Configurando um túnel IPSec entre um Cisco VPN 3000 Concentrator e um Checkpoint NG Firewall

Introdução

Este documento demonstra como configurar um túnel IPSec com chaves pré-compartilhadas para se comunicar entre duas redes privadas. Neste exemplo, as redes de comunicação são a rede privada 192.168.10.x dentro do Cisco VPN 3000 Concentrator e a rede privada 10.32.x.x dentro do firewall Checkpoint Next Generation (NG).

Pré-requisitos

Requisitos

• O tráfego de dentro do VPN Concentrator e de dentro do Checkpoint NG para a Internet — representado aqui pelas redes 172.18.124.x — deve fluir antes do início desta configuração.

• Os usuários devem estar familiarizados com a negociação de IPSec. Esse processo pode ser dividido em cinco etapas, incluindo duas fases de Internet Key Exchange (IKE).

  1. Um túnel de IPSec é iniciado por um tráfego interessante. O tráfego é considerado interessante quando ele é transmitido entre os peers IPSec.

  2. Na Fase 1 IKE, os correspondentes IPSec negociam a política de Associação de segurança (SA) IKE estabelecida. Depois que os correspondentes são autenticados, um túnel seguro é criado com o Internet Security Association and Key Management Protocol (ISAKMP).

  3. Na Fase 2 do IKE, os peers IPSec usam o túnel autenticado e seguro para negociar transformações IPSec SA. A negociação da política compartilhada determina como o túnel de IPSec é estabelecido.

  4. O túnel IPSec é criado e os dados são transferidos entre os correspondentes IPSec com base nos parâmetros IPSec configurados nos conjuntos de transformação IPSec.

  5. O túnel de IPSec finaliza quando os IPSec SAs são excluídos ou quando sua vida útil expira.

Componentes Utilizados

Essa configuração foi desenvolvida e testada com estas versões de software e hardware:

• VPN 3000 Series Concentrator 3.5.2

• Checkpoint NG Firewall

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

Observação: o esquema de endereçamento IP usado nesta configuração não é legalmente roteável na Internet. São endereços RFC 1918, que foram usados em um ambiente de laboratório.

Configurações

Configurar o VPN 3000 Concentrator

Conclua estes passos para configurar o VPN 3000 Concentrator:

1. Vá para Configuration > System > Tunneling Protocols > IPSec LAN-to-LAN para configurar a sessão LAN-to-LAN. Defina as opções de autenticação e algoritmos IKE, chave pré-compartilhada, endereço IP do peer e parâmetros de rede local e remota. Clique em Apply.

   Nessa configuração, a autenticação foi definida como ESP-MD5-HMAC e a criptografia foi definida como 3DES.

   

2. Vá para Configuration > System > Tunneling Protocols > IPSec > IKE Proposals e defina os parâmetros necessários.

   Selecione a proposta IKE-3DES-MD5 e verifique os parâmetros selecionados para a proposta. Clique em Apply para configurar a sessão LAN a LAN.

   Estes são os parâmetros para esta configuração:

   

3. Vá para Configuration > Policy Management > Traffic Management > Security Associations, selecione o SA IPSec criado para a sessão e verifique os parâmetros do SA IPSec escolhidos para a sessão LAN a LAN.

   Nessa configuração, o nome da sessão LAN a LAN era "Checkpoint", de modo que o SA do IPSec foi criado automaticamente como "L2L: Checkpoint".

   

   Estes são os parâmetros para este SA:

   

Configurar o ponto de verificação NG

Os objetos e as regras de rede são definidos no Checkpoint NG para compor a política que pertence à configuração da VPN a ser configurada. Essa política é então instalada com o Editor de política de Checkpoint NG para concluir o lado NG do Checkpoint da configuração.

1. Crie os dois objetos de rede para as redes Checkpoint NG e VPN Concentrator que criptografarão o tráfego interessante.

   para criar objetos, selecione Manage > Network Objects e, em seguida, selecione New > Network. Digite as informações de rede apropriadas e clique em OK.

   Estes exemplos mostram a configuração de objetos de rede chamados CP_inside (a rede interna do Checkpoint NG) e CONC_INSIDE (a rede interna do VPN Concentrator).

   

   

2. Vá para Manage > Network Objects e selecione New > Workstation para criar objetos de estação de trabalho para os dispositivos VPN, Checkpoint NG e VPN Concentrator.

   Observação: você pode usar o objeto da estação de trabalho Checkpoint NG criado durante a configuração inicial do Checkpoint NG. Selecione as opções para definir a estação de trabalho como Gateway and Interoperable VPN Device e clique em OK.

   Estes exemplos mostram a configuração de objetos chamados ciscocp (Checkpoint NG) e CISCO_CONC (VPN 3000 Concentrator):

   

   

3. Vá para Manage > Network Objects > Edit para abrir a janela Workstation Properties da estação de trabalho Checkpoint NG (ciscocp neste exemplo). Selecione Topology nas opções no lado esquerdo da janela e selecione a rede a ser criptografada. Clique em Edit para definir as propriedades da interface.

   Neste exemplo, CP_inside é a rede interna do Checkpoint NG.

   

4. Na janela Propriedades da interface, selecione a opção para designar a estação de trabalho como interna e, em seguida, especifique o endereço IP apropriado. Click OK.

   As seleções de topologia mostradas designam a estação de trabalho como interna e especificam endereços IP atrás da interface CP_inside:

   

5. Na janela Workstation Properties, selecione a interface externa no Checkpoint NG que leva à Internet e clique em Edit para definir as propriedades da interface. Selecione a opção para designar a topologia como externa e clique em OK.

   

6. Na janela Workstation Properties no Checkpoint NG, selecione VPN nas opções no lado esquerdo da janela e, em seguida, selecione os parâmetros IKE para os algoritmos de criptografia e autenticação. Clique em Edit para configurar as propriedades de IKE.

   

7. Defina as propriedades de IKE para corresponder às propriedades no VPN Concentrator.

   Neste exemplo, selecione a opção de criptografia para 3DES e a opção de hash para MD5.

   

8. Selecione a opção de autenticação para Pre-Shared Secrets e, em seguida, clique em Edit Secrets para definir a chave pré-compartilhada para ser compatível com a chave pré-compartilhada no VPN Concentrator. Clique em Edit para inserir sua chave como mostrado e clique em Set, OK.

   

9. Na janela de propriedades de IKE, clique em Avançado... e altere estas configurações:

   • Desmarque a opção Support aggressive mode.

   • Selecione a opção Support key exchange for subnets.

   Quando terminar, clique em OK, OK.

   

10. Vá para Manage > Network Objects > Edit para abrir a janela Workstation Properties do VPN Concentrator. Selecione Topology nas opções no lado esquerdo da janela para definir manualmente o domínio VPN.

    Neste exemplo, CONC_INSIDE (a rede interna do VPN Concentrator) é definida como o domínio VPN.

    

11. Selecione VPN nas opções no lado esquerdo da janela e, em seguida, selecione IKE como o esquema de criptografia. Clique em Edit para configurar as propriedades de IKE.

    

12. Defina as propriedades de IKE para refletir a configuração atual no VPN Concentrator.

    Neste exemplo, defina a opção de criptografia para 3DES e a opção de hash para MD5.

    

13. Selecione a opção de autenticação para Segredos pré-compartilhados e clique em Editar segredos para definir a chave pré-compartilhada. Clique em Edit para inserir sua chave como mostrado e clique em Set, OK.

    

14. Na janela de propriedades de IKE, clique em Avançado... e altere estas configurações:

    • Selecione o grupo Diffie-Hellman apropriado para as propriedades de IKE.

    • Desmarque a opção Support aggressive mode.

    • Selecione a opção Support key exchange for subnets.

    Quando terminar, clique em OK, OK.

    

15. Selecione Rules > Add Rules > Top para configurar as regras de criptografia para a política. Na janela Policy Editor, insira uma regra com origem como CP_inside (rede interna do Checkpoint NG) e destino como CONC_INSIDE (rede interna do VPN Concentrator). Defina valores para Service = Any , Action = Encrypt e Track = Log. Quando tiver adicionado a seção Criptografar Ação da regra, clique com o botão direito do mouse em Ação e selecione Editar Propriedades.

    

16. Selecione IKE e clique em Editar.

    

17. Na janela IKE Properties, altere as propriedades para que correspondam à transformação do VPN Concentrator.

    • Defina a opção Transform (Transformar) como Encryption + Data Integrity (ESP).

    • Defina o algoritmo de criptografia como 3DES.

    • Defina Data Integrity como MD5.

    • Defina o gateway par permitido para corresponder ao VPN Concentrator (CISCO_CONC).

    Quando terminar, clique em OK.

    

18. Depois que o Checkpoint NG estiver configurado, salve a política e selecione Policy > Install para habilitá-la.

    

    A janela de instalação exibe as notas de progresso à medida que a política é compilada.

    

    Quando a janela de instalação indicar que a instalação da política está concluída, clique em Fechar para concluir o procedimento.

    

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

Verificar a comunicação de rede

Para testar a comunicação entre as duas redes privadas, você pode iniciar um ping de uma das redes privadas para a outra rede privada. Nessa configuração, um ping foi enviado do lado do ponto de verificação NG (10.32.50.51) para a rede do VPN Concentrator (192.168.10.2).

Exibir o status do túnel no ponto de controle NG

Para visualizar o status do túnel, vá para o Policy Editor e selecione Window > System Status.

Visualizar o status do túnel no VPN Concentrator

Para verificar o status do túnel no VPN Concentrator, vá para Administration > Administer Sessions.

Em LAN-to-LAN Sessions, selecione o nome da conexão para o Checkpoint para exibir detalhes sobre as SAs criadas e o número de pacotes transmitidos/recebidos.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Observação: o tráfego não deve ser PATed pelo túnel IPSec usando o endereço IP público do VPN Concentrator (interface externa). Caso contrário, o túnel falhará. Portanto, o endereço IP usado para PATing deve ser um endereço diferente do endereço configurado na interface externa.

Resumo da rede

Quando várias redes internas adjacentes são configuradas no domínio de criptografia no ponto de verificação, o dispositivo pode resumir automaticamente as redes com relação ao tráfego interessante. Se o VPN Concentrator não estiver configurado para corresponder, o túnel provavelmente falhará. Por exemplo, se as redes internas de 10.0.0.0 /24 e 10.0.1.0 /24 forem configuradas para serem incluídas no túnel, essas redes poderão ser resumidas para 10.0.0.0 /23.

Depurações para ponto de controle NG

Para exibir os logs, selecione Window > Log Viewer.

Debugs para concentrador de VPN

Para habilitar depurações no VPN Concentrator, vá para Configuration > System > Events > Classes. Ative AUTH, AUTHDBG, IKE, IKEDBG, IPSEC e IPSECDBG para que a gravidade registre como 1 - 13. Para exibir depurações, selecione Monitoring > Filterable Event Log.

1 09/11/2002 20:36:03.610 SEV=8 IKEDBG/0 RPT=506 172.18.124.157 
RECEIVED Message (msgid=0) with payloads : 
HDR + SA (1) + VENDOR (13) + NONE (0) ... total length : 128

3 09/11/2002 20:36:03.610 SEV=9 IKEDBG/0 RPT=507 172.18.124.157 
processing SA payload

4 09/11/2002 20:36:03.610 SEV=8 IKEDBG/0 RPT=508 
Proposal # 1, Transform # 1, Type ISAKMP, Id IKE
Parsing received transform:
Phase 1 failure against global IKE proposal # 1:
Mismatched attr types for class Auth Method:
Rcv'd: Preshared Key
Cfg'd: XAUTH with Preshared Key (Initiator authenticated)

10 09/11/2002 20:36:03.610 SEV=8 IKEDBG/0 RPT=509 
Phase 1 failure against global IKE proposal # 2:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 2
Cfg'd: Oakley Group 1

13 09/11/2002 20:36:03.610 SEV=7 IKEDBG/0 RPT=510 172.18.124.157 
Oakley proposal is acceptable

14 09/11/2002 20:36:03.610 SEV=9 IKEDBG/47 RPT=9 172.18.124.157 
processing VID payload

15 09/11/2002 20:36:03.610 SEV=9 IKEDBG/0 RPT=511 172.18.124.157 
processing IKE SA

16 09/11/2002 20:36:03.610 SEV=8 IKEDBG/0 RPT=512 
Proposal # 1, Transform # 1, Type ISAKMP, Id IKE
Parsing received transform:
Phase 1 failure against global IKE proposal # 1:
Mismatched attr types for class Auth Method:
Rcv'd: Preshared Key
Cfg'd: XAUTH with Preshared Key (Initiator authenticated)

22 09/11/2002 20:36:03.610 SEV=8 IKEDBG/0 RPT=513 
Phase 1 failure against global IKE proposal # 2:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 2
Cfg'd: Oakley Group 1

25 09/11/2002 20:36:03.610 SEV=7 IKEDBG/28 RPT=9 172.18.124.157 
IKE SA Proposal # 1, Transform # 1 acceptable
Matches global IKE entry # 3 

26 09/11/2002 20:36:03.610 SEV=9 IKEDBG/0 RPT=514 172.18.124.157 
constructing ISA_SA for isakmp

27 09/11/2002 20:36:03.610 SEV=8 IKEDBG/0 RPT=515 172.18.124.157 
SENDING Message (msgid=0) with payloads : 
HDR + SA (1) + NONE (0) ... total length : 84

29 09/11/2002 20:36:03.630 SEV=8 IKEDBG/0 RPT=516 172.18.124.157 
RECEIVED Message (msgid=0) with payloads : 
HDR + KE (4) + NONCE (10) + NONE (0) ... total length : 184

31 09/11/2002 20:36:03.630 SEV=8 IKEDBG/0 RPT=517 172.18.124.157 
RECEIVED Message (msgid=0) with payloads : 
HDR + KE (4) + NONCE (10) + NONE (0) ... total length : 184

33 09/11/2002 20:36:03.630 SEV=9 IKEDBG/0 RPT=518 172.18.124.157 
processing ke payload

34 09/11/2002 20:36:03.630 SEV=9 IKEDBG/0 RPT=519 172.18.124.157 
processing ISA_KE

35 09/11/2002 20:36:03.630 SEV=9 IKEDBG/1 RPT=91 172.18.124.157 
processing nonce payload

36 09/11/2002 20:36:03.660 SEV=9 IKEDBG/0 RPT=520 172.18.124.157 
constructing ke payload

37 09/11/2002 20:36:03.660 SEV=9 IKEDBG/1 RPT=92 172.18.124.157 
constructing nonce payload

38 09/11/2002 20:36:03.660 SEV=9 IKEDBG/46 RPT=37 172.18.124.157 
constructing Cisco Unity VID payload

39 09/11/2002 20:36:03.660 SEV=9 IKEDBG/46 RPT=38 172.18.124.157 
constructing xauth V6 VID payload

40 09/11/2002 20:36:03.660 SEV=9 IKEDBG/48 RPT=19 172.18.124.157 
Send IOS VID

41 09/11/2002 20:36:03.660 SEV=9 IKEDBG/38 RPT=10 172.18.124.157 
Constructing VPN 3000 spoofing IOS Vendor ID payload (version: 1.0.0, 
capabilities: 20000001)

43 09/11/2002 20:36:03.660 SEV=9 IKEDBG/46 RPT=39 172.18.124.157 
constructing VID payload

44 09/11/2002 20:36:03.660 SEV=9 IKEDBG/48 RPT=20 172.18.124.157 
Send Altiga GW VID

45 09/11/2002 20:36:03.660 SEV=9 IKEDBG/0 RPT=521 172.18.124.157 
Generating keys for Responder...

46 09/11/2002 20:36:03.670 SEV=8 IKEDBG/0 RPT=522 172.18.124.157 
SENDING Message (msgid=0) with payloads : 
HDR + KE (4) + NONCE (10) ... total length : 256

48 09/11/2002 20:36:03.690 SEV=8 IKEDBG/0 RPT=523 172.18.124.157 
RECEIVED Message (msgid=0) with payloads : 
HDR + ID (5) + HASH (8) + NONE (0) ... total length : 60

50 09/11/2002 20:36:03.690 SEV=9 IKEDBG/1 RPT=93 172.18.124.157 
Group [172.18.124.157]
Processing ID

51 09/11/2002 20:36:03.690 SEV=9 IKEDBG/0 RPT=524 172.18.124.157 
Group [172.18.124.157]
processing hash

52 09/11/2002 20:36:03.690 SEV=9 IKEDBG/0 RPT=525 172.18.124.157 
Group [172.18.124.157]
computing hash

53 09/11/2002 20:36:03.690 SEV=9 IKEDBG/23 RPT=10 172.18.124.157 
Group [172.18.124.157]
Starting group lookup for peer 172.18.124.157

54 09/11/2002 20:36:03.690 SEV=8 AUTHDBG/1 RPT=10 
AUTH_Open() returns 9

55 09/11/2002 20:36:03.690 SEV=7 AUTH/12 RPT=10 
Authentication session opened: handle = 9

56 09/11/2002 20:36:03.690 SEV=8 AUTHDBG/3 RPT=10 
AUTH_PutAttrTable(9, 748174)

57 09/11/2002 20:36:03.690 SEV=8 AUTHDBG/6 RPT=10 
AUTH_GroupAuthenticate(9, 2f1b19c, 49c648)

58 09/11/2002 20:36:03.690 SEV=8 AUTHDBG/59 RPT=10 
AUTH_BindServer(51a6b48, 0, 0)

59 09/11/2002 20:36:03.690 SEV=9 AUTHDBG/69 RPT=10 
Auth Server e054d4 has been bound to ACB 51a6b48, sessions = 1

60 09/11/2002 20:36:03.690 SEV=8 AUTHDBG/65 RPT=10 
AUTH_CreateTimer(51a6b48, 0, 0)

61 09/11/2002 20:36:03.690 SEV=9 AUTHDBG/72 RPT=10 
Reply timer created: handle = 4B0018

62 09/11/2002 20:36:03.690 SEV=8 AUTHDBG/61 RPT=10 
AUTH_BuildMsg(51a6b48, 0, 0)

63 09/11/2002 20:36:03.690 SEV=8 AUTHDBG/64 RPT=10 
AUTH_StartTimer(51a6b48, 0, 0)

64 09/11/2002 20:36:03.690 SEV=9 AUTHDBG/73 RPT=10 
Reply timer started: handle = 4B0018, timestamp = 1163319, 
timeout = 30000

65 09/11/2002 20:36:03.690 SEV=8 AUTHDBG/62 RPT=10 
AUTH_SndRequest(51a6b48, 0, 0)

66 09/11/2002 20:36:03.690 SEV=8 AUTHDBG/50 RPT=19 
IntDB_Decode(3825300, 156)

67 09/11/2002 20:36:03.690 SEV=8 AUTHDBG/47 RPT=19 
IntDB_Xmt(51a6b48)

68 09/11/2002 20:36:03.690 SEV=9 AUTHDBG/71 RPT=10 
xmit_cnt = 1

69 09/11/2002 20:36:03.690 SEV=8 AUTHDBG/47 RPT=20 
IntDB_Xmt(51a6b48)

70 09/11/2002 20:36:03.790 SEV=8 AUTHDBG/49 RPT=10 
IntDB_Match(51a6b48, 3eb7ab0)

71 09/11/2002 20:36:03.790 SEV=8 AUTHDBG/63 RPT=10 
AUTH_RcvReply(51a6b48, 0, 0)

72 09/11/2002 20:36:03.790 SEV=8 AUTHDBG/50 RPT=20 
IntDB_Decode(3eb7ab0, 298)

73 09/11/2002 20:36:03.790 SEV=8 AUTHDBG/48 RPT=10 
IntDB_Rcv(51a6b48)

74 09/11/2002 20:36:03.790 SEV=8 AUTHDBG/66 RPT=10 
AUTH_DeleteTimer(51a6b48, 0, 0)

75 09/11/2002 20:36:03.790 SEV=9 AUTHDBG/74 RPT=10 
Reply timer stopped: handle = 4B0018, timestamp = 1163329

76 09/11/2002 20:36:03.790 SEV=8 AUTHDBG/58 RPT=10 
AUTH_Callback(51a6b48, 0, 0)

77 09/11/2002 20:36:03.790 SEV=6 AUTH/41 RPT=10 172.18.124.157 
Authentication successful: handle = 9, server = Internal, 
group = 172.18.124.157

78 09/11/2002 20:36:03.790 SEV=7 IKEDBG/0 RPT=526 172.18.124.157 
Group [172.18.124.157]
Found Phase 1 Group (172.18.124.157)

79 09/11/2002 20:36:03.790 SEV=8 AUTHDBG/4 RPT=10 
AUTH_GetAttrTable(9, 748420)

80 09/11/2002 20:36:03.790 SEV=7 IKEDBG/14 RPT=10 172.18.124.157 
Group [172.18.124.157]
Authentication configured for Internal

81 09/11/2002 20:36:03.790 SEV=9 IKEDBG/19 RPT=19 172.18.124.157 
Group [172.18.124.157]
IKEGetUserAttributes: IP Compression = disabled

82 09/11/2002 20:36:03.790 SEV=9 IKEDBG/19 RPT=20 172.18.124.157 
Group [172.18.124.157]
IKEGetUserAttributes: Split Tunneling Policy = Disabled

83 09/11/2002 20:36:03.790 SEV=8 AUTHDBG/2 RPT=10 
AUTH_Close(9)

84 09/11/2002 20:36:03.790 SEV=9 IKEDBG/1 RPT=94 172.18.124.157 
Group [172.18.124.157]
constructing ID

85 09/11/2002 20:36:03.790 SEV=9 IKEDBG/0 RPT=527 
Group [172.18.124.157]
construct hash payload

86 09/11/2002 20:36:03.790 SEV=9 IKEDBG/0 RPT=528 172.18.124.157 
Group [172.18.124.157]
computing hash

87 09/11/2002 20:36:03.790 SEV=9 IKEDBG/46 RPT=40 172.18.124.157 
Group [172.18.124.157]
constructing dpd vid payload

88 09/11/2002 20:36:03.790 SEV=8 IKEDBG/0 RPT=529 172.18.124.157 
SENDING Message (msgid=0) with payloads : 
HDR + ID (5) + HASH (8) ... total length : 80

90 09/11/2002 20:36:03.790 SEV=4 IKE/119 RPT=10 172.18.124.157 
Group [172.18.124.157]
PHASE 1 COMPLETED 

91 09/11/2002 20:36:03.790 SEV=6 IKE/121 RPT=10 172.18.124.157 
Keep-alive type for this connection: None

92 09/11/2002 20:36:03.790 SEV=6 IKE/122 RPT=10 172.18.124.157 
Keep-alives configured on but peer does not 
support keep-alives (type = None)

93 09/11/2002 20:36:03.790 SEV=7 IKEDBG/0 RPT=530 172.18.124.157 
Group [172.18.124.157]
Starting phase 1 rekey timer: 64800000 (ms)

94 09/11/2002 20:36:03.790 SEV=4 AUTH/22 RPT=16 
User 172.18.124.157 connected

95 09/11/2002 20:36:03.790 SEV=8 AUTHDBG/60 RPT=10 
AUTH_UnbindServer(51a6b48, 0, 0)

96 09/11/2002 20:36:03.790 SEV=9 AUTHDBG/70 RPT=10 
Auth Server e054d4 has been unbound from ACB 51a6b48, sessions = 0

97 09/11/2002 20:36:03.790 SEV=8 AUTHDBG/10 RPT=10 
AUTH_Int_FreeAuthCB(51a6b48)

98 09/11/2002 20:36:03.790 SEV=7 AUTH/13 RPT=10 
Authentication session closed: handle = 9

99 09/11/2002 20:36:03.790 SEV=8 IKEDBG/0 RPT=531 172.18.124.157 
RECEIVED Message (msgid=54796f76) with payloads : 
HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0) 
... total length : 156

102 09/11/2002 20:36:03.790 SEV=9 IKEDBG/0 RPT=532 172.18.124.157 
Group [172.18.124.157]
processing hash

103 09/11/2002 20:36:03.790 SEV=9 IKEDBG/0 RPT=533 172.18.124.157 
Group [172.18.124.157]
processing SA payload

104 09/11/2002 20:36:03.790 SEV=9 IKEDBG/1 RPT=95 172.18.124.157 
Group [172.18.124.157]
processing nonce payload

105 09/11/2002 20:36:03.790 SEV=9 IKEDBG/1 RPT=96 172.18.124.157 
Group [172.18.124.157]
Processing ID

106 09/11/2002 20:36:03.790 SEV=5 IKE/35 RPT=6 172.18.124.157 
Group [172.18.124.157]
Received remote IP Proxy Subnet data in ID Payload:
Address 10.32.0.0, Mask 255.255.128.0, Protocol 0, Port 0

109 09/11/2002 20:36:03.790 SEV=9 IKEDBG/1 RPT=97 172.18.124.157 
Group [172.18.124.157]
Processing ID

110 09/11/2002 20:36:03.790 SEV=5 IKE/34 RPT=6 172.18.124.157 
Group [172.18.124.157]
Received local IP Proxy Subnet data in ID Payload:
Address 192.168.10.0, Mask 255.255.255.0, Protocol 0, Port 0

113 09/11/2002 20:36:03.790 SEV=8 IKEDBG/0 RPT=534 
QM IsRekeyed old sa not found by addr

114 09/11/2002 20:36:03.790 SEV=5 IKE/66 RPT=8 172.18.124.157 
Group [172.18.124.157]
IKE Remote Peer configured for SA: L2L: Checkpoint 

115 09/11/2002 20:36:03.790 SEV=9 IKEDBG/0 RPT=535 172.18.124.157 
Group [172.18.124.157]
processing IPSEC SA

116 09/11/2002 20:36:03.790 SEV=7 IKEDBG/27 RPT=8 172.18.124.157 
Group [172.18.124.157]
IPSec SA Proposal # 1, Transform # 1 acceptable 

117 09/11/2002 20:36:03.790 SEV=7 IKEDBG/0 RPT=536 172.18.124.157 
Group [172.18.124.157]
IKE: requesting SPI!

118 09/11/2002 20:36:03.790 SEV=9 IPSECDBG/6 RPT=39 
IPSEC key message parse - msgtype 6, len 200, vers 1, pid 00000000, 
seq 10, err 0, type 2, mode 0, state 32, label 0, pad 0, 
spi 00000000, encrKeyLen 0, hashKeyLen 0, ivlen 0, alg 0, hmacAlg 0, 
lifetype 0, lifetime1 17248580, lifetime2 0, dsId 300

122 09/11/2002 20:36:03.790 SEV=9 IPSECDBG/1 RPT=139 
Processing KEY_GETSPI msg!

123 09/11/2002 20:36:03.790 SEV=7 IPSECDBG/13 RPT=10 
Reserved SPI 305440147

124 09/11/2002 20:36:03.790 SEV=8 IKEDBG/6 RPT=10 
IKE got SPI from key engine: SPI = 0x1234a593

125 09/11/2002 20:36:03.790 SEV=9 IKEDBG/0 RPT=537 172.18.124.157 
Group [172.18.124.157]
oakley constucting quick mode

126 09/11/2002 20:36:03.800 SEV=9 IKEDBG/0 RPT=538 172.18.124.157 
Group [172.18.124.157]
constructing blank hash

127 09/11/2002 20:36:03.800 SEV=9 IKEDBG/0 RPT=539 172.18.124.157 
Group [172.18.124.157]
constructing ISA_SA for ipsec

128 09/11/2002 20:36:03.800 SEV=9 IKEDBG/1 RPT=98 172.18.124.157 
Group [172.18.124.157]
constructing ipsec nonce payload

129 09/11/2002 20:36:03.800 SEV=9 IKEDBG/1 RPT=99 172.18.124.157 
Group [172.18.124.157]
constructing proxy ID

130 09/11/2002 20:36:03.800 SEV=7 IKEDBG/0 RPT=540 172.18.124.157 
Group [172.18.124.157]
Transmitting Proxy Id:
Remote subnet: 10.32.0.0 Mask 255.255.128.0 Protocol 0 Port 0
Local subnet: 192.168.10.0 mask 255.255.255.0 Protocol 0 Port 0 

134 09/11/2002 20:36:03.800 SEV=9 IKEDBG/0 RPT=541 172.18.124.157 
Group [172.18.124.157]
constructing qm hash

135 09/11/2002 20:36:03.800 SEV=8 IKEDBG/0 RPT=542 172.18.124.157 
SENDING Message (msgid=54796f76) with payloads : 
HDR + HASH (8) + SA (1) ... total length : 152

137 09/11/2002 20:36:03.800 SEV=8 IKEDBG/0 RPT=543 172.18.124.157 
RECEIVED Message (msgid=54796f76) with payloads : 
HDR + HASH (8) + NONE (0) ... total length : 48

139 09/11/2002 20:36:03.800 SEV=9 IKEDBG/0 RPT=544 172.18.124.157 
Group [172.18.124.157]
processing hash

140 09/11/2002 20:36:03.800 SEV=9 IKEDBG/0 RPT=545 172.18.124.157 
Group [172.18.124.157]
loading all IPSEC SAs

141 09/11/2002 20:36:03.800 SEV=9 IKEDBG/1 RPT=100 172.18.124.157 
Group [172.18.124.157]
Generating Quick Mode Key!

142 09/11/2002 20:36:03.800 SEV=9 IKEDBG/1 RPT=101 172.18.124.157 
Group [172.18.124.157]
Generating Quick Mode Key!

143 09/11/2002 20:36:03.800 SEV=7 IKEDBG/0 RPT=546 172.18.124.157 
Group [172.18.124.157]
Loading subnet:
Dst: 192.168.10.0 mask: 255.255.255.0
Src: 10.32.0.0 mask: 255.255.128.0 

146 09/11/2002 20:36:03.800 SEV=4 IKE/49 RPT=7 172.18.124.157 
Group [172.18.124.157]
Security negotiation complete for LAN-to-LAN Group (172.18.124.157)
Responder, Inbound SPI = 0x1234a593, Outbound SPI = 0x0df37959 

149 09/11/2002 20:36:03.800 SEV=9 IPSECDBG/6 RPT=40 
IPSEC key message parse - msgtype 1, len 606, vers 1, pid 00000000, 
seq 0, err 0, type 2, mode 1, state 64, label 0, pad 0, 
spi 0df37959, encrKeyLen 24, hashKeyLen 16, ivlen 8, alg 2, hmacAlg 3, 
lifetype 0, lifetime1 17248580, lifetime2 0, dsId 0

153 09/11/2002 20:36:03.800 SEV=9 IPSECDBG/1 RPT=140 
Processing KEY_ADD msg!

154 09/11/2002 20:36:03.800 SEV=9 IPSECDBG/1 RPT=141 
key_msghdr2secassoc(): Enter

155 09/11/2002 20:36:03.800 SEV=7 IPSECDBG/1 RPT=142 
No USER filter configured

156 09/11/2002 20:36:03.800 SEV=9 IPSECDBG/1 RPT=143 
KeyProcessAdd: Enter

157 09/11/2002 20:36:03.800 SEV=8 IPSECDBG/1 RPT=144 
KeyProcessAdd: Adding outbound SA

158 09/11/2002 20:36:03.800 SEV=8 IPSECDBG/1 RPT=145 
KeyProcessAdd: src 192.168.10.0 mask 0.0.0.255, 
dst 10.32.0.0 mask 0.0.127.255

159 09/11/2002 20:36:03.810 SEV=8 IPSECDBG/1 RPT=146 
KeyProcessAdd: FilterIpsecAddIkeSa success

160 09/11/2002 20:36:03.810 SEV=9 IPSECDBG/6 RPT=41 
IPSEC key message parse - msgtype 3, len 327, vers 1, pid 00000000,
seq 0, err 0, type 2, mode 1, state 32, label 0, pad 0,
spi 1234a593, encrKeyLen 24, hashKeyLen 16, ivlen 8, alg 2, hmacAlg 3,
lifetype 0, lifetime1 17248580, lifetime2 0, dsId 0

164 09/11/2002 20:36:03.810 SEV=9 IPSECDBG/1 RPT=147 
Processing KEY_UPDATE msg!

165 09/11/2002 20:36:03.810 SEV=9 IPSECDBG/1 RPT=148 
Update inbound SA addresses

166 09/11/2002 20:36:03.810 SEV=9 IPSECDBG/1 RPT=149 
key_msghdr2secassoc(): Enter

167 09/11/2002 20:36:03.810 SEV=7 IPSECDBG/1 RPT=150 
No USER filter configured

168 09/11/2002 20:36:03.810 SEV=9 IPSECDBG/1 RPT=151 
KeyProcessUpdate: Enter

169 09/11/2002 20:36:03.810 SEV=8 IPSECDBG/1 RPT=152 
KeyProcessUpdate: success

170 09/11/2002 20:36:03.810 SEV=8 IKEDBG/7 RPT=7 
IKE got a KEY_ADD msg for SA: SPI = 0x0df37959

171 09/11/2002 20:36:03.810 SEV=8 IKEDBG/0 RPT=547 
pitcher: rcv KEY_UPDATE, spi 0x1234a593

172 09/11/2002 20:36:03.810 SEV=4 IKE/120 RPT=7 172.18.124.157 
Group [172.18.124.157]
PHASE 2 COMPLETED (msgid=54796f76)

Informações Relacionadas

• Página de suporte do Cisco VPN 3000 Series Concentrator
• Página de suporte ao cliente do Cisco VPN 3000 Series
• Página de suporte do IPSec
• Suporte Técnico - Cisco Systems