远程访问VPN的ASA IKEv2调试故障排除

下载选项

  • PDF     (511.7 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (100.4 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (115.2 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2013 年 10 月 9 日
文档 ID:116158

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍当互联网密钥交换版本2 (IKEv2)与Cisco AnyConnect安全移动客户端一起使用时,如何了解思科自适应安全设备(ASA)上的调试。本文档还提供了有关如何转换ASA配置中的某些调试行的信息。

本文档不介绍建立VPN隧道到ASA后如何传递流量,也不包括IPSec或IKE的基本概念。

先决条件

要求

Cisco建议您了解IKEv2的数据包交换。有关详细信息,请参阅IKEv2数据包交换和协议级别调试

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 互联网密钥交换版本2 (IKEv2)
  • 思科自适应安全设备(ASA) 8.4版或更高版本

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

核心问题

Cisco技术支持中心(TAC)通常使用IKE和IPSec debug命令来了解IPSec VPN隧道建立存在问题的位置,但这些命令可能是加密的。

场景

调试命令

debug crypto ikev2 protocol 127
debug crypto ikev2 platform 127
debug aggregate-auth xml 5

ASA 配置

此ASA配置是严格意义上的基本配置,不使用外部服务器。

interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 10.0.0.1 255.255.255.0

ip local pool webvpn1 10.2.2.1-10.2.2.10

crypto ipsec ikev2 ipsec-proposal 3des
 protocol esp encryption aes-256 aes 3des des
 protocol esp integrity sha-1
crypto dynamic-map dynmap 1000 set ikev2 ipsec-proposal 3des
crypto map crymap 10000 ipsec-isakmp dynamic dynmap
crypto map crymap interface outside

crypto ca trustpoint Anu-ikev2
 enrollment self
 crl configure

crypto ikev2 policy 10
 encryption aes-192
 integrity sha
 group 2
 prf sha
 lifetime seconds 86400

crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint Anu-ikev2
ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1
ssl trust-point Anu-ikev2 outside

webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-3.0.1047-k9.pkg 1
 anyconnect profiles Anyconnect-ikev2 disk0:/anyconnect-ikev2.xml
 anyconnect enable
 tunnel-group-list enable

group-policy ASA-IKEV2 internal
group-policy ASA-IKEV2 attributes
 wins-server none
 dns-server none
 vpn-tunnel-protocol ikev2 
 default-domain none
 webvpn
  anyconnect modules value dart
  anyconnect profiles value Anyconnect-ikev2 type user

username Anu password lAuoFgF7KmB3D0WI encrypted privilege 15

tunnel-group ASA-IKEV2 type remote-access
tunnel-group ASA-IKEV2 general-attributes
 address-pool webvpn1
 default-group-policy ASA-IKEV2
tunnel-group ASA-IKEV2 webvpn-attributes
 group-alias ASA-IKEV2 enable

XML文件

<ServerList>
        <HostEntry>
                <HostName>Anu-IKEV2</HostName>
                <HostAddress>10.0.0.1</HostAddress>
                <UserGroup>ASA-IKEV2</UserGroup>
                <PrimaryProtocol>IPsec</PrimaryProtocol>
        </HostEntry>
</ServerList>

注意:XML客户端配置文件中的UserGroup名称必须与ASA上的隧道组的名称相同。否则,将显示错误消息“Invalid Host Entry”。Please re-enter'(请再次输入)出现在AnyConnect客户端上。

调试日志和说明

注意:诊断和报告工具(DART)中的日志通常非常简洁,因此本示例中由于不重要,已忽略了某些DART日志。

服务器消息说明

调试

客户端消息说明
 

日期:2013年4月23日
播放时长:16:24:55
类型:信息
来源:acvpnui

说明:功能:ClientIfcBase::connect
文件: .\ClientIfcBase.cpp
线路:964
用户已请求与Anu-IKEV2建立VPN连接。

****************************************
日期:2013年4月23日
播放时长:16:24:55
类型:信息
来源:acvpnui

说明:发送给用户的消息类型信息:
正在联系Anu-IKEV2。
****************************************
日期:2013年4月23日
播放时长:16:24:55
类型:信息
来源:acvpnui

说明:函数: ApiCert::getCertList
文件: .\ApiCert.cpp
线路:259
找到的证书数: 0
****************************************
日期:2013年4月23日
播放时长:16:25:00
类型:信息
来源:acvpnui

说明:发起到安全网关的VPN连接https://10.0.0.1/ASA-IKEV2
****************************************
日期:2013年4月23日
播放时长:16:25:00
类型:信息
来源:acvpnagent

说明:由GUI客户端发起的隧道。

****************************************

日期:2013年4月23日
播放时长:16:25:02
类型:信息
来源:acvpnagent

说明:函数:CIPsecProtocol::connectTransport
文件: .\IPsecProtocol.cpp
线路:1629
打开的IKE套接字从192.168.1.1:25170到10.0.0.1:500
****************************************

 客户端发起到ASA的VPN隧道。
  ---------------------------------IKE_SA_INIT Exchange启动------------------------------  

ASA从客户端接收IKE_SA_INIT消息。

IKEv2-PLAT-4:RECV PKT [IKE_SA_INIT] [192.168.1.1]:25170->[10.0.0.1]:500 InitSPI=0x58aff71141ba436b RespSPI=0x0000000000000000 MID=00000000

IKEv2-PROTO-3: Rx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id: 0x0

  

第一对消息是IKE_SA_INIT交换。这些消息协商加密算法、交换随机数,并执行Diffie-Hellman (DH)交换。

从客户端收到的IKE_SA_INIT消息包含以下字段:

  1. ISAKMP报头- SPI/版本/标志。
  2. SAi1 - IKE发起方支持的加密算法。
  3. KEi -发起方的DH公钥值。
  4. N -发起方随机数
 IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r: 0000000000000000]
IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: 0000000000000000
IKEv2-PROTO-4:下一个负载:SA,版本:2.0
IKEv2-PROTO-4:交换类型:IKE_SA_INIT,标志:发起方
IKEv2-PROTO-4:消息ID:0x0,长度:528

 SA下一个负载:KE,保留:0x0,长度:168
IKEv2-PROTO-4:最后一个提议:0x0,保留:0x0,长度:164
  方案:1,协议ID:IKE,SPI大小:0,#trans:18
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:12
    类型:1,保留:0x0,id:AES-CBC
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:12
    类型:1,保留:0x0,id:AES-CBC
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:12
    类型:1,保留:0x0,id:AES-CBC
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:8
    类型:1,保留:0x0,id:3DES
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:8
    类型:1,保留:0x0,id:DES
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:8
    类型:2,保留:0x0,id:SHA512
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:8
    类型:2,保留:0x0,id:SHA384
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:8
    类型:2,保留:0x0,id:SHA256
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:8
    类型:2,保留:0x0,id:SHA1
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:8
    类型:2,保留:0x0,id:MD5
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:8
    类型:3,保留:0x0,id:SHA512
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:8
    类型:3,保留:0x0,id:SHA384
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:8
    类型:3,保留:0x0,id:SHA256
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:8
    类型:3,保留:0x0,id:SHA96
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:8
    类型:3,保留:0x0,id:MD596
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:8
    类型:4,保留:0x0,id:DH_GROUP_1536_MODP/Group 5
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:8
    类型:4,保留:0x0,id:DH_GROUP_1024_MODP/Group 2
IKEv2-PROTO-4:上次转换:0x0,保留:0x0:长度:8
    类型:4,保留:0x0,id:DH_GROUP_768_MODP/Group 1

 KE下一个负载:N,保留:0x0,长度:104
    DH组:1,保留:0x0

     eb 5e 29 fe cb 2e d1 28 ed 4a 54 b1 13 7c b8 89
     f7 62 13 6b df 95 88 28 b5 97 ba 52 ef e4 1d 28
     ca 06 d1 36 b6 67 32 9a c2 dd 4e d8 c7 80 de 20
     36 34 c5 b3 3e 1d 83 1a c7 fb 9d b8 c5 f5ed 5f
     ba ba 4f b6 b2 e2 2d 43 4f a0 b6 90 9a 11 3f 7d
     0a 21 c3 4d3 0a d2 1e 33 43 d3 5e cc 4b 38 e0
 N下一个负载:VID,保留:0x0,长度:24

     20 12 8f 22 7b 16 23 52 e4 29 4d 98 c7 fd a8 77
     ce 7c 0b4
IKEv2-PROTO-5:解析供应商特定负载:CISCO-DELETE-REASON VID下一负载:VID,保留:0x0,长度:23		  

ASA会验证并处理
IKE_INIT消息。ASA:

  1. 从以下位置选择加密套件
    发起方提供的服务。
  2. 计算自己的DH密钥。
  3. 计算SKEY ID值
    可以派生出哪些所有密钥
    此IKE_SA。所有邮件的
    后续消息为
    加密和身份验证。此
    用于加密和
    完整性保护是派生的
    从SKEY ID开始,称为:

    1. SK_e -加密。
    2. SK_a -身份验证。
    3. SK_d -派生和使用
      用于进一步推导
      加密材料
      CHILD_SAs。
    单独的SK_e和SK_a是
    每个方向计算。

相关配置:

crypto ikev2 policy 10
 encryption aes-192 integrity 
 sha group 2  prf sha lifetime 
 seconds 86400
crypto ikev2 enable outside
 解密数据包:数据:528字节
IKEv2-PLAT-3:处理自定义VID负载
IKEv2-PLAT-3:从对等体接收的思科版权VID
IKEv2-PLAT-3:从对等体接收的AnyConnect EAP VID
IKEv2-PROTO-5:(6): SM跟踪-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 Cur状态:空闲事件:EV_RECV_INIT
IKEv2-PROTO-3:(6):检查NAT发现
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 Cur状态:空闲事件:EV_CHK_REDIRECT
IKEv2-PROTO-5:(6):不需要重定向检查,正在跳过它
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 Cur状态:空闲事件:EV_CHK_CAC
IKEv2-PLAT-5:新ikev2 sa请求已接受
IKEv2-PLAT-5:将传入协商sa计数增加1
IKEv2-PLAT-5:无效的PSH句柄
IKEv2-PLAT-5:无效的PSH句柄
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 Cur状态:空闲事件:EV_CHK_COOKIE
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE Event: EV_CHK4_COOKIE_NOTIFY
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT事件: EV_VERIFY_MSG
IKEv2-PROTO-3: (6):验证SA初始消息
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT事件: EV_INSERT_SA
IKEv2-PROTO-3:(6):插入SA
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT事件: EV_GET_IKE_POLICY
IKEv2-PROTO-3:(6):获取已配置的策略
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT事件: EV_PROC_MSG
IKEv2-PROTO-2:(6):处理初始消息
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT事件: EV_DETECT_NAT
IKEv2-PROTO-3:(6):处理NAT发现通知
IKEv2-PROTO-5:(6):正在处理nat检测源通知
IKEv2-PROTO-5:(6):远程地址不匹配
IKEv2-PROTO-5:(6):正在处理nat检测dst通知
IKEv2-PROTO-5:(6):匹配的本地地址
IKEv2-PROTO-5:(6):主机位于NAT外部
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT事件: EV_CHK_CONFIG_MODE
IKEv2-PROTO-3: (6):已收到有效的配置模式数据
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT事件: EV_SET_RECD_CONFIG_MODE
IKEv2-PROTO-3:(6):设置已接收的配置模式数据
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT事件: EV_SET_POLICY
IKEv2-PROTO-3: (6):设置配置的策略
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT事件: EV_CHK_AUTH4PKI
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT事件: EV_PKI_SESH_OPEN
IKEv2-PROTO-3:(6):打开PKI会话
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT事件: EV_GEN_DH_KEY
IKEv2-PROTO-3:(6):计算DH公钥
IKEv2-PROTO-3:(6):
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT事件: EV_NO_EVENT
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT事件: EV_OK_RECD_DH_PUBKEY_RESP
IKEv2-PROTO-5: (6):操作:Action_Null
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT事件: EV_GEN_DH_SECRET
IKEv2-PROTO-3:(6):计算DH密钥
IKEv2-PROTO-3:(6):
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT事件: EV_NO_EVENT
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT事件: EV_OK_RECD_DH_SECRET_RESP
IKEv2-PROTO-5: (6):操作:Action_Null
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT事件: EV_GEN_SKEYID
IKEv2-PROTO-3: (6):生成skey id
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT事件: EV_GET_CONFIG_MODE		  

ASA为IKE_SA_INIT交换构建响应消息。

此数据包包含:

  1. ISAKMP报头- SPI/版本/标志。
  2. SAr1 - IKE响应方选择的加密算法。
  3. KEr -响应方的DH公钥值。
  4. N -响应方随机数
 IKEv2-PROTO-5:(6): SM跟踪-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 Cur状态:R_BLD_INIT事件:EV_BLD_MSG
IKEv2-PROTO-2:(6):发送初始消息
IKEv2-PROTO-3:IKE建议:1,SPI大小:0(初始协商),
转换数:4
   AES-CBC SHA1 SHA96 DH_GROUP_768_MODP/Group 1
IKEv2-PROTO-5:构建供应商特定负载:DELETE-REASONIKEv2-PROTO-5:构建供应商特定负载:(自定义)IKEv2-PROTO-5:构建供应商特定负载:(自定义)IKEv 2-PROTO-5:构建通知负载:NAT_DETECTION_SOURCE_IPIKEv2-PROTO-5:构建通知负载:NAT_DETECTION_DESTINATION_IPIKEv2-PLAT-2:无法检索受信任颁发者散列或无可用散列
IKEv2-PROTO-5:构建供应商特定负载:FRAGMENTATIONIKEv2-PROTO-3:Tx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id: 0x0
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F]
IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F
IKEv2-PROTO-4:下一个负载:SA,版本:2.0
IKEv2-PROTO-4:交换类型:IKE_SA_INIT,标志:响应器MSG-RESPONSE
IKEv2-PROTO-4:消息ID:0x0,长度:386
 SA下一个负载:KE,保留:0x0,长度:48
IKEv2-PROTO-4:最后一个提议:0x0,保留:0x0,长度:44
  方案:1,协议ID:IKE,SPI大小:0,#trans:4
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:12
    类型:1,保留:0x0,id:AES-CBC
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:8
    类型:2,保留:0x0,id:SHA1
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:8
    类型:3,保留:0x0,id:SHA96
IKEv2-PROTO-4:上次转换:0x0,保留:0x0:长度:8
    类型:4,保留:0x0,id:DH_GROUP_768_MODP/Group 1

 KE下一个负载:N,保留:0x0,长度:104
    DH组:1,保留:0x0

     c9 30 f9 32 d4 7c d1 a7 5b 71 72 09 6e 7e 91 0c
     e1 ce b4 a4 3c f2 8b 74 4e 20 59 b4 0b a1 ff 65
     37 88cc c4 a4 b6 fa 4a 63 03 93 89 e1 7e bd 6a
     64 9a 38 24 e2 a8 40 f5 a3 d6 ef f7 1a df 33立方厘米
     a1 8e fa dc 9c 34 45 79 1a 7c 29 05 87 8a ac 02
     98 2e 7d cb 41 51 d6 fe fc c7 76 83 1d 03 b0 d7
 N下一个负载:VID,保留:0x0,长度:24

     c2 28 7f 8c 7d b3 1e 51 fc eb f1 97 ec 97 b8 67
     d5 e7 c2 f5
 VID下一个负载:VID,保留:0x0,长度:23		  
ASA发出针对IKE_SA_INIT交换的响应消息。IKE_SA_INIT交换现已完成。ASA启动身份验证过程的计时器。  IKEv2-PLAT-4:已发送数据包[IKE_SA_INIT] [10.0.0.1]:500->[192.168.1.1]:25170 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000000
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DONE事件: EV_DONE
IKEv2-PROTO-3: (6):分段已启用
IKEv2-PROTO-3:(6):已启用Cisco DeleteReason Notify
IKEv2-PROTO-3: (6):完成SA初始交换
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DONE事件: EV_CHK4_ROLE
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DONE事件: EV_START_TMR
IKEv2-PROTO-3:(6):启动计时器以等待身份验证消息(30秒)
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_WAIT_AUTH事件: EV_NO_EVENT    

 ****************************************
日期:2013年4月23日
播放时长:16:25:02
类型:信息
来源:acvpnagent

说明:功能:CIPsecProtocol::initiateTunnel
文件: .\IPsecProtocol.cpp
线路:345
IPsec隧道正在启动
****************************************

客户端将IPSec隧道显示为“正在启动”。
   -----------------------------------IKE_SA_INIT完成---------------------------------  
  ------------------------------------- IKE_AUTH开始-------------------------------------  
  ****************************************
日期:2013年4月23日
播放时长:16:25:00
类型:信息
来源:acvpnagent

说明:安全网关参数:
 IP地址:10.0.0.1
 端口:443
 URL:“10.0.0.1”
 身份验证方法:IKE - EAP-AnyConnect
 IKE 标识:
****************************************
日期:2013年4月23日
播放时长:16:25:00
类型:信息
来源:acvpnagent

说明:启动Cisco AnyConnect安全移动客户端连接,版本3.0.1047
****************************************

日期:2013年4月23日
播放时长:16:25:02
类型:信息
来源:acvpnagent

说明:函数: ikev2_log
文件: .\ikev2_anyconnect_osal.cpp
线路:2730
已收到建立IPSec隧道的请求;本地流量选择器=地址范围:0.0.0.0-255.255.255.255协议:0端口范围:0-65535;远程流量选择器=地址范围:0.0.0-255.255.255.255协议:0端口范围:0-65535
****************************************
日期:2013年4月23日
播放时长:16:25:02
类型:信息
来源:acvpnagent

说明:函数:CIPsecProtocol::connectTransport
文件: .\IPsecProtocol.cpp
线路:1629
打开的IKE套接字从192.168.1.1:25171到10.0.0.1:4500
****************************************

 客户端从消息3中省略AUTH负载,以表示希望使用可扩展身份验证。当客户端配置文件指定或隐含可扩展身份验证协议(EAP)身份验证且配置文件不包含<IKEIdentity>元素时,客户端将发送固定字符串为*$AnyConnectClient$*的ID_GROUP类型IDi负载。客户端在端口4500上发起与ASA的连接。

使用EAP完成身份验证。在EAP会话中只允许使用一种EAP身份验证方法。ASA从客户端接收IKE_AUTH消息。

IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001

IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x1

  

当客户端包含IDi负载时
但不是AUTH负载,这表示
客户端已声明身份,但
没有经过验证。在调试中,
IKE_AUTH中不存在负载
由客户端发送的数据包。客户端
仅在从ASA客户端发送身份验证负载
EAP交换成功。如果ASA
愿意使用可扩展的
身份验证方法,则将EAP
消息4中的负载和延迟发送
SAr2、TSi和TSr,直到启动器
身份验证在
后续IKE_AUTH交换。

IKE_AUTH发起方数据包包含:

  1. ISAKMP报头-
    SPI/版本/标志。
  2. IDi -对应于Telnet会话的
    客户端希望连接到
    可能由IDi提供
    类型ID_KEY_ID的有效负载
    的初始消息
    IKE_AUTH交换。此
    当客户端配置文件*为
    预配置有组名
    或者,在上一成功
    身份验证,客户端具有
    在其中缓存组名称
    首选项文件。ASA
    尝试匹配隧道组
    包含IKE内容的名称
    IDi负载。在第一个
    成功的IPSec VPN是
    已建立,客户端缓存
    组名(组别名)
    已通过身份验证的用户。此组
    名称在IDi中提供
    下一个连接的负载
    尝试以指示
    潜在客户期望的组
    用户.当EAP身份验证为
    由客户端指定或默示
    配置文件和配置文件不
    包含<IKEIdentity>
    元素,客户端发送
    ID_GROUP类型IDi负载
    使用固定字符串
    *$AnyConnectClient$*。
  3. CERTREQ -客户端为
    请求ASA提供
    首选证书。证书
    可以包含请求负载
    在交换中,当发送方
    需要获取
    接收方。证书请求
    负载的处理者
    检查“证书编码”
    字段以确定
    处理器是否具有
    此类型的证书。如果是,则
    “证书颁发机构”字段为
    检查,以确定是否
    处理器具有任何证书
    最多可以验证其中一个
    指定的认证
    权限。这可以是一系列
    证书.
  4. CFG - CFG_REQUEST/
    CFG_REPLY允许IKE
    请求信息的端点
    从其对等体中。如果属性
    CFG_REQUEST配置
    负载不是零长度,它是
    作为建议
    attribute.CFG_REPLY
    配置负载可能返回
    这个值或者一个新值。它可以
    同时添加新属性,而不是
    包括一些请求的。
    已返回请求者忽略
    不需要的属性
    认出来。在这些调试中,
    客户端正在请求隧道
    中的配置
    CFG_REQUEST。ASA
    回复此请求并发送隧道
    仅在以下时间之后才配置属性
    eap交换成功。
  5. SAi2 - SAi2发起SA,
    类似于第2阶段
    ikev1中的转换集交换。
  6. TSiTSr -发起方和
    响应方流量选择器
    分别包含源
    和目的地址
    发起方和响应方,
    转发和接收已加密
    traffic .地址范围
    指定往返的所有流量
    该范围通过隧道传输。如果
    建议书为可接受的
    响应方,它会发送相同的TS
    有效载荷。

客户端必须提供的属性
组身份验证存储在
AnyConnect配置文件。

* 相关配置文件配置:

<ServerList>
<HostEntry>
  <HostName>Anu-IKEV2
  </HostName>
  <HostAddress>10.0.0.1
  </HostAddress>
  
         
         
           ASA-IKEV2 
          
 
         
<PrimaryProtocol>IPsec
</PrimaryProtocol>
</HostEntry>
</ServerList>
 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:下一个负载:ENCR,版本:2.0
IKEv2-PROTO-4:交换类型:IKE_AUTH,标志:发起方
IKEv2-PROTO-4:消息ID:0x1,长度:540
IKEv2-PROTO-5:(6):请求具有mess_id 1;应为1至1
实际解密数据包:数据:465字节
IKEv2-PROTO-5:解析供应商特定负载:(自定义)VID下一负载: IDi,保留: 0x0,长度: 20

     58 af f6 11 52 8d b0 2c b8 da 30 46 be 91 56 fa
 IDi下一个负载:CERTREQ,保留:0x0,长度:28
    Id类型:组名称,保留:0x0 0x0

     2a 24 41 6e 79 43 6f 6e 6e 65 63 74 43 6c 69 65
     6e 74 24 2a
 CERTREQ下一个负载:CFG,保留:0x0,长度:25
    证书编码X.509证书-签名
CertReq数据(&C);20字节
 CFG下一个负载:SA,保留:0x0,长度:196
    cfg类型:CFG_REQUEST,保留:0x0,保留:0x0

   属性类型:内部IP4地址,长度:0

   attrib类型:internal IP4 netmask,长度:0

   属性类型:内部IP4 DNS,长度:0

   属性类型:内部IP4 NBNS,长度:0

   attrib类型:内部地址到期,长度:0

   attrib类型:应用版本,长度:27

     41 6e 79 43 6f 6e 6e 65 63 74 20 57 69 6e 64 6f
     77 73 20 33 2e 30 2e 31 30 34 37
   属性类型:内部IP6地址,长度:0

   属性类型:内部IP4子网,长度:0

   属性类型:未知- 28682,长度:15

     77 69 6e 78 70 36 34 74 65 6d 70 6c 61 74 65
   attrib类型:未知- 28704,长度:0

   attrib类型:未知- 28705,长度:0

   attrib类型:未知- 28706,长度:0

   attrib类型:未知- 28707,长度:0

   attrib类型:未知- 28708,长度:0

   attrib类型:未知- 28709,长度:0

   attrib类型:未知- 28710,长度:0

   attrib类型:未知- 28672,长度:0

   attrib类型:未知- 28684,长度:0

   attrib类型:未知- 28711,长度:2

     05 7e
   attrib类型:未知- 28674,长度:0

   attrib类型:未知- 28712,长度:0

   attrib类型:未知- 28675,长度:0

   attrib类型:未知- 28679,长度:0

   attrib类型:未知- 28683,长度:0

   attrib类型:未知- 28717,长度:0

   attrib类型:未知- 28718,长度:0

   attrib类型:未知- 28719,长度:0

   attrib类型:未知- 28720,长度:0

   attrib类型:未知- 28721,长度:0

   attrib类型:未知- 28722,长度:0

   attrib类型:未知- 28723,长度:0

   attrib类型:未知- 28724,长度:0

   attrib类型:未知- 28725,长度:0

   attrib类型:未知- 28726,长度:0

   attrib类型:未知- 28727,长度:0

   attrib类型:未知- 28729,长度:0

 SA下一个负载:TSi,保留:0x0,长度:124
IKEv2-PROTO-4:最后一个提议:0x0,保留:0x0,长度:120
  建议:1,协议ID:ESP,SPI大小:4,#trans:12
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:12
    类型:1,保留:0x0,id:AES-CBC
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:12
    类型:1,保留:0x0,id:AES-CBC
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:12
    类型:1,保留:0x0,id:AES-CBC
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:8
    类型:1,保留:0x0,id:3DES
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:8
    类型:1,保留:0x0,id:DES
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:8
    类型:1,保留:0x0,id:空
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:8
    类型:3,保留:0x0,id:SHA512
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:8
    类型:3,保留:0x0,id:SHA384
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:8
    类型:3,保留:0x0,id:SHA256
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:8
    类型:3,保留:0x0,id:SHA96
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:8
    类型:3,保留:0x0,id:MD596
IKEv2-PROTO-4:上次转换:0x0,保留:0x0:长度:8
    类型:5,保留:0x0,id:

 TSi下一个负载:TSr,保留:0x0,长度:24
    TS数量:1,保留0x0,保留0x0
    TS类型:TS_IPV4_ADDR_RANGE,proto id:0,长度:16
    开始端口:0,结束端口:65535
    起始地址:0.0.0.0,结束地址:255.255.255.255
 TSr下一个负载:NOTIFY,保留:0x0,长度:24
    TS数量:1,保留0x0,保留0x0
    TS类型:TS_IPV4_ADDR_RANGE,proto id:0,长度:16
    开始端口:0,结束端口:65535
    起始地址:0.0.0.0,结束地址:255.255.255.255		  

ASA生成对IKE_AUTH消息的响应,并准备向客户端验证自身。

解密的数据包:数据(&C);540字节
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH事件: EV_RECV_AUTH
IKEv2-PROTO-3: (6):正在停止计时器以等待身份验证消息
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH事件: EV_CHK_NAT_T
IKEv2-PROTO-3:(6):检查NAT发现
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH事件: EV_CHG_NAT_T_PORT
IKEv2-PROTO-2:(6):NAT检测到浮动到初始端口25171,响应端口4500
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH事件: EV_PROC_ID
IKEv2-PROTO-2: (6):已收到进程ID中的有效参数
IKEv2-PLAT-3:(6)对等身份验证方法设置为: 0
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7D f (R) MsgID = 00000001 CurState: R_WAIT_AUTH事件:EV_CHK_IF_PEER_CERT_NEEDS_TO_BE_FETCHED_FOR_PROF_SEL
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH事件: EV_GET_POLICY_BY_PEERID
IKEv2-PROTO-3:(6):正在获取已配置的策略
IKEv2-PLAT-3:根据ID负载检测到新的AnyConnect客户端连接
IKEv2-PLAT-3:my_auth_method = 1
IKEv2-PLAT-3:(6)对等身份验证方法设置为:256
IKEv2-PLAT-3:supported_peers_auth_method = 16
IKEv2-PLAT-3: (6) tp_name设置为:Anu-ikev2
IKEv2-PLAT-3:信任点设置为:Anu-ikev2
IKEv2-PLAT-3:P1 ID = 0
IKEv2-PLAT-3:将IKE_ID_AUTO转换为= 9
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH事件: EV_SET_POLICY
IKEv2-PROTO-3: (6):设置配置的策略
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH事件: EV_VERIFY_POLICY_BY_PEERID
IKEv2-PROTO-3:(6):验证对等体的策略
IKEv2-PROTO-3: (6):找到匹配的证书
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH事件: EV_CHK_CONFIG_MODE
IKEv2-PROTO-3: (6):已收到有效的配置模式数据
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH事件: EV_SET_RECD_CONFIG_MODE
IKEv2-PLAT-3:(6) DDNS的DHCP主机名设置为:winxp64template
IKEv2-PROTO-3:(6):设置已接收的配置模式数据
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH事件: EV_CHK_AUTH4EAP
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH事件: EV_CHK_EAP
IKEv2-PROTO-3:(6):检查EAP交换
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTH事件: EV_GEN_AUTH
IKEv2-PROTO-3: (6):生成我的身份验证数据
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTH事件: EV_CHK4_SIGN
IKEv2-PROTO-3: (6):获取我的身份验证方法
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTH事件: EV_SIGN
IKEv2-PROTO-3: (6):签名身份验证数据
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTH事件: EV_OK_AUTH_GEN
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ事件: EV_AUTHEN_REQ
IKEv2-PROTO-2:(6):要求身份验证器发送EAP请求

已创建元素名称config-auth值
已将属性名称client值vpn添加到元素config-auth
添加了attribute name type value hello to element config-auth
已创建元素名称版本值9.0(2)8
将元素名称版本值9.0(2)8添加到元素config-auth
添加了对元素版本赋值sg的属性名称
下面生成的XML消息
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="hello">
<version who="sg">9.0(2)8</version>
</config-auth>

IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ事件: EV_RECV_EAP_AUTH
IKEv2-PROTO-5: (6):操作:Action_Null
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ事件: EV_CHK_REDIRECT
IKEv2-PROTO-3:(6):使用平台进行重定向检查以实现负载均衡
IKEv2-PLAT-3:平台上的重定向检查
IKEv2-PLAT-3: ikev2_osal_redirect: 10.0.0.1接受的会话
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ事件: EV_SEND_EAP_AUTH_REQ
IKEv2-PROTO-2:(6):发送EAP请求
IKEv2-PROTO-5:构建供应商特定负载:CISCO-GRANITEIKEv2-PROTO-3:(6):构建

  

ASA发送AUTH负载,以便从客户端请求用户凭证。ASA将身份验证方法作为“RSA”发送,因此它会将自己的证书发送到客户端,以便客户端可以对ASA服务器进行身份验证。

由于ASA愿意使用可扩展身份验证方法,因此它在消息4中放置了EAP负载,并推迟发送SAr2、TSi和TSr,直到在随后的IKE_AUTH交换中完成发起方身份验证。因此,调试中不存在这三个负载。

EAP数据包包含:

  1. Code: request -此代码由身份验证器发送到对等体。
  2. id:1 - id帮助将EAP响应与请求进行匹配。此处的值为1,表示这是EAP交换中的第一个数据包。此EAP请求的“config-auth”类型为“hello;”,它从ASA发送到客户端以启动EAP交换。
  3. 长度:150 - EAP数据包的长度包括代码、id、长度和EAP数据。
  4. EAP数据
  IDr。下一个负载:CERT,保留:0x0,长度:36
    Id类型:DER ASN1 DN,保留:0x0 0x0

     30 1a 31 18 30 16 06 09 2a 86 48 86 f7 0d 01 09
     02 16 09 41 53 41 2d 49 4b 45 56 32
 CERT下一个负载:CERT,保留:0x0,长度:436
    证书编码X.509证书-签名
证书数据(&C);431字节
 CERT下一个负载:身份验证,保留:0x0,长度:436
    证书编码X.509证书-签名
证书数据(&C);431字节
 AUTH下一负载:EAP,保留:0x0,长度:136
    身份验证方法RSA,保留:0x0,保留0x0
身份验证数据(&C);128字节
 EAP下一个负载:无,保留:0x0,长度:154
    代码:请求:id:1,长度:150
    类型:未知- 254
EAP数据:145字节

IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x1
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi: 58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:下一个负载:ENCR,版本:2.0
IKEv2-PROTO-4:交换类型:IKE_AUTH,标志:响应方MSG-RESPONSE
IKEv2-PROTO-4:消息ID:0x1,长度:1292
 ENCR下一个负载:VID,保留:0x0,长度:1264
加密数据(&C);1260字节		  

如果证书较大或包含证书链,则可能会发生分段。发起方和响应方KE负载也可以包括大密钥,这也会导致分段。

 IKEv2-PROTO-5:(6):分段数据包,分段MTU:544,分段数量:3,分段ID:1
IKEv2-PLAT-4:已发送数据包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001
IKEv2-PLAT-4:已发送数据包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001
IKEv2-PLAT-4:已发送数据包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001		  
 

****************************************
日期:2013年4月23日
播放时长:16:25:02
类型:信息
来源:acvpnagent

说明:函数:ikev2_verify_X509_SIG_certs
文件: .\ikev2_anyconnect_osal.cpp
行:2077
请求用户接受证书
****************************************
日期:2013年4月23日
播放时长:16:25:02
类型:错误
来源:acvpnui

说明:函数:CCapiCertificate::verifyChainPolicy
文件: .\Certificates\CapiCertificate.cpp
行:2032
调用的函数:CertVerifyCertificateChainPolicy
返回代码:-2146762487 (0x800B0109)
说明:已处理证书链,但在不受信任提供程序信任的根证书中终止。
****************************************
日期:2013年4月23日
播放时长:16:25:04
类型:信息
来源:acvpnagent

说明:函数:CEAPMgr::dataRequestCB
文件: .\EAPMgr.cpp
线路:400
EAP建议类型:EAP-ANYCONNECT
****************************************

 ASA发送的证书会呈现给用户。证书不受信任。EAP类型为EAP-ANYCONNECT。

客户端对EAP请求作出响应。

EAP数据包包含:

  1. Code: response -此代码由对等体发送到身份验证器,以响应EAP请求。
  2. id:1 - id帮助将EAP响应与请求进行匹配。此处值为1,表示这是对ASA(身份验证器)之前发送的请求的响应。此EAP响应的“config-auth”类型为“init”;客户端正在初始化EAP交换,并等待ASA生成身份验证请求。
  3. 长度:252 - EAP数据包的长度包括代码、id、长度和EAP数据。
  4. EAP数据

ASA对此响应进行解密,客户端称已收到上一个数据包(使用证书)中的身份验证负载,并已收到来自ASA的第一个EAP请求数据包。这是“init”EAP响应数据包中包含的内容。

IKEv2-PLAT-4:RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000002
IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x2
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:下一个负载:ENCR,版本:2.0
IKEv2-PROTO-4:交换类型:IKE_AUTH,标志:INITIATOR
IKEv2-PROTO-4:消息ID:0x2,长度:332
IKEv2-PROTO-5:(6):请求具有mess_id 2;应为2至2
实际解密数据包:数据:256字节
 EAP下一个负载:无,保留:0x0,长度:256
    代码:响应id:1长度:252
    类型:未知- 254
EAP数据:247字节

解密的数据包:数据(&C);332字节
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_WAIT_EAP_RESP事件: EV_RECV_AUTH
IKEv2-PROTO-3: (6):正在停止计时器以等待身份验证消息
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_WAIT_EAP_RESP事件: EV_RECV_EAP_RESP

IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_PROC_EAP_RESP事件: EV_PROC_MSG
IKEv2-PROTO-2:(6):处理EAP响应

从客户端收到以下XML消息
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="init">
<device-id>win</device-id>
<version who="vpn">3.0.1047</version>
<group-select>ASA-IKEV2</group-select>
<group-access>ASA-IKEV2</group-access>
</config-auth>
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_PROC_EAP_RESP事件: EV_RECV_EAP_AUTH

IKEv2-PROTO-5: (6):操作:Action_Null
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_BLD_EAP_REQ事件: EV_RECV_EAP_REQ

  

这是ASA向客户端发送的第二个请求。

EAP数据包包含:

  1. Code: request -此代码由身份验证器发送到对等体。
  2. id:2 - id帮助将EAP响应与请求进行匹配。此处,该值是2,表示它是交换中的第二个数据包。此请求的“config-auth”类型为“auth-request”;ASA请求客户端发送用户身份验证凭证。
  3. 长度:457 — EAP数据包的长度包括代码、ID、长度和EAP数据。
  4. EAP数据

ENCR负载:

此负载会被解密,其内容会解析为其他负载。

IKEv2-PROTO-2:(6):正在发送EAP请求

下面生成的XML消息
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="auth-request">
<version who="sg">9.0(2)8</version>
<opaque is-for="sg">
<tunnel-group>ASA-IKEV2</tunnel-group>
<config-hash>1367268141499</config-hash>
</opaque>
<csport>443</csport>
<auth id="main">
<form>
<input type="text" name="username" label="Username:"></input>
<input type="password" name="password" label="Password:"></input>
</form>
</auth>
</config-auth>
IKEv2-PROTO-3:(6):构建用于加密的数据包;内容为:
 EAP下一个负载:无,保留:0x0,长度:461
    代码:请求:id:2,长度:457
    类型:未知- 254
EAP数据:452字节

IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x2
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F]
IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:下一个负载:ENCR,版本:2.0
IKEv2-PROTO-4:交换类型:IKE_AUTH,标志:RESPONDER MSG-RESPONSE
IKEv2-PROTO-4:消息ID:0x2,长度:524
 ENCR下一个负载:EAP,保留:0x0,长度:496
加密数据(&C);492字节

IKEv2-PLAT-4:已发送数据包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000002
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_BLD_EAP_REQ事件: EV_START_TMR。
IKEv2-PROTO-3:(6):启动计时器以等待用户身份验证消息(120秒)
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_WAIT_EAP_RESP事件: EV_NO_EVENT   

 ****************************************
日期:2013年4月23日
播放时长:16:25:04
类型:信息
来源:acvpnui

说明:函数:
SDIMgr::ProcessPromptData
文件: .\SDIMgr.cpp
线路:281
身份验证类型不是SDI。
****************************************
日期:2013年4月23日
播放时长:16:25:07
类型:信息
来源:acvpnui

说明:函数:ConnectMgr::userResponse
文件: .\ConnectMgr.cpp
线路:985
正在处理用户响应。
****************************************

客户端请求用户身份验证并将其作为EAP响应发送到下一个数据包(“auth-reply”)中的ASA。

客户端发送另一条包含EAP负载的IKE_AUTH发起方消息。

EAP数据包包含:

  1. Code: response -此代码由对等体发送到身份验证器,以响应EAP请求。
  2. id:2 - id帮助将EAP响应与请求进行匹配。此处值为2,表示这是对ASA(身份验证器)之前发送的请求的响应。
  3. 长度:420 — EAP数据包的长度包括代码、ID、长度和EAP数据。
  4. EAP数据
  IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x3
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:下一个负载:ENCR,版本:2.0
IKEv2-PROTO-4:交换类型:IKE_AUTH,标志:INITIATOR
IKEv2-PROTO-4:消息ID:0x3,长度:492
IKEv2-PROTO-5:(6):请求具有mess_id 3;应为3至3


实际解密数据包:数据:424字节
 EAP下一个负载:无,保留:0x0,长度:424
    代码:响应:id:2,长度:420
    类型:未知- 254
EAP数据:415字节		  

ASA处理此响应。客户端已请求用户输入凭证。此EAP响应具有“config-auth”类型的“auth-reply”。 此数据包包含用户输入的凭证。

解密的数据包:数据:492字节
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_WAIT_EAP_RESP事件: EV_RECV_AUTH
IKEv2-PROTO-3: (6):正在停止计时器以等待身份验证消息
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_WAIT_EAP_RESP事件: EV_RECV_EAP_RESP
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_PROC_EAP_RESP事件: EV_PROC_MSG
IKEv2-PROTO-2:(6):处理EAP响应

从客户端收到以下XML消息
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="auth-reply">
<device-id>win</device-id>
<version who="vpn">3.0.1047</version>
<session-token></session-token>
<session-id></session-id>
<opaque is-for="sg">
<tunnel-group>ASA-IKEV2</tunnel-group>
<config-hash>1367268141499</config-hash></opaque>
<auth>
<password>cisco123</password>
<username>Anu</username></auth>
</config-auth>
IKEv2-PLAT-1:EAP:发起用户身份验证
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_PROC_EAP_RESP事件: EV_NO_EVENT
IKEv2-PLAT-5:EAP:在AAA回叫中
检索的服务器证书摘要:DACE1C274785F28BA11D64453096BAE294A3172E
IKEv2-PLAT-5:EAP:AAA回拨成功
IKEv2-PROTO-3:从身份验证器收到响应
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_PROC_EAP_RESP事件: EV_RECV_EAP_AUTH
IKEv2-PROTO-5: (6):操作:Action_Null

  

ASA在交换中构建第三个EAP请求。

EAP数据包包含:

  1. Code: request -此代码由身份验证器发送到对等体。
  2. id:3 - id帮助将EAP响应与请求进行匹配。此处的值为3,表示它是交换中的第三个数据包。此数据包的“config-auth”类型为“complete”;ASA已收到回复,并且EAP交换完成。
  3. 长度:4235 — EAP数据包的长度包括代码、ID、长度和EAP数据。
  4. EAP数据

ENCR负载:

此负载会被解密,其内容会解析为其他负载。

IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_BLD_EAP_REQ事件: EV_RECV_EAP_REQ
IKEv2-PROTO-2:(6):正在发送EAP请求

下面生成的XML消息
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="complete">
<version who="sg">9.0(2)8</version>
<session-id>32768</session-id>
<session-token>18wA0TtGmDxPKPQCJywC7fB7EWLCEgz-ZtjYpAyXx2yJH0H3G3H8t5xpBOx3Ixag</session-token>
<auth id="success">
<message id="0" param1="" param2=""></message>
</auth>


IKEv2-PROTO-3:(6):构建用于加密的数据包;内容为:
 EAP下一个负载:无,保留:0x0,长度:4239
    代码:请求:id:3,长度:4235
    类型:未知- 254
EAP数据:4230字节

IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x3
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:下一个负载:ENCR,版本:2.0
IKEv2-PROTO-4:交换类型:IKE_AUTH,标志:RESPONDER MSG-RESPONSE
IKEv2-PROTO-4:消息ID:0x3,长度:4300
 ENCR 下一个负载:EAP,保留:0x0,长度:4272
加密数据(&C);4268字节

IKEv2-PROTO-5:(6):分段数据包,分段MTU:544,分段数量:9,分段ID:2
IKEv2-PLAT-4:已发送数据包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4:已发送数据包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4:已发送数据包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4:已发送数据包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4:已发送数据包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4:已发送数据包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4:已发送数据包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4:已发送数据包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4:已发送数据包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_BLD_EAP_REQ事件: EV_START_TMR。
IKEv2-PROTO-3:(6):启动计时器以等待用户身份验证消息(120秒)
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_WAIT_EAP_RESP事件: EV_NO_EVENT

  
  ****************************************
日期:2013年4月23日
播放时长:16:25:07
类型:信息
来源:acvpnagent

说明:当前配置文件:Anyconnect-ikev2.xml
已收到VPN会话配置设置:
 Keep Installed:已启用
 代理设置:不修改
 代理服务器:无
 代理PAC URL:无
 代理例外:无
 代理锁定:已启用
 拆分排除:禁用本地LAN访问首选项
 拆分包括:已禁用
 拆分DNS:已禁用
 本地局域网通配符:本地局域网访问首选项已禁用
 防火墙规则:无
 客户端地址:10.2.2.1
 客户端掩码:255.0.0.0
 客户端IPv6地址:未知
 客户端IPv6掩码:未知
 MTU: 1406
 IKE保活:20秒
 IKE DPD:30秒
 会话超时:0秒
 断开连接超时:1800秒
 空闲超时:1800秒
 服务器:未知
 MUS主机:未知
 DAP用户消息:无
 隔离状态:已禁用
 永远在线VPN:未禁用
 租用期限:0秒
 默认域:未知
 主页:未知
 智能卡删除断开连接:已启用
 许可证响应:未知
****************************************		 ASA将“complete”消息中的VPN配置设置发送到客户端,并从VPN池向客户端分配IP地址。

客户端发送包含EAP负载的发起方数据包。

EAP数据包包含:

  1. Code: response -此代码由对等体发送到身份验证器,以响应EAP请求。
  2. id:3 - id帮助将EAP响应与请求进行匹配。此处值为3,表示这是对ASA(身份验证器)之前发送的请求的响应。ASA现在接收来自客户端的响应数据包,该数据包的“config-auth”类型为“ack”;此响应确认ASA之前发送的EAP“complete”消息。
  3. 长度:173 - EAP数据包的长度包括代码、id、长度和EAP数据。
  4. EAP数据
  IKEv2-PLAT-4:RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000004
IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x4
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:下一个负载:ENCR,版本:2.0
IKEv2-PROTO-4:交换类型:IKE_AUTH,标志:INITIATOR
IKEv2-PROTO-4:消息ID:0x4,长度:252
IKEv2-PROTO-5:(6):请求具有mess_id 4;应为4至4


实际解密数据包:数据:177字节
 EAP下一个负载:无,保留:0x0,长度:177
    代码:响应:id:3,长度:173
    类型:未知- 254
EAP数据:168字节		  

ASA处理此数据包。此
EAP交换成功。ASA
准备发送隧道组
配置,
客户之前在
IDi负载。ASA收到
来自客户端的响应数据包,
具有“config-auth”类型“ack”。此
响应确认EAP
由发送的“complete”消息
ASA之前。

相关配置:

tunnel-group ASA-IKEV2 
 type remote-access
tunnel-group ASA-IKEV2 
 general-attributes
 address-pool webvpn1
 authorization-server-group 
 LOCAL default-group-policy 
  ASA-IKEV2
tunnel-group ASA-IKEV2
 webvpn-attributes
 group-alias ASA-IKEV2 
 enable

EAP交换现在成功。

EAP数据包包含:

  1. 代码成功 -此代码为
    由身份验证器发送到
    完成EAP后的对等体
    验证方法。此
    表示对等体具有
    已成功验证到
    验证器。
  2. id:3 - id有助于匹配
    EAP响应请求。
    此处值为3,其中
    表示这是对
    之前由发送方发送的
    ASA(身份验证器)。第三组
    数据包的数量
    和EAP交换
    成功。
  3. 长度:4 - EAP的长度
    数据包包括代码、id、
    长度和EAP数据。
  4. EAP数据

解密的数据包:数据:252字节
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_WAIT_EAP_RESP事件: EV_RECV_AUTH
IKEv2-PROTO-3: (6):正在停止计时器以等待身份验证消息
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_WAIT_EAP_RESP事件: EV_RECV_EAP_RESP
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_PROC_EAP_RESP事件: EV_PROC_MSG
IKEv2-PROTO-2:(6):处理EAP响应

从客户端收到以下XML消息
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="ack">
<device-id>win</device-id>
<version who="vpn">3.0.1047</version>
</config-auth>

IKEv2-PLAT-3:(6)已将aggrAuthHdl设置为0x2000
IKEv2-PLAT-3:(6) tg_name设置为:ASA-IKEV2
IKEv2-PLAT-3:(6)隧道组类型设置为:RA
IKEv2-PLAT-1:EAP:身份验证成功
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_PROC_EAP_RESP事件: EV_RECV_EAP_SUCCESS
IKEv2-PROTO-2:(6):正在发送EAP状态消息
IKEv2-PROTO-3:(6):构建用于加密的数据包;内容为:
 EAP下一个负载:无,保留:0x0,长度:8
    代码:成功:id:3,长度:4

IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x4
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:下一个负载:ENCR,版本:2.0
IKEv2-PROTO-4:交换类型:IKE_AUTH,标志:RESPONDER MSG-RESPONSE
IKEv2-PROTO-4:消息ID:0x4,长度:76
 ENCR下一个负载:EAP,保留:0x0,长度:48
加密数据(&C);44字节

IKEv2-PLAT-4:已发送数据包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000004

IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_PROC_EAP_RESP事件: EV_START_TMR。
IKEv2-PROTO-3:(6):启动计时器以等待身份验证消息(30秒)
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 Cur状态:R_WAIT_EAP_AUTH_VERIFY事件:EV_NO_EVENT

  
由于EAP交换成功,客户端将发送包含AUTH负载的IKE_AUTH发起方数据包。AUTH负载由共享密钥生成。  IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x5
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:下一个负载:ENCR,版本:2.0
IKEv2-PROTO-4:交换类型:IKE_AUTH,标志:发起方
IKEv2-PROTO-4:消息ID:0x5,长度:92
IKEv2-PROTO-5:(6):请求具有mess_id 5;应为5至5


实际解密数据包:数据:28字节
 AUTH Next payload:无,保留:0x0,长度:28
    身份验证方法PSK,保留:0x0,保留0x0
身份验证数据:20字节		  

当指定EAP身份验证或
客户端配置文件和
配置文件不包含
<IKEIdentity>元素,客户端将
ID_GROUP类型IDi负载
固定字符串*$AnyConnectClient$*。

ASA处理此消息。

相关配置:

crypto dynamic-map dynmap 1000 
 set ikev2 ipsec-proposal 3des
crypto map crymap 10000 
 ipsec-isakmp dynamic dynmap
crypto map crymap interface 
 outside

解密的数据包:数据:92字节
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_WAIT_EAP_AUTH_VERIFY事件: EV_RECV_AUTH
IKEv2-PROTO-3: (6):正在停止计时器以等待身份验证消息
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH事件: EV_GET_EAP_KEY
IKEv2-PROTO-2:(6):发送AUTH,以在EAP交换后验证对等体
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH事件: EV_VERIFY_AUTH
IKEv2-PROTO-3:(6):验证身份验证数据
IKEv2-PROTO-3:(6):对id *$AnyConnectClient$*、key len 20使用预共享密钥
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH事件: EV_GET_CONFIG_MODE
IKEv2-PLAT-3:配置模式回复已排队
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH事件: EV_NO_EVENT
IKEv2-PLAT-3: PSH: client=AnyConnect client-version=3.0.1047 client-os=Windows client-os-version=
IKEv2-PLAT-3:配置模式回复已完成
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH事件: EV_OK_GET_CONFIG
IKEv2-PROTO-3:(6):让配置模式数据发送
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH事件: EV_CHK4_IC
IKEv2-PROTO-3:(6):处理初始联系
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH事件: EV_CHK_REDIRECT
IKEv2-PROTO-5: (6):已对此会话进行重定向检查,正在跳过此会话
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH事件: EV_PROC_SA_TS
IKEv2-PROTO-2: (6):处理身份验证消息
IKEv2-PLAT-1:加密映射:映射动态映射序列1000。使用分配的IP调整选择器
IKEv2-PLAT-3:加密映射:动态映射动态映射序列1000上的匹配
IKEv2-PLAT-3:为RA连接禁用PFS
IKEv2-PROTO-3:(6):
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH事件: EV_NO_EVENT
IKEv2-PLAT-2:已收到SPI 0x30B848A4的PFKEY SPI回调,错误FALSE
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH事件: EV_OK_RECD_IPSEC_RESP

IKEv2-PROTO-2: (6):处理身份验证消息

  

ASA使用SA、TSi和TSr负载构建IKE_AUTH响应消息。

IKE_AUTH响应器数据包包含:

  1. ISAKMP报头- SPI/版本/标志。
  2. AUTH payload -使用所选的身份验证方法。
  3. CFG - CFG_REQUEST/ CFG_REPLY允许IKE端点从其对等体请求信息。如果CFG_REQUEST配置负载中的某个属性不是零长度,则会将其作为该属性的建议。CFG_REPLY配置负载可能返回该值或返回一个新值。它还可以添加新属性,但不包括某些请求的属性。请求者忽略其无法识别的返回属性。ASA使用CFG_REPLY数据包中的隧道配置属性回复客户端。
  4. SAr2 - SAr2启动SA,这类似于IKEv1中的第2阶段转换集交换。
  5. TSiTSr -发起方和响应方流量选择器分别包含用于转发和接收加密流量的发起方和响应方的源地址和目标地址。地址范围指定进出该范围的所有流量都通过隧道传输。如果响应方可以接受该建议,它将发送相同的TS负载作为回复。

ENCR负载:

此负载会被解密,其内容会解析为其他负载。

IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH事件: EV_MY_AUTH_METHOD
IKEv2-PROTO-3: (6):获取我的身份验证方法
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH事件: EV_GET_PRESHR_KEY
IKEv2-PROTO-3:(6): 获取*$AnyConnectClient$*的对等体的预共享密钥
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH事件: EV_GEN_AUTH
IKEv2-PROTO-3: (6):生成我的身份验证数据
IKEv2-PROTO-3:(6):对id hostname=ASA-IKEV2、key len 20使用预共享密钥
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH事件: EV_CHK4_SIGN
IKEv2-PROTO-3: (6):获取我的身份验证方法
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH事件: EV_OK_AUTH_GEN
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_EAP_AUTH_VERIFY事件: EV_GEN_AUTH
IKEv2-PROTO-3: (6):生成我的身份验证数据
IKEv2-PROTO-3:(6):对id hostname=ASA-IKEV2、key len 20使用预共享密钥
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_EAP_AUTH_VERIFY事件: EV_SEND_AUTH
IKEv2-PROTO-2:(6):发送AUTH,以在EAP交换后验证对等体
IKEv2-PROTO-3:ESP建议:1,SPI大小:4(IPSec协商),
转换数:3
   AES-CBC SHA96   
IKEv2-PROTO-5:构建通知负载:ESP_TFC_NO_SUPPORTIKEv2-PROTO-5:构建通知负载:NON_FIRST_FRAGSIKEv2-PROTO-3: (6):构建要加密的数据包;内容为:
 AUTH下一个负载:CFG,预留:0x0,长度:28
    身份验证方法PSK,保留:0x0,保留0x0
身份验证数据(&C);20字节
 CFG下一个负载:SA,保留:0x0,长度:4196
    cfg类型:CFG_REPLY,保留:0x0,保留:0x0

   属性类型:内部IP4地址,长度:4

     01 01 01 01
   attrib类型:内部IP4网络掩码,长度:4

     00 00 00 00
   attrib类型:内部地址到期,长度:4

     00 00 00 00
   attrib类型:应用版本,长度:16

     41 53 41 20 31 30 30 2e 37 28 36 29 31 31 36 00
   attrib类型:未知- 28704,长度:4

     00 00 00 00
   attrib类型:未知- 28705,长度:4

     00 00 07 08
   attrib类型:未知- 28706,长度:4

     00 00 07 08
   attrib类型:未知- 28707,长度:1

     01
   attrib类型:未知- 28709,长度:4

     00 00 00 1e
   attrib类型:未知- 28710,长度:4

     00 00 00 14
   attrib类型:未知- 28684,长度:1

     01
   attrib类型:未知- 28711,长度:2

     05 7e
   attrib类型:未知- 28679,长度:1

     00
   attrib类型:未知- 28683,长度:4

     80 0b 00 01
   attrib类型:未知- 28725,长度:1

     00
   attrib类型:未知- 28726,长度:1

     00
   attrib类型:未知- 28727,长度:4056

     3c 3f 78 6d 6c 20 76 65 72 73 69 6f 6e 3d 22 31
     2e 30 22 20 65 6e 63 6f 64 69 6e 67 3d 22 55 54
     46 2d 38 22 3f 3e 3c 63 6f 6e 66 69 67 2d 61 75
     74 68 20 63 6c 69 65 6e 74 3d 22 76 70 6e 22 20
     74 79 70 65 3d 22 63 6f 6d 70 6c 65 74 65 22 3e
     3c 76 65 72 73 69 6f 6e 20 77 68 6f 3d 22 73 67
     22 3e 31 30 30 2e 37 28 36 29 31 31 36 3c 2f 76
     65 72 73 69 6f 6e 3e 3c 73 65 73 73 69 6f 6e 2d
     69 64 3e 38 31 39 32 3c 2f 73 65 73 73 69 6f 6e
<snip>
     72 6f 66 69 6c 65 2d 6d 61 6e 69 66 65 73 74 3e
     3c 2f 63 6f 6e 66 69 67 3e 3c 2f 63 6f 6e 66 69
     67 2d 61 75 74 68 3e 00
   attrib类型:未知- 28729,长度:1

     00
 SA下一个负载:TSi,保留:0x0,长度:44
IKEv2-PROTO-4:最后一个提议:0x0,保留:0x0,长度:40
  建议:1,协议ID:ESP,SPI大小:4,#trans:3
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:12
    类型:1,保留:0x0,id:AES-CBC
IKEv2-PROTO-4:上次转换:0x3,保留:0x0:长度:8
    类型:3,保留:0x0,id:SHA96
IKEv2-PROTO-4:上次转换:0x0,保留:0x0:长度:8
    类型:5,保留:0x0,id:

 TSi下一个负载:TSr,保留:0x0,长度:24
    TS数量:1,保留0x0,保留0x0
    TS类型:TS_IPV4_ADDR_RANGE,proto id:0,长度:16
    开始端口:0,结束端口:65535
    起始地址:10.2.2.1,结束地址:10.2.2.1
 TSr下一个负载:NOTIFY,保留:0x0,长度:24
    TS数量:1,保留0x0,保留0x0
    TS类型:TS_IPV4_ADDR_RANGE,proto id:0,长度:16
    开始端口:0,结束端口:65535
    起始地址:0.0.0.0,结束地址:255.255.255.255

IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x5
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:下一个负载:ENCR,版本:2.0
IKEv2-PROTO-4:交换类型:IKE_AUTH,标志:响应方MSG-RESPONSE
IKEv2-PROTO-4:消息ID:0x5,长度:4396
 ENCR下一个负载:身份验证,保留:0x0,长度:4368
加密数据(&C);4364字节

  
ASA发出此IKE_AUTH响应消息,该消息被分段为九个数据包。IKE_AUTH交换完成。 IKEv2-PROTO-5:(6):分段数据包,分段MTU:544,分段数量:9,分段ID:3
IKEv2-PLAT-4:已发送数据包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4:已发送数据包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4:已发送数据包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4:已发送数据包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4:已发送数据包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4:已发送数据包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4:已发送数据包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4:已发送数据包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4:已发送数据包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE事件: EV_OK
IKEv2-PROTO-5: (6):操作:Action_Null
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE事件: EV_PKI_SESH_CLOSE		  
  ****************************************
日期:2013年4月23日
播放时长:16:25:07
类型:信息
来源:acvpnagent

说明:函数: ikev2_log
文件: .\ikev2_anyconnect_osal.cpp
线路:2730
IPsec连接已建立。
****************************************
日期:2013年4月23日
播放时长:16:25:07
类型:信息
来源:acvpnagent

说明:IPsec会话注册:
 加密:AES-CBC
 PRF:SHA1
 HMAC: SHA96
 本地身份验证方法:PSK
 远程身份验证方法:PSK
 序列ID:0
 密钥大小:192
 DH组:1
 密钥更新时间:4294967秒
 本地地址:192.168.1.1
 远程地址:10.0.0.1
 本地端口:4500
 远程端口:4500
 会话ID:1
****************************************
日期:2013年4月23日
播放时长:16:25:07
类型:信息
来源:acvpnui

说明:安全网关上配置的配置文件为:Anyconnect-ikev2.xml
****************************************
日期:2013年4月23日
播放时长:16:25:07
类型:信息
来源:acvpnui

说明:发送给用户的消息类型信息:
正在建立VPN会话……
****************************************		 客户端报告IPSec连接已建立。客户端还会检测ASA上的用户配置文件。
   ----------------------------IKE_AUTH交换结束-----------------------------------  
 

****************************************
日期:2013年4月23日
播放时长:16:25:07
类型:信息
来源:acvpndownloader

说明:函数:ProfileMgr::loadProfiles
文件: ..\Api\ProfileMgr.cpp
行:148
已加载的配置文件:
C:\Documents and Settings\All用户\应用数据\思科\Cisco AnyConnect安全移动客户端\配置文件\anyconnect-ikev2.xml
****************************************
****************************************
日期:2013年4月23日
播放时长:16:25:07
类型:信息
来源:acvpndownloader

说明:当前首选项设置:
ServiceDisable:错误
CertificateStoreOverride: false
CertificateStore:全部
ShowPreConnectMessage:错误
AutoConnectOnStart:错误
MinimizeOnConnect:真
LocalLanAccess:错误
AutoReconnect: true
AutoReconnectBehavior:DisconnectOnSuspend
UseStartBeforeLogon:错误
自动更新: true
RSAecurID集成:自动
WindowsLogonEnforcement: SingleLocalLogon
WindowsVPN建立:仅本地用户
ProxySettings:本地
AllowLocalProxyConnections: true
PPPExclusion:禁用
PPPExclusionServerIP:
AutomaticVPNPolicy:错误
TrustedNetworkPolicy:断开
UntrustedNetworkPolicy:连接
TrustedDNSDomains:
TrustedDNS服务器:
AlwaysOn:错误
ConnectFailurePolicy:关闭
AllowCaptivePortalRemediation:错误
CaptivePortalRemediationTimeout:5
ApplyLastVPNLocalResourceRules:错误
AllowVPNDisconnect: true
EnableScripting: false
TerminateScriptOnNextEvent: false
EnablePostSBLOnConnectScript: true
AutomaticCertSelection: true
RetainVpnOnLogoff:错误
UserEnforcement:SameUserOnly
EnableAutomaticServerSelection:错误
AutoServerSelectionImprovement:20
AutoServerSelectionSuspendTime:4
AuthenticationTimeout:12
SafeWordSofTokenIntegration:错误
AllowIPsecOverSSL:错误
ClearSmartcardPin:真
****************************************
日期:2013年4月23日
播放时长:16:25:07
类型:信息
来源:acvpnui

说明:发送给用户的消息类型信息:
正在建立VPN -正在检查系统……
****************************************
日期:2013年4月23日
播放时长:16:25:07
类型:信息
来源:acvpnui

说明:发送给用户的消息类型信息:
正在建立VPN -正在激活VPN适配器。..
****************************************
日期:2013年4月23日
播放时长:16:25:07
类型:信息
来源:acvpnagent

说明:函数:CVirtualAdapter::DoRegistryRepair
文件: .\WindowsVirtualAdapter.cpp
线路:1869
找到VA控制密钥:SYSTEM\CurrentControlSet\ENUM\ROOT\NET\0000\Control

****************************************
日期:2013年4月23日
播放时长:16:25:07
类型:信息
来源:acvpnagent

说明:检测到新的网络接口。
****************************************
日期:2013年4月23日
播放时长:16:25:07
类型:信息
来源:acvpnagent

说明:函数:CRouteMgr::logInterfaces
文件: .\RouteMgr.cpp
行:2076
调用的函数:logInterfaces
返回代码:0 (0x00000000)
说明:IP地址接口列表:
10.2.2.1
192.168.1.1
****************************************
日期:2013年4月23日
播放时长:16:25:08
类型:信息
来源:acvpnagent

说明:主机配置:
 公有地址:192.168.1.1
 公共掩码:255.255.255.0
 私有地址:10.2.2.1
 专用掩码:255.0.0.0
 私有IPv6地址:N/A
 私有IPv6掩码:N/A
 远程对等体:10.0.0.1(TCP端口443,UDP端口500),10.0.0.1(UDP端口4500)
 专用网络:无
 公共网络:无
 隧道模式:是
****************************************

 XML配置文件加载到客户端。由于客户端现在拥有来自ASA的IP地址,因此客户端继续激活VPN适配器。

将连接输入安全关联(SA)数据库,并且状态为REGISTERED。ASA还会执行一些检查,例如通用访问卡(CAC)统计信息、是否存在重复的SA,并设置诸如对等体失效检测(DPD)等值。

  IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Event: EV_INSERT_IKE
IKEv2-PROTO-2:(6):已创建SA;正在将SA插入数据库
IKEv2-PLAT-3:
连接状态:UP...对等体:192.168.1.1:25171,阶段1_id: *$AnyConnectClient$*
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Event: EV_REGISTER_SESSION
IKEv2-PLAT-3:(6)用户名设置为:Anu
IKEv2-PLAT-3:
连接状态:已注册...对等项:192.168.1.1:25171,phase1_id: *$AnyConnectClient$*
IKEv2-PROTO-3:(6):正在初始化DPD,配置为10秒
IKEv2-PLAT-3:(6) mib_index设置为:4501
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE事件: EV_GEN_LOAD_IPSEC
IKEv2-PROTO-3:(6):加载IPSEC密钥材料
IKEv2-PLAT-3:加密映射:动态映射dynmap seq 1000上的匹配
IKEv2-PLAT-3:(6) DPD最大时间将为:30
IKEv2-PLAT-3:(6) DPD最大时间将为:30
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE事件: EV_START_ACCT
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE事件: EV_CHECK_DUPE
IKEv2-PROTO-3:(6):检查重复SA
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE事件: EV_CHK4_ROLE
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: READY事件: EV_R_UPDATE_CAC_STATS
IKEv2-PLAT-5:激活新的ikev2 sa请求
IKEv2-PLAT-5:传入协商的递减值计数
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: READY事件: EV_R_OK
IKEv2-PROTO-3:(6):正在启动计时器以删除协商情景
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: READY Event: EV_NO_EVENT
IKEv2-PLAT-2:已收到SPI 0x77EE5348的PFKEY添加SA,错误FALSE
IKEv2-PLAT-2:已收到SPI 0x30B848A4的PFKEY更新SA,错误FALSE		  
  ****************************************
日期:2013年4月23日
播放时长:16:25:08
类型:信息
来源:acvpnagent

说明:VPN连接已建立,现在可以传递数据。
****************************************
日期:2013年4月23日
播放时长:16:25:08
类型:信息
来源:acvpnui

说明:发送给用户的消息类型信息:
正在建立VPN -正在配置系统……
****************************************
日期:2013年4月23日
播放时长:16:25:08
类型:信息
来源:acvpnui

说明:发送给用户的消息类型信息:
正在建立VPN...
****************************************
日期:2013年4月23日
播放时长:16:25:37
类型:信息
来源:acvpnagent


文件: .\IPsecProtocol.cpp
线路:945
已建立IPsec隧道
****************************************		 客户端报告隧道已启动并准备传递流量。

隧道验证

AnyConnect

show vpn-sessiondb detail anyconnect命令的示例输出为:

Session Type: AnyConnect Detailed

   Username     : Anu                    Index        : 2
   Assigned IP  : 10.2.2.1                Public IP    : 192.168.1.1
   Protocol     : IKEv2 IPsecOverNatT AnyConnect-Parent
   License      : AnyConnect Premium
   Encryption   : AES192 AES256          Hashing      : none SHA1 SHA1
   Bytes Tx     : 0                      Bytes Rx     : 11192
   Pkts Tx      : 0                      Pkts Rx      : 171
   Pkts Tx Drop : 0                      Pkts Rx Drop : 0
   Group Policy : ASA-IKEV2              Tunnel Group : ASA-IKEV2
   Login Time   : 22:06:24 UTC Mon Apr 22 2013
   Duration     : 0h:02m:26s
   Inactivity   : 0h:00m:00s
   NAC Result   : Unknown
   VLAN Mapping : N/A                    VLAN         : none

   IKEv2 Tunnels: 1
   IPsecOverNatT Tunnels: 1
   AnyConnect-Parent Tunnels: 1 

   AnyConnect-Parent:
     Tunnel ID    : 2.1
     Public IP    : 192.168.1.1
     Encryption   : none                   Auth Mode    : userPassword
   Idle Time Out: 30 Minutes             Idle TO Left : 27 Minutes
   Client Type  : AnyConnect
   Client Ver   : 3.0.1047 
    IKEv2:
     Tunnel ID    : 2.2
     UDP Src Port : 25171                  UDP Dst Port : 4500
     Rem Auth Mode: userPassword
     Loc Auth Mode: rsaCertificate
     Encryption   : AES192                 Hashing      : SHA1
     Rekey Int (T): 86400 Seconds          Rekey Left(T): 86254 Seconds
     PRF          : SHA1                   D/H Group    : 1
     Filter Name  :
     Client OS    : Windows
    IPsecOverNatT:
     Tunnel ID    : 2.3
     Local Addr   : 0.0.0.0/0.0.0.0/0/0
     Remote Addr  : 10.2.2.1/255.255.255.255/0/0
     Encryption   : AES256                 Hashing      : SHA1
   Encapsulation: Tunnel
   Rekey Int (T): 28800 Seconds          Rekey Left(T): 28654 Seconds
   Rekey Int (D): 4608000 K-Bytes        Rekey Left(D): 4607990 K-Bytes
   Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes 
   Bytes Tx     : 0                      Bytes Rx     : 11192
   Pkts Tx      : 0                      Pkts Rx      : 171
    NAC:
     Reval Int (T): 0 Seconds              Reval Left(T): 0 Seconds
     SQ Int (T)   : 0 Seconds              EoU Age(T)   : 146 Seconds
     Hold Left (T): 0 Seconds              Posture Token:    
    Redirect URL :

ISAKMP

show crypto ikev2 sa命令的示例输出为:

ASA-IKEV2#  show crypto ikev2 sa

      IKEv2 SAs:

      Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

      Tunnel-id                 Local                Remote     Status         Role
       55182129    10.0.0.1/4500         192.168.1.1/25171      READY    RESPONDER
            Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
            Life/Active Time: 86400/112 sec
      Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535   
                remote selector 10.2.2.1/0 - 10.2.2.1/65535
              ESP spi in/out: 0x30b848a4/0x77ee5348 

show crypto ikev2 sa detail命令的输出示例如下:

ASA-IKEV2# show crypto ikev2 sa detail

    IKEv2 SAs:

    Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

    Tunnel-id                 Local                Remote     Status         Role
     55182129    10.0.0.1/4500         192.168.1.1/25171      READY    RESPONDER
       Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
         Life/Active Time: 86400/98 sec
         Session-id: 2
         Status Description: Negotiation done
         Local spi: FC696330E6B94D7F       Remote spi: 58AFF71141BA436B
         Local id: hostname=ASA-IKEV2
         Remote id: *$AnyConnectClient$*
         Local req mess id: 0              Remote req mess id: 9
         Local next mess id: 0             Remote next mess id: 9
         Local req queued: 0               Remote req queued: 9
         Local window: 1                   Remote window: 1
         DPD configured for 10 seconds, retry 2
         NAT-T is detected  outside
         Assigned host addr: 10.2.2.1
   Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535
             remote selector 10.2.2.1/0 - 10.2.2.1/65535
             ESP spi in/out: 0x30b848a4/0x77ee5348
          AH spi in/out: 0x0/0x0
          CPI in/out: 0x0/0x0
            Encr: AES-CBC, keysize: 256, esp_hmac: SHA96
            ah_hmac: None, comp: IPCOMP_NONE, mode tunnel

IPsec

show crypto ipsec sa命令的示例输出为:

ASA-IKEV2# show crypto ipsec sa
   interface: outside
       Crypto map tag: dynmap, seq num: 1000, local addr: 10.0.0.1

     local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
        remote ident (addr/mask/prot/port): (10.2.2.1/255.255.255.255/0/0)
        current_peer: 192.168.1.1, username: Anu
        dynamic allocated peer ip: 10.2.2.1

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
         #pkts decaps: 163, #pkts decrypt: 108, #pkts verify: 108
         #pkts compressed: 0, #pkts decompressed: 0
         #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
         #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
         #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
         #send errors: 0, #recv errors: 55

      local crypto endpt.: 10.0.0.1/4500, remote crypto endpt.: 192.168.1.1/25171
         path mtu 1488, ipsec overhead 82, media mtu 1500
         current outbound spi: 77EE5348
         current inbound spi : 30B848A4

     inbound esp sas:
         spi: 0x30B848A4 (817383588)
            transform: esp-aes-256 esp-sha-hmac no compression
            in use settings ={RA, Tunnel,  NAT-T-Encaps, }
            slot: 0, conn_id: 8192, crypto-map: dynmap
            sa timing: remaining key lifetime (sec): 28685
            IV size: 16 bytes
            replay detection support: Y
            Anti replay bitmap:
            0xFFAD6BED 0x7ABFD5BF
       outbound esp sas:
         spi: 0x77EE5348 (2012107592)
            transform: esp-aes-256 esp-sha-hmac no compression
            in use settings ={RA, Tunnel,  NAT-T-Encaps, }
            slot: 0, conn_id: 8192, crypto-map: dynmap
            sa timing: remaining key lifetime (sec): 28685
            IV size: 16 bytes
            replay detection support: Y
            Anti replay bitmap:
           0x00000000 0x00000001

相关信息

修订历史记录

版本 发布日期 备注
1.0
04-May-2013
初始版本
TAC Authored

由思科工程师提供

  • Anu M. Chacko, Jay Young, and Atri Basu
    Cisco TAC Engineers.

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品