Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

Exemplo de configuração Dinâmico-à-estático ASA-à-ASA IKEv1/IPsec

18 Junho 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (21 Abril 2016) | Feedback

Introdução

Este documento descreve como permitir a ferramenta de segurança adaptável (ASA) de aceitar conexões dinâmicas do VPN de Site-para-Site do IPsec de todo o par dinâmico (ASA neste caso). Enquanto o diagrama da rede neste documento mostra, o túnel de IPsec está estabelecido quando o túnel é iniciado da extremidade Remoto-ASA somente. O Central-ASA não pode iniciar um túnel VPN devido à configuração IPSec dinâmica. O endereço IP de Um ou Mais Servidores Cisco ICM NT do Remoto-ASA é desconhecido.

Configurar o Central-ASA a fim aceitar dinamicamente conexões de um endereço IP de Um ou Mais Servidores Cisco ICM NT da curinga (0.0.0.0/0) e de uma chave pré-compartilhada curinga. O Remoto-ASA é configurado então para cifrar o tráfego do local às sub-redes Central-ASA como especificadas pela lista de acesso cripto. Os ambos os lados executam a isenção do Network Address Translation (NAT) a fim contornear o NAT para o tráfego de IPSec.

Contribuído por Santhosha Shetty, por Rahul Govindan, e por Adesh Gairola, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada na liberação de software de firewall 9.x de Cisco ASA (5510 e 5520) e mais tarde.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Configurar

Nota: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Configuração ASDM

Central-ASA (peer estático)

Em um ASA com um endereço IP estático, estabelecer o VPN de tal maneira que aceita conexões dinâmica de um par desconhecido quando ainda autenticar o par que usa uma chave pré-compartilhada IKEv1:

  1. Escolha a configuração > o VPN de Site-para-Site > avançou > crypto map. O indicador indica a lista de entradas do crypto map que são já no lugar (se há algum). Desde que o ASA não conhece o que o endereço IP do peer é, para que o ASA aceite a conexão configurar o mapa dinâmico com conjunto de transformação de harmonização (proposta do IPsec). Clique em Add.

  2. No indicador da regra do IPsec da criação, da política do túnel (crypto map) - a aba básica, escolhe fora da lista de drop-down da relação e dinâmico do tipo lista de drop-down da política. No campo de prioridade, atribua a prioridade para esta entrada caso que há umas entradas múltiplas sob o mapa dinâmico. Em seguida, clique seleto ao lado do campo da proposta do IPsec IKE v1 a fim selecionar a proposta do IPsec.

  3. Quando a caixa de diálogo seleta das propostas do IPsec (transforme grupos) abre, escolha entre as propostas atuais do IPsec ou o clique adiciona a fim criar um novo e usar o mesmos. APROVAÇÃO do clique quando você for feito.

     

  4. Da política do túnel (crypto map) - o guia avançada, verifica a caixa de verificação da possibilidade NAT-T (exigida se um ou outro par é atrás de um dispositivo NAT) e a caixa de verificação do Reverse Route Injection da possibilidade. Quando o túnel VPN vem acima para o par dinâmico, o ASA instala uma rota dinâmica para a rede VPN remota negociada esses pontos à relação VPN.

    Opcionalmente, da aba da seleção do tráfego você pode igualmente definir o tráfego interessante VPN para o par dinâmico e clicar a APROVAÇÃO.

     

    Como mencionado mais cedo, desde que o ASA não tem nenhuma informação sobre o endereço IP do peer dinâmico remoto, o pedido de conexão do desconhecido aterra sob DefaultL2LGroup que existe no ASA à revelia. Para que a autenticação suceda a chave pré-compartilhada (cisco123 neste exemplo) configurada no peer remoto precisa de combinar com o um DefaultL2LGroup inferior.

  5. Escolha a configuração > o VPN de Site-para-Site > avançou > grupos de túneis, DefaultL2LGroup seleto, clique editam e configuram a chave pré-compartilhada desejada. Clique a APROVAÇÃO quando você é feito.

    Nota: Isto cria uma chave pré-compartilhada do convite no peer estático (Central-ASA). Todo o dispositivo/par que conhecer esta chave pré-compartilhada e suas propostas de harmonização pode com sucesso estabelecer um túnel VPN e alcançar recursos sobre o VPN. Assegure-se de que esta chave PRE-skared não esteja compartilhada com as entidades desconhecidas e não seja fácil de supor.

  6. Escolha políticas da configuração > do VPN de Site-para-Site > do grupo e selecione a grupo-política de sua escolha (grupo-política do padrão neste caso). O clique edita e edita a política do grupo na caixa de diálogo da Política interna de grupo da edição. APROVAÇÃO do clique quando você for feito.

  7. Escolha a configuração > o Firewall > as regras NAT e do indicador Nat da regra adicionar, configuram uma regra (NAT-EXEMPT) não nat para o tráfego VPN. Clique a APROVAÇÃO quando você é feito.

Remoto-ASA (par dinâmico)

  1. Escolha assistentes > wizard VPN > assistente do VPN de Site-para-Site uma vez que o aplicativo ASDM conecta ao ASA.

  2. Clique em Next.

  3. Escolha fora da lista de drop-down da interface de acesso VPN a fim especificar o endereço IP externo do peer remoto. Selecione a relação (WAN) onde o crypto map é aplicado. Clique em Next.

  4. Especifique os anfitriões/redes que devem ser permitidos passar através do túnel VPN. Nesta etapa, você precisa de fornecer as redes local e as redes remotas para o VPN escavam um túnel. Clique os botões ao lado dos campos da rede local e da rede remota e escolha o endereço conforme a exigência. Clique em seguida quando você é feito.

  5. Incorpore a informação da autenticação para usar-se, que é chave pré-compartilhada neste exemplo. A chave pré-compartilhada usada neste exemplo é cisco123. O nome de grupo de túneis é o endereço IP de Um ou Mais Servidores Cisco ICM NT do peer remoto à revelia se você configura o LAN para LAN (L2L) VPN.

    OU

    Você pode personalizar a configuração para incluir o IKE e a política de IPsec de sua escolha. Precisa de estar pelo menos uma política de harmonização entre os pares:

    1. Dos métodos de autenticação catalogue, incorpore a chave pré-compartilhada da versão 1 IKE ao campo de chave pré-compartilhada. Neste exemplo, é cisco123.

    2. Clique a aba dos algoritmos de criptografia.
  6. O clique controla ao lado do campo da política de IKE, o clique adiciona e configura uma política de IKE feita sob encomenda (phase-1). APROVAÇÃO do clique quando você for feito.

  7. Clique seleto ao lado o do campo da proposta do IPsec e selecione a proposta desejada do IPsec. Clique em seguida quando você é feito.

    Opcionalmente, você pode ir à aba do discrição perfeita adiante e verificar a caixa de verificação do discrição perfeita adiante (PFS) da possibilidade. Clique em seguida quando você for feito.

  8. Verifique o host/rede isentos do lado ASA da caixa de verificação da tradução de endereços a fim impedir desde o início o tráfego de túnel da tradução de endereço de rede. Escolha o local ou o interior da lista de drop-down a fim ajustar a relação onde a rede local é alcançável. Clique em Next.

  9. O ASDM indica um sumário do VPN apenas configurado. Verifique e clique o revestimento.

Configuração de CLI

Configuração central ASA (peer estático)

  1. Configurar uma regra NO-NAT/NAT-EXEMPT para o tráfego VPN como este exemplo mostra:
    object network 10.1.1.0-remote_network
    subnet 10.1.1.0 255.255.255.0

    object network 10.1.2.0-inside_network
     subnet 10.1.2.0 255.255.255.0

    nat (inside,outside) source static 10.1.2.0-inside_network 10.1.2.0-inside_network
    destination static 10.1.1.0-remote_network 10.1.1.0-remote_network
    no-proxy-arp route-lookup
  2. Configurar a chave preshared sob DefaultL2LGroup a fim autenticar todo o Dynamic-L2L-peer remoto:
    tunnel-group DefaultL2LGroup ipsec-attributes
     ikev1 pre-shared-key cisco123
  3. Defina a política phase-2/ISAKMP:
    crypto ikev1 policy 10
     authentication pre-share
     encryption aes-256
     hash sha
     group 2
     lifetime 86400
  4. Defina o phase-2 transformam o grupo/política de IPsec:
    crypto ipsec ikev1 transform-set tset esp-aes-256 esp-sha-hmac   
  5. Configurar o mapa dinâmico com estes parâmetros:
    • Conjunto de transformação exigido
    • Permita o Reverse Route Injection (RRI), que permite que a ferramenta de segurança aprenda a informação de roteamento para os clientes conectados (opcionais)
    crypto dynamic-map outside_dyn_map 1 set ikev1 transform-set tset
    crypto dynamic-map outside_dyn_map 1 set reverse-route
  6. Ligue o mapa dinâmico ao crypto map, aplique o crypto map e permita ISAKMP/IKEv1 na interface externa:
    crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map

    crypto map outside_map interface outside 
    crypto ikev1 enable outside

Remoto-ASA (par dinâmico)

  1. Configurar uma regra da isenção de NAT para o tráfego VPN:
    object network 10.1.1.0-inside_network
    subnet 10.1.1.0 255.255.255.0

    object network 10.1.2.0-remote_network
    subnet 10.1.2.0 255.255.255.0

    nat (inside,outside) source static 10.1.1.0-inside_network 10.1.1.0-inside_network
    destination static 10.1.2.0-remote_network 10.1.2.0-remote_network
    no-proxy-arp route-lookup
  2. Configurar um grupo de túneis para um par estático VPN e uma chave preshared.
    tunnel-group 172.16.2.1 type ipsec-l2l
    tunnel-group 172.16.2.1 ipsec-attributes
    ikev1 pre-shared-key cisco123
  3. Defina a política PHASE-1/ISAKMP:
    crypto ikev1 policy 10
    authentication pre-share
    encryption aes-256
    hash sha
    group 2
    lifetime 86400
  4. Defina um phase-2 transformam o grupo/política de IPsec:
    crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac 
  5. Configurar uma lista de acesso que defina tráfego interessante/rede VPN:
    access-list outside_cryptomap extended permit ip object 
    10.1.1.0-inside_network object 10.1.2.0-remote_network
  6. Configurar o mapa estático de criptografia com estes parâmetros:
    • Lista de acesso Crypto/VPN
    • Endereço IP de Um ou Mais Servidores Cisco ICM NT remoto do ipsec peer
    • Conjunto de transformação exigido
    crypto map outside_map 1 match address outside_cryptomap
    crypto map outside_map 1 set peer 172.16.2.1
    crypto map outside_map 1 set ikev1 transform-set ESP-AES-256-SHA 
  7. Aplique o crypto map e permita ISAKMP/IKEv1 na interface externa:
    crypto map outside_map interface outside 
    crypto ikev1 enable outside

Verificar

Use esta seção para confirmar que a configuração trabalha corretamente.

A ferramenta Output Interpreter (clientes registrados somente) apoia determinados comandos de exibição. Use a ferramenta Output Interpreter a fim ver uma análise do emissor de comando de execução.

  • mostre isakmp cripto sa - Indica todas as associações de segurança atuais IKE (SA) em um par.
  • mostre IPsec cripto sa - Indica todo o sas de IPSec atual.

Esta seção mostra o outout da verificação do exemplo para os dois ASA.

ASA central

Central-ASA#show crypto isakmp sa

  IKEv1 SAs:

     Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

  1   IKE Peer: 172.16.1.1
    Type    : L2L             Role    : responder
    Rekey   : no              State   : MM_ACTIVE

    Central-ASA# show crypto ipsec sa
interface: outside
    Crypto map tag: outside_dyn_map, seq num: 1, local addr: 172.16.2.1

        local ident (addr/mask/prot/port): (10.1.2.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
      current_peer: 172.16.1.1

        #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
      #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #TFC rcvd: 0, #TFC sent: 0
      #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
      #send errors: 0, #recv errors: 0

        local crypto endpt.: 172.16.2.1/0, remote crypto endpt.: 172.16.1.1/0
      path mtu 1500, ipsec overhead 74(44), media mtu 1500
      PMTU time remaining (sec): 0, DF policy: copy-df
      ICMP error validation: disabled, TFC packets: disabled
      current outbound spi: 30D071C0
      current inbound spi : 38DA6E51

      inbound esp sas:
      spi: 0x38DA6E51 (953839185)
         transform: esp-aes-256 esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, IKEv1, }
         slot: 0, conn_id: 28672, crypto-map: outside_dyn_map
         sa timing: remaining key lifetime (kB/sec): (3914999/28588)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x0000001F
    outbound esp sas:
      spi: 0x30D071C0 (818966976)
         transform: esp-aes-256 esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, IKEv1, }
         slot: 0, conn_id: 28672, crypto-map: outside_dyn_map
         sa timing: remaining key lifetime (kB/sec): (3914999/28588)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

Remoto-ASA

Remote-ASA#show crypto isakmp sa

  IKEv1 SAs:

     Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

  1   IKE Peer: 172.16.2.1
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE

  Remote-ASA#show crypto ipsec sa
interface: outside
    Crypto map tag: outside_map, seq num: 1, local addr: 172.16.1.1

        access-list outside_cryptomap extended permit ip 10.1.1.0
255.255.255.0 10.1.2.0 255.255.255.0
      local ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (10.1.2.0/255.255.255.0/0/0)

      current_peer: 172.16.2.1

        #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
      #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4

      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #TFC rcvd: 0, #TFC sent: 0
      #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
      #send errors: 0, #recv errors: 0

        local crypto endpt.: 172.16.1.1/0, remote crypto endpt.: 172.16.2.1/0
      path mtu 1500, ipsec overhead 74(44), media mtu 1500
      PMTU time remaining (sec): 0, DF policy: copy-df
      ICMP error validation: disabled, TFC packets: disabled
      current outbound spi: 38DA6E51
      current inbound spi : 30D071C0

      inbound esp sas:
      spi: 0x30D071C0 (818966976)

         transform: esp-aes-256 esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, IKEv1, }
         slot: 0, conn_id: 8192, crypto-map: outside_map
         sa timing: remaining key lifetime (kB/sec): (4373999/28676)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x0000001F
    outbound esp sas:
      spi: 0x38DA6E51 (953839185)

         transform: esp-aes-256 esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, IKEv1, }
         slot: 0, conn_id: 8192, crypto-map: outside_map
         sa timing: remaining key lifetime (kB/sec): (4373999/28676)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

Troubleshooting

Esta seção fornece a informação que você pode se usar a fim pesquisar defeitos sua configuração.

A ferramenta Output Interpreter (clientes registrados somente) apoia determinados comandos de exibição. Use a ferramenta Output Interpreter a fim ver uma análise do emissor de comando de execução.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

Use estes comandos da forma mostrada:

clear crypto ikev1 sa <peer IP address> 
Clears the Phase 1 SA for a specific peer.

Cuidado: O comando clear crypto isakmp sa é intrusivo porque cancela todos os túneis ativos VPN.

No Software Release 8.0(3) e Mais Recente PIX/ASA, IKE individual SA pode ser cancelado usando o >command do endereço IP de Um ou Mais Servidores Cisco ICM NT do <peer do clear crypto isakmp sa. Nos software release mais cedo de 8.0(3), usam o comando do <tunnel-group-name> do grupo de túneis do fazer logoff VPN-sessiondb a fim cancelar o IKE e o sas de IPSec para um único túnel.

Remote-ASA#vpn-sessiondb logoff tunnel-group 172.16.2.1
Do you want to logoff the VPN session(s)? [confirm]
INFO: Number of sessions from TunnelGroup "172.16.2.1" logged off : 1
clear crypto ipsec sa peer <peer IP address>
!!! Clears the required Phase 2 SA for specific peer.
debug crypto condition peer < Peer address>
!!! Set IPsec/ISAKMP debug filters.
debug crypto isakmp sa <debug level>
!!! Provides debug details of ISAKMP SA negotiation.
debug crypto ipsec sa <debug level>
!!! Provides debug details of IPsec SA negotiations
undebug all
!!! To stop the debugs

Debugs usou-se:

debug cry condition peer <remote peer public IP>
debug cry ikev1 127
debug cry ipsec 127

Remoto-ASA (iniciador)

Incorpore este comando do pacote-projétil luminoso a fim iniciar o túnel:

Remote-ASA#packet-tracer input inside icmp 10.1.1.10 8 0 10.1.2.10 detailed 
IPSEC(crypto_map_check)-3: Checking crypto map outside_map 1: matched.
Jan 19 22:00:06 [IKEv1 DEBUG]Pitcher: received a key acquire message, spi 0x0
IPSEC(crypto_map_check)-3: Looking for crypto map matching 5-tuple:
Prot=1, saddr=10.1.1.10, sport=0, daddr=10.1.2.10, dport=0
IPSEC(crypto_map_check)-3: Checking crypto map outside_map 1: matched.
Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE Initiator: New Phase 1, Intf
inside, IKE Peer 172.16.2.1 local Proxy Address 10.1.1.0, remote Proxy Address
10.1.2.0, Crypto map (outside_map)

:
.
Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE SENDING Message (msgid=0)
with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) +
VENDOR (13) + NONE (0) total length : 172
Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE RECEIVED Message (msgid=0)
with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + NONE (0)
total length : 132
:
.
Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE SENDING Message (msgid=0)
with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) +
VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 304
Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE RECEIVED Message (msgid=0)
with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) +
VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 304
:
.
Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, Connection landed on tunnel_group 172.16.2.1
<skipped>...
Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE SENDING Message (msgid=0) with
payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) + VENDOR (13) +
NONE (0) total length : 96
Jan 19 22:00:06 [IKEv1]Group = 172.16.2.1, IP = 172.16.2.1,
Automatic NAT Detection Status: Remote end is NOT behind a NAT device
This end is NOT behind a NAT device

Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE RECEIVED Message
(msgid=0) with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128)
+ VENDOR (13) + NONE (0) total length : 96
Jan 19 22:00:06 [IKEv1 DEBUG]Group = 172.16.2.1, IP = 172.16.2.1, processing ID payload
Jan 19 22:00:06 [IKEv1 DECODE]Group = 172.16.2.1, IP = 172.16.2.1,
ID_IPV4_ADDR ID received 172.16.2.1
:
.
Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, Connection landed on tunnel_group 172.16.2.1
Jan 19 22:00:06 [IKEv1 DEBUG]Group = 172.16.2.1, IP = 172.16.2.1,
Oakley begin quick mode
Jan 19 22:00:06 [IKEv1]Group = 172.16.2.1, IP = 172.16.2.1, PHASE 1 COMPLETED


Jan 19 22:00:06 [IKEv1 DECODE]Group = 172.16.2.1, IP = 172.16.2.1, IKE Initiator
starting QM
: msg id = c45c7b30
:
.
Jan 19 22:00:06 [IKEv1 DEBUG]Group = 172.16.2.1, IP = 172.16.2.1, Transmitting Proxy Id:
Local subnet: 10.1.1.0 mask 255.255.255.0 Protocol 0 Port 0
Remote subnet: 10.1.2.0 Mask 255.255.255.0 Protocol 0 Port 0
:
.
Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE SENDING Message
(msgid=c45c7b30) with payloads : HDR + HASH (8) + SA (1) + NONCE
(10) + ID (5) + ID (5) + NOTIFY (11) + NONE (0) total length : 200
Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE RECEIVED Message
(msgid=c45c7b30) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) +
ID (5) + ID (5) + NONE (0) total length : 172
:
.
Jan 19 22:00:06 [IKEv1 DEBUG]Group = 172.16.2.1, IP = 172.16.2.1, processing ID payload
Jan 19 22:00:06 [IKEv1 DECODE]Group = 172.16.2.1, IP = 172.16.2.1,
ID_IPV4_ADDR_SUBNET ID received--10.1.1.0--255.255.255.0

Jan 19 22:00:06 [IKEv1 DEBUG]Group = 172.16.2.1, IP = 172.16.2.1, processing ID payload
Jan 19 22:00:06 [IKEv1 DECODE]Group = 172.16.2.1, IP = 172.16.2.1,
ID_IPV4_ADDR_SUBNET ID received--10.1.2.0--255.255.255.0

:
.
Jan 19 22:00:06 [IKEv1]Group = 172.16.2.1, IP = 172.16.2.1,
Security negotiation complete for LAN-to-LAN Group (172.16.2.1)
Initiator, Inbound SPI = 0x30d071c0, Outbound SPI = 0x38da6e51
:
.
Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE SENDING Message
(msgid=c45c7b30) with payloads : HDR + HASH (8) + NONE (0) total length : 76
:
.
Jan 19 22:00:06 [IKEv1]Group = 172.16.2.1, IP = 172.16.2.1,
PHASE 2 COMPLETED
(msgid=c45c7b30)

Central-ASA (que responde)

Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE RECEIVED Message (msgid=0) 
with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) +
VENDOR (13) + NONE (0) total length : 172
:
.
Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE SENDING Message (msgid=0)
with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + NONE (0) total length
:
132
Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE RECEIVED Message (msgid=0)
with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13)
+ VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 304
:
.
Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, Connection landed on tunnel_group
DefaultL2LGroup

Jan 20 12:42:35 [IKEv1 DEBUG]Group = DefaultL2LGroup, IP = 172.16.1.1,
Generating keys for Responder...
Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE SENDING Message (msgid=0)
with payloads : HDR + KE (4) + NONCE (10) +
VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) +
NONE (0) total length : 304
Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE RECEIVED Message (msgid=0)
with payloads : HDR + ID (5) + HASH (8)
+ IOS KEEPALIVE (128) + VENDOR (13) + NONE (0) total length : 96
Jan 20 12:42:35 [IKEv1 DECODE]Group = DefaultL2LGroup, IP = 172.16.1.1,
ID_IPV4_ADDR ID received 172.16.1.1
:
.
Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE SENDING Message (msgid=0)
with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) +
VENDOR (13) + NONE (0) total length : 96
Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, IP = 172.16.1.1, PHASE 1 COMPLETED
:
.
Jan 20 12:42:35 [IKEv1 DECODE]IP = 172.16.1.1, IKE Responder starting QM:
msg id = c45c7b30
Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE
RECEIVED Message (msgid=c45c7b30) with payloads : HDR + HASH (8) + SA (1) +
NONCE (10) + ID (5) + ID (5) + NOTIFY (11) + NONE (0) total length : 200
:
.
Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, IP = 172.16.1.1, Received remote
IP Proxy Subnet data in ID Payload: Address 10.1.1.0, Mask 255.255.255.0,
Protocol 0, Port 0
:
.
Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup,
IP = 172.16.1.1, Received local
IP Proxy Subnet data in ID Payload: Address 10.1.2.0, Mask 255.255.255.0,
Protocol 0, Port 0
Jan 20 12:42:35 [IKEv1 DEBUG]Group = DefaultL2LGroup,
IP = 172.16.1.1, processing notify payload
Jan 20 12:42:35 [IKEv1] Group = DefaultL2LGroup, IP = 172.16.1.1, QM
IsRekeyed old sa not found by addr
Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, IP = 172.16.1.1, Static Crypto Map
check, map outside_dyn_map, seq = 1 is a successful match

Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, IP = 172.16.1.1, IKE
Remote Peer configured for crypto map: outside_dyn_map
:
.
Jan 20 12:42:35 [IKEv1 DEBUG]Group = DefaultL2LGroup, IP = 172.16.1.1,
Transmitting Proxy Id: Remote subnet: 10.1.1.0 Mask 255.255.255.0 Protocol 0 Port 0
Local subnet: 10.1.2.0 mask 255.255.255.0 Protocol 0 Port 0
:
.
Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE SENDING Message (msgid=c45c7b30)
with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE
(0) total length : 172 Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE RECEIVED
Message (msgid=c45c7b30) with payloads : HDR + HASH (8) + NONE (0) total length : 52:
.
Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, IP = 172.16.1.1, Security
negotiation complete for LAN-to-LAN Group (DefaultL2LGroup) Responder,
Inbound SPI = 0x38da6e51, Outbound SPI = 0x30d071c0
:
.
Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, IP = 172.16.1.1,
PHASE 2 COMPLETED (msgid=c45c7b30)
Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, IP = 172.16.1.1, Adding static
route for L2L peer coming in on a dynamic map. address: 10.1.1.0, mask: 255.255.255.0

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 119007