《 ASA IPsec和IKE調試(IKEv1主動模式)故障排除技術說明》

下載選項

  • PDF     (382.6 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (94.4 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (96.7 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2013 年 6 月 25 日
文件 ID:113595

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本檔案介紹在使用主動模式和預先共用金鑰(PSK)時,思科調適型安全裝置(ASA)上的偵錯。還討論了將某些調試行轉換為配置的問題。思科建議您瞭解IPsec和網際網路金鑰交換(IKE)的基本知識。

本文不討論建立通道後傳遞的流量。

核心問題

IKE和IPsec調試有時是隱藏的,但您可以使用它們來瞭解IPsec VPN隧道建立的問題。

案例

主動模式通常用於帶有軟體(Cisco VPN客戶端)和硬體客戶端(Cisco ASA 5505自適應安全裝置或Cisco IOS?的Easy VPN(EzVPN)的情況軟體路由器),但僅當使用預共用金鑰時才使用。與主模式不同,主動模式包含三個消息。

調試來自運行軟體版本8.3.2並充當EzVPN伺服器的ASA。EzVPN客戶端是軟體客戶端。

使用debug指令

以下是本文中使用的debug指令:

debug crypto isakmp 127
debug crypto ipsec 127

ASA配置

本示例中的ASA配置應嚴格為基本;未使用外部伺服器。

interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 10.48.67.14 255.255.254.0
 
 crypto ipsec transform-set TRA esp-aes esp-sha-hmac
 
 crypto ipsec security-association lifetime seconds 28800
 crypto ipsec security-association lifetime kilobytes 4608000
 
 crypto dynamic-map DYN 10 set transform-set TRA
 crypto dynamic-map DYN 10 set reverse-route
 
 crypto map MAP 65000 ipsec-isakmp dynamic DYN
 crypto map MAP interface outside
 crypto isakmp enable outside
 
 crypto isakmp policy 10
  authentication pre-share
  encryption aes
  hash sha
  group 2
 lifetime 86400
 
 username cisco password  cisco
 username cisco attributes
 vpn-framed-ip-address 192.168.1.100 255.255.255.0
 
 tunnel-group EZ type remote-access
 tunnel-group EZ general-attributes
  default-group-policy EZ
 tunnel-group EZ ipsec-attributes
  pre-shared-key *****
 
 group-policy EZ internal
 group-policy EZ attributes
  password-storage enable
  dns-server value 192.168.1.99
  vpn-tunnel-protocol ikev1
  split-tunnel-policy tunnelall
  split-tunnel-network-list value split
  default-domain value jyoungta-labdomain.cisco.com

調試

附註:使用 debug 指令之前,請先參閱有關 Debug 指令的重要資訊。

伺服器消息說明

調試

客戶端消息描述
  49711:28:30.28908/24/12Sev=Info/6IKE/0x6300003B
正在嘗試建立與64.102.156.88的連線。
49811:28:30.29708/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=0000000000000000CurState:
AM_INITALEvent:EV_INITIATOR
49911:28:30.29708/24/12Sev=Info/4IKE/0x63000001
啟動IKE第1階段協商
50011:28:30.29708/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=0000000000000000CurState:
AM_SND_MSG1事件:EV_GEN_DHKEY
50111:28:30.30408/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=0000000000000000CurState:
AM_SND_MSG1事件:EV_BLD_MSG
50211:28:30.30408/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=0000000000000000CurState:
AM_SND_MSG1事件:EV_START_RETRY_TMR
50311:28:30.30408/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=0000000000000000CurState:
AM_SND_MSG1事件:EV_SND_MSG

攻擊模式啟動。構建AM1。此過程包括:
- ISAKMP HDR
— 包含客戶端支援的所有轉換負載和建議的安全裝置(SA)
— 金鑰交換負載
— 階段1啟動器ID
— 無
  50411:28:30.30408/24/12Sev=Info/4IKE/0x63000013
傳送>>> ISAKMP OAK AG(SA、KE、NON、ID、VID(Xauth)、VID(dpd)、VID(Frag)、VID(Nat-T)、VID(Unity))到64.102.156.88

傳送AM1。
  <=============== Aggressive Message 1(AM1)===============  

從客戶端接收AM1。

 8月24日11:31:03 [IKEv1]IP = 64.102.156.87,IKE_DECODE RECEIVED Message(msgid=0),有效負載:HDR + SA(1)+ KE(4)+NONCE(10)+ ID(5)+供應商(13)+供應商(13)+供應商(13)+供應商(13)+供應商(13)+供應商(13)+無(0)總長度:849 50611:28:30.33308/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5
R_Cookie=0000000000000000CurState:
AM_WAIT_MSG2Event:EV_NO_EVENT

等待來自伺服器的響應。

處理AM1。將收到的建議和轉換與已配置的提議和轉換進行比較。

相關配置:

在介面上啟用ISAKMP,並且至少定義了一個與客戶端傳送內容匹配的策略:

crypto isakmp enable 
 outside
crypto isakmp policy 
 10
authentication pre-
 share
encryption aes
hash sha
group 2
lifetime 86400

存在與標識名稱匹配的隧道組:

tunnel-group EZ type 
 remote-access
tunnel-group EZ 
 general-attributes
default-group-policy 
 EZ
tunnel-group EZ ipsec-
 attributes
pre-shared-key cisco
 8月24日11:31:03 [IKEv1調試]IP = 64.102.156.87,處理SA負載
8月24日11:31:03 [IKEv1調試]IP = 64.102.156.87,處理關鍵負載
8月24日11:31:03 [IKEv1調試]IP = 64.102.156.87,處理ISA_KE負載
8月24日11:31:03 [IKEv1 DEBUG]IP = 64.102.156.87,正在處理非淨荷
8月24日11:31:03 [IKEv1調試]IP = 64.102.156.87,處理ID負載
8月24日11:31:03 [IKEv1調試]IP = 64.102.156.87,處理VID負載
8月24日11:31:03 [IKEv1調試]IP = 64.102.156.87,已接收xauth V6 VID
8月24日11:31:03 [IKEv1調試]IP = 64.102.156.87,處理VID負載
8月24日11:31:03 [IKEv1調試]IP = 64.102.156.87,已接收DPD VID
8月24日11:31:03 [IKEv1調試]IP = 64.102.156.87,處理VID負載
8月24日11:31:03 [IKEv1調試]IP = 64.102.156.87,接收分段VID
8月24日11:31:03 [IKEv1 DEBUG]IP = 64.102.156.87,IKE對等包含IKE分段功能標誌:主模式:TrueAggressive模式:False
8月24日11:31:03 [IKEv1調試]IP = 64.102.156.87,處理VID負載
8月24日11:31:03 [IKEv1 DEBUG]IP = 64.102.156.87,已接收NAT遍歷02 VID
8月24日11:31:03 [IKEv1調試]IP = 64.102.156.87,處理VID負載
8月24日11:31:03 [IKEv1調試]IP = 64.102.156.87,已接收Cisco Unity客戶端VID
8月24日11:31:03 [IKEv1]IP = 64.102.156.87,連線落在tunnel_group ipsec上
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,處理IKE SA負載
8月24日11:31:03 [IKEv1]第1階段故障:類組說明的屬性型別不匹配:Rcv'd:組2Cfg'd:組5
8月24日11:31:03 [IKEv1]第1階段故障:類組說明的屬性型別不匹配:Rcv'd:組2Cfg'd:組5
8月24日11:31:03 [IKEv1]第1階段故障:類組說明的屬性型別不匹配:Rcv'd:組2Cfg'd:組5
8月24日11:31:03 [IKEv1]第1階段故障:類組說明的屬性型別不匹配:Rcv'd:組2Cfg'd:組5
8月24日11:31:03 [IKEv1]第1階段故障:類組說明的屬性型別不匹配:Rcv'd:組2Cfg'd:組5
8月24日11:31:03 [IKEv1]第1階段故障:類組說明的屬性型別不匹配:Rcv'd:組2Cfg'd:組5
8月24日11:31:03 [IKEv1]第1階段故障:類組說明的屬性型別不匹配:Rcv'd:組2Cfg'd:組5
8月24日11:31:03 [IKEv1]第1階段故障:類組說明的屬性型別不匹配:Rcv'd:組2Cfg'd:組5
8月24日11:31:03 [IKEv1]第1階段故障:類組說明的屬性型別不匹配:Rcv'd:組2Cfg'd:組5
8月24日11:31:03 [IKEv1]第1階段故障:類組說明的屬性型別不匹配:Rcv'd:組2Cfg'd:組5
8月24日11:31:03 [IKEv1]第1階段故障:類組說明的屬性型別不匹配:Rcv'd:組2Cfg'd:組5
8月24日11:31:03 [IKEv1]第1階段故障:類組說明的屬性型別不匹配:Rcv'd:組2Cfg'd:組5
8月24日11:31:03 [IKEv1]第1階段故障:類組說明的屬性型別不匹配:Rcv'd:組2Cfg'd:組5
8月24日11:31:03 [IKEv1]第1階段故障:類組說明的屬性型別不匹配:Rcv'd:組2Cfg'd:組5
8月24日11:31:03 [IKEv1]第1階段故障:類組說明的屬性型別不匹配:Rcv'd:組2Cfg'd:組5
8月24日11:31:03 [IKEv1]第1階段故障:類組說明的屬性型別不匹配:Rcv'd:組2Cfg'd:組5
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,IKE SA建議號1,轉換號5 acceptable匹配全域性IKE條目# 1		  

構建AM2。此過程包括:
— 選定的策略
- Diffie-hellman(DH)
— 響應方ID
— 身份驗證
— 網路位址轉譯(NAT)偵測負載

 8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,構建ISAKMP SA負載
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,構建關鍵負載
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,正在構建非淨負載
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,正在生成響應方金鑰……
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,構造ID負載
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,正在構建雜湊負載
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,計算ISAKMP雜湊
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,構建Cisco Unity VID負載
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,正在構建xauth V6 VID負載
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,構建dpd vid負載
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,構建NAT穿越VID版本02負載
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,構建NAT發現負載
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,計算NAT發現雜湊
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,構建NAT發現負載
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,計算NAT發現雜湊
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,構建分段VID +擴展功能負載
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,構建VID負載
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,傳送Altiga/Cisco VPN3000/Cisco ASA GW VID		  

傳送AM2。

 8月24日11:31:03 [IKEv1]IP = 64.102.156.87,帶有效負載的IKE_DECODE傳送消息(msgid=0):HDR + SA(1)+ KE(4)+NONCE(10)+ ID(5)+雜湊(8)+供應商(13)+供應商(13)+供應商(13)+供應商(13)+ NAT-D(130)+ NAT-D(130)+供應商(13)+供應商(13)+無(0)總長度:444  
  =============== Aggressive Message 2(AM2)===============>  
  50711:28:30.40208/24/12Sev=Info/5IKE/0x6300002F
收到的ISAKMP資料包:對等= 64.102.156.8
50811:28:30.40308/24/12Sev=Info/4IKE/0x63000014
從64.102.156.88接收<<<ISAKMP OAK AG(SA、KE、NON、ID、雜湊、VID(Unity)、VID(Xauth)、VID(dpd)、VID(Nat-T)、NAT-D、NAT-D、VID(Frag)、VID(?)
51011:28:30.41208/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState:
AM_WAIT_MSG2Event:EV_RCVD_MSG

接收AM2。
  51111:28:30.41208/24/12Sev=Info/5IKE/0x63000001
對等體是符合Cisco-Unity的對等體
51211:28:30.41208/24/12Sev=Info/5IKE/0x63000001
對等體支援XAUTH
51311:28:30.41208/24/12Sev=Info/5IKE/0x63000001
對等體支援DPD
51411:28:30.41208/24/12Sev=Info/5IKE/0x63000001
對等體支援NAT-T
51511:28:30.41208/24/12Sev=Info/5IKE/0x63000001
對等體支援IKE分段負載
51611:28:30.41208/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState:
AM_WAIT_MSG2Event:EV_GEN_SKYID
51711:28:30.42208/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState:
AM_WAIT_MSG2Event:EV_AUTHENTICATE_PEER
51811:28:30.42208/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState:
AM_WAIT_MSG2Event:EV_ADJUST_PORT
51911:28:30.42208/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState:
AM_WAIT_MSG2Event:EV_CRYPTO_ACTIVE

進程AM 2。
  52011:28:30.42208/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState:
AM_SND_MSG3事件:EV_BLD_MSG]
52111:28:30.42208/24/12Sev=Debug/8IKE/0x63000001
IOS供應商ID構建已啟動
52211:28:30.42208/24/12Sev=Info/6IKE/0x63000001
IOS供應商ID構建成功

構建AM3。此過程包括客戶端身份驗證。此時已經交換了與加密相關的所有資料。
  52311:28:30.42308/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState:
AM_SND_MSG3事件:EV_SND_MSG
52411:28:30.42308/24/12Sev=Info/4IKE/0x63000013
SENDING >>> ISAKMP OAK AG *(HASH, NOTIFY:STATUS_INITIAL_CONTACT, NAT-D, NAT-D, VID(?), VID(Unity))到64.102.156.88

傳送AM3。
  <=============== Aggressive Message 3(AM3)===============  

從客戶端接收AM3。

 8月24日11:31:03 [IKEv1]IP = 64.102.156.87,IKE_DECODE RECEIVED Message(msgid=0),有效負載:HDR +雜湊(8)+通知(11)+ NAT-D(130)+ NAT-D(130)+供應商(13)+供應商(13)+無(0)總長度:168  

進程AM 3.確認NAT穿越(NAT-T)的使用。兩端現在均已準備好啟動流量加密。

 8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,正在處理雜湊負載
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,計算ISAKMP雜湊
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,處理通知負載
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,處理NAT發現負載
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,計算NAT發現雜湊
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,處理NAT發現負載
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,計算NAT發現雜湊
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,處理VID負載
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,處理IOS/PIX供應商ID負載(版本:1.0.0,功能:00000408)
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,處理VID負載
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,已接收Cisco Unity客戶端VID
8月24日11:31:03 [IKEv1]組= ipsec,IP = 64.102.156.87,自動NAT檢測
狀態:遠端端IS在NAT裝置後面此端不在NAT裝置後面		  

起始階段1.5(XAUTH),並請求使用者認證。

 8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,正在構建空白雜湊負載
8月24日11:31:03 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,構造qm雜湊負載
8月24日11:31:03 [IKEv1]IP = 64.102.156.87,帶負載的IKE_DECODE傳送消息(msgid=fb709d4d):HDR + HASH(8)+ ATTR(14)+ NONE(0)總長度:72		  
  ===============擴展驗證 — 憑據請求===============>  
  53511:28:30.43008/24/12Sev=Info/4IKE/0x63000014
從64.102.156.88接收<< ISAKMP OAK傳輸*(雜湊,ATTR)
53611:28:30.43108/24/12Sev=解碼/11IKE/0x63000001
ISAKMP報頭
啟動器COOKIE:56197780/D7BE3E5
響應方COOKIE:1B301D2DE710EDA0
下一個負載:雜湊
版本(十六進位制):10
Exchange型別:事務
標誌:(加密)
MessageID(Hex):FB709D4D
長度:76
負載雜湊
下一個負載:屬性
保留:00
負載長度:24
資料(十六進位制):C779D5CBC5C75E3576C478A15A7CAB8A83A232D0
負載屬性
下一個負載:無
保留:00
負載長度:20
Type:ISAKMP_CFG_REQUEST
保留:00
識別碼:0000
XAUTH型別:一般
XAUTH使用者名稱:(空)
XAUTH使用者密碼:(空)
53711:28:30.43108/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=FB709D4DCurState:TM_INITIALEvent:EV_RCVD_MSG

接收身份驗證請求。解密的負載顯示空的使用者名稱和密碼欄位。
  53811:28:30.43108/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=FB709D4DCurState:TM_PCS_XAUTH_REQEvent:EV_INIT_XAUTH
53911:28:30.43108/24/12 Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=FB709D4DCurState:TM_PCS_XAUTH_REQEvent:EV_START_RETRY_TMR
54011:28:30.43208/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=FB709D4DCurState:TM_WAIT_4USERvent:EV_NO_EVENT
541 11:28:36.41508/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=FB709D4DCurState:TM_WAIT_4USERvent:EV_RCVD_USER_INPUT

起始階段1.5(XAUTH)。 在等待使用者輸入時啟動重試計時器。重試計時器超時時,連線會自動斷開。
  54211:28:36.41508/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=FB709D4DCurState:TM_WAIT_4USERvent:EV_SND_MSG
54311:28:36.41508/24/12Sev=Info/4IKE/0x63000013
傳送>>> ISAKMP OAK傳輸*(雜湊,屬性)到64.102.156.88
54411:28:36.41508/24/12Sev=解碼/11IKE/0x63000001
ISAKMP報頭
啟動器COOKIE:56197780/D7BE3E5
響應方COOKIE:1B301D2DE710EDA0
下一個負載:雜湊
版本(十六進位制):10
Exchange型別:事務
標誌:(加密)
MessageID(Hex):FB709D4D
長度:85
負載雜湊
下一個負載:屬性
保留:00
負載長度:24
資料(十六進位制):1A3645155BE9A81CB80FCDB5F7F24E03FF8239F5
負載屬性
下一個負載:無
保留:00
負載長度:33
Type:ISAKMP_CFG_REPLY
保留:00
識別碼:0000
XAUTH型別:一般
XAUTH使用者名稱:(未顯示資料)
XAUTH使用者密碼:(未顯示資料)

收到使用者輸入後,將使用者憑證傳送到伺服器。解密的負載顯示已填充(但隱藏)的使用者名稱和密碼欄位。傳送模式配置請求(各種屬性)。
  <=============== Xauth — 使用者憑證驗===============  

接收使用者憑據。

 8月24日11:31:09 [IKEv1]IP = 64.102.156.87,IKE_DECODE RECEIVED Message(msgid=fb709d4d)帶有效負載:HDR +雜湊(8)+屬性(14)+無(0)
總長度:85
8月24日11:31:09 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,process_attr():進來吧!		  

處理使用者憑據。驗證憑據並生成模式配置負載。

相關配置:

username cisco 
password cisco
 8月24日11:31:09 [IKEv1 DEBUG]組= ipsec,IP = 64.102.156.87,處理MODE_CFG回覆屬性。
8月24日11:31:09 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,IKEGetUserAttributes:主DNS = 192.168.1.99
8月24日11:31:09 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,IKEGetUserAttributes:輔助DNS =已清除
8月24日11:31:09 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,IKEGetUserAttributes:主WINS =已清除
8月24日11:31:09 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,IKEGetUserAttributes:輔助WINS =已清除
8月24日11:31:09 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,IKEGetUserAttributes:分割隧道清單=分割
8月24日11:31:09 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,IKEGetUserAttributes:預設域= jyoungta-labdomain.cisco.com
8月24日11:31:09 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,IKEGetUserAttributes:IP壓縮=已禁用
8月24日11:31:09 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,IKEGetUserAttributes:分割隧道策略=禁用
8月24日11:31:09 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,IKEGetUserAttributes:瀏覽器代理設定=無修改
8月24日11:31:09 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,IKEGetUserAttributes:瀏覽器代理繞過本地=禁用
8月24日11:31:09 [IKEv1]Group = ipsec,使用者名稱= user1,IP = 64.102.156.87,使用者(user1)通過身份驗證。		  

傳送xuath結果。

 8月24日11:31:09 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,構造空雜湊負載
8月24日11:31:09 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,構造qm雜湊負載
8月24日11:31:09 [IKEv1]IP = 64.102.156.87,帶負載的IKE_DECODE傳送消息(msgid=5b6910ff):HDR + HASH(8)+ ATTR(14)+ NONE(0)總長度:64		  
  ===============擴展驗證 — 授權結果===============>  
  54511:28:36.41608/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=FB709D4DCurState:TM_XAUTHREQ_DONEvent:EV_XAUTHREQ_DONE
54611:28:36.41608/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=FB709D4DCurState:TM_XAUTHREQ_DONEvent:EV_NO_EVENT
54711:28:36.42408/24/12Sev=Info/5IKE/0x6300002F
收到的ISAKMP資料包:對等= 64.102.156.88
54811:28:36.42408/24/12Sev=Info/4IKE/0x63000014
從64.102.156.88接收<< ISAKMP OAK傳輸*(雜湊,ATTR)
54911:28:36.42508/24/12Sev=解碼/11IKE/0x63000001
ISAKMP報頭
啟動器COOKIE:56197780/D7BE3E5
響應方COOKIE:1B301D2DE710EDA0
下一個負載:雜湊
版本(十六進位制):10
Exchange型別:事務
標誌:(加密)
MessageID(十六進位制):5B6910FF
長度:76
負載雜湊
下一個負載:屬性
保留:00
負載長度:24
資料(十六進位制):7DCF47827164198731639BFB7595F694C9DDFE85
負載屬性
下一個負載:無
保留:00
負載長度:12
Type:ISAKMP_CFG_SET
保留:00
識別碼:0000
XAUTH狀態:通過
55011:28:36.42508/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=5B6910FFCurState:TM_INITIALEvent:EV_RCVD_MSG
55111:28:36.42508/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=5B6910FFCurState:TM_PCS_XAUTH_SET事件:EV_INIT_XAUTH
55211:28:36.42508/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=5B6910FFCurState:TM_PCS_XAUTH_SET事件:EV_CHK_AUTH_RESULT

接收身份驗證結果和處理結果。
  55311:28:36.42508/24/12Sev=Info/4IKE/0x63000013
傳送>>> ISAKMP OAK傳輸*(雜湊,屬性)到64.102.156.88

ACK結果。
  <=============== Xauth — 確認代===============  

接收並處理ACK;伺服器沒有響應。

 8月24日11:31:09 [IKEv1]IP = 64.102.156.87, IKE_DECODE RECEIVED Message(msgid=5b6910ff),有效負載:HDR + HASH(8)+ ATTR(14)+ NONE(0)總長度:60
8月24日11:31:09 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,process_attr():進來吧!
8月24日11:31:09 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,正在處理cfg ACK屬性		  
  55511:28:36.42608/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=5B6910FFCurState:TM_XAUTH_DONE事件:
EV_XAUTH_DONE_SUC
55611:28:36.42608/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=5B6910FFCurState:TM_XAUTH_DONE事件:EV_NO_EVENT
55711:28:36.42608/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=FB709D4DCurState:TM_XAUTHREQ_DONEvent:EV_TERM_REQUEST
55811:28:36.42608/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=FB709D4DCurState:TM_FREEvent:EV_REMOVE
55911:28:36.42608/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=FB709D4DCurState:TM_FREEvent:EV_NO_EVENT
56011:28:36.42608/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState:
CMN_XAUTH_PROGEvent:EV_XAUTH_DONE_SUC
56111:28:38.40608/24/12Sev=Debug/8IKE/0x6300004C
正在啟動IKE SA的DPD計時器(I_Cookie=D56197780D7BE3E5)
R_Cookie=1B301D2DE710EDA0)sa->state = 1, sa->dpd.wory_freq(mSec)= 5000
56211:28:38.40608/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState:
CMN_MODECFG_PROGEvent:EV_INIT_MODECFG
56311:28:38.40608/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState:
CMN_MODECFG_PROGEvent:EV_NO_EVENT
56411:28:38.40608/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=84B4B653CurState:TM_INITIALEvent:EV_INIT_MODECFG
56511:28:38.40808/24/12Sev=Info/5IKE/0x6300005E
客戶端向集中器傳送防火牆請求
56611:28:38.40908/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=84B4B653CurState:TM_SND_MODECFGREQEvent:
EV_START_RETRY_TMR

生成mode-config請求。解密的負載顯示從伺服器請求的引數。
  56711:28:38.40908/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=84B4B653CurState:TM_SND_MODECFGREQEvent:EV_SND_MSG
56811:28:38.40908/24/12Sev=Info/4IKE/0x63000013
傳送>>> ISAKMP OAK傳輸*(雜湊,屬性)到64.102.156.88
56911:28:38.62708/24/12Sev=解碼/11IKE/0x63000001
ISAKMP報頭
啟動器COOKIE:56197780/D7BE3E5
響應方COOKIE:1B301D2DE710EDA0
下一個負載:雜湊
版本(十六進位制):10
Exchange型別:事務
標誌:(加密)
MessageID(十六進位制):84B4B653
長度:183

負載雜湊
下一個負載:屬性
保留:00
負載長度:24
資料(十六進位制):81BFBF6721A744A815D69A315EF4AAA571D6B687

負載屬性
下一個負載:無
保留:00
負載長度:131
Type:ISAKMP_CFG_REQUEST
保留:00
識別碼:0000
IPv4地址:(空)
IPv4網路掩碼:(空)
IPv4 DNS:(空)
IPv4 NBNS(WINS):(空)
地址過期:(空)
思科分機:橫幅:(空)
思科分機:儲存PWD:(空)
思科分機:預設域名:(空)
思科分機:拆分包括:(空)
思科分機:拆分DNS名稱:(空)
思科分機:執行PFS:(空)
未知:(空)
思科分機:備份伺服器:(空)
思科分機:智慧卡刪除斷開連線:(空)
應用程式版本:Cisco Systems VPN客戶端5.0.07.0290:WinNT
思科分機:防火牆型別:(空)
思科分機:動態DNS主機名:ATBASU-LABBOX

Send mode-config request。
  <=============== Mode-config Request ===============  

Receive mode-config request。

 8月24日11:31:11 [IKEv1]IP
= 64.102.156.87,IKE_DECODE RECEIVED Message(msgid=84b4b653)帶有效負載:HDR + HASH(8)+ ATTR(14)+ NONE(0)總長度:183
8月24日11:31:11 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,process_attr():進來吧!		 57011:28:38.62808/24/12Sev=調試/7IKE/0x63000076
NAV Trace->TM:MsgID=84B4B653CurState:TM_WAIT_MODECFGREPLYEvent:EV_NO_EVENT

等待伺服器響應。

Process mode-config request。

其中的許多值通常在組策略中配置。但是,由於本示例中的伺服器具有非常基本的配置,因此您在此處看不到它們。

 8月24日11:31:11 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,正在處理cfg請求屬性
8月24日11:31:11 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,MODE_CFG:收到IPV4地址請求!
8月24日11:31:11 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,MODE_CFG:已收到對IPV4網路掩碼的請求!
8月24日11:31:11 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,MODE_CFG:已收到DNS伺服器地址請求!
8月24日11:31:11 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,MODE_CFG:已收到WINS伺服器地址請求!
8月24日11:31:11 [IKEv1]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,已收到不受支援的事務模式屬性:5
8月24日11:31:11 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,MODE_CFG:已收到橫幅請求!
8月24日11:31:11 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,MODE_CFG:已收到儲存PW設定的請求!
8月24日11:31:11 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,MODE_CFG:已收到預設域名的請求!
8月24日11:31:11 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,MODE_CFG:已收到拆分隧道清單的請求!
8月24日11:31:11 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,MODE_CFG:已收到拆分DNS的請求!
8月24日11:31:11 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,MODE_CFG:收到PFS設定的請求!
8月24日11:31:11 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,MODE_CFG:已收到客戶端瀏覽器代理設定的請求!
8月24日11:31:11 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,MODE_CFG:已收到備份ip-sec對等體清單的請求!
8月24日11:31:11 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,MODE_CFG:已收到客戶端智慧卡刪除斷開設定請求!
8月24日11:31:11 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,MODE_CFG:已收到應用程式版本的請求!
8月24日11:31:11 [IKEv1]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,客戶端型別:WinNTClient應用程式版本:5.0.07.0290
8月24日11:31:11 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,MODE_CFG:已收到FWTYPE的請求!
8月24日11:31:11 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,MODE_CFG:收到的DDNS的DHCP主機名請求是:阿特巴蘇,拉博克!		  

使用配置的所有值構建模式配置響應。

相關配置:

請注意,在這種情況下,系統會始終為使用者分配相同的IP。

username cisco 
 attributes
vpn-framed-ip-
 address 192.168.1.100 
 255.255.255.0
group-policy EZ 
 internal
group-policy EZ 
 attributes
password-storage 
 enabledns-server value 
 192.168.1.129
vpn-tunnel-protocol 
 ikev1 
split-tunnel-policy 
 tunnelall
split-tunnel-network-
 list value split default-
 domain value 
 jyoungta-
 labdomain.cisco.com
 8月24日11:31:11 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,在啟動模式配置(啟用擴展驗證)之前獲取的IP地址(192.168.1.100)
8月24日11:31:11 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,向遠端客戶端傳送子網掩碼(255.255.255.0)
8月24日11:31:11 [IKEv1]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,為遠端使用者分配私有IP地址192.168.1.100
8月24日11:31:11 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,正在構建空雜湊負載
8月24日11:31:11 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,construct_cfg_set:預設域= jyoungta-labdomain.cisco.com
8月24日11:31:11 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,傳送客戶端瀏覽器代理屬性!
8月24日11:31:11 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,瀏覽器代理設定為No-Modify。瀏覽器代理資料將不會包含在mode-cfg回覆中
8月24日11:31:11 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,傳送Cisco智慧卡刪除斷開連線enable!!
8月24日11:31:11 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,構造qm雜湊負載		  

傳送模式配置響應。

 8月24日11:31:11 [IKEv1]IP = 64.102.156.87,帶有效負載的IKE_DECODE傳送消息(msgid=84b4b653):HDR + HASH(8)+ ATTR(14)+ NONE(0)總長度:215  
  =============== Mode-config Response ===============>  
  57111:28:38.63808/24/12Sev=Info/5IKE/0x6300002F
收到的ISAKMP資料包:對等= 64.102.156.88
57211:28:38.63808/24/12Sev=Info/4IKE/0x63000014
從64.102.156.88接收<< ISAKMP OAK傳輸*(雜湊,ATTR)
57311:28:38.63908/24/12Sev=解碼/11IKE/0x63000001
ISAKMP報頭
啟動器COOKIE:56197780/D7BE3E5
響應方COOKIE:1B301D2DE710EDA0
下一個負載:雜湊
版本(十六進位制):10
Exchange型別:事務
標誌:(加密)
MessageID(十六進位制):84B4B653
長度:220
負載雜湊
下一個負載:屬性
保留:00
負載長度:24
資料(十六進位制):6DE2E70ACF6B1858846BC62E590C00A66745D14D
負載屬性
下一個負載:無
保留:00
負載長度:163
Type:ISAKMP_CFG_REPLY
保留:00
識別碼:0000
IPv4地址:192.168.1.100
IPv4網路掩碼:255.255.255.0
IPv4 DNS:192.168.1.99
思科分機:儲存PWD:否
思科分機:預設域名:
jyoungta-labdomain.cisco.com
思科分機:執行PFS:否
應用程式版本:Cisco Systems, Inc ASA5505 8.4(4)1版由構建商於2012年6月14日星期四構建11:20
思科分機:智慧卡刪除斷開連線:是

從伺服器接收mode-config引數值。

階段1在伺服器上完成。啟動快速模式(QM)進程。

 8月24日11:31:13 [IKEv1解碼]IP = 64.102.156.87,IKE響應器啟動QM:消息id = 0e83792e
8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,延遲快速模式處理,正在處理的證書/轉發交換/RM DSID
8月24日11:31:13 [IKEv1]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,為192.168.1.100傳送免費ARP
8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,恢復快速模式處理,完成證書/轉發交換/RM DSID
8月24日11:31:13 [IKEv1]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,階段1已完成		 57411:28:38.63908/24/12Sev=調試/7IKE/0x63000076
NAV Trace->TM:MsgID=84B4B653CurState:
TM_WAIT_MODECFGREPLYEvent:EV_RCVD_MSG
57511:28:38.63908/24/12Sev=資訊/5IKE/0x63000010
MODE_CFG_REPLY:屬性= INTERNAL_IPV4_ADDRESS:,
值= 192.168.1.100
57611:28:38.63908/24/12Sev=Info/5IKE/0x63000010
MODE_CFG_REPLY:屬性= INTERNAL_IPV4_NETMASK:,
值= 255.255.255.0
57711:28:38.63908/24/12Sev=資訊/5IKE/0x63000010
MODE_CFG_REPLY:屬性= INTERNAL_IPV4_DNS(1):中,
值= 192.168.1.99
57811:28:38.63908/24/12Sev=Info/5IKE/0x6300000D
MODE_CFG_REPLY:屬性=
MODECFG_UNITY_SAVEPWD:,值= 0x00000000
57911:28:38.63908/24/12Sev=Info/5IKE/0x6300000E
MODE_CFG_REPLY:屬性=
MODECFG_UNITY_DEFDOMAIN:,值= jyoungta-
labdomain.cisco.com
58011:28:38.63908/24/12Sev=資訊/5IKE/0x6300000D
MODE_CFG_REPLY:屬性= MODECFG_UNITY_PFS:,值= 0x00000000
58111:28:38.63908/24/12Sev=Info/5IKE/0x6300000E
MODE_CFG_REPLY:屬性= APPLICATION_VERSION,
值= Cisco Systems, Inc ASA5505版本8.4(4)1由
2012年6月14日星期四的建築工數11:20
58211:28:38.63908/24/12Sev=資訊/5IKE/0x6300000D
MODE_CFG_REPLY:屬性=
MODECFG_UNITY_SMARTCARD_REMOVAL_DISCONNECT:,值= 0x00000001
58311:28:38.63908/24/12Sev=資訊/5IKE/0x6300000D
MODE_CFG_REPLY:屬性=接收並使用NAT-T
埠號,值= 0x00001194
58411:28:39.36708/24/12Sev= Debug/9IKE/0x63000093
ini引數EnableDNSRedirection的值是1
58511:28:39.36708/24/12Sev=調試/7IKE/0x63000076
NAV Trace->TM:MsgID=84B4B653CurState:
TM_MODECFG_DONEvent:EV_MODECFG_DONE_SUC

流程引數,並相應地配置自身。

為客戶端構建並傳送DPD。

 8月24日11:31:13 [IKEv1]IP = 64.102.156.87,此連線的保活型別:DPD
8月24日11:31:13 [IKEv1 DEBUG]Group = ipsec,使用者名稱= user1,IP = 64.102.156.87,啟動P1重新生成金鑰計時器:82080秒。
8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,傳送通知消息
8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,構造空雜湊負載
8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,構造qm雜湊負載
8月24日11:31:13 [IKEv1]IP = 64.102.156.87,帶有效負載的IKE_DECODE傳送消息(msgid=be8f7821):HDR +雜湊(8)+通知(11)+無(0)總長度:92		  
  =============== Dead對等檢測(DPD)===============>  
  58811:28:39.79508/24/12Sev=Debug/7IKE/0x63000015
intf_data&colon;lcl=0x0501A8C0,mask=0x00FFFFFF, bcast=0xFF01A8C0, bcast_vra=0xFF07070A
58911:28:39.79508/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState:
CMN_MODECFG_PROGEvent:EV_INIT_P2
59011:28:39.79508/24/12Sev=Info/4IKE/0x63000056
已收到來自驅動程式的金鑰請求:本地IP = 192.168.1.100,GW IP = 64.102.156.88,遠端IP = 0.0.0.0
59111:28:39.79508/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState:
CMN_ACTIVEvent:EV_NO_EVENT
59211:28:39.79508/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->QM:MsgID=0E83792ECurState:QM_INITIALEvent:EV_INITIATOR
59311:28:39.79508/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->QM:MsgID=0E83792ECurState:QM_BLD_MSG1Event:EV_CHK_PFS
59411:28:39.79608/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->QM:MsgID=0E83792ECurState:QM_BLD_MSG1Event:EV_BLD_MSG
59511:28:39.79608/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->QM:MsgID=0E83792ECurState:QM_SND_MSG1事件:EV_START_RETRY_TMR

啟動QM,階段2。構建QM1。此過程包括:
— 雜湊
- SA,包含客戶端支援的所有第2階段建議、隧道型別和加密
— 無
— 客戶端ID
— 代理ID
  59611:28:39.79608/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->QM:MsgID=0E83792ECurState:QM_SND_MSG1事件:EV_SND_MSG
59711:28:39.79608/24/12Sev=Info/4IKE/0x63000013
傳送>>> ISAKMP OAK QM *(雜湊、SA、非、ID、ID)到64.102.156.88

傳送QM1。
  <===============快速模式消息1(QM1)===============  

接收QM1。

 8月24日11:31:13 [IKEv1]IP = 64.102.156.87,IKE_DECODE RECEIVED Message(msgid=e83792e)帶有效負載:HDR +雜湊(8)+ SA(1)+非同步(10)+ ID(5)+ ID(5)+無(0)總長度:1026  

進程QM1。

相關配置:

crypto dynamic-map 
 DYN 10 set transform-
 set TRA
 8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,處理雜湊負載
8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,處理SA負載
8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,處理非淨荷
8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,處理ID負載
8月24日11:31:13 [IKEv1 DECODE]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,已接收ID_IPV4_ADDR ID
192.168.1.100
8月24日11:31:13 [IKEv1]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,接收遠端代理主機資料的ID負載:地址192.168.1.100,協定0,埠0
8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,處理ID負載
8月24日11:31:13 [IKEv1 DECODE]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,已接收ID_IPV4_ADDR_子網ID - 0.0.0.0 - 0.0.0.0
8月24日11:31:13 [IKEv1]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,ID負載中接收的本地IP代理子網資料:地址0.0.0.0,掩碼0.0.0.0,協定0,埠0
8月24日11:31:13 [IKEv1]Group = ipsec,使用者名稱= user1,IP = 64.102.156.87,QM IsRekeyed old sa not found by addr
8月24日11:31:13 [IKEv1]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,靜態加密對映檢查,檢查對映= out-map,seq = 10..
8月24日11:31:13 [IKEv1]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,靜態加密對映檢查通過:加密對映條目不完整!
8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,僅選擇由NAT遍歷定義的UDP-Encapsulated-Tunnel和UDP-Encapsulated-Transport模式
8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,僅選擇由NAT遍歷定義的UDP-Encapsulated-Tunnel和UDP-Encapsulated-Transport模式
8月24日11:31:13 [IKEv1]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,為加密對映配置的IKE遠端對等點:外動態對映
8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,處理IPSec SA負載		  

構建QM2。

相關配置:

tunnel-group EZ 
 type remote-access !
 (tunnel type ra = tunnel 
 type remote-access)
crypto ipsec transform-
 set TRA esp-aes esp-
 sha-hmac
crypto ipsec security-
 association lifetime 
 seconds 28800
crypto ipsec security-
 association lifetime 
 kilobytes 4608000
crypto dynamic-map 
 DYN 10 set transform-
 set TRA
crypto map MAP 65000 
 ipsec-isakmp dynamic 
 DYN
crypto map MAP 
 interface outside
 8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,IPSec SA建議# 12,轉換# 1 acceptable匹配全域性IPSec SA條目# 10
8月24日11:31:13 [IKEv1]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,IKE:請求SPI!
IPSEC:在0xcfdffc90上建立的新胚胎SA,
SCB:0xCFDFFB58,方向:入站
SPI:0x9E18ACB2
會話ID:0x00138000
VPIF編號:0x00000004
通道型別:ra
通訊協定:esp
生存期:240秒
8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,IKE從金鑰引擎獲得SPI:SPI = 0x9e18acb2
8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,oakley構建快速模式
8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,構造空雜湊負載
8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,構建IPSec SA負載
8月24日11:31:13 [IKEv1]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,覆蓋發起方的IPSec金鑰更新持續時間(2147483到86400秒)
8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,構建IPSec nonce負載
8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,正在構建代理ID
8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,傳輸代理Id:
遠端主機:192.168.1.100協定0埠0
本地子網:0.0.0.0掩碼0.0.0.0協定0埠0
8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,向發起方傳送RESPONDER LIFETIME通知
8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,構造qm雜湊負載		  

傳送QM2。

 8月24日11:31:13 [IKEv1 DECODE]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,IKE響應器傳送第二個QM資料包:消息id = 0e83792e
8月24日11:31:13 [IKEv1]IP = 64.102.156.87,帶有效負載的IKE_DECODE傳送消息(msgid=e83792e):HDR +雜湊(8)+ SA(1)+非同步(10)+ ID(5)+ ID(5)+ NOTIFY(11)+無(0)總長度:184		  
  ===============快速模式消息2(QM2)===============>  
  60811:28:39.96208/24/12Sev=Info/4IKE/0x63000014
接收<<< ISAKMP OAK QM *(雜湊、SA、非、ID、ID、
NOTIFY:STATUS_RESP_LIFETIME)(來自64.102.156.88)

接收QM2。
  60911:28:39.96408/24/12Sev=解碼/11IKE/0x63000001
ISAKMP報頭
啟動器COOKIE:56197780/D7BE3E5
響應方COOKIE:1B301D2DE710EDA0
下一個負載:雜湊
版本(十六進位制):10
Exchange型別:快速模式
標誌:(加密)
MessageID(十六進位制):E83792E
長度:188
負載雜湊
下一個負載:安全關聯
保留:00
負載長度:24
資料(十六進位制):CABF38A62C9B88D1691E81F3857D6189534B2EC0
負載安全關聯
下一個負載:農斯
保留:00
負載長度:52
DOI:IPsec
情況:(SIT_IDENTITY_ONLY)

有效載荷提案
下一個負載:無
保留:00
負載長度:40
建議號:1
Protocol-Id:PROTO_IPSEC_ESP
SPI大小:4
轉換次數:1
SPI:9E18ACB2

負載轉換
下一個負載:無
保留:00
負載長度:28
轉換編號:1
Transform-Id:ESP_3DES
保留2:0000
生命型別:秒
生命週期(十六進位制):0020C49B
封裝模式:UDP通道
驗證演算法:SHA1
有效載荷非秒
下一個負載:識別
保留:00
負載長度:24
資料(十六進位制):3A079B75DA512473706F235EA3FCA61F1D15D4CD
負載識別
下一個負載:識別
保留:00
負載長度:12
ID型別:IPv4地址
協定ID(UDP/TCP等):0
連接埠:0
ID資料冒號(&C);192.168.1.100
負載識別
下一個負載:通知
保留:00
負載長度:16
ID型別:IPv4子網
協定ID(UDP/TCP等):0
連接埠:0
ID資料冒號(&C);0.0.0.0/0.0.0.0
負載通知
下一個負載:無
保留:00
負載長度:28
DOI:IPsec
Protocol-ID:PROTO_IPSEC_ESP
Spi大小:4
通知型別:STATUS_RESP_LIFETIME
SPI:9E18ACB2
資料冒號(&C);
生命型別:秒
生命週期(十六進位制):00015180

處理QM2。解密的負載顯示所選提議。
  61011:28:39.96508/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->QM:MsgID=0E83792ECurState:QM_WAIT_MSG2Event:EV_RCVD_MSG
61111:28:39.96508/24/12Sev=Info/5IKE/0x63000045
RESPONDER-LIFETIME notify的值為86400秒
61211:28:39.96508/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->QM:MsgID=0E83792ECurState:QM_WAIT_MSG2Event:EV_CHK_PFS
61311:28:39.96508/24/12Sev=Debug/7IKE/0x63000076

進程QM2。
  NAV Trace->QM:MsgID=0E83792ECurState:QM_BLD_MSG3Event:EV_BLD_MSG
61411:28:39.96508/24/12Sev=Debug/7IKE/0x63000076
ISAKMP報頭
啟動器COOKIE:56197780/D7BE3E5
響應方COOKIE:1B301D2DE710EDA0
下一個負載:雜湊
版本(十六進位制):10
Exchange型別:快速模式
標誌:(加密)
MessageID(十六進位制):E83792E
長度:52

負載雜湊
下一個負載:無
保留:00
負載長度:24
資料(十六進位制):CDDC20D91EB4B568C826D6A5770A5CF020141236

構造QM3。此處顯示了QM3的解密負載。此過程包括雜湊。
  61511:28:39.96508/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->QM:MsgID=0E83792ECurState:QM_SND_MSG3Event:EV_SND_MSG
61611:28:39.96508/24/12Sev=Info/4IKE/0x63000013
傳送>>> ISAKMP OAK QM *(雜湊)到64.102.156.88

傳送QM3。客戶端現在已準備好進行加密和解密。
  <===============快速模式消息3(QM3)===============  

接收QM3。

 8月24日11:31:13 [IKEv1]IP = 64.102.156.87,IKE_DECODE RECEIVED Message(msgid=e83792e)帶有效負載:HDR +雜湊(8)+無(0)總長度:52  

處理QM3。建立入站和出站安全引數索引(SPI)。 為主機新增靜態路由。

相關配置:

crypto ipsec transform-
 set TRA esp-aes esp-
 sha-hmac
crypto ipsec security-
 association lifetime 
 seconds 28800
crypto ipsec security-
 association lifetime 
 kilobytes 4608000
crypto dynamic-map 
 DYN 10 set transform-
 set TRA
crypto dynamic-map 
 DYN 10 set reverse-
 route
 8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,處理雜湊負載
8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,載入所有IPSEC SA
8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,正在生成快速模式金鑰!
8月24日11:31:13 [IKEv1 DEBUG]Group = ipsec,使用者名稱= user1,IP = 64.102.156.87,NP加密規則查詢加密對映出異型對映10匹配ACL未知:返回
cs_id=cc107410;rule=00000000
8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,正在生成快速模式金鑰!
IPSEC:在0xccc9ed60時產生新胚胎SA,
SCB:0xCF7F59E0,
Direction:出站
SPI:0xC055290A
會話ID:0x00138000
VPIF編號:0x00000004
通道型別:ra
通訊協定:esp
生存期:240秒
IPSEC:已完成主機OBSA更新,SPI 0xC055290A
IPSEC:正在建立出站VPN上下文,SPI 0xC055290A
標誌:0x00000025
SA:0xccc9ed60
SPI:0xC055290A
MTU:1500 位元組
VCID:0x00000000
對等:0x00000000
SCB:0xA5922B6B
通道:0xc82afb60
IPSEC:已完成出站VPN上下文,SPI 0xC055290A
VPN控制代碼:0x0015909c
IPSEC:新的出站加密規則,SPI 0xC055290A
Src addr:0.0.0.0
源掩碼:0.0.0.0
Dst addr:192.168.1.100
Dst掩碼:255.255.255.255
源埠
上限:0
更低:0
Op:忽略
Dst埠
上限:0
更低:0
Op:忽略
通訊協定:0
使用協定:假
SPI:0x00000000
使用SPI:假
IPSEC:已完成出站加密規則,SPI 0xC055290A
規則ID:0xcb47a710
IPSEC:新的出站允許規則,SPI 0xC055290A
Src addr:64.102.156.88
源掩碼:255.255.255.255
Dst addr:64.102.156.87
Dst掩碼:255.255.255.255
源埠
上限:4500
更低:4500
Op:等於
Dst埠
上限:58506
更低:58506
Op:等於
通訊協定:17
使用協定:true
SPI:0x00000000
使用SPI:假
IPSEC:已完成出站允許規則,SPI 0xC055290A
規則ID:0xcdf3cfa0
8月24日11:31:13 [IKEv1 DEBUG]Group = ipsec,使用者名稱= user1,IP = 64.102.156.87,NP加密規則查詢加密對映出異型對映10匹配ACL未知:返回
cs_id=cc107410;rule=00000000
8月24日11:31:13 [IKEv1]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,使用者(user1)響應方的安全協商完成,入站SPI = 0x9e18acb2,出站
SPI = 0xc055290a
8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,IKE
收到SA的KEY_ADD消息:SPI = 0xc055290a
IPSEC:已完成主機IBSA更新,SPI 0x9E18ACB2
IPSEC:建立入站VPN上下文,SPI 0x9E18ACB2
標誌:0x00000026
SA:0xcfdffc90
SPI:0x9E18ACB2
MTU:0 位元組
VCID:0x00000000
對等:0x0015909C
SCB:0xA5672481
通道:0xc82afb60
IPSEC:已完成入站VPN上下文,SPI 0x9E18ACB2
VPN控制代碼:0x0016219c
IPSEC:正在更新出站VPN上下文0x0015909C,SPI 0xC055290A
標誌:0x00000025
SA:0xccc9ed60
SPI:0xC055290A
MTU:1500 位元組
VCID:0x00000000
對等:0x0016219C
SCB:0xA5922B6B
通道:0xc82afb60
IPSEC:已完成出站VPN上下文,SPI 0xC055290A
VPN控制代碼:0x0015909c
IPSEC:已完成出站內部規則,SPI 0xC055290A
規則ID:0xcb47a710
IPSEC:已完成出站外部SPD規則,SPI 0xC055290A
規則ID:0xcdf3cfa0
IPSEC:新建入站隧道流規則,SPI 0x9E18ACB2
Src addr:192.168.1.100
源掩碼:255.255.255.255
Dst addr:0.0.0.0
Dst掩碼:0.0.0.0
源埠
上限:0
更低:0
Op:忽略
Dst埠
上限:0
更低:0
Op:忽略
通訊協定:0
使用協定:假
SPI:0x00000000
使用SPI:假
IPSEC:已完成入站隧道流量規則,SPI 0x9E18ACB2
規則ID:0xcdf15270
IPSEC:新建入站解密規則,SPI 0x9E18ACB2
Src addr:64.102.156.87
源掩碼:255.255.255.255
Dst addr:64.102.156.88
Dst掩碼:255.255.255.255
源埠
上限:58506
更低:58506
Op:等於
Dst埠
上限:4500
更低:4500
Op:等於
通訊協定:17
使用協定:true
SPI:0x00000000
使用SPI:假
IPSEC:已完成入站解密規則,SPI 0x9E18ACB2
規則ID:0xce03c2f8
IPSEC:新的入站許可規則,SPI 0x9E18ACB2
Src addr:64.102.156.87
源掩碼:255.255.255.255
Dst addr:64.102.156.88
Dst掩碼:255.255.255.255
源埠
上限:58506
更低:58506
Op:等於
Dst埠
上限:4500
更低:4500
Op:等於
通訊協定:17
使用協定:true
SPI:0x00000000
使用SPI:假
IPSEC:已完成入站許可規則,SPI 0x9E18ACB2
規則ID:0xcf6f58c0
8月24日11:31:13 [IKEv1 DEBUG]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,投手:已接收KEY_UPDATE,spi 0x9e18acb2
8月24日11:31:13 [IKEv1 DEBUG]Group = ipsec,使用者名稱= user1,IP = 64.102.156.87,啟動P2重新生成金鑰計時器:82080秒。
8月24日11:31:13 [IKEv1]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,為客戶端地址新增靜態路由:192.168.1.100		  

階段2完成。雙方現在都在加密和解密。

8月24日11:31:13 [IKEv1]組= ipsec,使用者名稱= user1,IP = 64.102.156.87,第2階段完成(msgid=0e83792e)

  

對於硬體客戶端,接收另一條消息,其中客戶端傳送有關自身的資訊。如果您仔細檢視,應找到EzVPN客戶端的主機名、客戶端上運行的軟體以及軟體的位置和名稱

 2024年8月11:31:13 [IKEv1]:IP = 10.48.66.23, IKE_DECODE RECEIVED Message(msgid=91facca9),帶有效負載:HDR +雜湊(8)+通知(11)+無(0)總長度:184
8月24日11:31:13 [IKEv1調試]:組= EZ,使用者名稱= cisco,IP = 10.48.66.23,正在處理雜湊負載
8月24日11:31:13 [IKEv1調試]:組= EZ,使用者名稱= cisco,IP = 10.48.66.23,處理通知負載
8月24日11:31:13 [IKEv1解碼]:過時描述符 — 索引1
8月24日11:31:13 [IKEv1解碼]:0000:00000000 7534000B
62736E73 2D383731
....u4..bsns-871
0010:2D332E75 32000943 6973636F 20383731 -3.u2..Cisco 871
0020:7535000B 46484B30 39343431 32513675 u5.FHK094412Q6u
0030:36000932 32383538 39353638 75390009 6.228589568u9.
0040:31343532 31363331 32753300 2B666C61 145216312u3.+fla
0050:73683A63 3837302D 61647669 70736572 sh:c870-advipser
0060:76696365 736B392D 6D7A2E31 32342D32 vicesk9-mz.124-2
0070:302E5435 2E62696E 0.T5.bin

8月24日11:31:13 [IKEv1調試]:組= EZ,使用者名稱= cisco,IP = 10.48.66.23,處理PSK雜湊
2024年8月11:31:13 [IKEv1]:組= EZ,使用者名稱= cisco,IP = 192.168.1.100,不一致的PSK雜湊大小
8月24日11:31:13 [IKEv1調試]:組= EZ,使用者名稱= cisco,IP = 10.48.66.23,PSK雜湊驗證失敗!		  

通道驗證

ISAKMP

sh cry isa sa det命令的輸出為:

 Active SA: 1
 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
 
1 IKE Peer: 10.48.66.23
 Type : user Role : responder
 Rekey : no State : AM_ACTIVE
 Encrypt : aes Hash : SHA
 Auth : preshared Lifetime: 86400
 Lifetime Remaining: 86387
 AM_ACTIVE - aggressive mode is active.

IPsec

由於網際網路控制訊息通訊協定(ICMP)用於觸發通道,因此只有一個IPsec SA處於開啟狀態。通訊協定1是ICMP。請注意,SPI值與調試中協商的值不同。實際上,這是在第2階段重新生成金鑰之後的同一隧道。

sh crypto ipsec sa命令的輸出如下:

interface: outside
 Crypto map tag: DYN, seq num: 10, local addr: 10.48.67.14
 
 local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
 remote ident (addr/mask/prot/port): (192.168.1.100/255.255.255.255/0/0)
 current_peer: 10.48.66.23, username: cisco
 dynamic allocated peer ip: 192.168.1.100
 
 #pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
 #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
 #pkts compressed: 0, #pkts decompressed: 0
 #pkts not compressed: 5, #pkts comp failed: 0, #pkts decomp failed: 0
 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
 #send errors: 0, #recv errors: 0
 
 local crypto endpt.: 10.48.67.14/0, remote crypto endpt.: 10.48.66.23/0
 path mtu 1500, ipsec overhead 74, media mtu 1500
 current outbound spi: C4B9A77C
 current inbound spi : EA2B6B15
 
 inbound esp sas:
 spi: 0xEA2B6B15 (3928714005)
 transform: esp-aes esp-sha-hmac no compression
 in use settings ={RA, Tunnel, }
 slot: 0, conn_id: 425984, crypto-map: DYN
 sa timing: remaining key lifetime (sec): 28714
 IV size: 16 bytes
 replay detection support: Y
 Anti replay bitmap:
 0x00000000 0x0000003F
 outbound esp sas:
 spi: 0xC4B9A77C (3300501372)
 transform: esp-aes esp-sha-hmac no compression
 in use settings ={RA, Tunnel, }
 slot: 0, conn_id: 425984, crypto-map: DYN
 sa timing: remaining key lifetime (sec): 28714
 IV size: 16 bytes
 replay detection support: Y
 Anti replay bitmap:
 0x00000000 0x00000001

相關資訊

修訂記錄

修訂 發佈日期 意見
1.0
25-Jun-2013
初始版本
TAC Authored

由思科工程師貢獻

  • Atri Basu and Marcin Latosiewicz
    Cisco TAC Engineers.

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品