ASA IPsec和IKE調試(IKEv1主模式)故障排除技術說明
下載選項
無偏見用語
本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。
關於此翻譯
思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。
簡介
本文說明當同時使用主模式和預共用金鑰(PSK)時,自適應安全裝置(ASA)上的調試。還討論了將某些調試行轉換為配置的問題。
本檔案未討論的主題包括在建立通道後傳輸流量和IPsec或Internet金鑰交換(IKE)的基本概念。
必要條件
需求
本文檔的讀者應該瞭解這些主題。
-
PSK
-
IKE
採用元件
本檔案中的資訊是根據以下硬體和軟體版本:
-
Cisco ASA 9.3.2
-
執行Cisco IOS® 12.4T的路由器
核心問題
IKE和IPsec調試有時是隱藏的,但您可以使用它們來瞭解IPsec VPN隧道建立問題的位置。
案例
主模式通常用於LAN到LAN通道之間,如果是遠端訪問(EzVPN),當證書用於身份驗證時。
調試來自運行軟體版本9.3.2的兩台ASA。這兩台裝置將形成LAN到LAN隧道。
描述了兩種主要方案:
- ASA作為IKE的啟動器
- ASA作為IKE的響應方
使用的Debug命令
debug crypto ikev1 127
debug crypto ipsec 127
ASA配置
IPsec配置:
crypto ipsec transform-set TRANSFORM esp-aes esp-sha-hmac[an error occurred while processing this directive]
crypto map MAP 10 match address VPN
crypto map MAP 10 set peer 10.0.0.2
crypto map MAP 10 set transform-set TRANSFORM
crypto map MAP 10 set reverse-route
crypto map MAP interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group 10.0.0.2 type ipsec-l2l
tunnel-group 10.0.0.2 ipsec-attributes
pre-shared-key cisco
access-list VPN extended permit tcp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
IP配置:
ciscoasa#
show ip
[an error occurred while processing this directive]
System IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet0/0 inside 192.168.1.1 255.255.255.0 manual
GigabitEthernet0/1 outside 10.0.0.1 255.255.255.0 manual
Current IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet0/0 inside 192.168.1.1 255.255.255.0 manual
GigabitEthernet0/1 outside 10.0.0.1 255.255.255.0 manual
NAT配置:
object network INSIDE-RANGE[an error occurred while processing this directive]
subnet 192.168.1.0 255.255.255.0 object network FOREIGN_NETWORK
subnet 192.168.2.0 255.255.255
nat (inside,outside) source static INSIDE-RANGE INSIDE-RANGE destination static
FOREIGN_NETWORK FOREIGN_NETWORK no-proxy-arp route-lookup
調試
| 啟動器消息說明 |
調試 |
響應方消息說明 |
|||
| 主模式交換開始;未共用任何策略,對等體仍處於MM_NO_STATE。
作為啟動器,ASA開始構建負載。 |
[IKEv1 DEBUG]:投手:收到金鑰獲取消息spi 0x0 |
|
|||
| 構造MM1
此流程包括iIKE和S的初步提案受支援的NAT-T供應商。 |
[IKEv1 DEBUG]:IP = 10.0.0.2,構造ISAKMP SA負載[IKEv1 DEBUG]:IP = 10.0.0.2,構建NAT穿越VID版本02負載 |
||||
| 傳送MM1。 |
[IKEv1]:IP = 10.0.0.2,IKE_DECODE傳送消息(msgid=0),有效負載:HDR + SA(1)+供應商(13)+供應商(13)+供應商(13)+供應商(13)+供應商(13)+無(0)總長度:168 |
||||
| ==========================MM1=============================> |
|
||||
|
|
[IKEv1]:IP = 10.0.0.2,IKE_DECODE RECEIVED Message(msgid=0),帶有效負載:HDR + SA(1)+供應商(13)+供應商(13)+供應商(13)+供應商(13)+供應商(13)+無(0)總長度:164 |
MM1從啟動器接收到。
|
|||
|
|
[IKEv1 DEBUG]:IP = 10.0.0.2,處理SA負載 [IKEv1 DEBUG]:IP = 10.0.0.2,Oakley提議是可接受的 [IKEv1 DEBUG]:IP = 10.0.0.2,處理VID負載 [IKEv1 DEBUG]:IP = 10.0.0.2,IKE SA建議# 1,轉換# 1 acceptable匹配全域性IKE條目# 2 |
處理MM1。
開始比較ISAKMP/IKE策略。 遠端對等體通告可以使用NAT-T。
相關配置: 身份驗證預共用 加密3des hash sha 組2 lifetime 86400 |
|||
|
|
[IKEv1 DEBUG]:IP = 10.0.0.2,構建ISAKMP SA負載 |
構造 MM2。
在此消息中,響應方選擇要使用的isakmp策略設定。 它還通告可以使用的NAT-T版本。 |
|||
|
|
[IKEv1]:IP = 10.0.0.2,IKE_DECODE傳送消息(msgid=0),有效負載:HDR + SA(1)+供應商(13)+供應商(13)+無(0)總長度:128 |
傳送MM2。 |
|||
|
|
<========================MM2============================== |
|
|||
| MM2從響應方接收。 |
[IKEv1]:IP = 10.0.0.2,IKE_DECODE RECEIVED Message(msgid=0),帶有效負載:HDR + SA(1)+供應商(13)+無(0)總長度:104
|
|
|||
| 處理MM2。 |
[IKEv1 DEBUG]:IP = 10.0.0.2,處理SA負載
|
|
|||
| 構建MM3。
此流程包括NAT發現負載, 迪菲-hellman(DH)金鑰交換(KE)有效負載(i硝化劑包括g、p和A至應答器),和 DPD支援。 |
11月30日10:38:29 [IKEv1調試]:IP = 10.0.0.2,構建關鍵負載 |
|
|||
| 傳送MM3。 |
[IKEv1]:IP = 10.0.0.2,IKE_DECODE傳送消息(msgid=0),有效負載:HDR + KE(4)+非同步(10)+供應商(13)+供應商(13)+供應商(13)+供應商(13)+供應商(13)+ NAT-D(20)+ NAT-D(20)+無(0)總長度:304
|
|
|||
|
|
==============================MM3========================> |
|
|||
|
|
[IKEv1]:IP = 10.0.0.2,IKE_DECODE RECEIVED Message(msgid=0),帶有效負載:HDR + KE(4)+NONCE(10)+供應商(13)+供應商(13)+供應商(13)+ NAT-D(130)+ NAT-D(130)+無(0)總長度:284 |
MM3從啟動器接收。 |
|||
|
|
[IKEv1 DEBUG]:IP = 10.0.0.2,正在處理Ke Payload |
處理MM3。
從NAT-D負載響應方能夠確定 初始化器位於NAT之後,如果 響應方位於NAT之後。
從DH KE中,負載響應方獲得p、g和A的值。 |
|||
|
|
[IKEv1 DEBUG]:IP = 10.0.0.2,計算NAT發現雜湊 |
建造MM4。
此流程包括 NAT發現負載, 德克爾sponder生成「B」和「s」(將「B」發回itator),並且 DPD VID。 |
|||
|
|
[IKEv1]:IP = 10.0.0.2,連線落在tunnel_group 10.0.0.2上 |
對等體與10.0.0.2 L2L隧道組相關聯,並且加密和雜湊金鑰由上面的「s」和預共用金鑰生成。 |
|||
|
|
[IKEv1]:IP = 10.0.0.2,IKE_DECODE傳送消息(msgid=0),有效負載:HDR + KE(4)+非同步(10)+供應商(13)+供應商(13)+供應商(13)+供應商(13)+供應商(13)+ NAT-D(130)+ NAT-D(130)+無(0)總長度:304 |
傳送MM4。 |
|||
|
|
<===========================MM4=========================== |
|
|||
| MM4 received from responder。 |
[IKEv1]:IP = 10.0.0.2,IKE_DECODE RECEIVED Message(msgid=0),帶有效負載:HDR + KE(4)+非同步(10)+供應商(13)+供應商(13)+供應商(13)+供應商(13)+供應商(13)+ NAT-D(20)+ NAT-D(20)+無(0)總長度:304
|
|
|||
| 處理MM4。
現在,通過NAT-D有效負載,啟動器能夠確定 啟動器位於NAT之後,如果 響應方位於NAT之後。
|
[IKEv1 DEBUG]:IP = 10.0.0.2,處理ike負載 |
|
|||
|
對等體與10.0.0.2 L2L隧道組相關聯,並且初始化器使用上面的「s」和預共用金鑰生成加密和雜湊金鑰。
|
[IKEv1]:IP = 10.0.0.2,連線落在tunnel_group 10.0.0.2上 [IKEv1 DEBUG]:組= 10.0.0.2,IP = 10.0.0.2,正在生成啟動器金鑰…… |
|
|||
| 構造MM5。
相關配置: crypto isakmp identity auto |
[IKEv1 DEBUG]:組= 10.0.0.2,IP = 10.0.0.2,構建ID負載 |
|
|||
| 傳送 MM5。 |
[IKEv1]:IP = 10.0.0.2,IKE_DECODE傳送消息(msgid=0),有效負載:HDR + ID(5)+雜湊(8)+ IOS KEEPALIVE(128)+供應商(13)+無(0)總長度:96 |
|
|||
|
|
===========================MM5===========================> |
|
|||
| 響應方不在任何NAT的後面。不需要NAT-T。 |
[IKEv1]:組= 10.0.0.2,IP = 10.0.0.2,自動NAT檢測狀態:遠端不在NAT裝置後面此端不在NAT裝置後面 |
[IKEv1]:IP = 10.0.0.2,IKE_DECODE RECEIVED Message(msgid=0),帶有效負載:HDR + ID(5)+雜湊(8)+無(0)總長度:64 |
MM5 received from initiator。
此流程包括r遠端對等點標識(ID)和c連線登陸到特定隧道組。 |
||
|
|
[IKEv1 DEBUG]:組= 10.0.0.2,IP = 10.0.0.2,處理ID負載 [IKEv1]:IP = 10.0.0.2,連線落在tunnel_group 10.0.0.2上 |
處理MM5。
使用預共用金鑰的身份驗證現在開始。 兩個對等點上都會進行驗證;因此,您將看到兩組相應的身份驗證過程。
相關配置: |
|||
|
|
檢測狀態:遠端不在NAT裝置後面此端不在NAT裝置後面 |
否 在此情況下需要NAT-T。 |
|||
|
|
[IKEv1 DEBUG]:組= 10.0.0.2,IP = 10.0.0.2,構建ID負載 |
建造MM6。
傳送標識 包括重新生成金鑰的啟動時間和傳送到遠端對等體的身份。 |
|||
|
|
[IKEv1]:IP = 10.0.0.2,IKE_DECODE傳送消息(msgid=0),有效負載:HDR + ID(5)+雜湊(8)+ IOS KEEPALIVE(128)+供應商(13)+無(0)總長度:96 |
傳送MM6。 |
|||
|
|
<===========================MM6=========================== |
|
|||
| MM6 received from responder。 |
[IKEv1]:IP = 10.0.0.2,IKE_DECODE RECEIVED Message(msgid=0),帶有效負載:HDR + ID(5)+雜湊(8)+無(0)總長度:64 |
[IKEv1]:組= 10.0.0.2,IP = 10.0.0.2,階段1已完成 |
第1階段完成。
啟動isakmp重鍵計時器。
相關配置: |
||
| 處理MM6。
此流程包括r從對等體和f傳送的遠端標識有關選擇隧道組的最終決定。 |
[IKEv1 DEBUG]:組= 10.0.0.2,IP = 10.0.0.2,處理ID負載 |
|
|||
| 第1階段完成。
啟動ISAKMP重新生成金鑰計時器。
相關c配置: 隧道組10.0.0.2型別ipsec-l2l 通道組10.0.0.2 ipsec-attributes 預共用金鑰cisco |
[IKEv1]:組= 10.0.0.2,IP = 10.0.0.2,階段1已完成 |
|
|||
| 第2階段(快速模式)開始。 |
IPSEC:在0x53FC3C00下建立的新胚胎SA, |
||||
| 構造QM1。
此過程包括 代理ID和IP秒 策略。
相關配置: access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 |
[IKEv1 DEBUG]:組= 10.0.0.2,IP = 10.0.0.2,IKE從金鑰引擎獲得SPI:SPI = 0xfd2d851f [IKEv1解碼]:組= 10.0.0.2,IP = 10.0.0.2,IKE發起方傳送初始聯絡人 |
|
|||
| 傳送 QM1。 |
[IKEv1]:IP = 10.0.0.2,IKE_DECODE傳送消息(msgid=7b80c2b0),有效負載:HDR +雜湊(8)+ SA(1)+非同步(10)+ ID(5)+ ID(5)+ NOTIFY(11)+無(0)總長度:200 |
|
|||
|
|
===============================QM1========================> |
|
|||
|
|
[IKEv1解碼]:IP = 10.0.0.2,IKE響應程式啟動QM: 消息 id = 52481cf5 [IKEv1]:IP = 10.0.0.2, IKE_DECODE RECEIVED Message(msgid=52481cf5),有效負載:HDR +雜湊(8)+ SA(1)+非同步(10)+ ID(5)+ ID(5)+無(0)總長度:172 |
QM1從啟動器接收。
響應程式開始第2階段(QM)。 |
|||
| [IKEv1 DEBUG]:組= 10.0.0.2,IP = 10.0.0.2,處理雜湊負載 |
進程QM1。
此程式 比較遠端代理與本地代理和 選擇可接受的IP秒 政策。
相關配置:crypto ipsec transform-set TRANSFORM esp-aes esp-sha-hmac access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 crypto map MAP 10 match address VPN |
||||
|
|
[IKEv1解碼]:Group = 10.0.0.2, IP = 10.0.0.2, ID_IPV4_ADDR_SUBNET ID received - 192.168.2.0 - 255.255.255.0[IKEv1]:Group = 10.0.0.2, IP = 10.0.0.2, Received remote IP Proxy Subnet data in ID Payload:地址192.168.2.0,掩碼255.255.255.0,協定1,埠0 [IKEv1 DEBUG]:組= 10.0.0.2,IP = 10.0.0.2,處理ID負載 |
收到遠端和本地子網(192.168.2.0/24和192.168.1.0/24)。 |
|||
|
|
[IKEv1]:Group = 10.0.0.2,IP = 10.0.0.2,QM IsRekeyed old sa not found by addr |
查詢並找到匹配的靜態加密條目。 |
|||
|
|
[IKEv1]:組= 10.0.0.2,IP = 10.0.0.2,IKE:請求SPI! |
構建QM2。
此流程包括c確認代理身份、通道型別和 對映象的加密ACL執行檢查。 |
|||
|
|
[IKEv1]:IP = 10.0.0.2,IKE_DECODE傳送消息(msgid=52481cf5),有效負載:HDR +雜湊(8)+ SA(1)+非同步(10)+ ID(5)+ ID(5)+無(0)總長度:172 |
傳送QM2。 |
|||
|
|
<============================QM2=========================== |
|
|||
| QM2從響應方接收。 |
[IKEv1]:IP = 10.0.0.2, IKE_DECODE RECEIVED Message(msgid=7b80c2b0),有效負載:HDR +雜湊(8)+ SA(1)+非同步(10)+ ID(5)+ ID(5)+ NOTIFY(11)+無(0)總長度:200 |
|
|||
| 進程QM2。
在此過程中, r遠端傳送引數和 選取了建議的最短的階段2壽命。 |
[IKEv1 DEBUG]:組= 10.0.0.2,IP = 10.0.0.2,處理雜湊負載 |
|
|||
| 找到匹配的加密對映「MAP」和條目10,並將其與訪問清單「VPN」匹配。 |
[IKEv1 DEBUG]:組= 10.0.0.2,IP = 10.0.0.2,NP加密規則查詢加密對映MAP 10匹配ACL VPN:返回cs_id=53f11198;rule=53f11a90 |
|
|||
| 裝置已為入站和出站流量分別生成SPI 0xfd2d851f和50931xdde。 |
[IKEv1 DEBUG]:組= 10.0.0.2,IP = 10.0.0.2,正在生成快速模式金鑰! |
|
|||
| 構建QM3。
確認 建立到遠端對等裝置的所有SPI。 |
IPSEC:已完成主機IBSA更新,SPI 0xFD2D851F |
|
|||
| 傳送QM3。 |
[IKEv1解碼]:組= 10.0.0.2,IP = 10.0.0.2,IKE發起方傳送第3個QM 包:msg id = 7b80c2b0 |
|
|||
|
|
=============================QM3==========================> |
|
|||
| 階段2完成。
現在,啟動器已準備好使用這些SPI值對資料包進行加密和解密。 |
[IKEv1]:IP = 10.0.0.2,IKE_DECODE傳送消息(msgid=7b80c2b0),有效負載:HDR +雜湊(8)+無(0)總長度:76 |
[IKEv1]:IP = 10.0.0.2, IKE_DECODE RECEIVED Message(msgid=52481cf5),有效負載:HDR +雜湊(8)+無(0)總長度:52 |
QM3從啟動程式接收。 |
||
|
|
[IKEv1 DEBUG]:組= 10.0.0.2,IP = 10.0.0.2,處理雜湊負載 |
進程QM3。
為資料SA生成加密金鑰。
在此過程中, 設定SPI以傳遞流量。 |
|||
|
|
[IKEv1]:組= 10.0.0.2,IP = 10.0.0.2,LAN到LAN組(10.0.0.2)響應方的安全協商完成,入站SPI = 0x1698cac7,出站SPI = 0xdb680406 IPSEC:已完成主機IBSA更新,SPI 0x1698CAC7 |
SPI分配給資料SA。 |
|||
|
|
[IKEv1 DEBUG]:組= 10.0.0.2,IP = 10.0.0.2,啟動P2重新生成金鑰計時器:3060秒。 |
啟動IPsec重新金鑰時間。 |
|||
|
|
[IKEv1]:組= 10.0.0.2,IP = 10.0.0.2,已完成第2階段(msgid=52481cf5) |
階段2完成。響應方和發起方都能加密/解密流量。 |
|||
通道驗證
附註:由於ICMP用於觸發通道,因此只有一個IPSec SA處於啟用狀態。協定1 = ICMP。
show crypto ipsec sa
interface: outside
Crypto map tag: MAP, seq num: 10, local addr: 10.0.0.1
access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/1/0)
remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/1/0)
current_peer: 10.0.0.2
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 10.0.0.1/0, remote crypto endpt.: 10.0.0.2/0
path mtu 1500, ipsec overhead 74, media mtu 1500
current outbound spi: DB680406
current inbound spi : 1698CAC7
inbound esp sas:
spi: 0x1698CAC7(379112135)[an error occurred while processing this directive]
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 16384, crypto-map: MAP
sa timing: remaining key lifetime (kB/sec): (3914999/3326)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x0000001F
outbound esp sas:
spi: 0xDB680406 (3681027078)
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 16384, crypto-map: MAP
sa timing: remaining key lifetime (kB/sec): (3914999/3326)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001show crypto isakmp sa
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 10.0.0.2
Type :L2LRole :responder
Rekey : no State :MM_ACTIVE[an error occurred while processing this directive]
相關資訊
- 一個很好的起點是 關於IPSec的維基百科文章。標準和參考文獻中包含許多有用的資訊
- IPsec 疑難排解:瞭解和使用偵錯指令
- 技術支援與文件 - Cisco Systems
由思科工程師貢獻
- Atri Basu, Marcin Latosiewicz, and Jay Young TaylorCisco TAC Engineers.
意見