msgid=0) 
    with payloads : HDR + KE (4) + NONCE (10) + 
    VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + 
    NONE (0) total length : 304	
    Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE RECEIVED Message (msgid=0) 
    with payloads : HDR + ID (5) + HASH (8) 
    + IOS KEEPALIVE (128) + VENDOR (13) + NONE (0) total length : 96	
    Jan 20 12:42:35 [IKEv1 DECODE]Group = DefaultL2LGroup, IP = 172.16.1.1, 
    ID_IPV4_ADDR ID received	172.16.1.1
    :
    .	
    Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE SENDING Message (msgid=0) 
    with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) + 
    VENDOR (13) + NONE (0) total length : 96	
    Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, IP = 172.16.1.1, PHASE 1 COMPLETED	
    :
    .	
    Jan 20 12:42:35 [IKEv1 DECODE]IP = 172.16.1.1, IKE Responder starting QM: 
    msg id = c45c7b30	
    Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE 
    RECEIVED Message (msgid=c45c7b30) with payloads : HDR + HASH (8) + SA (1) + 
    NONCE (10) + ID (5) + ID (5) + NOTIFY (11) + NONE (0) total length : 200
    :
    .
    Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, IP = 172.16.1.1, Received remote 
    IP Proxy Subnet data in ID Payload: Address 10.1.1.0, Mask 255.255.255.0, 
    Protocol 0, Port 0    	:
    .	
    Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, 
    IP = 172.16.1.1, Received local 
    IP Proxy Subnet data in ID Payload:   Address 10.1.2.0, Mask 255.255.255.0, 
    Protocol 0, Port 0    	Jan 20 12:42:35 [IKEv1 DEBUG]Group = DefaultL2LGroup, 
    IP = 172.16.1.1, processing notify payload	
    Jan 20 12:42:35 [IKEv1] Group = DefaultL2LGroup, IP = 172.16.1.1, QM 
    IsRekeyed old sa not found by addr	
    Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, IP = 172.16.1.1, Static Crypto Map 
    check, map outside_dyn_map, seq = 1 is a successful match    	
    Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, IP = 172.16.1.1, IKE 
    Remote Peer configured for crypto map: outside_dyn_map
    :
    .	
    Jan 20 12:42:35 [IKEv1 DEBUG]Group = DefaultL2LGroup, IP = 172.16.1.1, 
    Transmitting Proxy Id:	  Remote subnet: 10.1.1.0  Mask 255.255.255.0 Protocol 0  Port 0	  
    Local subnet:  10.1.2.0  mask 255.255.255.0 Protocol 0  Port 0    	:
    .	
    Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE SENDING Message (msgid=c45c7b30) 
    with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE 
    (0) total length : 172	Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE RECEIVED 
    Message (msgid=c45c7b30) with payloads : HDR + HASH (8) + NONE (0) total length : 52:
    .	
    Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, IP = 172.16.1.1, Security 
    negotiation complete for LAN-to-LAN Group (DefaultL2LGroup)  Responder, 
    Inbound SPI = 0x38da6e51, Outbound SPI = 0x30d071c0    	:
    .	
    Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, IP = 172.16.1.1, 
    PHASE 2 COMPLETED (msgid=c45c7b30)	
    Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, IP = 172.16.1.1, Adding static 
    route for L2L peer coming in on a dynamic map. address: 10.1.1.0, mask: 255.255.255.0

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    22-Jun-2015
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Engenheiros do TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos