用於遠端訪問VPN故障排除的ASA IKEv2調試

下載選項

  • PDF     (542.5 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (100.9 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (115.9 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2013 年 10 月 9 日
文件 ID:116158

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本文檔介紹如何瞭解當網際網路金鑰交換版本2 (IKEv2)與Cisco AnyConnect安全移動客戶端一起使用時,Cisco自適應安全裝置(ASA)上的調試。本文檔還提供了有關如何轉換ASA配置中的某些調試行的資訊。

本文檔不介紹在已建立VPN隧道到ASA之後如何傳遞流量,也不包括IPSec或IKE的基本概念。

必要條件

需求

Cisco建議您瞭解IKEv2的資料包交換。有關詳細資訊,請參閱IKEv2資料包交換和協定級別調試

採用元件

本文中的資訊係根據以下軟體和硬體版本:

  • 網際網路金鑰交換版本2 (IKEv2)
  • 思科自適應安全裝置(ASA)版本8.4或更高版本

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。

核心問題

Cisco技術支援中心(TAC)通常使用IKE和IPSec debug命令來瞭解IPSec VPN隧道建立過程中出現問題的位置,但這些命令可能非常神秘。

案例

調試命令

debug crypto ikev2 protocol 127
debug crypto ikev2 platform 127
debug aggregate-auth xml 5

ASA配置

此ASA配置是嚴格意義上的基本配置,不使用外部伺服器。

interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 10.0.0.1 255.255.255.0

ip local pool webvpn1 10.2.2.1-10.2.2.10

crypto ipsec ikev2 ipsec-proposal 3des
 protocol esp encryption aes-256 aes 3des des
 protocol esp integrity sha-1
crypto dynamic-map dynmap 1000 set ikev2 ipsec-proposal 3des
crypto map crymap 10000 ipsec-isakmp dynamic dynmap
crypto map crymap interface outside

crypto ca trustpoint Anu-ikev2
 enrollment self
 crl configure

crypto ikev2 policy 10
 encryption aes-192
 integrity sha
 group 2
 prf sha
 lifetime seconds 86400

crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint Anu-ikev2
ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1
ssl trust-point Anu-ikev2 outside

webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-3.0.1047-k9.pkg 1
 anyconnect profiles Anyconnect-ikev2 disk0:/anyconnect-ikev2.xml
 anyconnect enable
 tunnel-group-list enable

group-policy ASA-IKEV2 internal
group-policy ASA-IKEV2 attributes
 wins-server none
 dns-server none
 vpn-tunnel-protocol ikev2 
 default-domain none
 webvpn
  anyconnect modules value dart
  anyconnect profiles value Anyconnect-ikev2 type user

username Anu password lAuoFgF7KmB3D0WI encrypted privilege 15

tunnel-group ASA-IKEV2 type remote-access
tunnel-group ASA-IKEV2 general-attributes
 address-pool webvpn1
 default-group-policy ASA-IKEV2
tunnel-group ASA-IKEV2 webvpn-attributes
 group-alias ASA-IKEV2 enable

XML檔案

<ServerList>
        <HostEntry>
                <HostName>Anu-IKEV2</HostName>
                <HostAddress>10.0.0.1</HostAddress>
                <UserGroup>ASA-IKEV2</UserGroup>
                <PrimaryProtocol>IPsec</PrimaryProtocol>
        </HostEntry>
</ServerList>

注意:XML客戶端配置檔案中的使用者組名稱必須與ASA上的隧道組的名稱相同。否則,會出現「Invalid Host Entry(無效主機條目)」錯誤消息。在AnyConnect客戶端上顯示「Please re-enter」(請重新輸入)。

調試日誌和說明

注意:診斷和報告工具(DART)中的日誌通常非常繁瑣,因此本示例中由於意義不大,省略了某些DART日誌。

伺服器訊息描述

調試

客戶端消息說明
 

日期:2013年4月23日
播放時長:16:24:55
型別:資訊
來源:acvpnui

描述:函式: ClientIfcBase::connect
檔案: .\ClientIfcBase.cpp
行:964
使用者已請求連線到Anu-IKEV2。

****************************************
日期:2013年4月23日
播放時長:16:24:55
型別:資訊
來源:acvpnui

描述:傳送給使用者的消息型別資訊:
正在聯絡Anu-IKEV2。
****************************************
日期:2013年4月23日
播放時長:16:24:55
型別:資訊
來源:acvpnui

描述:函式: ApiCert::getCertList
檔案: .\ApiCert.cpp
行:259
找到的憑證數目: 0
****************************************
日期:2013年4月23日
時間:16:25:00
型別:資訊
來源:acvpnui

說明:發起到安全網關的VPN連線https://10.0.0.1/ASA-IKEV2
****************************************
日期:2013年4月23日
時間:16:25:00
型別:資訊
來源: acvpnagent

描述:由GUI客戶端啟動的隧道。

****************************************

日期:2013年4月23日
播放時長:16:25:02
型別:資訊
來源: acvpnagent

描述:函式:CIPsecProtocol::connectTransport
檔案: .\IPsecProtocol.cpp
行:1629
打開的IKE套接字從192.168.1.1:25170到10.0.0.1:500
****************************************

 客戶端啟動通往ASA的VPN隧道。
  ---------------------------------IKE_SA_INIT Exchange啟動------------------------------  

ASA從客戶端接收IKE_SA_INIT消息。

IKEv2-PLAT-4:RECV PKT [IKE_SA_INIT] [192.168.1.1]:25170->[10.0.0.1]:500 InitSPI=0x58aff71141ba436b RespSPI=0x0000000000000000 MID=00000000

IKEv2-PROTO-3:Rx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id:0x0

  

第一對消息是IKE_SA_INIT交換。這些訊息會交涉密碼編譯演演算法、交換隨機數,並執行Diffie-Hellman (DH)交換。

從客戶端接收的IKE_SA_INIT消息包含以下欄位:

  1. ISAKMP報頭- SPI/版本/標誌。
  2. SAi1 - IKE發起程式支援的加密演算法。
  3. KEi -發起方的DH公鑰值。
  4. N -啟動器九。
 IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r: 0000000000000000]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B - rspi:0000000000000000
IKEv2-PROTO-4:下一個負載:SA,版本:2.0
IKEv2-PROTO-4:交換型別:IKE_SA_INIT,標誌:啟動器
IKEv2-PROTO-4:消息ID:0x0,長度:528

 SA下一個負載:KE,保留:0x0,長度:168
IKEv2-PROTO-4:最後一個建議:0x0,保留:0x0,長度:164
  方案:1,協定ID:IKE,SPI大小:0,#trans:18
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:12
    型別:1,保留:0x0,id:AES-CBC
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:12
    型別:1,保留:0x0,id:AES-CBC
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:12
    型別:1,保留:0x0,id:AES-CBC
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:8
    型別:1,保留:0x0,辨識碼:3DES
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:8
    型別:1,保留:0x0,辨識碼:DES
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:8
    型別:2,保留:0x0,id:SHA512
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:8
    型別:2,保留:0x0,id:SHA384
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:8
    型別:2,保留:0x0,id:SHA256
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:8
    型別:2,保留:0x0,id:SHA1
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:8
    型別:2,保留:0x0,辨識碼:MD5
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:8
    型別:3,保留:0x0,id:SHA512
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:8
    型別:3,保留:0x0,id:SHA384
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:8
    型別:3,保留:0x0,id:SHA256
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:8
    型別:3,保留:0x0,id:SHA96
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:8
    型別:3,保留:0x0,辨識碼:MD596
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:8
    型別:4,保留:0x0,辨識碼:DH_GROUP_1536_MODP/Group 5
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:8
    型別:4,保留:0x0,辨識碼:DH_GROUP_1024_MODP/Group 2
IKEv2-PROTO-4:上次轉換:0x0,保留:0x0:長度:8
    型別:4,保留:0x0,辨識碼:DH_GROUP_768_MODP/Group 1

 KE 下一個負載:N,保留:0x0,長度:104
    DH組:1,保留:0x0

     eb 5e 29 fe cb 2e d1 28 ed 4a 54 b1 13 7c b8 89
     f7 62 13 6b df 95 88 28 b5 97 ba 52 ef e4 1d 28
     ca 06 d1 36 b6 67 32 9a c2 dd 4e d8 c7 80 de 20
     36 34 c5 b3 3e 1d 83 1a c7 fb 9d b8 c5 f5ed 5f
     ba ba 4f b6 b2 e2 2d 43 4f a0 b6 90 9a 11 3f 7d
     0a 21 c3 4d d3 0a d2 1e 33 43 d3 5e cc 4b 38 e0
 N下一個負載:VID,保留:0x0,長度:24

     20 12 8f 22 7b 16 23 52 e4 29 4d 98 c7 fd a8 77
     ce 7c 0b4
IKEv2-PROTO-5:解析供應商特定負載:CISCO-DELETE-REASON VID下一個負載:VID,保留:0x0,長度:23		  

ASA驗證並處理
IKE_INIT消息。ASA:

  1. 選擇加密套件
    由發起人提供的。
  2. 計算自己的DH金鑰。
  3. 計算SKYID值
    可為其派生所有金鑰
    此IKE_SA。所有專案的標頭
    後續訊息為
    已加密且已驗證。其
    用於加密和
    完整性保護已派生
    從SKYID開始,稱為:

    1. SK_e -加密。
    2. SK_a -身份驗證。
    3. SK_d -派生和使用
      用於進一步推導
      鍵控材料
      CHILD_SA。
    單獨的SK_e和SK_a為
    計算每個方向。

相關配置:

crypto ikev2 policy 10
 encryption aes-192 integrity 
 sha group 2  prf sha lifetime 
 seconds 86400
crypto ikev2 enable outside
 解密的資料包:資料: 528位元組
IKEv2-PLAT-3:處理自定義VID負載
IKEv2-PLAT-3:從對等體接收的思科版權VID
IKEv2-PLAT-3:從對等體接收的AnyConnect EAP VID
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState:空閒事件:EV_RECV_INIT
IKEv2-PROTO-3:(6):檢查NAT發現
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState:空閒事件:EV_CHK_REDIRECT
IKEv2-PROTO-5:(6):不需要重定向檢查,將跳過它
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState:空閒事件:EV_CHK_CAC
IKEv2-PLAT-5:已承認新ikev2 sa請求
IKEv2-PLAT-5:傳入協商sa計數增加1
IKEv2-PLAT-5:無效的PSH控制代碼
IKEv2-PLAT-5:無效的PSH控制代碼
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE Event: EV_CHK_COOKIE
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE Event: EV_CHK4_COOKIE_NOTIFY
IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT事件: EV_VERIFY_MSG
IKEv2-PROTO-3: (6): Verify SA init message
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT事件: EV_INSERT_SA
IKEv2-PROTO-3:(6):插入SA
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT事件: EV_GET_IKE_POLICY
IKEv2-PROTO-3:(6):獲取已配置的策略
IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT事件: EV_PROC_MSG
IKEv2-PROTO-2:(6):處理初始消息
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT事件: EV_DETECT_NAT
IKEv2-PROTO-3:(6):處理NAT發現通知
IKEv2-PROTO-5:(6):處理nat detect src notify
IKEv2-PROTO-5:(6):遠端地址不匹配
IKEv2-PROTO-5:(6):處理nat檢測dst通知
IKEv2-PROTO-5:(6):本地地址匹配
IKEv2-PROTO-5:(6):主機位於NAT外部
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT事件: EV_CHK_CONFIG_MODE
IKEv2-PROTO-3: (6):已接收有效配置模式資料
IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT事件: EV_SET_RECD_CONFIG_MODE
IKEv2-PROTO-3:(6):設定接收的配置模式資料
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT事件: EV_SET_POLICY
IKEv2-PROTO-3:(6):設定配置的策略
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT事件: EV_CHK_AUTH4PKI
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT事件: EV_PKI_SESH_OPEN
IKEv2-PROTO-3:(6):打開PKI會話
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT事件: EV_GEN_DH_KEY
IKEv2-PROTO-3:(6):計算DH公鑰
IKEv2-PROTO-3:(6):
IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT事件: EV_NO_EVENT
IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT事件: EV_OK_RECD_DH_PUBKEY_RESP
IKEv2-PROTO-5:(6):操作:Action_Null
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT事件: EV_GEN_DH_SECRET
IKEv2-PROTO-3:(6):計算DH金鑰
IKEv2-PROTO-3:(6):
IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT事件: EV_NO_EVENT
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT事件: EV_OK_RECD_DH_SECRET_RESP
IKEv2-PROTO-5:(6):操作:Action_Null
IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT事件: EV_GEN_SKEYID
IKEv2-PROTO-3: (6):生成skyid
IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT事件: EV_GET_CONFIG_MODE		  

ASA構建IKE_SA_INIT交換的響應消息。

此封包包含:

  1. ISAKMP報頭- SPI/版本/標誌。
  2. SAr1 - IKE響應方選擇的加密演算法。
  3. KEr -響應方的DH公鑰值。
  4. N -響應程式無。
 IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT事件:EV_BLD_MSG
IKEv2-PROTO-2:(6):傳送初始消息
IKEv2-PROTO-3:IKE提議:1,SPI大小:0(初始協商),
轉換編號:4
   AES-CBC SHA1 SHA96 DH_GROUP_768_MODP/Group 1
IKEv2-PROTO-5:構建供應商特定負載:DELETE-REASONIKEv2-PROTO-5:構建供應商特定負載:(自定義)IKEv2-PROTO-5:構建供應商特定負載:(自定義)IKEv 2-PROTO-5:構造通知有效負載:NAT_DETECTION_SOURCE_IPIKEv2-PROTO-5:構造通知有效負載:NAT_DETECTION_DESTINATION_IPIKEv2-PLAT-2:無法檢索受信任的發行者雜湊或無可用雜湊
IKEv2-PROTO-5:構建供應商特定負載:FRAGMENTATIONIKEv2-PROTO-3: Tx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id: 0x0
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:下一個負載:SA,版本:2.0
IKEv2-PROTO-4:交換型別:IKE_SA_INIT,標誌:響應方MSG-RESPONSE
IKEv2-PROTO-4:消息ID:0x0,長度:386
 SA下一個負載:KE,保留:0x0,長度:48
IKEv2-PROTO-4:最後一個建議:0x0,保留:0x0,長度:44
  方案:1,協定ID:IKE,SPI大小:0,#trans:4
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:12
    型別:1,保留:0x0,id:AES-CBC
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:8
    型別:2,保留:0x0,id:SHA1
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:8
    型別:3,保留:0x0,id:SHA96
IKEv2-PROTO-4:上次轉換:0x0,保留:0x0:長度:8
    型別:4,保留:0x0,辨識碼:DH_GROUP_768_MODP/Group 1

 KE 下一個負載:N,保留:0x0,長度:104
    DH組:1,保留:0x0

     c9 30 f9 32 d4 7c d1 a7 5b 71 72 09 6e 7e 91 0c
     e1 ce b4 a4 3c f2 8b 74 4e 20 59 b4 0b a1 ff 65
     37 88 cc c4 a4 b6 fa 4a 63 03 93 89 e1 7e bd 6a
     64 9a 38 24 e2 a8 40 f5 a3 d6 ef f7 1a df 33cc
     a1 8e fa dc 9c 34 45 79 1a 7c 29 05 87 8a ac 02
     98 2e 7d cb 41 51 d6 fe fc c7 76 83 1d 03 b0 d7
 N下一個負載:VID,保留:0x0,長度:24

     c2 28 7f 8c 7d b3 1e 51 fc eb f1 97 ec 97 b8 67
     d5 e7 c2 f5
 VID下一個負載:VID,保留:0x0,長度:23		  
ASA會為IKE_SA_INIT交換傳送響應消息。IKE_SA_INIT交換現已完成。ASA會啟動身份驗證過程的計時器。  IKEv2-PLAT-4:傳送的PKT [IKE_SA_INIT] [10.0.0.1]:500->[192.168.1.1]:25170 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000000
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DONE事件: EV_DONE
IKEv2-PROTO-3:(6):已啟用分段
IKEv2-PROTO-3:(6):已啟用Cisco DeleteReason Notify
IKEv2-PROTO-3:(6):完成SA初始交換
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DONE事件: EV_CHK4_ROLE
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DONE事件: EV_START_TMR
IKEv2-PROTO-3:(6):啟動計時器以等待身份驗證消息(30秒)
IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_WAIT_AUTH事件: EV_NO_EVENT    

 ****************************************
日期:2013年4月23日
播放時長:16:25:02
型別:資訊
來源: acvpnagent

描述:函式:CIPsecProtocol::initiateTunnel
檔案: .\IPsecProtocol.cpp
行:345
IPsec隧道正在啟動
****************************************

客戶端將IPSec隧道顯示為「正在啟動」。
   -----------------------------------IKE_SA_INIT完成---------------------------------  
  ------------------------------------- IKE_AUTH開始-------------------------------------  
  ****************************************
日期:2013年4月23日
時間:16:25:00
型別:資訊
來源: acvpnagent

描述:安全網關引數:
 IP地址:10.0.0.1
 連線埠:443
 URL:「10.0.0.1」
 身份驗證方法:IKE - EAP-AnyConnect
 IKE身份:
****************************************
日期:2013年4月23日
時間:16:25:00
型別:資訊
來源: acvpnagent

說明:啟動Cisco AnyConnect安全移動客戶端連線,版本3.0.1047
****************************************

日期:2013年4月23日
播放時長:16:25:02
型別:資訊
來源: acvpnagent

描述:函式:ikev2_log
檔案: .\ikev2_anyconnect_osal.cpp
行:2730
已收到建立IPsec隧道的請求;本地流量選擇器=地址範圍:0.0.0-255.255.255.255協定:0埠範圍:0-65535;遠端流量選擇器=地址範圍:0.0.0-255.255.255.255協定:0埠範圍:0-65535
****************************************
日期:2013年4月23日
播放時長:16:25:02
型別:資訊
來源: acvpnagent

描述:函式:CIPsecProtocol::connectTransport
檔案: .\IPsecProtocol.cpp
行:1629
打開的IKE套接字從192.168.1.1:25171到10.0.0.1:4500
****************************************

 客戶端從消息3中省略AUTH有效負載,以表示希望使用可擴展身份驗證。當使用者端設定檔指定或隱含可延伸驗證通訊協定(EAP)驗證,且設定檔不包含<IKEIdentity>專案時,使用者端會傳送具有固定字串*$AnyConnectClient$*的ID_GROUP型別IDi負載。客戶端在埠4500上發起到ASA的連線。

使用EAP完成身份驗證。在EAP通話中只允許一個EAP驗證方法。ASA從客戶端接收IKE_AUTH消息。

IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001

IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x1

  

當客戶端包含IDi負載時
但不是AUTH負載,這表示
使用者端已宣告身分辨識,但
沒有經過證實。在調試中,
IKE_AUTH中沒有負載
客戶端傳送的資料包。使用者端
僅在以下時間之後傳送身份驗證有效負載:
EAP交換成功。如果ASA
願意使用可擴展的
身份驗證方法,它放置一個EAP
消息4中的負載和延遲傳送
SAr2、TSi和TSr,直到啟動器
身份驗證在
後續IKE_AUTH交換。

IKE_AUTH發起方資料包包含:

  1. ISAKMP報頭-
    SPI/版本/標誌。
  2. IDi -隧道組名稱,用於顯示
    客戶端希望連線到
    可能由IDi提供
    型別ID_KEY_ID的有效負載
    的初始消息
    IKE_AUTH交換。此
    在使用者端設定檔*為
    預先設定群組名稱
    或者,在上一成功後
    身份驗證,客戶端具有
    快取其群組名稱
    偏好設定檔案。ASA
    嘗試匹配隧道組
    包含IKE內容的名稱
    IDi負載。在第一個
    成功的IPSec VPN是
    已建立,使用者端會快取
    群組名稱(群組別名)
    使用者已驗證。此群組
    名稱以IDi傳送
    下一個連線的負載
    嘗試指示
    可能由客戶所希望的組
    使用者。當EAP驗證為
    由使用者端指定或暗示
    設定檔與設定檔不
    包含<IKEIdentity>
    元素,客戶端傳送
    ID_GROUP型別IDi負載
    使用固定字串
    *$AnyConnectClient$*。
  3. CERTREQ -客戶端是
    請求ASA
    首選證書。憑證
    請求負載可能包含在內
    在交換中,
    需要獲取
    接收器。憑證要求
    負載處理者
    檢查「證書編碼」
    欄位以確定
    處理器是否有任何
    此型別的證書。如果是,
    「證書頒發機構」欄位為
    檢查,以確定是否
    處理器具有任何憑證
    最多可以驗證其中一個
    指定的認證
    權威機構。這可以是
    憑證。
  4. CFG - CFG_REQUEST/
    CFG_REPLY允許IKE
    要請求資訊的終結點
    從它的同儕那裡。如果屬性
    CFG_REQUEST配置
    負載不是零長度,它是
    以此為建議的
    attribute.CFG_REPLY
    配置負載可能返回
    這個值或者一個新值。它可以
    同時新增屬性,而非
    包括一些請求的。
    已傳回要求者略過
    不需要的屬性
    認識。在這些調試中,
    客戶端正在請求隧道
    中的配置
    CFG_REQUEST。ASA
    對此作出回覆並傳送隧道
    僅在以下時間之後才配置屬性
    eap交換成功。
  5. SAi2 - SAi2發起SA,
    類似於第2階段
    IKEv1中的轉換集交換。
  6. TSiTSr -發起方和
    響應方流量選擇器
    分別包含源
    和目的地址
    發起方和響應方,
    轉發和接收已加密
    流量。地址範圍
    指定往返的所有流量
    那個範圍是隧道式的。如果
    建議書可被接受
    響應方,它傳送相同的TS
    回收量。

從屬端必須遞送的屬性
群組驗證儲存在
AnyConnect配置檔案。

* 相關配置檔案配置:

<ServerList>
<HostEntry>
  <HostName>Anu-IKEV2
  </HostName>
  <HostAddress>10.0.0.1
  </HostAddress>
  
         
         
           ASA-IKEV2 
          
 
         
<PrimaryProtocol>IPsec
</PrimaryProtocol>
</HostEntry>
</ServerList>
 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:下一個負載:加密,版本:2.0
IKEv2-PROTO-4:交換型別:IKE_AUTH,標誌:啟動器
IKEv2-PROTO-4:消息ID:0x1,長度:540
IKEv2-PROTO-5:(6):請求具有mess_id 1;應為1到1
REAL Decrypted Packet:資料:465位元組
IKEv2-PROTO-5:解析供應商特定負載:(自定義) VID下一個負載: IDi,保留: 0x0,長度: 20

     58 af f6 11 52 8d b0 2c b8 da 30 46 be 91 56 fa
 IDi下一個負載:CERTREQ,保留:0x0,長度:28
    Id型別:組名,保留:0x0 0x0

     2a 24 41 6e 79 43 6f 6e 6e 65 63 74 43 6c 69 65
     6e 74 24 2a
 CERTREQ下一個負載:CFG,保留:0x0,長度:25
    證書編碼X.509證書-簽名
CertReq資料&冒號; 20位元組
 CFG下一個負載:SA,保留:0x0,長度:196
    cfg型別:CFG_REQUEST,保留:0x0,保留:0x0

   屬性型別:內部IP4地址,長度:0

   屬性型別:內部IP4網路掩碼,長度:0

   屬性型別:內部IP4 DNS,長度:0

   屬性型別:內部IP4 NBNS,長度:0

   屬性型別:內部地址到期,長度:0

   屬性型別:應用程式版本,長度:27

     41 6e 79 43 6f 6e 6e 65 63 74 20 57 69 6e 64 6f
     77 73 20 33 2e 30 2e 31 30 34 37
   屬性型別:內部IP6地址,長度:0

   屬性型別:內部IP4子網,長度:0

   屬性型別:未知- 28682,長度:15

     77 69 6e 78 70 36 34 74 65 6d 70 6c 61 74 65
   屬性型別:未知- 28704,長度:0

   屬性型別:未知- 28705,長度:0

   屬性型別:未知- 28706,長度:0

   屬性型別:未知- 28707,長度:0

   屬性型別:未知- 28708,長度:0

   屬性型別:未知- 28709,長度:0

   屬性型別:未知- 28710,長度:0

   屬性型別:未知- 28672,長度:0

   屬性型別:未知- 28684,長度:0

   屬性型別:未知- 28711,長度:2

     05 7e
   屬性型別:未知- 28674,長度:0

   屬性型別:未知- 28712,長度:0

   屬性型別:未知- 28675,長度:0

   屬性型別:未知- 28679,長度:0

   屬性型別:未知- 28683,長度:0

   屬性型別:未知- 28717,長度:0

   屬性型別:未知- 28718,長度:0

   屬性型別:未知- 28719,長度:0

   屬性型別:未知- 28720,長度:0

   屬性型別:未知- 28721,長度:0

   屬性型別:未知- 28722,長度:0

   屬性型別:未知- 28723,長度:0

   屬性型別:未知- 28724,長度:0

   屬性型別:未知- 28725,長度:0

   屬性型別:未知- 28726,長度:0

   屬性型別:未知- 28727,長度:0

   屬性型別:未知- 28729,長度:0

 SA下一個負載:TSi,保留:0x0,長度:124
IKEv2-PROTO-4:最後一個建議:0x0,保留:0x0,長度:120
  方案:1,協定id:ESP,SPI大小:4,#trans:12
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:12
    型別:1,保留:0x0,id:AES-CBC
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:12
    型別:1,保留:0x0,id:AES-CBC
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:12
    型別:1,保留:0x0,id:AES-CBC
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:8
    型別:1,保留:0x0,辨識碼:3DES
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:8
    型別:1,保留:0x0,辨識碼:DES
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:8
    型別:1,保留:0x0,id:空
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:8
    型別:3,保留:0x0,id:SHA512
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:8
    型別:3,保留:0x0,id:SHA384
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:8
    型別:3,保留:0x0,id:SHA256
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:8
    型別:3,保留:0x0,id:SHA96
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:8
    型別:3,保留:0x0,辨識碼:MD596
IKEv2-PROTO-4:上次轉換:0x0,保留:0x0:長度:8
    型別:5,保留:0x0,id:

 TSi下一個負載:TSr,保留:0x0,長度:24
    TS數:1,保留0x0,保留0x0
    TS型別:TS_IPV4_ADDR_RANGE,proto id:0,長度:16
    起始埠:0,終止埠:65535
    開始地址:0.0.0.0,結束地址:255.255.255.255
 TSr下一個負載:NOTIFY,保留:0x0,長度:24
    TS數:1,保留0x0,保留0x0
    TS型別:TS_IPV4_ADDR_RANGE,proto id:0,長度:16
    起始埠:0,終止埠:65535
    開始地址:0.0.0.0,結束地址:255.255.255.255		  

ASA會生成對IKE_AUTH消息的響應,並準備向客戶端進行身份驗證。

解密的封包:資料冒號(&C);540位元組
IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH事件: EV_RECV_AUTH
IKEv2-PROTO-3:(6):正在停止計時器以等待身份驗證消息
IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH事件: EV_CHK_NAT_T
IKEv2-PROTO-3:(6):檢查NAT發現
IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH事件: EV_CHG_NAT_T_PORT
IKEv2-PROTO-2:(6):NAT檢測到浮動到初始埠25171,響應埠4500
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH事件: EV_PROC_ID
IKEv2-PROTO-2: (6):進程ID中收到有效引數
IKEv2-PLAT-3:(6)對等身份驗證方法設定為: 0
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7D f (R) MsgID = 00000001 CurState: R_WAIT_AUTH事件: EV_CHK_IF_PEER_CERT_NEEDS_TO_BE_FETCHED_FOR_PROF_SEL
IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH事件: EV_GET_POLICY_BY_PEERID
IKEv2-PROTO-3:(6):獲取已配置的策略
IKEv2-PLAT-3:根據ID負載檢測到新的AnyConnect客戶端連線
IKEv2-PLAT-3: my_auth_method = 1
IKEv2-PLAT-3:(6)對等身份驗證方法設定為: 256
IKEv2-PLAT-3: supported_peers_auth_method = 16
IKEv2-PLAT-3:(6) tp_name設定為:Anu-ikev2
IKEv2-PLAT-3:信任點設定為:Anu-ikev2
IKEv2-PLAT-3:P1 ID = 0
IKEv2-PLAT-3:將IKE_ID_AUTO轉換為= 9
IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH事件: EV_SET_POLICY
IKEv2-PROTO-3:(6):設定配置的策略
IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH事件: EV_VERIFY_POLICY_BY_PEERID
IKEv2-PROTO-3:(6):驗證對等體的策略
IKEv2-PROTO-3: (6):找到匹配的證書
IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH事件: EV_CHK_CONFIG_MODE
IKEv2-PROTO-3: (6):已接收有效配置模式資料
IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH事件: EV_SET_RECD_CONFIG_MODE
IKEv2-PLAT-3:(6) DDNS的DHCP主機名設定為: winxp64template
IKEv2-PROTO-3:(6):設定接收的配置模式資料
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH事件: EV_CHK_AUTH4EAP
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH事件: EV_CHK_EAP
IKEv2-PROTO-3:(6):檢查EAP交換
IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTH事件: EV_GEN_AUTH
IKEv2-PROTO-3:(6):生成我的身份驗證資料
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTH事件: EV_CHK4_SIGN
IKEv2-PROTO-3: (6):獲取我的身份驗證方法
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTH事件: EV_SIGN
IKEv2-PROTO-3:(6):簽名身份驗證資料
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTH事件: EV_OK_AUTH_GEN
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ事件: EV_AUTHEN_REQ
IKEv2-PROTO-2:(6):要求身份驗證器傳送EAP請求

已建立元素名稱config-auth值
已將屬性名稱client值vpn增加到元素config-auth
已將屬性名稱型別值hello增加到元素config-auth
已建立元素名稱版本值9.0(2)8
已將元素名稱版本值9.0(2)8增加到元素配置-auth
將值設為sg的屬性名稱新增至要素版本
下面產生的XML訊息
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="hello">
<version who="sg">9.0(2)8</version>
</config-auth>

IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ Event: EV_RECV_EAP_AUTH
IKEv2-PROTO-5:(6):操作:Action_Null
IKEv2-PROTO-5:(6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ Event: EV_CHK_REDIRECT
IKEv2-PROTO-3:(6):重新導向檢查與平台之間的負載平衡
IKEv2-PLAT-3:在平台上重定向檢查
IKEv2-PLAT-3: ikev2_osal_redirect: 10.0.0.1接受的會話
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ事件: EV_SEND_EAP_AUTH_REQ
IKEv2-PROTO-2:(6):傳送EAP請求
IKEv2-PROTO-5:構建供應商特定負載:CISCO-GRANITEIKEv2-PROTO-3:(6):構建

  

ASA會傳送身份驗證負載,以便從客戶端請求使用者憑證。ASA將身份驗證方法作為「RSA」傳送,因此它會將自己的證書傳送給客戶端,以便客戶端可以對ASA伺服器進行身份驗證。

由於ASA願意使用可擴展身份驗證方法,因此會在消息4中放置EAP負載,並延遲傳送SAr2、TSi和TSr,直到在隨後的IKE_AUTH交換中完成啟動器身份驗證。因此,調試中不存在這三個有效負載。

EAP資料包包含:

  1. Code: request -此代碼由身份驗證器傳送到對等體。
  2. id:1 -該id有助於將EAP響應與請求進行匹配。這裡的值為1,表示這是EAP交換中的第一個資料包。此EAP請求的「config-auth」型別為「hello;」,它從ASA傳送到客戶端以啟動EAP交換。
  3. 長度:150 - EAP資料包的長度包括代碼、id、長度和EAP資料。
  4. EAP資料
  IDr。下一個負載:CERT,保留:0x0,長度:36
    Id型別:DER ASN1 DN,保留:0x0 0x0

     30 1a 31 18 30 16 06 09 2a 86 48 86 f7 0d 01 09
     02 16 09 41 53 41 2d 49 4b 45 56 32
 CERT 下一個負載:CERT,保留:0x0,長度:436
    證書編碼X.509證書-簽名
憑證資料(&C); 431位元組
 證書下一個負載:身份驗證,保留:0x0,長度:436
    證書編碼X.509證書-簽名
憑證資料(&C); 431位元組
 AUTH下一個負載:EAP,保留:0x0,長度:136
    身份驗證方法RSA,保留: 0x0,保留0x0
身份驗證資料(&C);128位元組
 EAP下一個負載:無,保留:0x0,長度:154
    代碼:請求:id:1,長度:150
    型別:未知- 254
EAP資料: 145位元組

IKEv2-PROTO-3:發射機[L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id:0x1
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B -相對於FC696330E6B94D7F
IKEv2-PROTO-4:下一個負載:ENCR,版本:2.0
IKEv2-PROTO-4:交換型別:IKE_AUTH,標誌:響應方MSG-RESPONSE
IKEv2-PROTO-4:消息ID:0x1,長度:1292
 ENCR下一個負載:VID,保留:0x0,長度:1264
加密資料(&C);1260位元組		  

如果憑證很大或包含憑證鏈結,就可能會發生分段。發起方和響應方KE有效負載還可以包括大金鑰,這也可能導致分段。

 IKEv2-PROTO-5:(6):資料包分段,分段MTU:544,分段數量:3,分段ID:1
IKEv2-PLAT-4:傳送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001
IKEv2-PLAT-4:傳送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001
IKEv2-PLAT-4:傳送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001		  
 

****************************************
日期:2013年4月23日
播放時長:16:25:02
型別:資訊
來源: acvpnagent

描述:函式:ikev2_verify_X509_SIG_certs
檔案: .\ikev2_anyconnect_osal.cpp
明細行:2077
要求使用者接受憑證
****************************************
日期:2013年4月23日
播放時長:16:25:02
型別:錯誤
來源:acvpnui

描述:函式: CCapiCertificate::verifyChainPolicy
檔案: .\Certificates\CapiCertificate.cpp
行:2032
呼叫的函式: CertVerifyCertificateChainPolicy
返回代碼:-2146762487 (0x800B0109)
描述:憑證鏈結已處理,但在信任提供者不信任的根憑證中終止。
****************************************
日期:2013年4月23日
播放時長:16:25:04
型別:資訊
來源: acvpnagent

描述:函式:CEAPMgr::dataRequestCB
檔案: .\EAPMgr.cpp
明細行:400
EAP建議型別:EAP-ANYCONNECT
****************************************

 ASA傳送的證書將提供給使用者。憑證不受信任。EAP型別為EAP-ANYCONNECT。

使用者端會以回應來回應EAP要求。

EAP資料包包含:

  1. Code: response -此代碼由對等體傳送到身份驗證器,以響應EAP請求。
  2. id:1 - 該id幫助將EAP響應與請求相匹配。此處值為1,表示這是對ASA(身份驗證器)之前傳送的請求的響應。此EAP響應的「config-auth」型別為「init」;客戶端正在初始化EAP交換,並等待ASA生成身份驗證請求。
  3. 長度:252 - EAP資料包的長度包括代碼、id、長度和EAP資料。
  4. EAP資料

ASA解密此響應,客戶端稱其已在上一個資料包(具有證書)中接收到AUTH負載,並從ASA接收了第一個EAP請求資料包。這是「init」EAP回應封包所包含的內容。

IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000002
IKEv2-PROTO-3:Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id:0x2
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:下一個負載:ENCR,版本:2.0
IKEv2-PROTO-4:交換型別:IKE_AUTH,標誌:啟動器
IKEv2-PROTO-4:消息ID:0x2,長度:332
IKEv2-PROTO-5:(6):請求具有mess_id 2;應為2到2
REAL Decrypted Packet:資料:256位元組
 EAP下一個負載:無,保留:0x0,長度:256
    代碼:響應ID:1長度:252
    型別:未知- 254
EAP資料:247位元組

解密的封包:資料冒號(&C);332位元組
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_WAIT_EAP_RESP事件: EV_RECV_AUTH
IKEv2-PROTO-3:(6):正在停止計時器以等待身份驗證消息
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_WAIT_EAP_RESP事件: EV_RECV_EAP_RESP

IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_PROC_EAP_RESP事件: EV_PROC_MSG
IKEv2-PROTO-2:(6):處理EAP響應

從客戶端收到以下XML消息
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="init">
<device-id>win</device-id>
<version who="vpn">3.0.1047</version>
<group-select>ASA-IKEV2</group-select>
<group-access>ASA-IKEV2</group-access>
</config-auth>
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_PROC_EAP_RESP事件: EV_RECV_EAP_AUTH

IKEv2-PROTO-5:(6):操作:Action_Null
IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_BLD_EAP_REQ事件: EV_RECV_EAP_REQ

  

這是ASA向客戶端傳送的第二個請求。

EAP資料包包含:

  1. Code: request -此代碼由身份驗證器傳送到對等體。
  2. id:2 -該id有助於將EAP響應與請求進行匹配。這裡的值為2,表示它是交換中的第二個資料包。此請求具有「config-auth」型別的「auth-request」;ASA請求客戶端傳送使用者身份驗證憑證。
  3. 長度:457 - EAP資料包的長度包括代碼、id、長度和EAP資料。
  4. EAP資料

加密裝載:

此負載被解密,其內容被解析為其他負載。

IKEv2-PROTO-2:(6):正在傳送EAP請求

下面產生的XML訊息
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="auth-request">
<version who="sg">9.0(2)8</version>
<opaque is-for="sg">
<tunnel-group>ASA-IKEV2</tunnel-group>
<config-hash>1367268141499</config-hash>
</opaque>
<csport>443</csport>
<auth id="main">
<表單>
<input type="text" name="username" label="Username:"></input>
<input type="password" name="password" label="Password:"></input>
</form>
</auth>
</config-auth>
IKEv2-PROTO-3:(6):構建用於加密的資料包;內容包括:
 EAP下一個負載:無,保留:0x0,長度:461
    代碼:請求:id:2,長度:457
    型別:未知- 254
EAP資料: 452位元組

IKEv2-PROTO-3:發射機[L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id:0x2
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:下一個負載:ENCR,版本:2.0
IKEv2-PROTO-4:交換型別:IKE_AUTH,標誌:RESPONDER MSG-RESPONSE
IKEv2-PROTO-4:消息ID:0x2,長度:524
 ENCR下一個負載:EAP,保留:0x0,長度:496
加密資料(&C);492位元組

IKEv2-PLAT-4:已傳送PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000002
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_BLD_EAP_REQ事件: EV_START_TMR。
IKEv2-PROTO-3:(6):啟動計時器以等待使用者身份驗證消息(120秒)
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_WAIT_EAP_RESP事件: EV_NO_EVENT   

 ****************************************
日期:2013年4月23日
播放時長:16:25:04
型別:資訊
來源:acvpnui

描述:函式:
SDIMgr::ProcessPromptData
檔案: .\SDIMgr.cpp
行:281
身份驗證型別不是SDI。
****************************************
日期:2013年4月23日
播放時長:16:25:07
型別:資訊
來源:acvpnui

描述:函式: ConnectMgr::userResponse
檔案: .\ConnectMgr.cpp
行:985
正在處理使用者響應。
****************************************

客戶端請求使用者身份驗證並將其作為EAP響應傳送到下一個資料包(「auth-reply」)。

客戶端傳送另一條包含EAP負載的IKE_AUTH啟動器消息。

EAP資料包包含:

  1. Code: response -此代碼由對等體傳送到身份驗證器,以響應EAP請求。
  2. id:2 -該id有助於將EAP響應與請求進行匹配。此處值為2,表示這是對ASA(身份驗證器)之前傳送的請求的響應。
  3. 長度:420 - EAP資料包的長度包括代碼、id、長度和EAP資料。
  4. EAP資料
  IKEv2-PLAT-4:RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PROTO-3:Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id:0x3
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:下一個負載:ENCR,版本:2.0
IKEv2-PROTO-4:交換型別:IKE_AUTH,標誌:啟動器
IKEv2-PROTO-4:消息ID:0x3,長度:492
IKEv2-PROTO-5:(6):請求具有mess_id 3;應為3到3


REAL Decrypted Packet:資料:424位元組
 EAP下一個負載:無,保留:0x0,長度:424
    代碼:響應:id:2,長度:420
    型別:未知- 254
EAP資料: 415位元組		  

ASA處理此響應。使用者端要求使用者輸入認證。此EAP響應具有「config-auth」型別的「auth-reply」。 此封包包含使用者輸入的認證。

解密的資料包:資料:492位元組
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_WAIT_EAP_RESP事件: EV_RECV_AUTH
IKEv2-PROTO-3:(6):正在停止計時器以等待身份驗證消息
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_WAIT_EAP_RESP事件: EV_RECV_EAP_RESP
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_PROC_EAP_RESP事件: EV_PROC_MSG
IKEv2-PROTO-2:(6):處理EAP響應

從客戶端收到以下XML消息
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="auth-reply">
<device-id>win</device-id>
<version who="vpn">3.0.1047</version>
<session-token></session-token>
<session-id></session-id>
<opaque is-for="sg">
<隧道組>ASA-IKEV2</隧道組>
<config-hash>1367268141499</config-hash></opaque>
<auth>
<password>cisco123</password>
<username>Anu</username></auth>
</config-auth>
IKEv2-PLAT-1:EAP:已啟動使用者身份驗證
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_PROC_EAP_RESP事件: EV_NO_EVENT
IKEv2-PLAT-5:EAP:在AAA回撥中
檢索的伺服器證書摘要:DACE1C274785F28BA11D64453096BAE294A3172E
IKEv2-PLAT-5:EAP:在AAA回撥中成功
IKEv2-PROTO-3:收到來自身份驗證器的響應
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_PROC_EAP_RESP事件: EV_RECV_EAP_AUTH
IKEv2-PROTO-5:(6):操作:Action_Null

  

ASA在交換中構建第三個EAP請求。

EAP資料包包含:

  1. Code: request -此代碼由身份驗證器傳送到對等體。
  2. id:3 -該id有助於將EAP響應與請求進行匹配。這裡的值為3,表示它是交換中的第三個資料包。此資料包的「config-auth」型別為「complete」;ASA已收到回覆,並且EAP交換已完成。
  3. 長度:4235 - EAP資料包的長度包括代碼、id、長度和EAP資料。
  4. EAP資料

加密裝載:

此負載被解密,其內容被解析為其他負載。

IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_BLD_EAP_REQ事件: EV_RECV_EAP_REQ
IKEv2-PROTO-2:(6):正在傳送EAP請求

下面產生的XML訊息
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="complete">
<version who="sg">9.0(2)8</version>
<session-id>32768</session-id>
<session-token>18wA0TtGmDxPKPQCJywC7fB7EWLCEgz-ZtjYpAyXx2yJH0H3G3H8t5xpBOx3Ixag</session-token>
<auth id="success">
<message id="0" param1="" param2="></message>
</auth>


IKEv2-PROTO-3:(6):構建用於加密的資料包;內容包括:
 EAP下一個負載:無,保留:0x0,長度:4239
    代碼:請求:id:3,長度:4235
    型別:未知- 254
EAP資料: 4230位元組

IKEv2-PROTO-3:發射機[L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id:0x3
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:下一個負載:ENCR,版本:2.0
IKEv2-PROTO-4:交換型別:IKE_AUTH,標誌:RESPONDER MSG-RESPONSE
IKEv2-PROTO-4:消息ID:0x3,長度:4300
 ENCR 下一個負載:EAP,保留:0x0,長度:4272
加密資料(&C);4268位元組

IKEv2-PROTO-5:(6):資料包分段,分段MTU:544,分段數量:9,分段ID:2
IKEv2-PLAT-4:傳送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4:傳送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4:傳送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4:傳送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4:傳送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4:傳送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4:傳送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4:傳送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4:傳送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_BLD_EAP_REQ事件: EV_START_TMR。
IKEv2-PROTO-3:(6):啟動計時器以等待使用者身份驗證消息(120秒)
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_WAIT_EAP_RESP事件: EV_NO_EVENT

  
  ****************************************
日期:2013年4月23日
播放時長:16:25:07
型別:資訊
來源: acvpnagent

描述:當前配置檔案:Anyconnect-ikev2.xml
已接收VPN會話配置設定:
 保持安裝:啟用
 代理設定:不修改
 代理伺服器:無
 代理PAC URL:無
 代理例外:無
 代理鎖定:已啟用
 Split Exclude:已停用本地LAN訪問首選項
 分割包含:已停用
 分割DNS:已停用
 本地LAN萬用字元:本地LAN訪問首選項已停用
 防火牆規則:無
 客戶端地址:10.2.2.1
 客戶端掩碼:255.0.0.0
 客戶端IPv6地址:未知
 客戶端IPv6掩碼:未知
 MTU: 1406
 IKE保持連線:20秒
 IKE DPD:30秒
 會話超時:0秒
 中斷連線逾時:1800秒
 空閒超時:1800秒
 伺服器:不明
 MUS主機:未知
 DAP使用者消息:無
 隔離狀態:已停用
 永遠在VPN上:未停用
 租用持續時間:0秒
 預設網域:不明
 首頁:不明
 智慧卡移除中斷連線:啟用
 許可證響應:未知
****************************************		 ASA將「完成」消息中的VPN配置設定傳送到客戶端,並從VPN池將IP地址分配給客戶端。

客戶端傳送具有EAP負載的啟動器資料包。

EAP資料包包含:

  1. Code: response -此代碼由對等體傳送到身份驗證器,以響應EAP請求。
  2. id:3 -該id有助於將EAP響應與請求進行匹配。此處值為3,表示這是對ASA(身份驗證器)之前傳送的請求的響應。ASA現在接收來自客戶端的響應資料包,該資料包的「config-auth」型別為「ack」;此響應確認ASA之前傳送的EAP「complete」消息。
  3. 長度:173 - EAP資料包的長度包括代碼、id、長度和EAP資料。
  4. EAP資料
  IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000004
IKEv2-PROTO-3:Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id:0x4
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:下一個負載:ENCR,版本:2.0
IKEv2-PROTO-4:交換型別:IKE_AUTH,標誌:啟動器
IKEv2-PROTO-4:消息ID:0x4,長度:252
IKEv2-PROTO-5:(6):請求具有mess_id 4;應為4到4


REAL Decrypted Packet:資料:177位元組
 EAP下一個負載:無,保留:0x0,長度:177
    代碼:響應:id:3,長度:173
    型別:未知- 254
EAP資料: 168位元組		  

ASA處理此資料包。其
EAP交換成功。ASA
準備傳送隧道組
下一個資料包中的配置,
先前由使用者端於
IDi負載。ASA接收
來自客戶端的響應資料包,
具有「ack」的「config-auth」型別。此
響應確認EAP
由傳送的「完成」消息
ASA之前。

相關配置:

tunnel-group ASA-IKEV2 
 type remote-access
tunnel-group ASA-IKEV2 
 general-attributes
 address-pool webvpn1
 authorization-server-group 
 LOCAL default-group-policy 
  ASA-IKEV2
tunnel-group ASA-IKEV2
 webvpn-attributes
 group-alias ASA-IKEV2 
 enable

EAP交換現在成功。

EAP資料包包含:

  1. 代碼成功 -此代碼為
    由驗證者傳送至
    完成EAP後的對等體
    驗證方法。此
    表示對等體具有
    已成功驗證到
    驗證者。
  2. id:3 -此id用於匹配
    EAP響應請求。
    這裡的值是3,
    表示這是對
    先前傳送的請求
    ASA(身份驗證器)。第三組
    交換中的資料包數
    成功,並且EAP交換
    是成功的。
  3. 長度:4 - EAP的長度
    資料包包含代碼、id、
    長度和EAP資料。
  4. EAP資料

解密的資料包:資料:252位元組
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_WAIT_EAP_RESP事件: EV_RECV_AUTH
IKEv2-PROTO-3:(6):正在停止計時器以等待身份驗證消息
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_WAIT_EAP_RESP事件: EV_RECV_EAP_RESP
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_PROC_EAP_RESP事件: EV_PROC_MSG
IKEv2-PROTO-2:(6):處理EAP響應

從客戶端收到以下XML消息
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="ack">
<device-id>win</device-id>
<version who="vpn">3.0.1047</version>
</config-auth>

IKEv2-PLAT-3:(6) aggrAuthHdl設定為0x2000
IKEv2-PLAT-3:(6) tg_name設定為:ASA-IKEV2
IKEv2-PLAT-3:(6)隧道組型別設定為:RA
IKEv2-PLAT-1:EAP:身份驗證成功
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_PROC_EAP_RESP事件: EV_RECV_EAP_SUCCESS
IKEv2-PROTO-2:(6):正在傳送EAP狀態消息
IKEv2-PROTO-3:(6):構建用於加密的資料包;內容包括:
 EAP下一個負載:無,保留:0x0,長度:8
    代碼:成功:id:3,長度:4

IKEv2-PROTO-3:發射機[L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id:0x4
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:下一個負載:ENCR,版本:2.0
IKEv2-PROTO-4:交換型別:IKE_AUTH,標誌:響應方MSG-RESPONSE
IKEv2-PROTO-4:消息ID:0x4,長度:76
 ENCR下一個負載:EAP,保留:0x0,長度:48
加密資料(&C);44位元組

IKEv2-PLAT-4:已傳送PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000004

IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_PROC_EAP_RESP事件: EV_START_TMR。
IKEv2-PROTO-3:(6):啟動計時器以等待身份驗證消息(30秒)
IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_WAIT_EAP_AUTH_VERIFY事件: EV_NO_EVENT

  
由於EAP交換成功,客戶端將傳送帶有AUTH負載的IKE_AUTH啟動器資料包。AUTH負載從共用金鑰生成。  IKEv2-PLAT-4:RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PROTO-3:Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id:0x5
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:下一個負載:ENCR,版本:2.0
IKEv2-PROTO-4:交換型別:IKE_AUTH,標誌:啟動器
IKEv2-PROTO-4:消息ID:0x5,長度:92
IKEv2-PROTO-5:(6):請求具有mess_id 5;應為5到5


REAL Decrypted Packet:Data:28 bytes
 AUTH下一個負載:無,保留:0x0,長度:28
    身份驗證方法PSK,保留: 0x0,保留0x0
身份驗證資料: 20位元組		  

當指定EAP驗證或
使用者端設定檔和
設定檔不包含
<IKEIdentity>元素,客戶端將
ID_GROUP型別IDi負載
固定字串*$AnyConnectClient$*。

ASA處理此消息。

相關配置:

crypto dynamic-map dynmap 1000 
 set ikev2 ipsec-proposal 3des
crypto map crymap 10000 
 ipsec-isakmp dynamic dynmap
crypto map crymap interface 
 outside

解密的資料包:資料:92位元組
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_WAIT_EAP_AUTH_VERIFY事件: EV_RECV_AUTH
IKEv2-PROTO-3:(6):正在停止計時器以等待身份驗證消息
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH事件: EV_GET_EAP_KEY
IKEv2-PROTO-2:(6):傳送AUTH,在EAP交換後驗證對等體
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH事件: EV_VERIFY_AUTH
IKEv2-PROTO-3:(6):驗證身份驗證資料
IKEv2-PROTO-3:(6):對id *$AnyConnectClient$*使用預共用金鑰,金鑰長度20
IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH事件: EV_GET_CONFIG_MODE
IKEv2-PLAT-3:配置模式應答排隊
IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH事件: EV_NO_EVENT
IKEv2-PLAT-3: PSH: client=AnyConnect client-version=3.0.1047 client-os=Windows client-os-version=
IKEv2-PLAT-3:配置模式應答已完成
IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH事件: EV_OK_GET_CONFIG
IKEv2-PROTO-3:(6):具有要傳送的配置模式資料
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH事件: EV_CHK4_IC
IKEv2-PROTO-3:(6):處理初始聯絡人
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH事件: EV_CHK_REDIRECT
IKEv2-PROTO-5:(6):已對此會話執行重定向檢查,正在跳過它
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH事件: EV_PROC_SA_TS
IKEv2-PROTO-2:(6):處理身份驗證消息
IKEv2-PLAT-1:加密對映:對映dynmap seq 1000。使用分配的IP調整的選擇器
IKEv2-PLAT-3:加密對映:動態對映動態對映序列1000上的匹配
IKEv2-PLAT-3:RA連線停用PFS
IKEv2-PROTO-3:(6):
IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH事件: EV_NO_EVENT
IKEv2-PLAT-2:已接收SPI 0x30B848A4的PFKEY SPI回撥,錯誤為FALSE
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH事件: EV_OK_RECD_IPSEC_RESP

IKEv2-PROTO-2:(6):處理身份驗證消息

  

ASA使用SA、TSi和TSr負載構建IKE_AUTH響應消息。

IKE_AUTH響應方資料包包含:

  1. ISAKMP報頭- SPI/版本/標誌。
  2. AUTH payload -使用所選的身份驗證方法。
  3. CFG - CFG_REQUEST/ CFG_REPLY允許IKE端點從其對等體請求資訊。如果CFG_REQUEST配置有效負載中的屬性不是零長度,則會將其作為該屬性的建議。CFG_REPLY配置負載可能會返回該值或返回一個新值。它還可以增加新屬性,但不包括某些請求的屬性。請求者會忽略它們無法辨識的傳回屬性。ASA使用CFG_REPLY資料包中的隧道配置屬性應答客戶端。
  4. SAr2 - SAr2起始SA,這類似於IKEv1中的第2階段轉換集交換。
  5. TSiTSr -發起方和響應方流量選擇器分別包含發起方和響應方的源地址和目標地址,以便轉發和接收加密流量。地址範圍指定所有進出該範圍的流量都透過隧道傳輸。如果響應方可以接受該建議,則它會傳送相同的TS負載回來。

加密裝載:

此負載被解密,其內容被解析為其他負載。

IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH事件: EV_MY_AUTH_METHOD
IKEv2-PROTO-3: (6):獲取我的身份驗證方法
IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH事件: EV_GET_PREHR_KEY
IKEv2-PROTO-3:(6):獲取*$AnyConnectClient$*的對等體的預共用金鑰
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH事件: EV_GEN_AUTH
IKEv2-PROTO-3:(6):生成我的身份驗證資料
IKEv2-PROTO-3:(6):對id hostname=ASA-IKEV2、key len 20使用預共用金鑰
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH事件: EV_CHK4_SIGN
IKEv2-PROTO-3: (6):獲取我的身份驗證方法
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH事件: EV_OK_AUTH_GEN
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_EAP_AUTH_VERIFY事件: EV_GEN_AUTH
IKEv2-PROTO-3:(6):生成我的身份驗證資料
IKEv2-PROTO-3:(6):對id hostname=ASA-IKEV2、key len 20使用預共用金鑰
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_EAP_AUTH_VERIFY事件: EV_SEND_AUTH
IKEv2-PROTO-2:(6):傳送AUTH,在EAP交換後驗證對等體
IKEv2-PROTO-3:ESP建議:1,SPI大小:4(IPSec協商),
轉換編號:3
   AES-CBC SHA96   
IKEv2-PROTO-5:構建通知負載:ESP_TFC_NO_SUPPORTIKEv2-PROTO-5:構建通知負載:NON_FIRST_FRAGSIKEv2-PROTO-3: (6):構建要加密的資料包;內容為:
 AUTH 下一個負載:CFG,已保留:0x0,長度:28
    身份驗證方法PSK,保留: 0x0,保留0x0
身份驗證資料(&C); 20位元組
 CFG下一個負載:SA,保留:0x0,長度:4196
    cfg型別:CFG_REPLY,保留:0x0,保留:0x0

   屬性型別:內部IP4地址,長度:4

     01 01 01 01
   屬性型別:內部IP4網路掩碼,長度:4

     00 00 00 00
   屬性型別:內部地址到期,長度:4

     00 00 00 00
   屬性型別:應用程式版本,長度:16

     41 53 41 20 31 30 30 2e 37 28 36 29 31 31 36 00
   屬性型別:未知- 28704,長度:4

     00 00 00 00
   屬性型別:未知- 28705,長度:4

     00 00 07 08
   屬性型別:未知- 28706,長度:4

     00 00 07 08
   屬性型別:未知- 28707,長度:1

     01
   屬性型別:未知- 28709,長度:4

     00 00 00 1e
   屬性型別:未知- 28710,長度:4

     00 00 00 14
   屬性型別:未知- 28684,長度:1

     01
   屬性型別:未知- 28711,長度:2

     05 7e
   屬性型別:未知- 28679,長度:1

     00
   屬性型別:未知- 28683,長度:4

     80 0b 00 01
   屬性型別:未知- 28725,長度:1

     00
   屬性型別:未知- 28726,長度:1

     00
   屬性型別:未知- 28727,長度:4056

     3c 3f 78 6d 6c 20 76 65 72 73 69 6f 6e 3d 22 31
     2e 30 22 20 65 6e 63 6f 64 69 6e 67 3d 22 55 54
     46 2d 38 22 3f 3e 3c 63 6f 6e 66 69 67 2d 61 75
     74 68 20 63 6c 69 65 6e 74 3d 22 76 70 6e 22 20
     74 79 70 65 3d 22 63 6f 6d 70 6c 65 74 65 22 3e
     3c 76 65 72 73 69 6f 6e 20 77 68 6f 3d 22 73 67
     22 3e 31 30 30 2e 37 28 36 29 31 31 36 3c 2f 76
     65 72 73 69 6f 6e 3e 3c 73 65 73 73 69 6f 6e 2d
     69 64 3e 38 31 39 32 3c 2f 73 65 73 73 69 6f 6e
<snip>
     72 6f 66 69 6c 65 2d 6d 61 6e 69 66 65 73 74 3e
     3c 2f 63 6f 6e 66 69 67 3e 3c 2f 63 6f 6e 66 69
     67 2d 61 75 74 68 3e 00
   屬性型別:未知- 28729,長度:1

     00
 SA下一個負載:TSi,保留:0x0,長度:44
IKEv2-PROTO-4:最後一個建議:0x0,保留:0x0,長度:40
  方案:1,協定ID:ESP,SPI大小:4,#trans:3
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:12
    型別:1,保留:0x0,id:AES-CBC
IKEv2-PROTO-4:上次轉換:0x3,保留:0x0:長度:8
    型別:3,保留:0x0,id:SHA96
IKEv2-PROTO-4:上次轉換:0x0,保留:0x0:長度:8
    型別:5,保留:0x0,id:

 TSi下一個負載:TSr,保留:0x0,長度:24
    TS數:1,保留0x0,保留0x0
    TS型別:TS_IPV4_ADDR_RANGE,proto id:0,長度:16
    起始埠:0,終止埠:65535
    開始地址:10.2.2.1,結束地址:10.2.2.1
 TSr下一個負載:NOTIFY,保留:0x0,長度:24
    TS數:1,保留0x0,保留0x0
    TS型別:TS_IPV4_ADDR_RANGE,proto id:0,長度:16
    起始埠:0,終止埠:65535
    開始地址:0.0.0.0,結束地址:255.255.255.255

IKEv2-PROTO-3:發射機[L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id:0x5
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B - rspi:FC696330E6B94D7F
IKEv2-PROTO-4:下一個負載:ENCR,版本:2.0
IKEv2-PROTO-4:交換型別:IKE_AUTH,標誌:響應方MSG-RESPONSE
IKEv2-PROTO-4:消息ID:0x5,長度:4396
 ENCR下一個負載:身份驗證,保留:0x0,長度:4368
加密資料(&C);4364位元組

  
ASA發出此IKE_AUTH響應消息,該消息被分段為九個資料包。IKE_AUTH交換已完成。 IKEv2-PROTO-5:(6):資料包分段,分段MTU:544,分段數量:9,分段ID:3
IKEv2-PLAT-4:傳送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4:傳送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4:傳送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4:傳送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4:傳送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4:傳送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4:傳送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4:傳送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4:傳送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE事件: EV_OK
IKEv2-PROTO-5:(6):操作:Action_Null
IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE事件: EV_PKI_SESH_CLOSE		  
  ****************************************
日期:2013年4月23日
播放時長:16:25:07
型別:資訊
來源: acvpnagent

描述:函式:ikev2_log
檔案: .\ikev2_anyconnect_osal.cpp
行:2730
已建立IPSec連線。
****************************************
日期:2013年4月23日
播放時長:16:25:07
型別:資訊
來源: acvpnagent

描述: IPsec會話註冊:
 加密:AES-CBC
 PRF: SHA1
 HMAC: SHA96
 本地身份驗證方法:PSK
 遠端身份驗證方法:PSK
 序列ID:0
 金鑰大小:192
 DH組:1
 重新生成金鑰時間:4294967秒
 本地地址:192.168.1.1
 遠端地址:10.0.0.1
 本地埠:4500
 遠端連線埠:4500
 會話ID:1
****************************************
日期:2013年4月23日
播放時長:16:25:07
型別:資訊
來源:acvpnui

說明:在安全網關上配置的配置檔案為:Anyconnect-ikev2.xml
****************************************
日期:2013年4月23日
播放時長:16:25:07
型別:資訊
來源:acvpnui

描述:傳送給使用者的消息型別資訊:
正在建立VPN會話……
****************************************		 客戶端報告IPSec連線已建立。客戶端還會檢測ASA上的使用者配置檔案。
   ----------------------------IKE_AUTH交換結束-----------------------------------  
 

****************************************
日期:2013年4月23日
播放時長:16:25:07
型別:資訊
來源: acvpndownloader

描述:函式: ProfileMgr::loadProfiles
檔案: ..\Api\ProfileMgr.cpp
行:148
載入的設定檔:
C:\Documents and Settings\All Users\Application Data\Cisco\Cisco AnyConnect Secure Mobility Client\Profile\anyconnect-ikev2.xml
****************************************
****************************************
日期:2013年4月23日
播放時長:16:25:07
型別:資訊
來源: acvpndownloader

描述:目前的偏好設定:
服務停用:false
CertificateStoreOverride: false
CertificateStore:全部
ShowPreConnectMessage: false
AutoConnectOnStart: false
MinimizeOnConnect:真
LocalLanAccess: false
自動重新連線:true
AutoReconnectBehavior: DisconnectOnSuspend
UseStartBeforeLogon: false
自動更新: true
RSASecurIDIntegration:自動
WindowsLogonEnforcement:SingleLocalLogon
WindowsVPNEstablishment:LocalUsersOnly
ProxySettings:原生
AllowLocalProxyConnections: true
PPPExclusion:停用
PPPExclusionServerIP:
AutomaticVPNPolicy:false
TrustedNetworkPolicy:斷開
UntrustedNetworkPolicy:連線
TrustedDNSDomains:
TrustedDNS伺服器:
AlwaysOn: false
ConnectFailurePolicy:關閉
AllowCaptivePortalRemediation: false
強制網路門戶補救超時:5
ApplyLastVPNLocalResourceRules: false
AllowVPNDisconnect: true
EnableScripting: false
TerminateScriptOnNextEvent: false
EnablePostSBLOnConnectScript: true
AutomaticCertSelection:真
RetainVpnOnLogoff:false
UserEnforcement: SameUserOnly
EnableAutomaticServerSelection:false
AutoServerSelectionImprovement:20
AutoServerSelectionSuspendTime:4
AuthenticationTimeout:12
SafeWordSofTokenIntegration: false
AllowIPsecOverSSL:false
ClearSmartcardPin:真
****************************************
日期:2013年4月23日
播放時長:16:25:07
型別:資訊
來源:acvpnui

描述:傳送給使用者的消息型別資訊:
正在建立VPN -正在檢查系統……
****************************************
日期:2013年4月23日
播放時長:16:25:07
型別:資訊
來源:acvpnui

描述:傳送給使用者的消息型別資訊:
正在建立VPN -正在啟動VPN介面卡。..
****************************************
日期:2013年4月23日
播放時長:16:25:07
型別:資訊
來源: acvpnagent

描述:函式: CVirtualAdapter::DoRegistryRepair
檔案: .\WindowsVirtualAdapter.cpp
行:1869
找到VA控制項:SYSTEM\CurrentControlSet\ENUM\ROOT\NET\0000\Control

****************************************
日期:2013年4月23日
播放時長:16:25:07
型別:資訊
來源: acvpnagent

說明:檢測到新的網路介面。
****************************************
日期:2013年4月23日
播放時長:16:25:07
型別:資訊
來源: acvpnagent

描述:函式: CRouteMgr::logInterfaces
檔案: .\RouteMgr.cpp
明細行:2076
呼叫的函式: logInterfaces
返回代碼:0 (0x00000000)
描述: IP地址介面清單:
10.2.2.1
192.168.1.1
****************************************
日期:2013年4月23日
播放時長:16:25:08
型別:資訊
來源: acvpnagent

描述:主機配置:
 公有地址:192.168.1.1
 公共掩碼:255.255.255.0
 私有地址:10.2.2.1
 專用掩碼:255.0.0.0
 專用IPv6地址:N/A
 專用IPv6掩碼:N/A
 遠端對等體:10.0.0.1(TCP埠443,UDP埠500),10.0.0.1(UDP埠4500)
 私人網路:無
 公用網路:無
 通道模式:有
****************************************

 XML設定檔會載入使用者端。由於客戶端現在具有來自ASA的IP地址,因此客戶端會繼續啟用VPN介面卡。

連線會輸入到安全性關聯(SA)資料庫中,狀態為「已註冊」。ASA還會執行一些檢查,例如通用訪問卡(CAC)統計資訊、是否存在重複的SA,以及設定失效對等體檢測(DPD)等值。

  IKEv2-PROTO-5: (6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE事件: EV_INSERT_IKE
IKEv2-PROTO-2:(6):建立SA;將SA插入資料庫
IKEv2-PLAT-3:
連線狀態: UP...對等體: 192.168.1.1:25171, phase1_id: *$AnyConnectClient$*
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE事件: EV_REGISTER_SESSION
IKEv2-PLAT-3:(6)使用者名稱設定為:Anu
IKEv2-PLAT-3:
連線狀態:已註冊...對等體:192.168.1.1:25171,phase1_id: *$AnyConnectClient$*
IKEv2-PROTO-3:(6):正在初始化DPD,配置為10秒
IKEv2-PLAT-3:(6) mib_index設定為: 4501
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE事件: EV_GEN_LOAD_IPSEC
IKEv2-PROTO-3:(6):載入IPSEC金鑰材料
IKEv2-PLAT-3:加密對映:動態對映動態對映序列上的匹配1000
IKEv2-PLAT-3:(6) DPD最大時間將為:30
IKEv2-PLAT-3:(6) DPD最大時間將為:30
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE事件: EV_START_ACCT
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE事件: EV_CHECK_DUPE
IKEv2-PROTO-3:(6):檢查重複SA
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE事件: EV_CHK4_ROLE
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: READY事件: EV_R_UPDATE_CAC_STATS
IKEv2-PLAT-5:已啟用新的ikev2 sa請求
IKEv2-PLAT-5:傳入協商的遞減計數
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: READY事件: EV_R_OK
IKEv2-PROTO-3:(6):正在啟動計時器以刪除協商上下文
IKEv2-PROTO-5:(6): SM跟蹤-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: READY事件: EV_NO_EVENT
IKEv2-PLAT-2:已接收SPI 0x77EE5348的PFKEY增加SA,錯誤為FALSE
IKEv2-PLAT-2:已接收SPI 0x30B848A4的PFKEY更新SA,錯誤為FALSE		  
  ****************************************
日期:2013年4月23日
播放時長:16:25:08
型別:資訊
來源: acvpnagent

說明:VPN連線已建立,現在可以傳遞資料。
****************************************
日期:2013年4月23日
播放時長:16:25:08
型別:資訊
來源:acvpnui

描述:傳送給使用者的消息型別資訊:
正在建立VPN -正在配置系統……
****************************************
日期:2013年4月23日
播放時長:16:25:08
型別:資訊
來源:acvpnui

描述:傳送給使用者的消息型別資訊:
正在建立VPN...
****************************************
日期:2013年4月23日
播放時長:16:25:37
型別:資訊
來源: acvpnagent


檔案: .\IPsecProtocol.cpp
行:945
已建立IPsec通道
****************************************		 客戶端報告隧道已啟動並準備傳遞流量。

通道驗證

AnyConnect

show vpn-sessiondb detail anyconnect命令的示例輸出為:

Session Type: AnyConnect Detailed

   Username     : Anu                    Index        : 2
   Assigned IP  : 10.2.2.1                Public IP    : 192.168.1.1
   Protocol     : IKEv2 IPsecOverNatT AnyConnect-Parent
   License      : AnyConnect Premium
   Encryption   : AES192 AES256          Hashing      : none SHA1 SHA1
   Bytes Tx     : 0                      Bytes Rx     : 11192
   Pkts Tx      : 0                      Pkts Rx      : 171
   Pkts Tx Drop : 0                      Pkts Rx Drop : 0
   Group Policy : ASA-IKEV2              Tunnel Group : ASA-IKEV2
   Login Time   : 22:06:24 UTC Mon Apr 22 2013
   Duration     : 0h:02m:26s
   Inactivity   : 0h:00m:00s
   NAC Result   : Unknown
   VLAN Mapping : N/A                    VLAN         : none

   IKEv2 Tunnels: 1
   IPsecOverNatT Tunnels: 1
   AnyConnect-Parent Tunnels: 1 

   AnyConnect-Parent:
     Tunnel ID    : 2.1
     Public IP    : 192.168.1.1
     Encryption   : none                   Auth Mode    : userPassword
   Idle Time Out: 30 Minutes             Idle TO Left : 27 Minutes
   Client Type  : AnyConnect
   Client Ver   : 3.0.1047 
    IKEv2:
     Tunnel ID    : 2.2
     UDP Src Port : 25171                  UDP Dst Port : 4500
     Rem Auth Mode: userPassword
     Loc Auth Mode: rsaCertificate
     Encryption   : AES192                 Hashing      : SHA1
     Rekey Int (T): 86400 Seconds          Rekey Left(T): 86254 Seconds
     PRF          : SHA1                   D/H Group    : 1
     Filter Name  :
     Client OS    : Windows
    IPsecOverNatT:
     Tunnel ID    : 2.3
     Local Addr   : 0.0.0.0/0.0.0.0/0/0
     Remote Addr  : 10.2.2.1/255.255.255.255/0/0
     Encryption   : AES256                 Hashing      : SHA1
   Encapsulation: Tunnel
   Rekey Int (T): 28800 Seconds          Rekey Left(T): 28654 Seconds
   Rekey Int (D): 4608000 K-Bytes        Rekey Left(D): 4607990 K-Bytes
   Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes 
   Bytes Tx     : 0                      Bytes Rx     : 11192
   Pkts Tx      : 0                      Pkts Rx      : 171
    NAC:
     Reval Int (T): 0 Seconds              Reval Left(T): 0 Seconds
     SQ Int (T)   : 0 Seconds              EoU Age(T)   : 146 Seconds
     Hold Left (T): 0 Seconds              Posture Token:    
    Redirect URL :

ISAKMP

show crypto ikev2 sa命令的示例輸出為:

ASA-IKEV2#  show crypto ikev2 sa

      IKEv2 SAs:

      Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

      Tunnel-id                 Local                Remote     Status         Role
       55182129    10.0.0.1/4500         192.168.1.1/25171      READY    RESPONDER
            Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
            Life/Active Time: 86400/112 sec
      Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535   
                remote selector 10.2.2.1/0 - 10.2.2.1/65535
              ESP spi in/out: 0x30b848a4/0x77ee5348 

show crypto ikev2 sa detail命令的示例輸出為:

ASA-IKEV2# show crypto ikev2 sa detail

    IKEv2 SAs:

    Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

    Tunnel-id                 Local                Remote     Status         Role
     55182129    10.0.0.1/4500         192.168.1.1/25171      READY    RESPONDER
       Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
         Life/Active Time: 86400/98 sec
         Session-id: 2
         Status Description: Negotiation done
         Local spi: FC696330E6B94D7F       Remote spi: 58AFF71141BA436B
         Local id: hostname=ASA-IKEV2
         Remote id: *$AnyConnectClient$*
         Local req mess id: 0              Remote req mess id: 9
         Local next mess id: 0             Remote next mess id: 9
         Local req queued: 0               Remote req queued: 9
         Local window: 1                   Remote window: 1
         DPD configured for 10 seconds, retry 2
         NAT-T is detected  outside
         Assigned host addr: 10.2.2.1
   Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535
             remote selector 10.2.2.1/0 - 10.2.2.1/65535
             ESP spi in/out: 0x30b848a4/0x77ee5348
          AH spi in/out: 0x0/0x0
          CPI in/out: 0x0/0x0
            Encr: AES-CBC, keysize: 256, esp_hmac: SHA96
            ah_hmac: None, comp: IPCOMP_NONE, mode tunnel

IPSec

show crypto ipsec sa命令的示例輸出為:

ASA-IKEV2# show crypto ipsec sa
   interface: outside
       Crypto map tag: dynmap, seq num: 1000, local addr: 10.0.0.1

     local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
        remote ident (addr/mask/prot/port): (10.2.2.1/255.255.255.255/0/0)
        current_peer: 192.168.1.1, username: Anu
        dynamic allocated peer ip: 10.2.2.1

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
         #pkts decaps: 163, #pkts decrypt: 108, #pkts verify: 108
         #pkts compressed: 0, #pkts decompressed: 0
         #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
         #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
         #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
         #send errors: 0, #recv errors: 55

      local crypto endpt.: 10.0.0.1/4500, remote crypto endpt.: 192.168.1.1/25171
         path mtu 1488, ipsec overhead 82, media mtu 1500
         current outbound spi: 77EE5348
         current inbound spi : 30B848A4

     inbound esp sas:
         spi: 0x30B848A4 (817383588)
            transform: esp-aes-256 esp-sha-hmac no compression
            in use settings ={RA, Tunnel,  NAT-T-Encaps, }
            slot: 0, conn_id: 8192, crypto-map: dynmap
            sa timing: remaining key lifetime (sec): 28685
            IV size: 16 bytes
            replay detection support: Y
            Anti replay bitmap:
            0xFFAD6BED 0x7ABFD5BF
       outbound esp sas:
         spi: 0x77EE5348 (2012107592)
            transform: esp-aes-256 esp-sha-hmac no compression
            in use settings ={RA, Tunnel,  NAT-T-Encaps, }
            slot: 0, conn_id: 8192, crypto-map: dynmap
            sa timing: remaining key lifetime (sec): 28685
            IV size: 16 bytes
            replay detection support: Y
            Anti replay bitmap:
           0x00000000 0x00000001

相關資訊

修訂記錄

修訂 發佈日期 意見
1.0
04-May-2013
初始版本
TAC Authored

由思科工程師貢獻

  • Anu M. Chacko, Jay Young, and Atri Basu
    Cisco TAC Engineers.

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品