Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

O IPsec ASA e o IKE debugam (modo principal IKEv1) pesquisar defeitos TechNote

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve debuga na ferramenta de segurança adaptável (ASA) quando o modo principal e a chave pré-compartilhada (PSK) são usados. A tradução de determinadas linhas de debugação na configuração também é discutida.

Os assuntos não discutidos neste documento incluem a passagem do tráfego após o túnel foram estabelecidos e conceitos básicos do IPsec ou do Internet Key Exchange (IKE).

Contribuído por Atri Basu, por Marcin Latosiewicz, e por gaio Taylor novo, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

Os leitores deste documento devem ter o conhecimento destes assuntos.

  • PSK

  • IKE

Componentes Utilizados

As informações neste documento são baseadas nas seguintes versões de hardware e software:

  • Cisco ASA 8.3.2

  • Roteador que executa o 12.4T IO

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Edição de núcleo

O IKE e o IPsec debugam são às vezes enigmáticos, mas você pode usá-lo para compreender onde um problema do estabelecimento de túnel do IPSec VPN é encontrado.

Cenário

O modo principal é usado tipicamente entre túneis de LAN para LAN ou, no caso do Acesso remoto (EzVPN), quando os Certificados são usados para a autenticação.

Debuga são de dois ASA que executam a versão de software 8.3.2. Os dois dispositivos formarão um túnel de LAN para LAN.

Dois cenários principais são descritos:

  • ASA como o iniciador para o IKE
  • ASA como o que responde para o IKE

comandos debug usados

Estes são os comandos debug usados neste documento:

  • isakmp 127 do debug crypto
  • IPsec 127 do debug crypto

Configuração ASA

Configuração IPSec

crypto ipsec transform-set TRANSFORM esp-aes esp-sha-hmac
crypto map MAP 10 match address VPN
crypto map MAP 10 set peer 10.0.0.2
crypto map MAP 10 set transform-set TRANSFORM
crypto map MAP 10 set reverse-route
crypto map MAP interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group 10.0.0.2 type ipsec-l2l
tunnel-group 10.0.0.2 ipsec-attributes
pre-shared-key cisco
access-list VPN extended permit tcp 192.168.1.0
255.255.255.0 192.168.2.0 255.255.255.0
access-list VPN extended permit icmp 192.168.1.0
255.255.255.0 192.168.2.0 255.255.255.0

Configuração IP:

 

ciscoasa# show ip

System IP Addresses:

Interface               Name     IP address     Subnet mask     Method

GigabitEthernet0/0       inside     192.168.1.1     255.255.255.0   manual
GigabitEthernet0/1       outside   10.0.0.1          255.255.255.0   manual

Current IP Addresses:

Interface               Name      IP address     Subnet mask     Method

GigabitEthernet0/0       inside    192.168.1.1     255.255.255.0   manual
GigabitEthernet0/1       outside   10.0.0.1         255.255.255.0   manual

Configuração de NAT

object network INSIDE-RANGE
 subnet 192.168.1.0 255.255.255.0object network FOREIGN_NETWORK
 subnet 192.168.2.0 255.255.255
nat (inside,outside) source static INSIDE-RANGE INSIDE-RANGE
destination static FOREIGN_NETWORK FOREIGN_NETWORK

Depuração

Descrição de mensagem do iniciador
Debugs
Descrição de mensagem do que responde
A troca do modo principal começa; nenhuma política foi compartilhada, e os pares estão ainda em MM_NO_STATE. Como o iniciador, o ASA começa construir o payload.
[IKEv1 DEBUG]: Pitcher: received a key acquire 
message, spi 0x0 IPSEC(crypto_map_check)-3: Looking
for crypto map matching 5-tuple: Prot=1,
saddr=192.168.1.2, sport=2816, daddr=192.168.2.1
dport=2816 IPSEC(crypto_map_check)-3:
Checking crypto map MAP 10: matched.
[IKEv1]: IP = 10.0.0.2, IKE Initiator: New Phase 1,
Intf inside, IKE Peer 10.0.0.2 local Proxy Address
192.168.1.0, remote Proxy Address 192.168.2.0,
Crypto map (MAP)
 
Construção MM1. Este processo inclui a proposta inicial para o IKE e vendedores apoiados NAT-T.
[IKEv1 DEBUG]: IP = 10.0.0.2, 
constructing ISAKMP SA payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
constructing NAT-Traversal VID ver 02 payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
constructing NAT-Traversal VID ver 03 payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
constructing NAT-Traversal VID ver RFC payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
constructing Fragmentation VID
+ extended capabilities payload
Envie MM1.
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING 
Message (msgid=0) with payloads : HDR
+ SA (1) + VENDOR (13) + VENDOR (13)
+ VENDOR (13) + VENDOR (13)
+ NONE (0) total length : 168
 
=====================MM1========================>
 
 
[IKEv1]: IP = 10.0.0.2, IKE_DECODE RECEIVED 
Message (msgid=0) with payloads : HDR
+ SA (1) + VENDOR (13) + VENDOR (13)
+ VENDOR (13) + VENDOR (13)
+ NONE (0) total length : 164
MM1 recebido do iniciador.
[IKEv1 DEBUG]: IP = 10.0.0.2, 
processing SA payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Oakley proposal is acceptable
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Received NAT-Traversal RFC VID
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Received NAT-Traversal ver 03 VID
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Received NAT-Traversal ver 02 VID
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing IKE SA payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
IKE SA Proposal # 1, Transform # 1
acceptable Matches global IKE entry # 2
Processo MM1. A comparação de políticas ISAKMP/IKE começa. O peer remoto anuncia que pode usar o NAT-T. Configuração relacionada: vida cripto 86400 do grupo2 do sha da mistura da criptografia 3des da pré associação de autenticação da política 10 do isakmp.
[IKEv1 DEBUG]: IP = 10.0.0.2, 
constructing ISAKMP SA payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
constructing NAT-Traversal VID ver 02 payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
constructing Fragmentation VID
+ extended capabilities payload
Construção MM2. Nesta mensagem o que responde seleciona que os ajustes da política do isakmp a se usar. Igualmente anuncia as versões que NAT-T pode se usar.
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING 
Message (msgid=0) with payloads : HDR + SA (1)
+ VENDOR (13) + VENDOR (13)
+ NONE(0) total length : 128
Envie MM2.
 
<===================MM2=========================
 
MM2 recebido do que responde.
[IKEv1]: IP = 10.0.0.2, IKE_DECODE RECEIVED 
Message (msgid=0) with payloads : HDR + SA (1)
+ VENDOR (13) + NONE (0) total length : 104
 
Processo MM2.
[IKEv1 DEBUG]: IP = 10.0.0.2, 
processing SA payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Oakley proposal is acceptable
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Received NAT-Traversal RFC VID
 
Construção MM3. Este processo inclui cargas úteis da descoberta NAT, cargas úteis das trocas de chave do Diffie-Hellman (DH) (KE) (o initator inclui g, p, e A ao que responde), e apoio DPD.
Nov 30 10:38:29 [IKEv1 DEBUG]: IP = 10.0.0.2, 
constructing ke payload
Nov 30 10:38:29 [IKEv1 DEBUG]: IP = 10.0.0.2,
constructing nonce payload
Nov 30 10:38:29 [IKEv1 DEBUG]: IP = 10.0.0.2,
constructing Cisco Unity VID payload
Nov 30 10:38:29 [IKEv1 DEBUG]: IP = 10.0.0.2,
constructing xauth V6 VID payload
Nov 30 10:38:29 [IKEv1 DEBUG]: IP = 10.0.0.2,
Send IOS VID
Nov 30 10:38:29 [IKEv1 DEBUG]: IP = 10.0.0.2,
Constructing ASA spoofing IOS Vendor ID payload
(version: 1.0.0, capabilities: 20000001)
Nov 30 10:38:29 [IKEv1 DEBUG]: IP = 10.0.0.2,
constructing VID payload
Nov 30 10:38:29 [IKEv1 DEBUG]: IP = 10.0.0.2,
Send Altiga/Cisco VPN3000/Cisco ASA GW VID
Nov 30 10:38:29 [IKEv1 DEBUG]: IP = 10.0.0.2,
constructing NAT-Discovery payload
Nov 30 10:38:29 [IKEv1 DEBUG]: IP = 10.0.0.2,
computing NAT Discovery hash
Nov 30 10:38:29 [IKEv1 DEBUG]: IP = 10.0.0.2,
constructing NAT-Discovery payload
Nov 30 10:38:29 [IKEv1 DEBUG]: IP = 10.0.0.2,
computing NAT Discovery hash
 
Envie MM3.
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING 
Message (msgid=0) with payloads : HDR + KE (4)
+ NONCE (10) + VENDOR (13) + VENDOR (13)
+ VENDOR (13) + VENDOR (13) + NAT-D (20)
+ NAT-D (20) + NONE (0) total length : 304
 
 
=========================MM3===================>
 
 
[IKEv1]: IP = 10.0.0.2, IKE_DECODE RECEIVED 
Message (msgid=0) with payloads : HDR + KE (4)
+ NONCE (10) + VENDOR (13) + VENDOR (13)
+ VENDOR (13) + NAT-D (130) + NAT-D (130)
+ NONE (0) total length : 284
MM3 recebido do iniciador.
 
[IKEv1 DEBUG]: IP = 10.0.0.2, 
processing ke payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing ISA_KE payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing nonce payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Received DPD VID
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Processing IOS/PIX Vendor ID payload
(version: 1.0.0, capabilities: 00000f6f)
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Received xauth V6 VID
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing NAT-Discovery payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
computing NAT Discovery hash
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing NAT-Discovery payload
Processo MM3. Das cargas úteis NAT-D o que responde pode determinar se o initator é atrás do NAT e se o que responde é atrás do NAT. Do DH KE, o que responde do payload obtém valores de p, de g e de A.
 
 [IKEv1 DEBUG]: IP = 10.0.0.2, 
computing NAT Discovery hash
[IKEv1 DEBUG]: IP = 10.0.0.2,
constructing ke payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
constructing nonce payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
constructing Cisco Unity VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
constructing xauth V6 VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Send IOS VID
[IKEv1 DEBUG]: IP = 10.0.0.2,
Constructing ASA spoofing IOS Vendor ID payload
(version: 1.0.0, capabilities: 20000001)
[IKEv1 DEBUG]: IP = 10.0.0.2,
constructing VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Send Altiga/Cisco VPN3000/Cisco ASA GW VID
[IKEv1 DEBUG]: IP = 10.0.0.2,
constructing NAT-Discovery payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
computing NAT Discovery hash
[IKEv1 DEBUG]: IP = 10.0.0.2,
constructing NAT-Discovery payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
computing NAT Discovery hash
Construção MM4. Este processo inclui o payload da descoberta NAT, o que responde DH KE gera “B” e “s” (envia para trás “B” ao initator), e DPD VID.
 
[IKEv1]: IP = 10.0.0.2, 
Connection landed on tunnel_group 10.0.0.2
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, Generating keys for Responder�
O par é associado com o grupo de túneis de 10.0.0.2 L2L, e a criptografia e as chaves da mistura são geradas do “s” acima e da chave pré-compartilhada.
 
 [IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING 
Message (msgid=0) with payloads : HDR + KE (4)
+ NONCE (10) + VENDOR (13) + VENDOR (13)
+ VENDOR (13) + VENDOR (13) + NAT-D (130)
+ NAT-D (130) + NONE (0) total length : 304
Envie MM4.
 
<======================MM4======================
 
MM4 recebido do que responde.
IKEv1]: IP = 10.0.0.2, IKE_DECODE RECEIVED 
Message (msgid=0) with payloads : HDR + KE (4)
+ NONCE (10) + VENDOR (13) + VENDOR (13)
+ VENDOR (13) + VENDOR (13) + NAT-D (20)
+ NAT-D (20) + NONE (0) total length : 304
 
Processo MM4. Das cargas úteis NAT-D, o initator pode agora determinar se o iniator é atrás do NAT e se o que responde é atrás do NAT. Do DH KE, o iniciador recebe “B” e pode agora gerar o “S.”
[IKEv1 DEBUG]: IP = 10.0.0.2, 
processing ike payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing ISA_KE payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing nonce payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Received Cisco Unity client VID
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Received DPD VID
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Processing IOS/PIX Vendor ID payload
(version: 1.0.0, capabilities: 00000f7f)
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Received xauth V6 VID
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing NAT-Discovery payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
computing NAT Discovery hash
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing NAT-Discovery payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
computing NAT Discovery hash
O par é associado com o grupo de túneis de 10.0.0.2 L2L, e o initator gera chaves da criptografia e da mistura usando “s” acima e a chave pré-compartilhada.
[IKEv1]: IP = 10.0.0.2, 
Connection landed on tunnel_group 10.0.0.2
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, Generating keys for Initiator...
Construção MM5. Configuração relacionada: automóvel cripto da identidade do isakmp
[IKEv1 DEBUG]: Group = 10.0.0.2, 
IP = 10.0.0.2, constructing ID payload
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, constructing hash payload
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, Computing hash for ISAKMP
[IKEv1 DEBUG]: IP = 10.0.0.2,
Constructing IOS keep alive payload:
proposal=32767/32767 sec.
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, constructing dpd vid payload
Envie MM5.
[IKEv1]: IP = 10.0.0.2, 
IKE_DECODE SENDING Message (msgid=0)
with payloads : HDR + ID (5) + HASH (8)
+ IOS KEEPALIVE (128) +VENDOR (13)
+ NONE (0) total length : 96
 
======================MM5======================>
 
O que responde não é atrás de nenhum NAT. Nenhum NAT-T exigido.
[IKEv1]: 
Group = 10.0.0.2,
IP = 10.0.0.2,
Automatic NAT Detection
Status: Remote end
is NOT behind a NAT
device This end is NOT
behind a NAT device
[IKEv1]: 
IP = 10.0.0.2,
IKE_DECODE RECEIVED
Message (msgid=0)
with payloads : HDR
+ ID (5) + HASH (8)
+ NONE (0) total
length : 64
MM5 recebido do iniciador. Este processo inclui a identidade do peer remoto (ID) e a aterragem da conexão em um grupo do túnel específico.
 
[IKEv1 DEBUG]: Group = 10.0.0.2, 
IP = 10.0.0.2, processing ID payload
[IKEv1 DECODE]: Group = 10.0.0.2,
IP = 10.0.0.2, ID_IPV4_ADDR ID received 10.0.0.2
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, processing hash payload
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, Computing hash for ISAKMP
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, processing notify payload
[IKEv1]: Group = 10.0.0.2,
IP = 10.0.0.2,Automatic NAT
[IKEv1]: IP = 10.0.0.2,
Connection landed on tunnel_group 10.0.0.2
Processo MM5. A autenticação com chaves pré-compartilhada começa agora. A autenticação ocorre em ambos os pares; consequentemente, você verá dois grupos de processos de autenticação correspondentes. Configuração relacionada: tipo ipsec-l2l de 10.0.0.2 do grupo de túneis
 
Detection Status: Remote end is NOT 
behind a NAT device This end is NOT behind
a NAT device
Nenhum NAT-T exigido neste caso.
 
[IKEv1 DEBUG]: Group = 10.0.0.2, 
IP = 10.0.0.2, constructing ID payload
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, constructing hash payload
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, Computing hash for ISAKMP
[IKEv1 DEBUG]: IP = 10.0.0.2,
Constructing IOS keep alive payload:
proposal=32767/32767 sec.
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, constructing dpd vid payload
Construção MM6. Envie a identidade inclui rekey as épocas começadas e a identidade enviada ao peer remoto.
 
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING 
Message (msgid=0) with payloads : HDR + ID (5)
+ HASH (8) + IOS KEEPALIVE (128) +VENDOR (13)
+ NONE (0) total length : 96
Envie MM6.
 
<======================MM6======================
 
MM6 recebido do que responde.
[IKEv1]: 
IP = 10.0.0.2,
IKE_DECODE RECEIVED
Message (msgid=0)
with payloads : HDR
+ ID (5) + HASH (8)
+ NONE (0) total
length : 64
[IKEv1]: 
Group = 10.0.0.2,
IP = 10.0.0.2,
PHASE 1 COMPLETED
[IKEv1]: IP = 10.0.0.2,
Keep-alive
type for this
connection: DPD
[IKEv1 DEBUG]:
Group = 10.0.0.2,
IP = 10.0.0.2,
Starting P1
rekey timer:
64800 seconds.
Fase 1 completa. O isakmp do começo rekey o temporizador. Configuração relacionada: sh run cripto do ciscoasa# da vida 86400 do grupo2 do sha da mistura da criptografia 3des da pré associação de autenticação da política 10 do isakmp todo o automóvel cripto da identidade do isakmp do isakmp cripto
Processo MM6. Este processo inclui a identidade remota enviada do par e da decisão final em relação ao grupo de túneis escolher
 [IKEv1 DEBUG]: Group = 10.0.0.2, 
IP = 10.0.0.2, processing ID payload
[IKEv1 DECODE]: Group = 10.0.0.2,
IP = 10.0.0.2, ID_IPV4_ADDR ID received
10.0.0.2
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, processing hash payload
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, Computing hash for ISAKMP
[IKEv1]: IP = 10.0.0.2,
Connection landed on tunnel_group 10.0.0.2
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, Oakley begin quick mode
[IKEv1 DECODE]: Group = 10.0.0.2,
IP = 10.0.0.2, IKE Initiator starting
QM: msg id = 7b80c2b0
 
Fase 1 completa. O começo ISAKMP rekey o temporizador. Configuração relacionada: tipo chave pré-compartilhada Cisco de 10.0.0.2 do grupo de túneis dos IPsec-atributos de 10.0.0.2 do grupo de túneis ipsec-l2l
[IKEv1]: Group = 10.0.0.2,
IP = 10.0.0.2, PHASE 1 COMPLETED
[IKEv1]: IP = 10.0.0.2,
Keep-alive type for this connection:
DPD DPD has bee negotiated and
Phase 1 is now complete.
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, Starting P1
rekey timer: 82080 seconds.
 
A fase 2 (Quick Mode) começa.
IPSEC: New embryonic SA 
created @ 0x53FC3C00,
SCB: 0x53F90A00,
Direction: inbound
SPI : 0xFD2D851F
Session ID: 0x00006000
VPIF num : 0x00000003
Tunnel type: l2l
Protocol : esp
Lifetime : 240 seconds
 
Construção QM1. Este processo inclui o proxy ID e as políticas de IPsec. Configuração relacionada: o conjunto de transformação cripto do IPsec TRANSFORMA ICMP estendido VPN 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 da licença da lista de acesso do esp-sha-hmac ESP-aes
[IKEv1 DEBUG]: Group = 10.0.0.2, 
IP = 10.0.0.2, IKE got SPI from key engine:
SPI = 0xfd2d851f
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, oakley constucting quick mode
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, constructing blank hash payload
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, constructing IPSec SA payload
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, constructing IPSec nonce payload
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, constructing proxy ID
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, Transmitting Proxy Id:
Local subnet: 192.168.1.0 mask 255.255.255.0
Protocol 1 Port 0
Remote subnet: 192.168.2.0 Mask 255.255.255.0
Protocol 1 Port 0
The local subnet (192.168.1.0/24) and expcted remote
subnet (192.168.2.0/24) are being sent
[IKEv1 DECODE]: Group = 10.0.0.2,
IP = 10.0.0.2, IKE Initiator sending Initial Contact
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, constructing qm hash payload
[IKEv1 DECODE]: Group = 10.0.0.2,
IP = 10.0.0.2, IKE Initiator sending 1st QM pkt:
msg id = 7b80c2b0
 
Envie QM1.
 [IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING   
Message (msgid=7b80c2b0) with payloads : HDR
+ HASH (8) + SA (1) + NONCE (10) + ID (5)
+ ID (5) + NOTIFY (11) + NONE (0) total length : 200
 
 
==========================QM1===================>
 
 
[IKEv1 DECODE]: IP = 10.0.0.2, 
IKE Responder starting QM: msg id = 52481cf5
[IKEv1]: IP = 10.0.0.2, IKE_DECODE RECEIVED
Message (msgid=52481cf5) with payloads :
HDR + HASH (8) + SA (1) + NONCE (10)
+ ID (5) + ID (5) + NONE (0) total length : 172
QM1 recebido do iniciador. O que responde começa a fase 2 (QM).
 
[IKEv1 DEBUG]: Group = 10.0.0.2, 
IP = 10.0.0.2,
processing hash payload
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,
processing SA payload
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,
processing nonce payload
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,
processing ID payload
Processo QM1. Este processo compara proxys remotos com o local e seleciona a política de IPsec aceitável. Configuração relacionada: o conjunto de transformação cripto do IPsec TRANSFORMA o endereço estendido VPN VPN do fósforo do MAPA 10 do crypto map ICMP 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 da licença da lista de acesso do esp-sha-hmac ESP-aes
 
[IKEv1 DECODE]: Group = 10.0.0.2, IP = 10.0.0.2, 
ID_IPV4_ADDR_SUBNET ID
received--192.168.2.0--255.255.255.0
[IKEv1]: Group = 10.0.0.2, IP = 10.0.0.2,
Received remote IP Proxy Subnet data in ID Payload:
Address 192.168.2.0, Mask 255.255.255.0,
Protocol 1, Port 0
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,
processing ID payload
[IKEv1 DECODE]: Group = 10.0.0.2, IP = 10.0.0.2,
ID_IPV4_ADDR_SUBNET ID
received--192.168.1.0--255.255.255.0
[IKEv1]: Group = 10.0.0.2, IP = 10.0.0.2,
Received local IP Proxy Subnet data in ID Payload:
Address 192.168.1.0, Mask 255.255.255.0,
Protocol 1, Port 0
O telecontrole e as sub-redes local (192.168.2.0/24 e 192.168.1.0/24) são recebidos.
 
[IKEv1]: Group = 10.0.0.2, IP = 10.0.0.2,   
QM IsRekeyed old sa not found by addr
[IKEv1]: Group = 10.0.0.2, IP = 10.0.0.2,
Static Crypto Map check, checking map = MAP,
seq = 10...
[IKEv1]: Group = 10.0.0.2, IP = 10.0.0.2,
Static Crypto Map check, map MAP,
seq = 10 is a successful match
[IKEv1]: Group = 10.0.0.2, IP = 10.0.0.2,
IKE Remote Peer configured for crypto map: MAP
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,
processing IPSec SA payload
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,
IPSec SA Proposal # 1, Transform # 1 acceptable
Matches global IPSec SA entry # 10
Uma entrada cripto estática de harmonização é procurada e encontrada.
 
[IKEv1]: Group = 10.0.0.2, IP = 10.0.0.2,  
IKE: requesting SPI!
IPSEC: New embryonic SA created @ 0x53FC3698,
SCB: 0x53FC2998,
Direction: inbound
SPI : 0x1698CAC7
Session ID: 0x00004000
VPIF num : 0x00000003
Tunnel type: l2l
Protocol : esp
Lifetime : 240 seconds
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,
IKE got SPI from key engine: SPI = 0x1698cac7
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,
oakley constructing quick mode
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,
constructing blank hash payload
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,
constructing IPSec SA payload
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,
constructing IPSec nonce payload
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,
constructing proxy ID
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,
Transmitting Proxy Id:
Remote subnet: 192.168.2.0 Mask 255.255.255.0
Protocol 1 Port 0
Local subnet: 192.168.1.0 mask 255.255.255.0
Protocol 1 Port 0
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,
constructing qm hash payload
[IKEv1 DECODE]: Group = 10.0.0.2, IP = 10.0.0.2,
IKE Responder sending 2nd QM pkt: msg id = 52481cf5
Construção QM2. Este processo inclui a confirmação das identidades de proxy, tipo de túnel, e uma verificação é executada para ACLs cript. espelhados.
 
 [IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING 
Message (msgid=52481cf5) with payloads :
HDR + HASH (8) + SA (1) + NONCE (10) + ID (5)
+ ID (5) + NONE (0) total length : 172
Envie QM2.
 
<=======================QM2======================
 
QM2 recebido do que responde.
IKEv1]: IP = 10.0.0.2, IKE_DECODE RECEIVED  
Message (msgid=7b80c2b0) with payloads :
HDR + HASH (8) + SA (1) + NONCE (10)
+ ID (5) + ID (5) + NOTIFY (11)
+ NONE (0) total length : 200
 
Processo QM2. Neste processo, a extremidade remota envia parâmetros e as vidas propostas as mais curtos da fase 2 são escolhidas.
 [IKEv1 DEBUG]: Group = 10.0.0.2, 
IP = 10.0.0.2, processing hash payload
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, processing SA payload
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, processing nonce payload
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, processing ID payload
[IKEv1 DECODE]: Group = 10.0.0.2,
IP = 10.0.0.2, ID_IPV4_ADDR_SUBNET ID
received--192.168.1.0--255.255.255.0
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, processing ID payload
[IKEv1 DECODE]: Group = 10.0.0.2,
IP = 10.0.0.2, ID_IPV4_ADDR_SUBNET ID
received--192.168.2.0--255.255.255.0
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, processing notify payload
[IKEv1 DECODE]: Responder Lifetime
decode follows (outb SPI[4]|attributes):
[IKEv1 DECODE]: 0000: DDE50931 80010001
00020004 00000E10 ...1............
[IKEv1]: Group = 10.0.0.2, IP = 10.0.0.2,
Responder forcing change of IPSec rekeying
duration from 28800 to 3600 seconds
based on response from peer, the ASA is
changing certain IPSEC attributes.
In this case the rekey interval
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, loading all IPSEC SAs
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, Generating Quick Mode Key!
Crypto map de harmonização “MAPA” Found e entrada 10 e combinado lhe contra a lista de acesso “VPN.”
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,    
NP encrypt rule look up for crypto map MAP 10
matching ACL VPN: returned cs_id=53f11198;
rule=53f11a90
O dispositivo gerou o tráfego de entrada e de saída 0xfd2d851f e 0xdde50931for SPI respectivamente.
 [IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2, 
Generating Quick Mode Key!
IPSEC: New embryonic SA created @ 0x53FC3698,
SCB: 0x53F910F0,
Direction: outbound
SPI : 0xDDE50931
Session ID: 0x00006000
VPIF num : 0x00000003
Tunnel type: l2l
Protocol : esp
Lifetime : 240 seconds
IPSEC: Completed host OBSA update,
SPI 0xDDE50931
IPSEC: Creating outbound VPN context,
SPI 0xDDE50931
Flags: 0x00000005
SA : 0x53FC3698
SPI : 0xDDE50931
MTU : 1500 bytes
VCID : 0x00000000
Peer : 0x00000000
SCB : 0x01CF218F
Channel: 0x4C69CB80
IPSEC: Completed outbound VPN context,
SPI 0xDDE50931
VPN handle: 0x000161A4
IPSEC: New outbound encrypt rule,
SPI 0xDDE50931
Src addr: 192.168.1.0
Src mask: 255.255.255.0
Dst addr: 192.168.2.0
Dst mask: 255.255.255.0
Src ports
Upper: 0
Lower: 0
Op : ignore
Dst ports
Upper: 0
Lower: 0
Op : ignore
Protocol: 1
Use protocol: true
SPI: 0x00000000
Use SPI: false
IPSEC: Completed outbound encrypt rule,
SPI 0xDDE50931
Rule ID: 0x53FC3AD8
IPSEC: New outbound permit rule,
SPI 0xDDE50931
Src addr: 10.0.0.1
Src mask: 255.255.255.255
Dst addr: 10.0.0.2
Dst mask: 255.255.255.255
Src ports
Upper: 0
Lower: 0
Op : ignore
Dst ports
Upper: 0
Lower: 0
Op : ignore
Protocol: 50
Use protocol: true
SPI: 0xDDE50931
Use SPI: true
IPSEC: Completed outbound permit rule,
SPI 0xDDE50931
Rule ID: 0x53F91538
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2,
NP encrypt rule look up for crypto map MAP 10
matching ACL VPN: returned cs_id=53f11198;
rule=53f11a90
[IKEv1]: Group = 10.0.0.2, IP = 10.0.0.2,
Security negotiation complete for LAN-to-LAN
Group (10.0.0.2) Initiator,
Inbound SPI = 0xfd2d851f,
Outbound SPI = 0xdde50931
Construção QM3. Confirme todos os SPI criados ao peer remoto.
Confirm all SPIs created to remote peer.
IPSEC: Completed host IBSA update,
SPI 0xFD2D851F
IPSEC: Creating inbound VPN context,
SPI 0xFD2D851F
Flags: 0x00000006
SA : 0x53FC3C00
SPI : 0xFD2D851F
MTU : 0 bytes
VCID : 0x00000000
Peer : 0x000161A4
SCB : 0x01CEA8EF
Channel: 0x4C69CB80
IPSEC: Completed inbound VPN context,
SPI 0xFD2D851F
VPN handle: 0x00018BBC
IPSEC: Updating outbound VPN context 0x000161A4,
SPI 0xDDE50931
Flags: 0x00000005
SA : 0x53FC3698
SPI : 0xDDE50931
MTU : 1500 bytes
VCID : 0x00000000
Peer : 0x00018BBC
SCB : 0x01CF218F
Channel: 0x4C69CB80
IPSEC: Completed outbound VPN context,
SPI 0xDDE50931
VPN handle: 0x000161A4
IPSEC: Completed outbound inner rule,
SPI 0xDDE50931
Rule ID: 0x53FC3AD8
IPSEC: Completed outbound outer SPD rule,
SPI 0xDDE50931
Rule ID: 0x53F91538
IPSEC: New inbound tunnel flow rule,
SPI 0xFD2D851F
Src addr: 192.168.2.0
Src mask: 255.255.255.0
Dst addr: 192.168.1.0
Dst mask: 255.255.255.0
Src ports
Upper: 0
Lower: 0
Op : ignore
Dst ports
Upper: 0
Lower: 0
Op : ignore
Protocol: 1
Use protocol: true
SPI: 0x00000000
Use SPI: false
IPSEC: Completed inbound tunnel flow rule,
SPI 0xFD2D851F
Rule ID: 0x53F91970
IPSEC: New inbound decrypt rule,
SPI 0xFD2D851F
Src addr: 10.0.0.2
Src mask: 255.255.255.255
Dst addr: 10.0.0.1
Dst mask: 255.255.255.255
Src ports
Upper: 0
Lower: 0
Op : ignore
Dst ports
Upper: 0
Lower: 0
Op : ignore
Protocol: 50
Use protocol: true
SPI: 0xFD2D851F
Use SPI: true
IPSEC: Completed inbound decrypt rule,
SPI 0xFD2D851F
Rule ID: 0x53F91A08
IPSEC: New inbound permit rule,
SPI 0xFD2D851F
Src addr: 10.0.0.2
Src mask: 255.255.255.255
Dst addr: 10.0.0.1
Dst mask: 255.255.255.255
Src ports
Upper: 0
Lower: 0
Op : ignore
Dst ports
Upper: 0
Lower: 0
Op : ignore
Protocol: 50
Use protocol: true
SPI: 0xFD2D851F
Use SPI: true
IPSEC: Completed inbound permit rule,
SPI 0xFD2D851F
Rule ID: 0x53F91AA0
Envie QM3.
[IKEv1 DECODE]: Group = 10.0.0.2, 
IP = 10.0.0.2, IKE Initiator sending 3rd
QM pkt: msg id = 7b80c2b0
 
========================QM3=====================>
 
Fase 2 completa. O iniciador está agora pronto para cifrar e decifrar pacotes usando estes valores SPI.
[IKEv1]: IP = 10.0.0.2, 
IKE_DECODE SENDING
Message (msgid=7b80c2b0
with payloads : HDR
+ HASH (8)
+ NONE (0)
total length :76
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2,
IKE got a KEY_ADD msg for SA:
SPI = 0xdde50931
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2,
Pitcher: received KEY_UPDATE,
spi 0xfd2d851f
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2,
Starting P2 rekey timer:
3060 seconds.
[IKEv1]: Group = 10.0.0.2,
IP = 10.0.0.2,
PHASE 2 COMPLETED
(msgid=7b80c2b0)
[IKEv1]: IP = 10.0.0.2,    
IKE_DECODE RECEIVED
Message (msgid=52481cf5)
with payloads : HDR
+ HASH (8)
+ NONE (0)
total length : 52
Iniciador do fom do receivd QM3.
 
[IKEv1 DEBUG]: Group = 10.0.0.2, 
IP = 10.0.0.2, processing hash payload
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, loading all IPSEC SAs
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, Generating Quick Mode Key!
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, NP encrypt rule look up for
crypto map MAP 10 matching ACL VPN:
returned cs_id=53f11198; rule=53f11a90
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, Generating Quick Mode Key!
IPSEC: New embryonic SA created @ 0x53F18B00,
SCB: 0x53F8A1C0,
Direction: outbound
SPI : 0xDB680406
Session ID: 0x00004000
VPIF num : 0x00000003
Tunnel type: l2l
Protocol : esp
Lifetime : 240 seconds
IPSEC: Completed host OBSA update,
SPI 0xDB680406
IPSEC: Creating outbound VPN context,
SPI 0xDB680406
Flags: 0x00000005
SA : 0x53F18B00
SPI : 0xDB680406
MTU : 1500 bytes
VCID : 0x00000000
Peer : 0x00000000
SCB : 0x005E4849
Channel: 0x4C69CB80
IPSEC: Completed outbound VPN context,
SPI 0xDB680406
VPN handle: 0x0000E9B4
IPSEC: New outbound encrypt rule,
SPI 0xDB680406
Src addr: 192.168.1.0
Src mask: 255.255.255.0
Dst addr: 192.168.2.0
Dst mask: 255.255.255.0
Src ports
Upper: 0
Lower: 0
Op : ignore
Dst ports
Upper: 0
Lower: 0
Op : ignore
Protocol: 1
Use protocol: true
SPI: 0x00000000
Use SPI: false
IPSEC: Completed outbound encrypt rule,
SPI 0xDB680406
Rule ID: 0x53F89160
IPSEC: New outbound permit rule,
SPI 0xDB680406
Src addr: 10.0.0.1
Src mask: 255.255.255.255
Dst addr: 10.0.0.2
Dst mask: 255.255.255.255
Src ports
Upper: 0
Lower: 0
Op : ignore
Dst ports
Upper: 0
Lower: 0
Op : ignore
Protocol: 50
Use protocol: true
SPI: 0xDB680406
Use SPI: true
IPSEC: Completed outbound permit rule,
SPI 0xDB680406
Rule ID: 0x53E47E88
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, NP encrypt rule look up
for crypto map MAP 10 matching ACL VPN:
returned cs_id=53f11198; rule=53f11a90
Processo QM3. As chaves de criptografia são geradas para os dados SA. Durante este processo, os SPI são ajustados a fim passar o tráfego.
[IKEv1]: Group = 10.0.0.2, IP = 10.0.0.2,   
Security negotiation complete for
LAN-to-LAN Group (10.0.0.2) Responder,
Inbound SPI = 0x1698cac7,
Outbound SPI = 0xdb680406
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, IKE got a
KEY_ADD msg for SA: SPI = 0xdb680406
IPSEC: Completed host IBSA update,
SPI 0x1698CAC7
IPSEC: Creating inbound VPN context,
SPI 0x1698CAC7
Flags: 0x00000006
SA : 0x53FC3698
SPI : 0x1698CAC7
MTU : 0 bytes
VCID : 0x00000000
Peer : 0x0000E9B4
SCB : 0x005DAE51
Channel: 0x4C69CB80
IPSEC: Completed inbound VPN context,
SPI 0x1698CAC7
VPN handle: 0x00011A8C
IPSEC: Updating outbound VPN context 0x0000E9B4,
SPI 0xDB680406
Flags: 0x00000005
SA : 0x53F18B00
SPI : 0xDB680406
MTU : 1500 bytes
VCID : 0x00000000
Peer : 0x00011A8C
SCB : 0x005E4849
Channel: 0x4C69CB80
IPSEC: Completed outbound VPN context,
SPI 0xDB680406
VPN handle: 0x0000E9B4
IPSEC: Completed outbound inner rule,
SPI 0xDB680406
Rule ID: 0x53F89160
IPSEC: Completed outbound outer SPD rule,
SPI 0xDB680406
Rule ID: 0x53E47E88
IPSEC: New inbound tunnel flow rule,
SPI 0x1698CAC7
Src addr: 192.168.2.0
Src mask: 255.255.255.0
Dst addr: 192.168.1.0
Dst mask: 255.255.255.0
Src ports
Upper: 0
Lower: 0
Op : ignore
Dst ports
Upper: 0
Lower: 0
Op : ignore
Protocol: 1
Use protocol: true
SPI: 0x00000000
Use SPI: false
IPSEC: Completed inbound tunnel flow rule,
SPI 0x1698CAC7
Rule ID: 0x53FC3E80
IPSEC: New inbound decrypt rule,
SPI 0x1698CAC7
Src addr: 10.0.0.2
Src mask: 255.255.255.255
Dst addr: 10.0.0.1
Dst mask: 255.255.255.255
Src ports
Upper: 0
Lower: 0
Op : ignore
Dst ports
Upper: 0
Lower: 0
Op : ignore
Protocol: 50
Use protocol: true
SPI: 0x1698CAC7
Use SPI: true
IPSEC: Completed inbound decrypt rule,
SPI 0x1698CAC7
Rule ID: 0x53FC3F18
IPSEC: New inbound permit rule,
SPI 0x1698CAC7
Src addr: 10.0.0.2
Src mask: 255.255.255.255
Dst addr: 10.0.0.1
Dst mask: 255.255.255.255
Src ports
Upper: 0
Lower: 0
Op : ignore
Dst ports
Upper: 0
Lower: 0
Op : ignore
Protocol: 50
Use protocol: true
SPI: 0x1698CAC7
Use SPI: true
IPSEC: Completed inbound permit rule,
SPI 0x1698CAC7
Rule ID: 0x53F8AEA8
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, Pitcher:
received KEY_UPDATE, spi 0x1698cac7
Os SPI são atribuídos aos dados SA.
[IKEv1 DEBUG]: Group = 10.0.0.2,    
IP = 10.0.0.2, Starting P2
rekey timer: 3060 seconds.
O IPsec do começo rekey épocas.
[IKEv1]: Group = 10.0.0.2,  
IP = 10.0.0.2, PHASE 2
COMPLETED (msgid=52481cf5)
Fase 2 completa. O que responde e o iniciador podem cifrar/tráfego do decrypt.

Verificação do túnel


Nota: Desde que o ICMP é usado para provocar o túnel, simplesmente um IPsec SA está acima. Protocolo 1 = ICMP.

show crypto ipsec sa
interface: outside
    Crypto map tag: MAP, seq num: 10, local addr: 10.0.0.1
      access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
      local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/1/0)
      remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/1/0)
      current_peer: 10.0.0.2
      #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
      #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0
      local crypto endpt.: 10.0.0.1/0, remote crypto endpt.: 10.0.0.2/0
      path mtu 1500, ipsec overhead 74, media mtu 1500
      current outbound spi: DB680406
      current inbound spi : 1698CAC7
    inbound esp sas:
      spi: 0x1698CAC7 (379112135)
         transform: esp-aes esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 16384, crypto-map: MAP
         sa timing: remaining key lifetime (kB/sec): (3914999/3326)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x0000001F
    outbound esp sas:
      spi: 0xDB680406 (3681027078)
         transform: esp-aes esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 16384, crypto-map: MAP
         sa timing: remaining key lifetime (kB/sec): (3914999/3326)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

 

show crypto isakmp sa

   Active SA: 1
   Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 10.0.0.2
    Type    : L2L             Role    : responder
    Rekey   : no              State   : MM_ACTIVE

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 113574