安全 : Cisco AnyConnect 安全移动客户端

远程访问VPN故障排除的ASA IKEv2调试

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 5 日) | 反馈

简介

本文描述如何了解在思科可适应安全工具(ASA)的调试,当互联网密钥交换版本2 (IKEv2)时与Cisco AnyConnect安全移动客户端一起使用。本文在ASA配置里也提供信息关于怎样翻译某些调试线路。

本文不描述如何通过流量,在VPN通道设立了对ASA后,亦不包括IPSec或IKE基本概念。

贡献用Anu M. Chacko,杰伊年轻人和Atri巴苏, Cisco TAC工程师。

先决条件

要求

思科建议您有信息包交换的知识IKEv2的。欲知更多信息,参考IKEv2信息包交换和协议级调试

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 互联网密钥交换版本2 (IKEv2)
  • Cisco可适应安全工具(ASA)版本8.4或以上

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

核心问题

Cisco技术支持中心(TAC)经常使用IKE和IPSec调试指令为了了解哪里有与IPSec VPN隧道建立的一问题,但是命令可以隐秘。

方案

debug 命令

debug crypto ikev2 protocol 127
debug crypto ikev2 platform 127
debug aggregate-auth xml 5

ASA 配置

此ASA配置严格是基本,没有使用外部服务器。

interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 10.0.0.1 255.255.255.0

ip local pool webvpn1 10.2.2.1-10.2.2.10

crypto ipsec ikev2 ipsec-proposal 3des
 protocol esp encryption aes-256 aes 3des des
 protocol esp integrity sha-1
crypto dynamic-map dynmap 1000 set ikev2 ipsec-proposal 3des
crypto map crymap 10000 ipsec-isakmp dynamic dynmap
crypto map crymap interface outside

crypto ca trustpoint Anu-ikev2
 enrollment self
 crl configure

crypto ikev2 policy 10
 encryption aes-192
 integrity sha
 group 2
 prf sha
 lifetime seconds 86400

crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint Anu-ikev2
ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1
ssl trust-point Anu-ikev2 outside

webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-3.0.1047-k9.pkg 1
 anyconnect profiles Anyconnect-ikev2 disk0:/anyconnect-ikev2.xml
 anyconnect enable
 tunnel-group-list enable

group-policy ASA-IKEV2 internal
group-policy ASA-IKEV2 attributes
 wins-server none
 dns-server none
 vpn-tunnel-protocol ikev2
 default-domain none
 webvpn
  anyconnect modules value dart
  anyconnect profiles value Anyconnect-ikev2 type user

username Anu password lAuoFgF7KmB3D0WI encrypted privilege 15

tunnel-group ASA-IKEV2 type remote-access
tunnel-group ASA-IKEV2 general-attributes
 address-pool webvpn1
 default-group-policy ASA-IKEV2
tunnel-group ASA-IKEV2 webvpn-attributes
 group-alias ASA-IKEV2 enable

XML文件

<ServerList>
        <HostEntry>
                <HostName>Anu-IKEV2</HostName>
                <HostAddress>10.0.0.1</HostAddress>
                <UserGroup>ASA-IKEV2</UserGroup>
                <PrimaryProtocol>IPsec</PrimaryProtocol>
        </HostEntry>
</ServerList>

注意:在XML客户端配置文件的用户组名称必须是相同的象隧道群的名称ASA的。否则,错误消息‘无效主机条目。请重新输入’被看到在AnyConnect客户端。

调试日志和说明

注意:从诊断和报告工具(箭)的日志通常是非常话多,因此某些箭日志在本例中省略由于无价值。

服务器消息说明

调试

客户端消息消息说明

 

伊达市:04/23/2013
时间:16:24:55
类型:信息
来源:acvpnui

说明:功能:ClientIfcBase : :连接
文件:.。 \ ClientIfcBase.cpp
线路:964
对Anu-IKEV2的一VPN连接由用户请求。

****************************************
伊达市:04/23/2013
时间:16:24:55
类型:信息
来源:acvpnui

说明:消息类型信息发送对用户:
联系Anu-IKEV2。
****************************************
伊达市:04/23/2013
时间:16:24:55
类型:信息
来源:acvpnui

说明:功能:ApiCert : :getCertList
文件:.。 \ ApiCert.cpp
线路:259
找到的证书编号:0
****************************************
伊达市:04/23/2013
时间:16:25:00
类型:信息
来源:acvpnui

说明:首次对安全网关https://10.0.0.1/ASA-IKEV2的VPN连接
****************************************
伊达市:04/23/2013
时间:16:25:00
类型:信息
来源:acvpnagent

说明:GUI客户端发起的通道。

****************************************

伊达市:04/23/2013
时间:16:25:02
类型:信息
来源:acvpnagent

说明:功能:CIPsecProtocol : :connectTransport
文件:.。 \ IPsecProtocol.cpp
线路:1629
从192.168.1.1:25170的打开的IKE socket到10.0.0.1:500
****************************************

客户端发起VPN通道对ASA。
 ---------------------------------IKE_SA_INIT Exchange开始------------------------------ 

ASA收到从客户端的IKE_SA_INIT消息。

IKEv2-PLAT-4 :RECV PKT [IKE_SA_INIT] [192.168.1.1]:25170->[10.0.0.1]:500 InitSPI=0x58aff71141ba436b RespSPI=0x0000000000000000 MID=00000000

IKEv2-PROTO-3 :Rx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id :0x0

 

第一个对消息是IKE_SA_INIT交换。这些消息协商加密算法,交换目前,并且执行Diffie-Hellman (DH)交换。

从客户端接收的IKE_SA_INIT消息包含这些字段:

  1. ISAKMP报头- SPI/version/flags.
  2. SAi1 -该的加密算法IKE发起者支持。
  3. KEi - DH发起者的公共密钥值。
  4. N -发起者目前。
IKEv2-PROTO-3 :HDR[i:58AFF71141BA436B - r :0000000000000000]
IKEv2-PROTO-4 :IKEV2 HDR ispi :58AFF71141BA436B - rspi :0000000000000000
IKEv2-PROTO-4 :下有效负载:SA,版本:2.0
IKEv2-PROTO-4 :Exchange类型:IKE_SA_INIT,标志:发起者
IKEv2-PROTO-4 :消息ID :0x0,长度:528

 SA下有效负载:KE,保留:0x0,长度:168
IKEv2-PROTO-4 :  最后建议:0x0,保留:0x0,长度:164
 建议:1,协议ID :IKE, SPI大小:0, #trans :18
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:12
   类型:1,保留:0x0, id :AES-CBC
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:12
   类型:1,保留:0x0, id :AES-CBC
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:12
   类型:1,保留:0x0, id :AES-CBC
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:8
   类型:1,保留:0x0, id :3DES
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:8
   类型:1,保留:0x0, id :DES
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:8
   类型:2,保留:0x0, id :SHA512
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:8
   类型:2,保留:0x0, id :SHA384
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:8
   类型:2,保留:0x0, id :SHA256
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:8
   类型:2,保留:0x0, id :SHA1
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:8
   类型:2,保留:0x0, id :MD5
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:8
   类型:3,保留:0x0, id :SHA512
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:8
   类型:3,保留:0x0, id :SHA384
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:8
   类型:3,保留:0x0, id :SHA256
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:8
   类型:3,保留:0x0, id :SHA96
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:8
   类型:3,保留:0x0, id :MD596
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:8
   类型:4,保留:0x0, id :DH_GROUP_1536_MODP/Group 5
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:8
   类型:4,保留:0x0, id :DH_GROUP_1024_MODP/Group 2
IKEv2-PROTO-4 :    最后转换:0x0,保留:0x0 :长度:8
   类型:4,保留:0x0, id :DH_GROUP_768_MODP/Group 1

 KE下有效负载:N,保留:0x0,长度:104
   DH组:1,保留:0x0

     eb 5e 29 fe钶2e d1 28编辑4a 54 b1 13 7c b8 89
    f7 62 13个6b df 95 88 28 b5 97 ba 52个E-F e4 1d 28
    加州06 d1 36 b6 67 32个9a c2 dd 4e d8 c7 80 de 20
    36 34个c5 b3 3e 1d 83 1a c7 fb 9d b8 c5 f5编辑5f
    ba ba 4f b6 b2 e2第2 43个4f a0 b6 90 9a 11 3f 7d
    0a 21 c3 4d d3 0a d2 1e 33 43个d3 5e cc 4b 38 e0
 N下有效负载:VID,保留:0x0,长度:24

     20 12个8f 22 7b 16 23 52个e4 29 4d 98 c7 fd a8 77
    铈7c 0b b4
IKEv2-PROTO-5 :解析卖方细节有效负载:CISCO-DELETE-REASON VID下有效负载:VID,保留:0x0,长度:23
 

ASA验证并且处理
IKE_INIT消息。ASA :

  1. 选择crypto套件从
    发起者提供的那些。
  2. 计算其自己的DH密钥。
  3. 计算一个SKEYID值从
    哪些所有密钥可以派生为
    此IKE_SA。所有的报头
    随后的消息是
    已加密和已验证。
    用于加密的密钥和
    完整性保护派生
    从SKEYID和叫作:

    1. SK_e -加密。
    2. SK_a -验证。
    3. SK_d -派生和使用
      派生更加进一步
      密钥材料为
      CHILD_SAs。
    分开的SK_e和SK_a是
    计算为每个方向。

相关配置:

crypto ikev2 policy 10
 encryption aes-192 integrity
sha group 2  prf sha lifetime
seconds 86400
crypto ikev2 enable outside
解密的数据包:数据:528个字节
IKEv2-PLAT-3 :进程自定义VID有效载荷
IKEv2-PLAT-3 :思科从对等体接收的版权VID
IKEv2-PLAT-3 :AnyConnect从对等体接收的EAP VID
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :IDLE事件:EV_RECV_INIT
IKEv2-PROTO-3 :(6) :检查NAT发现
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :IDLE事件:EV_CHK_REDIRECT
IKEv2-PROTO-5 :(6) :重定向检查不是需要的,跳过它
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :IDLE事件:EV_CHK_CAC
IKEv2-PLAT-5 :被承认的新的sa ikev2请求
IKEv2-PLAT-5 :增加由一个的流入协商的sa计数
IKEv2-PLAT-5 :无效PSH把柄
IKEv2-PLAT-5 :无效PSH把柄
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :IDLE事件:EV_CHK_COOKIE
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :IDLE事件:EV_CHK4_COOKIE_NOTIFY
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_INIT事件:EV_VERIFY_MSG
IKEv2-PROTO-3 :(6) :验证SA init消息
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_INIT事件:EV_INSERT_SA
IKEv2-PROTO-3 :(6) :SA插入
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_INIT事件:EV_GET_IKE_POLICY
IKEv2-PROTO-3 :(6) :得到配置策略
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_INIT事件:EV_PROC_MSG
IKEv2-PROTO-2 :(6) :处理最初的消息
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_INIT事件:EV_DETECT_NAT
IKEv2-PROTO-3 :(6) :进程NAT发现通知
IKEv2-PROTO-5 :(6) :处理nat检测src通知
IKEv2-PROTO-5 :(6) :没匹配的远程地址
IKEv2-PROTO-5 :(6) :处理nat检测dst通知
IKEv2-PROTO-5 :(6) :匹配的本地地址
IKEv2-PROTO-5 :(6) :主机从外部是查找的NAT
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_INIT事件:EV_CHK_CONFIG_MODE
IKEv2-PROTO-3 :(6) :已接收有效配置模式数据
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_INIT事件:EV_SET_RECD_CONFIG_MODE
IKEv2-PROTO-3 :(6) :集已接收配置模式数据
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_BLD_INIT事件:EV_SET_POLICY
IKEv2-PROTO-3 :(6) :设置已配置的策略
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_BLD_INIT事件:EV_CHK_AUTH4PKI
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_BLD_INIT事件:EV_PKI_SESH_OPEN
IKEv2-PROTO-3 :(6) :打开PKI会话
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_BLD_INIT事件:EV_GEN_DH_KEY
IKEv2-PROTO-3 :(6) :计算的DH公共密钥
IKEv2-PROTO-3 :(6) :
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_BLD_INIT事件:EV_NO_EVENT
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_BLD_INIT事件:EV_OK_RECD_DH_PUBKEY_RESP
IKEv2-PROTO-5 :(6) :操作:Action_Null
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_BLD_INIT事件:EV_GEN_DH_SECRET
IKEv2-PROTO-3 :(6) :计算的DH密钥
IKEv2-PROTO-3 :(6) :
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_BLD_INIT事件:EV_NO_EVENT
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_BLD_INIT事件:EV_OK_RECD_DH_SECRET_RESP
IKEv2-PROTO-5 :(6) :操作:Action_Null
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_BLD_INIT事件:EV_GEN_SKEYID
IKEv2-PROTO-3 :(6) :生成skeyid
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_BLD_INIT事件:EV_GET_CONFIG_MODE
 

ASA修建IKE_SA_INIT交换的响应消息。

此数据包包含:

  1. ISAKMP报头- SPI/version/flags.
  2. SAr1 - IKE响应方选择的加密算法。
  3. KEr - DH响应方的公共密钥值。
  4. N -响应方目前。
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_BLD_INIT事件:EV_BLD_MSG
IKEv2-PROTO-2 :(6) :发送最初的消息
IKEv2-PROTO-3 :  IKE建议:1, SPI大小:0 (初始协商),
数字。转换:4
  AES-CBC SHA1 SHA96 DH_GROUP_768_MODP/Group 1
IKEv2-PROTO-5 :构建卖方细节有效负载:DELETE-REASONIKEv2-PROTO-5 :构建卖方细节有效负载:(CUSTOM)IKEv2-PROTO-5 :构建卖方细节有效负载:(CUSTOM)IKEv2-PROTO-5 :构建通知有效负载:NAT_DETECTION_SOURCE_IPIKEv2-PROTO-5 :构建通知有效负载:NAT_DETECTION_DESTINATION_IPIKEv2-PLAT-2 :失败获取委托签发人切细或可用的无
IKEv2-PROTO-5 :构建卖方细节有效负载:FRAGMENTATIONIKEv2-PROTO-3 :Tx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id :0x0
IKEv2-PROTO-3 :HDR[i:58AFF71141BA436B - r :FC696330E6B94D7F]
IKEv2-PROTO-4 :IKEV2 HDR ispi :58AFF71141BA436B - rspi :FC696330E6B94D7F
IKEv2-PROTO-4 :下有效负载:SA,版本:2.0
IKEv2-PROTO-4 :Exchange类型:IKE_SA_INIT,标志:响应方MSG-RESPONSE
IKEv2-PROTO-4 :消息ID :0x0,长度:386
 SA下有效负载:KE,保留:0x0,长度:48
IKEv2-PROTO-4 :  最后建议:0x0,保留:0x0,长度:44
 建议:1,协议ID :IKE, SPI大小:0, #trans :4
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:12
   类型:1,保留:0x0, id :AES-CBC
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:8
   类型:2,保留:0x0, id :SHA1
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:8
   类型:3,保留:0x0, id :SHA96
IKEv2-PROTO-4 :    最后转换:0x0,保留:0x0 :长度:8
   类型:4,保留:0x0, id :DH_GROUP_768_MODP/Group 1

 KE下有效负载:N,保留:0x0,长度:104
   DH组:1,保留:0x0

     c9 30 f9 32 d4 7c d1 a7 5b 71 72 09个6e 7e 91 0c
    E1铈b4 a4 3c f2 8b 74 4e 20 59个b4 0b a1 ff 65
    37 88 cc c4 a4 b6 fa 4a 63 03 93 89 E1 7e bd 6a
    64个9a 38 24个e2 a8 40 f5 a3 d6 E-F f7 1a df 33 cc
    a1 8e fa dc 9c 34 45 79个1a 7c 29 05 87个8a ac 02
    98 2e 7d钶41 51个d6 fe fc c7 76 83个1d 03 b0 d7
 N下有效负载:VID,保留:0x0,长度:24

     c2 28 7f 8c 7d b3 1e 51 fc eb f1 97 EC 97 b8 67
    d5 e7 c2 f5
 VID下有效负载:VID,保留:0x0,长度:23
 
ASA派出IKE_SA_INIT交换的响应消息。IKE_SA_INIT交换当前完成。ASA启动认证过程的计时器。 IKEv2-PLAT-4 :发送的PKT [IKE_SA_INIT] [10.0.0.1]:500->[192.168.1.1]:25170 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000000
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :INIT_DONE事件:EV_DONE
IKEv2-PROTO-3 :(6) :分段启用
IKEv2-PROTO-3 :(6) :思科DeleteReason Notify启用
IKEv2-PROTO-3 :(6) :完整SA init交换
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :INIT_DONE事件:EV_CHK4_ROLE
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :INIT_DONE事件:EV_START_TMR
IKEv2-PROTO-3 :(6) :开始计时器等待验证消息(30秒)
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_WAIT_AUTH事件:EV_NO_EVENT    

****************************************
伊达市:04/23/2013
时间:16:25:02
类型:信息
来源:acvpnagent

说明:功能:CIPsecProtocol : :initiateTunnel
文件:.。 \ IPsecProtocol.cpp
线路:345
IPSec隧道启动
****************************************

客户端显示IPSec隧道作为‘启动’。

  -----------------------------------IKE_SA_INIT完成--------------------------------- 
 -------------------------------------IKE_AUTH开始------------------------------------- 
 ****************************************
伊达市:04/23/2013
时间:16:25:00
类型:信息
来源:acvpnagent

说明:安全网关参数:
 IP 地址:10.0.0.1
 波尔特:443
 URL :"10.0.0.1"
 验证方法:IKE - EAPAnyConnect
 IKE标识:
****************************************
伊达市:04/23/2013
时间:16:25:00
类型:信息
来源:acvpnagent

说明:首次Cisco AnyConnect安全移动客户端连接,版本3.0.1047
****************************************

伊达市:04/23/2013
时间:16:25:02
类型:信息
来源:acvpnagent

说明:功能:ikev2_log
文件:.\ikev2_anyconnect_osal.cpp
线路:2730
已接收请求设立IPSec隧道;本地流量选择器=地址范围:0.0.0.0-255.255.255.255协议:0个端口范围:0-65535;远程流量选择器=地址范围:0.0.0.0-255.255.255.255协议:0个端口范围:0-65535
****************************************
伊达市:04/23/2013
时间:16:25:02
类型:信息
来源:acvpnagent

说明:功能:CIPsecProtocol : :connectTransport
文件:.。 \ IPsecProtocol.cpp
线路:1629
从192.168.1.1:25171的打开的IKE socket到10.0.0.1:4500
****************************************

客户端省略从消息3的验证有效负载为了指示希望使用扩展验证。当可扩展的认证协议(EAP)验证指定时或暗示由客户端配置文件和配置文件不包含<IKEIdentity>元素,客户端发送与已修复字符串*$AnyConnectClient$*的一ID_GROUP类型IDi有效负载。客户端首次对ASA的连接在端口4500。

验证执行与EAP。仅单个EAP验证方法在EAP会话内允许。ASA收到从客户端的IKE_AUTH消息。

IKEv2-PLAT-4 :RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1] :4500个InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001

IKEv2-PROTO-3 :Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id :0x1

 

当客户端包括IDi有效负载
但是不是验证有效负载,这指示
客户端宣称标识,但是有
没证明它。在调试,验证
有效负载不是存在IKE_AUTH
客户端发送的数据包。客户端
在之后发送验证有效负载
EAP交换是成功的。如果ASA
是愿意使用可扩展
认证方法,它放置一个EAP
在消息4的有效负载和延迟发送
SAr2、TSi和Tsr直到发起者
验证完成在a
随后的IKE_AUTH交换。

IKE_AUTH发起者数据包包含:

  1. ISAKMP报头-
    SPI/version/flags.
  2. IDi -组名那
    客户端希望连接
    可以由IDi传送
    类型ID_KEY_ID有效负载
    最初的消息
    IKE_AUTH交换。这
    当客户端profile*是,发生
    预先配置与组名
    或者,在一上一个成功以后
    验证,客户端有
    在其缓存了组名
    首选文件。ASA
    尝试匹配隧道群
    名称以IKE的内容
    IDi有效负载。在第一以后
    成功的IPSec VPN是
    已建立的客户端缓存
    的组名(组别名)
    用户验证。此组
    名称在IDi传送
    导航的有效负载
    尝试为了指示
    希望的可能的组
    用户。当EAP验证是
    指定或暗示由客户端
    配置文件和配置文件不
    包含<IKEIdentity>
    元素,客户端发送
    ID_GROUP类型IDi有效负载
    使用已修复字符串
    *$AnyConnectClient$*.
  3. CERTREQ -客户端是
    请求a的ASA
    首选的证书。证书
    请求有效载荷可能包括
    在交换,当发送方
    需要获得证书
    接收方。证书请求
    有效负载处理由
    ‘Cert编码的’检查
    字段为了确定
    处理器是否有其中任一
    此的证书类型。如果那样,
    ‘证书颁发机构’字段是
    检查为了确定是否
    处理器有所有证书
    那可以验证至一
    指定的证明
    权限。这可以是一系列
    证书。
  4. CFG - CFG_REQUEST/
    CFG_REPLY允许IKE
    对请求数据的终端
    从其对等体。如果在的一个属性
    CFG_REQUEST配置
    有效负载不是零长度,它是
    采取作为那的一建议
    属性。CFG_REPLY
    配置有效负载可能返回
    该值或新的。它可以
    也请添加新的属性和没有
    包括一些请求部分。
    申请人忽略返回
    属性他们不
    识别。在这些调试,
    客户端请求通道
    在的配置
    CFG_REQUEST.ASA
    回复此并且发送通道
    配置属性在之后
    EAP交换是成功的。
  5. SAi2 - SAi2启动SA,
    哪些类似于第2阶段
    在IKEv1的转换集合交换。
  6. TSiTsr -发起者和
    响应方流量选择器
    包含,分别,来源
    并且目的地址
    发起者和响应方为了
    加密的转发和接收
    流量。地址范围
    指定所有流量到/从
    该范围被建立隧道。如果
    建议是可接受对
    响应方,它发送相同的TS
    有效载荷上一步。

客户端必须提供为的属性
组验证在存储
AnyConnect配置文件。

*Relevant配置文件配置:

<ServerList>
<HostEntry>
  <HostName>Anu-IKEV2
</HostName>
  <HostAddress>10.0.0.1
</HostAddress>
  <UserGroup>ASA-IKEV2
</UserGroup>

<PrimaryProtocol>IPsec
</PrimaryProtocol>
</HostEntry>
</ServerList>
IKEv2-PROTO-3 :HDR[i:58AFF71141BA436B - r :FC696330E6B94D7F]
IKEv2-PROTO-4 :IKEV2 HDR ispi :58AFF71141BA436B - rspi :FC696330E6B94D7F
IKEv2-PROTO-4 :下有效负载:ENCR,版本:2.0
IKEv2-PROTO-4 :Exchange类型:IKE_AUTH,标志:发起者
IKEv2-PROTO-4 :消息ID :0x1,长度:540
IKEv2-PROTO-5 :(6) :请求有mess_id 1;预计1至1
实时解密的数据包:数据:465个字节
IKEv2-PROTO-5 :解析卖方细节有效负载:(自定义) VID下有效负载:IDi,保留:0x0,长度:20

     58 af f6 11 52个8d b0 2c b8 da 30 46是91 56 fa
 IDi下有效负载:CERTREQ,保留:0x0,长度:28
   Id类型:组名,保留:0x0 0x0

     2a 24 41个6e 79 43个6f 6e 6e 65 63 74 43个6c 69 65
    6e 74 24个2a
 CERTREQ下有效负载:CFG,保留:0x0,长度:25
   Cert编码X.509证书-签名
CertReq data&colon;20个字节
 CFG下有效负载:SA,保留:0x0,长度:196
   cfg类型:CFG_REQUEST,保留:0x0,保留:0x0

   attrib类型:内部IP4地址,长度:0

   attrib类型:内部IP4网络屏蔽,长度:0

   attrib类型:内部IP4 DNS,长度:0

   attrib类型:内部IP4 NBNS,长度:0

   attrib类型:内部地址终止,长度:0

   attrib类型:应用程序版本,长度:27

     41个6e 79 43个6f 6e 6e 65 63 74 20 57 69个6e 64 6f
    77 73 20 33个2e 30 2e 31 30 34 37
  attrib类型:内部IP6地址,长度:0

   attrib类型:内部IP4子网,长度:0

   attrib类型:未知- 28682,长度:15

     77 69个6e 78 70 36 34 74 65个6d 70 6c 61 74 65
  attrib类型:未知- 28704,长度:0

   attrib类型:未知- 28705,长度:0

   attrib类型:未知- 28706,长度:0

   attrib类型:未知- 28707,长度:0

   attrib类型:未知- 28708,长度:0

   attrib类型:未知- 28709,长度:0

   attrib类型:未知- 28710,长度:0

   attrib类型:未知- 28672,长度:0

   attrib类型:未知- 28684,长度:0

   attrib类型:未知- 28711,长度:2

     05个7e
  attrib类型:未知- 28674,长度:0

   attrib类型:未知- 28712,长度:0

   attrib类型:未知- 28675,长度:0

   attrib类型:未知- 28679,长度:0

   attrib类型:未知- 28683,长度:0

   attrib类型:未知- 28717,长度:0

   attrib类型:未知- 28718,长度:0

   attrib类型:未知- 28719,长度:0

   attrib类型:未知- 28720,长度:0

   attrib类型:未知- 28721,长度:0

   attrib类型:未知- 28722,长度:0

   attrib类型:未知- 28723,长度:0

   attrib类型:未知- 28724,长度:0

   attrib类型:未知- 28725,长度:0

   attrib类型:未知- 28726,长度:0

   attrib类型:未知- 28727,长度:0

   attrib类型:未知- 28729,长度:0

 SA下有效负载:TSi,保留:0x0,长度:124
IKEv2-PROTO-4 :  最后建议:0x0,保留:0x0,长度:120
 建议:1,协议ID :ESP, SPI大小:4, #trans :12
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:12
   类型:1,保留:0x0, id :AES-CBC
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:12
   类型:1,保留:0x0, id :AES-CBC
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:12
   类型:1,保留:0x0, id :AES-CBC
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:8
   类型:1,保留:0x0, id :3DES
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:8
   类型:1,保留:0x0, id :DES
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:8
   类型:1,保留:0x0, id :NULL
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:8
   类型:3,保留:0x0, id :SHA512
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:8
   类型:3,保留:0x0, id :SHA384
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:8
   类型:3,保留:0x0, id :SHA256
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:8
   类型:3,保留:0x0, id :SHA96
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:8
   类型:3,保留:0x0, id :MD596
IKEv2-PROTO-4 :    最后转换:0x0,保留:0x0 :长度:8
   类型:5,保留:0x0, id :

 TSi下有效负载:Tsr,保留:0x0,长度:24
   数字时间分配系统:1,保留0x0,保留0x0
   TS类型:TS_IPV4_ADDR_RANGE,原始id :0,长度:16
   启动端口:0,末端端口:65535
   起始地址:0.0.0.0,结尾地址:255.255.255.255
 Tsr下有效负载:通知,保留:0x0,长度:24
   数字时间分配系统:1,保留0x0,保留0x0
   TS类型:TS_IPV4_ADDR_RANGE,原始id :0,长度:16
   启动端口:0,末端端口:65535
   起始地址:0.0.0.0,结尾地址:255.255.255.255
 

ASA产生对IKE_AUTH消息的一答复并且准备验证对客户端。

解密的数据包:Data&colon;540个字节
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState :R_WAIT_AUTH事件:EV_RECV_AUTH
IKEv2-PROTO-3 :(6) :等待验证消息的正在停止的计时器
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState :R_WAIT_AUTH事件:EV_CHK_NAT_T
IKEv2-PROTO-3 :(6) :检查NAT发现
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState :R_WAIT_AUTH事件:EV_CHG_NAT_T_PORT
IKEv2-PROTO-2 :(6) :NAT对init端口25171的检测的浮点,响应端口4500
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState :R_WAIT_AUTH事件:EV_PROC_ID
IKEv2-PROTO-2 :(6) :在进程ID的已接收有效parameteres
IKEv2-PLAT-3 :(6)对等体验证方法设置对:0
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState :R_WAIT_AUTH事件:EV_CHK_IF_PEER_CERT_NEEDS_TO_BE_FETCHED_FOR_PROF_SEL
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState :R_WAIT_AUTH事件:EV_GET_POLICY_BY_PEERID
IKEv2-PROTO-3 :(6) :得到配置策略
IKEv2-PLAT-3 :根据ID有效负载检测的新的AnyConnect客户端连接
IKEv2-PLAT-3 :my_auth_method = 1
IKEv2-PLAT-3 :(6)对等体验证方法设置对:256
IKEv2-PLAT-3 :supported_peers_auth_method = 16
IKEv2-PLAT-3 :(6) tp_name设置对:Anu-ikev2
IKEv2-PLAT-3 :设置的信任点对:Anu-ikev2
IKEv2-PLAT-3 :P1 ID= 0
IKEv2-PLAT-3 :翻译IKE_ID_AUTO到= 9
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState :R_WAIT_AUTH事件:EV_SET_POLICY
IKEv2-PROTO-3 :(6) :设置已配置的策略
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState :R_WAIT_AUTH事件:EV_VERIFY_POLICY_BY_PEERID
IKEv2-PROTO-3 :(6) :验证对等体的策略
IKEv2-PROTO-3 :(6) :匹配找到的证书
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState :R_WAIT_AUTH事件:EV_CHK_CONFIG_MODE
IKEv2-PROTO-3 :(6) :已接收有效配置模式数据
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState :R_WAIT_AUTH事件:EV_SET_RECD_CONFIG_MODE
IKEv2-PLAT-3 :(6) DDNS的DHCP主机名设置对:winxp64template
IKEv2-PROTO-3 :(6) :集已接收配置模式数据
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState :R_WAIT_AUTH事件:EV_CHK_AUTH4EAP
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState :R_WAIT_AUTH事件:EV_CHK_EAP
IKEv2-PROTO-3 :(6) :检查EAP交换
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState :R_BLD_AUTH事件:EV_GEN_AUTH
IKEv2-PROTO-3 :(6) :生成我的身份验证数据
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState :R_BLD_AUTH事件:EV_CHK4_SIGN
IKEv2-PROTO-3 :(6) :获得我的认证方法
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState :R_BLD_AUTH事件:EV_SIGN
IKEv2-PROTO-3 :(6) :符号验证数据
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState :R_BLD_AUTH事件:EV_OK_AUTH_GEN
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState :R_BLD_EAP_AUTH_REQ事件:EV_AUTHEN_REQ
IKEv2-PROTO-2 :(6) :询问验证器发送EAP请求

已创建网元名称设置验证值
对元素设置验证的已添加属性名称客户端值VPN
对元素设置验证的已添加属性名称类型值Hello
已创建网元名称版本值9.0(2)8
对元素设置验证的已添加网元名称版本值9.0(2)8
重视sg对元素版本的已添加属性名称
下面生成的XML消息
< ?xml version="1.0" encoding="UTF-8"?>
<config验证client= " VPN” type= " Hello " >
<version who="sg">9.0(2)8</version>
</config-auth>

IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState :R_BLD_EAP_AUTH_REQ事件:EV_RECV_EAP_AUTH
IKEv2-PROTO-5 :(6) :操作:Action_Null
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState :R_BLD_EAP_AUTH_REQ事件:EV_CHK_REDIRECT
IKEv2-PROTO-3 :(6) :重定向检查用负载平衡的平台
IKEv2-PLAT-3 :在平台的重定向检查
IKEv2-PLAT-3 :ikev2_osal_redirect :10.0.0.1接受的会话
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState :R_BLD_EAP_AUTH_REQ事件:EV_SEND_EAP_AUTH_REQ
IKEv2-PROTO-2 :(6) :发送EAP请求
IKEv2-PROTO-5 :构建卖方细节有效负载:CISCO-GRANITEIKEv2-PROTO-3 :(6) :构建

 

ASA发送验证有效负载为了请求从客户端的用户凭证。ASA发送验证方法作为‘RSA’,因此它发送其自己的证书给客户端,因此客户端能验证ASA服务器。

因为ASA是愿意使用扩展验证方法,在消息4安置一EAP有效负载并且延迟发送SAr2、TSi和Tsr,直到发起者验证完成在随后的IKE_AUTH交换。因此,那些三有效载荷不是存在调试。

EAP数据包包含:

  1. 代码:请求-此代码由验证器发送给对等体。
  2. id :1 - id帮助匹配与请求的EAP答复。在这里值1,指示它是在EAP交换的第一数据包。此EAP请求有‘设置验证’ ‘Hello类型; ’它从ASA发送给客户端为了启动EAP交换。
  3. 长度:150 - EAP数据包的长度包括代码、id、长度和EAP数据。
  4. EAP数据
 IDr下有效负载:CERT,保留:0x0,长度:36
   Id类型:DER ASN1 DN,保留:0x0 0x0

     30个1a 31 18 30 16 06 09个2a 86 48 86个f7 0d 01 09
    02 16 09 41 53 41个第2个49个4b 45 56 32
 CERT下有效负载:CERT,保留:0x0,长度:436
   Cert编码X.509证书-签名
Cert data&colon;431个字节
 CERT下有效负载:验证,保留:0x0,长度:436
   Cert编码X.509证书-签名
Cert data&colon;431个字节
 验证下有效负载:EAP,保留:0x0,长度:136
   验证方法RSA,保留:0x0,保留0x0
验证data&colon;128个字节
 EAP下有效负载:无,保留:0x0,长度:154
   代码:请求:id :1,长度:150
   类型:未知- 254
EAP数据:145个字节

IKEv2-PROTO-3 :Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id :0x1
IKEv2-PROTO-3 :HDR[i:58AFF71141BA436B - r :FC696330E6B94D7F]
IKEv2-PROTO-4 :IKEV2 HDR ispi :58AFF71141BA436B - rspi :FC696330E6B94D7F
IKEv2-PROTO-4 :下有效负载:ENCR,版本:2.0
IKEv2-PROTO-4 :Exchange类型:IKE_AUTH,标志:响应方MSG-RESPONSE
IKEv2-PROTO-4 :消息ID :0x1,长度:1292
 ENCR下有效负载:VID,保留:0x0,长度:1264
已加密data&colon;1260个字节
 

分段能发生,如果证书大或,如果证书链包括。发起者和响应方KE有效载荷能也包括大密钥,能也造成分段。

IKEv2-PROTO-5 :(6) :分段的信息包,片段MTU:544,片段编号:3,片段ID :1
IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001
IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001
IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001
 
 

****************************************
伊达市:04/23/2013
时间:16:25:02
类型:信息
来源:acvpnagent

说明:功能:ikev2_verify_X509_SIG_certs
文件:.\ikev2_anyconnect_osal.cpp
线路:2077年
请求从用户的证书接受
****************************************
伊达市:04/23/2013
时间:16:25:02
类型:错误
来源:acvpnui

说明:功能:CCapiCertificate : :verifyChainPolicy
文件:.。 \证书\ CapiCertificate.cpp
线路:2032
被调用的功能:CertVerifyCertificateChainPolicy
返回码:-2146762487 (0x800B0109)
说明:在没有由信任供应商委托的根证明处理,但是终止的证书链。
****************************************
伊达市:04/23/2013
时间:16:25:04
类型:信息
来源:acvpnagent

说明:功能:CEAPMgr : :dataRequestCB
文件:.。 \ EAPMgr.cpp
线路:400
EAP报价的类型:EAP-ANYCONNECT
****************************************

ASA发送的证书被提交给用户。证书不信任。EAP类型是EAP-ANYCONNECT。

客户端回答与答复的EAP请求。

EAP数据包包含:

  1. 代码:答复-此代码由对等体发送对验证器以回应EAP请求。
  2. id :1 - id帮助匹配与请求的EAP答复。在这里值1,表明这是对ASA以前发送的请求的一答复(验证器)。此EAP答复有‘init的’ ‘设置验证’类型;客户端正在初始化EAP交换和等待ASA生成认证请求。
  3. 长度:252 - EAP数据包的长度包括代码、id、长度和EAP数据。
  4. EAP数据

ASA解密此答复,并且客户端说接收在上一个数据包的验证有效负载(与证书)并且接收从ASA的第一EAP请求包。这是什么‘init’ EAP响应数据包包含。

IKEv2-PLAT-4 :RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000002
IKEv2-PROTO-3 :Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id :0x2
IKEv2-PROTO-3 :HDR[i:58AFF71141BA436B - r :FC696330E6B94D7F]
IKEv2-PROTO-4 :IKEV2 HDR ispi :58AFF71141BA436B - rspi :FC696330E6B94D7F
IKEv2-PROTO-4 :下有效负载:ENCR,版本:2.0
IKEv2-PROTO-4 :Exchange类型:IKE_AUTH,标志:发起者
IKEv2-PROTO-4 :消息ID :0x2,长度:332
IKEv2-PROTO-5 :(6) :请求有mess_id 2;预计2至2
实时解密的数据包:数据:256个字节
 EAP下有效负载:无,保留:0x0,长度:256
   代码:答复id :1长度:252
   类型:未知- 254
EAP data:247字节

解密的数据包:Data&colon;332个字节
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000002 CurState :R_WAIT_EAP_RESP事件:EV_RECV_AUTH
IKEv2-PROTO-3 :(6) :等待验证消息的正在停止的计时器
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000002 CurState :R_WAIT_EAP_RESP事件:EV_RECV_EAP_RESP

IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000002 CurState :R_PROC_EAP_RESP事件:EV_PROC_MSG
IKEv2-PROTO-2 :(6) :处理EAP答复

下面已接收XML消息从客户端
< ?xml version="1.0" encoding="UTF-8"?>
<config验证client= " VPN” type= " init " >
<device-id>win</device-id>
<version who="vpn">3.0.1047</version>
<group-select>ASA-IKEV2</group-select>
<group-access>ASA-IKEV2</group-access>
</config-auth>
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000002 CurState :R_PROC_EAP_RESP事件:EV_RECV_EAP_AUTH

IKEv2-PROTO-5 :(6) :操作:Action_Null
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000002 CurState :R_BLD_EAP_REQ事件:EV_RECV_EAP_REQ

 

这是ASA发送的第二请求对客户端。

EAP数据包包含:

  1. 代码:请求-此代码由验证器发送给对等体。
  2. id :2 - id帮助匹配与请求的EAP答复。在这里值2,指示它是在交换的第二数据包。此请求有‘验证请求的’ ‘设置验证’类型;ASA请求客户端发送用户认证凭证。
  3. 长度:457 - EAP数据包的长度包括代码、id、长度和EAP数据。
  4. EAP数据

ENCR有效负载:

此有效负载解密,并且其内容解析作为另外的有效载荷。

IKEv2-PROTO-2 :(6) :发送EAP请求

下面生成的XML消息
< ?xml version="1.0" encoding="UTF-8"?>
<config验证client= " VPN” type= "验证请求" >
<version who="sg">9.0(2)8</version>
<opaque is-for= " sg " >
<tunnel-group>ASA-IKEV2</tunnel-group>
<config-hash>1367268141499</config-hash>
</opaque>
<csport>443</csport>
<auth id= "主" >
<form>
<input type= "文本” name= "用户名” label= "用户名:“></input>
<input type= "密码” name= "密码” label= "密码:“></input>
</form>
</auth>
</config-auth>
IKEv2-PROTO-3 :(6) :构件加密的数据包;内容是:
 EAP下有效负载:无,保留:0x0,长度:461
   代码:请求:id :2,长度:457
   类型:未知- 254
EAP数据:452个字节

IKEv2-PROTO-3 :Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id :0x2
IKEv2-PROTO-3 :HDR[i:58AFF71141BA436B - r :FC696330E6B94D7F]
IKEv2-PROTO-4 :IKEV2 HDR ispi :58AFF71141BA436B - rspi :FC696330E6B94D7F
IKEv2-PROTO-4 :下有效负载:ENCR,版本:2.0
IKEv2-PROTO-4 :Exchange类型:IKE_AUTH,标志:响应方MSG-RESPONSE
IKEv2-PROTO-4 :消息ID :0x2,长度:524
 ENCR下有效负载:EAP,保留:0x0,长度:496
已加密data&colon;492个字节

IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000002
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000002 CurState :R_BLD_EAP_REQ事件:EV_START_TMR
IKEv2-PROTO-3 :(6) :开始计时器等待用户验证消息(120秒)
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000002 CurState :R_WAIT_EAP_RESP事件:EV_NO_EVENT   

****************************************
伊达市:04/23/2013
时间:16:25:04
类型:信息
来源:acvpnui

说明:功能:
SDIMgr : :ProcessPromptData
文件:.。 \ SDIMgr.cpp
线路:281
认证类型不是SDI。
****************************************
伊达市:04/23/2013
时间:16:25:07
类型:信息
来源:acvpnui

说明:功能:ConnectMgr : :userResponse
文件:.。 \ ConnectMgr.cpp
线路:985
处理用户回应。
****************************************

客户端要求用户认证并且发送它对ASA作为在下一个信息包(‘验证回复的’一EAP答复)。

客户端传送与EAP有效负载的另一IKE_AUTH发起者信息。

EAP数据包包含:

  1. 代码:答复-此代码由对等体发送对验证器以回应EAP请求。
  2. id :2 - id帮助匹配与请求的EAP答复。在这里值2,表明这是对ASA以前发送的请求的一答复(验证器)。
  3. 长度:420 - EAP数据包的长度包括代码、id、长度和EAP数据。
  4. EAP数据
 IKEv2-PLAT-4 :RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PROTO-3 :Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id :0x3
IKEv2-PROTO-3 :HDR[i:58AFF71141BA436B - r :FC696330E6B94D7F]
IKEv2-PROTO-4 :IKEV2 HDR ispi :58AFF71141BA436B - rspi :FC696330E6B94D7F
IKEv2-PROTO-4 :下有效负载:ENCR,版本:2.0
IKEv2-PROTO-4 :Exchange类型:IKE_AUTH,标志:发起者
IKEv2-PROTO-4 :消息ID :0x3,长度:492
IKEv2-PROTO-5 :(6) :请求有mess_id 3;预计3至3


实时解密的数据包:数据:424个字节
 EAP下有效负载:无,保留:0x0,长度:424
   代码:答复:id :2,长度:420
   类型:未知- 254
EAP数据:415个字节
 

ASA处理此答复。客户端请求用户回车凭证。此EAP答复有‘验证回复的‘设置验证’类型’。此数据包包含用户输入的凭证。

解密的数据包:数据:492个字节
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000003 CurState :R_WAIT_EAP_RESP事件:EV_RECV_AUTH
IKEv2-PROTO-3 :(6) :等待验证消息的正在停止的计时器
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000003 CurState :R_WAIT_EAP_RESP事件:EV_RECV_EAP_RESP
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000003 CurState :R_PROC_EAP_RESP事件:EV_PROC_MSG
IKEv2-PROTO-2 :(6) :处理EAP答复

下面已接收XML消息从客户端
< ?xml version="1.0" encoding="UTF-8"?>
<config验证client= " VPN” type= "验证回复" >
<device-id>win</device-id>
<version who="vpn">3.0.1047</version>
<session-token></session-token>
<session-id></session-id>
<opaque is-for= " sg " >
<tunnel-group>ASA-IKEV2</tunnel-group>
<config-hash>1367268141499</config-hash></opaque>
<auth>
<password>cisco123</password>
<username>Anu</username></auth>
</config-auth>
IKEv2-PLAT-1 :EAP :启动的用户认证
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000003 CurState :R_PROC_EAP_RESP事件:EV_NO_EVENT
IKEv2-PLAT-5 :EAP :在AAA回拨
获取的服务器Cert摘要:DACE1C274785F28BA11D64453096BAE294A3172E
IKEv2-PLAT-5 :EAP :在AAA回拨的成功
IKEv2-PROTO-3 :从验证器的收到的响应
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000003 CurState :R_PROC_EAP_RESP事件:EV_RECV_EAP_AUTH
IKEv2-PROTO-5 :(6) :操作:Action_Null

 

ASA在交换建立第三EAP请求。

EAP数据包包含:

  1. 代码:请求-此代码由验证器发送给对等体。
  2. id :3 - id帮助匹配与请求的EAP答复。在这里值3,指示它是在交换的第三数据包。此数据包安排‘设置验证’类型‘完成’;ASA接收回复,并且EAP交换完成。
  3. 长度:4235 - EAP数据包的长度包括代码、id、长度和EAP数据。
  4. EAP数据

ENCR有效负载:

此有效负载解密,并且其内容解析作为另外的有效载荷。

IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000003 CurState :R_BLD_EAP_REQ事件:EV_RECV_EAP_REQ
IKEv2-PROTO-2 :(6) :发送EAP请求

下面生成的XML消息
< ?xml version="1.0" encoding="UTF-8"?>
<config验证client= " VPN” type= "完成" >
<version who="sg">9.0(2)8</version>
<session-id>32768</session-id>
<session-token>18wA0TtGmDxPKPQCJywC7fB7EWLCEgz-ZtjYpAyXx2yJH0H3G3H8t5xpBOx3Ixag</session-token>
<auth id= "成功" >
<message id="0" param1="" param2=""></message>
</auth>


IKEv2-PROTO-3 :(6) :构件加密的数据包;内容是:
 EAP下有效负载:无,保留:0x0,长度:4239
   代码:请求:id :3,长度:4235
   类型:未知- 254
EAP数据:4230个字节

IKEv2-PROTO-3 :Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id :0x3
IKEv2-PROTO-3 :HDR[i:58AFF71141BA436B - r :FC696330E6B94D7F]
IKEv2-PROTO-4 :IKEV2 HDR ispi :58AFF71141BA436B - rspi :FC696330E6B94D7F
IKEv2-PROTO-4 :下有效负载:ENCR,版本:2.0
IKEv2-PROTO-4 :Exchange类型:IKE_AUTH,标志:响应方MSG-RESPONSE
IKEv2-PROTO-4 :消息ID :0x3,长度:4300
 ENCR下有效负载:EAP,保留:0x0,长度:4272
已加密data&colon;4268字节

IKEv2-PROTO-5 :(6) :分段的信息包,片段MTU:544,片段编号:9,片段ID :2
IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000003 CurState :R_BLD_EAP_REQ事件:EV_START_TMR
IKEv2-PROTO-3 :(6) :开始计时器等待用户验证消息(120秒)
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000003 CurState :R_WAIT_EAP_RESP事件:EV_NO_EVENT

 
 ****************************************
伊达市:04/23/2013
时间:16:25:07
类型:信息
来源:acvpnagent

说明:当前配置文件:Anyconnect-ikev2.xml
已接收VPN会话配置设置:
 保持已安装:已启用
 代理设置:请勿修改
 代理服务器:无
 代理PAC URL :无
 代理异常:无
 代理扎锁木:已启用
 已分解排除:本地LAN访问首选禁用
 已分解包括:已禁用
 Split DNS:已禁用
 本地LAN通配符:本地LAN访问首选禁用
 防火墙规则:无
 客户端地址:10.2.2.1
 客户端掩码:255.0.0.0
 客户端IPv6地址:未知
 客户端IPv6掩码:未知
 MTU:1406
 IKE保活:20秒
 IKE DPD :30 秒
 会话超时:0秒
 断开超时:1800 秒
 空闲超时:1800 秒
 服务器:未知
 MUS主机:未知
 DAP用户消息:无
 检疫状态:已禁用
 总是在VPN :不已禁用
 租约期限:0秒
 默认域:未知
 主页:未知
 智能卡删除断开:已启用
 许可证答复:未知
****************************************
ASA发送在的VPN配置设置‘完成’消息给客户端并且定量IP地址给从VPN池的客户端。

客户端发送有EAP有效负载的发起者数据包。

EAP数据包包含:

  1. 代码:答复-此代码由对等体发送对验证器以回应EAP请求。
  2. id :3 - id帮助匹配与请求的EAP答复。在这里值3,表明这是对ASA以前发送的请求的一答复(验证器)。ASA当前收到从客户端的响应数据包,有‘ack的’ ‘设置验证’类型;此答复确认EAP ‘由ASA以前完成’发送的消息。
  3. 长度:173 - EAP数据包的长度包括代码、id、长度和EAP数据。
  4. EAP数据
 IKEv2-PLAT-4 :RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000004
IKEv2-PROTO-3 :Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id :0x4
IKEv2-PROTO-3 :HDR[i:58AFF71141BA436B - r :FC696330E6B94D7F]
IKEv2-PROTO-4 :IKEV2 HDR ispi :58AFF71141BA436B - rspi :FC696330E6B94D7F
IKEv2-PROTO-4 :下有效负载:ENCR,版本:2.0
IKEv2-PROTO-4 :Exchange类型:IKE_AUTH,标志:发起者
IKEv2-PROTO-4 :消息ID :0x4,长度:252
IKEv2-PROTO-5 :(6) :请求有mess_id 4;预计4至4


实时解密的数据包:数据:177个字节
 EAP下有效负载:无,保留:0x0,长度:177
   代码:答复:id :3,长度:173
   类型:未知- 254
EAP数据:168个字节
 

ASA处理此数据包。
EAP交换是成功的。ASA
准备派隧道群
在下一个信息包的配置,
由客户端以前请求
IDi有效负载。ASA接收
从客户端的响应数据包,
有‘ack的’ ‘设置验证’类型。这
答复确认EAP
‘请完成’由传送的信息
早先ASA。

相关配置:

tunnel-group ASA-IKEV2 
type remote-access
tunnel-group ASA-IKEV2
general-attributes
 address-pool webvpn1
 authorization-server-group
 LOCAL default-group-policy
ASA-IKEV2
tunnel-group ASA-IKEV2
webvpn-attributes
 group-alias ASA-IKEV2
enable

EAP交换当前是成功的。

EAP数据包包含:

  1. 代码成功-此代码是
    发送由验证器对
    在完成EAP后的对等体
    认证方法。这
    表明对等体有
    顺利地验证对
    验证器。
  2. id :3 - id帮助匹配
    与请求的EAP答复。
    在这里值3,
    表明这是一答复
    以前发送的请求
    ASA (验证器)。第三集
    在交换的数据包是
    成功和EAP交换
    是成功的。
  3. 长度:4 - EAP的长度
    数据包包括代码, id,
    长度和EAP数据。
  4. EAP数据

解密的packet:Data:252字节
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000004 CurState :R_WAIT_EAP_RESP事件:EV_RECV_AUTH
IKEv2-PROTO-3 :(6) :等待验证消息的正在停止的计时器
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000004 CurState :R_WAIT_EAP_RESP事件:EV_RECV_EAP_RESP
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000004 CurState :R_PROC_EAP_RESP事件:EV_PROC_MSG
IKEv2-PROTO-2 :(6) :处理EAP答复

下面已接收XML消息从客户端
< ?xml version="1.0" encoding="UTF-8"?>
<config验证client= " VPN” type= " ack " >
<device-id>win</device-id>
<version who="vpn">3.0.1047</version>
</config-auth>

IKEv2-PLAT-3 :(6) aggrAuthHdl设置为0x2000
IKEv2-PLAT-3 :(6) tg_name设置对:ASA-IKEV2
IKEv2-PLAT-3 :(6) tunn GRP类型设置对:RA
IKEv2-PLAT-1 :EAP :成功的验证
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000004 CurState :R_PROC_EAP_RESP事件:EV_RECV_EAP_SUCCESS
IKEv2-PROTO-2 :(6) :发送EAP状态消息
IKEv2-PROTO-3 :(6) :构件加密的数据包;内容是:
 EAP下有效负载:无,保留:0x0,长度:8
   代码:成功:id :3,长度:4

IKEv2-PROTO-3 :Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id :0x4
IKEv2-PROTO-3 :HDR[i:58AFF71141BA436B - r :FC696330E6B94D7F]
IKEv2-PROTO-4 :IKEV2 HDR ispi :58AFF71141BA436B - rspi :FC696330E6B94D7F
IKEv2-PROTO-4 :下有效负载:ENCR,版本:2.0
IKEv2-PROTO-4 :Exchange类型:IKE_AUTH,标志:响应方MSG-RESPONSE
IKEv2-PROTO-4 :消息ID :0x4,长度:76
 ENCR下有效负载:EAP,保留:0x0,长度:48
已加密data&colon;44字节

IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000004

IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000004 CurState :R_PROC_EAP_RESP事件:EV_START_TMR
IKEv2-PROTO-3 :(6) :开始计时器等待验证消息(30秒)
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000004 CurState :R_WAIT_EAP_AUTH_VERIFY事件:EV_NO_EVENT

 
因为EAP交换是成功的,客户端发送有验证有效负载的IKE_AUTH发起者数据包。验证有效负载从共享密钥生成。 IKEv2-PLAT-4 :RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PROTO-3 :Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id :0x5
IKEv2-PROTO-3 :HDR[i:58AFF71141BA436B - r :FC696330E6B94D7F]
IKEv2-PROTO-4 :IKEV2 HDR ispi :58AFF71141BA436B - rspi :FC696330E6B94D7F
IKEv2-PROTO-4 :下有效负载:ENCR,版本:2.0
IKEv2-PROTO-4 :Exchange类型:IKE_AUTH,标志:发起者
IKEv2-PROTO-4 :消息ID :0x5,长度:92
IKEv2-PROTO-5 :(6) :请求有mess_id 5;预计5至5


雷亚尔德蒙特罗伊解密packet:Data:28字节
 验证下有效负载:无,保留:0x0,长度:28
   验证方法PSK,保留:0x0,保留0x0
验证数据:20个字节
 

当EAP验证指定或
暗示由客户端配置文件和
配置文件不包含
<IKEIdentity>元素,客户端发送
一ID_GROUP类型IDi有效负载与
已修复字符串*$AnyConnectClient$*。

ASA处理此消息。

相关配置:

crypto dynamic-map dynmap 1000 
set ikev2 ipsec-proposal 3des
crypto map crymap 10000
ipsec-isakmp dynamic dynmap
crypto map crymap interface
outside

解密的数据包:数据:92个字节
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :R_WAIT_EAP_AUTH_VERIFY事件:EV_RECV_AUTH
IKEv2-PROTO-3 :(6) :等待验证消息的正在停止的计时器
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :R_VERIFY_AUTH事件:EV_GET_EAP_KEY
IKEv2-PROTO-2 :(6) :发送验证,在EAP交换以后验证对等体
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :R_VERIFY_AUTH事件:EV_VERIFY_AUTH
IKEv2-PROTO-3 :(6) :验证身份验证数据
IKEv2-PROTO-3 :(6) :请使用预共享密匙id *$AnyConnectClient$*,关键LEN 20
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :R_VERIFY_AUTH事件:EV_GET_CONFIG_MODE
IKEv2-PLAT-3 :排队的配置模式回复
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :R_VERIFY_AUTH事件:EV_NO_EVENT
IKEv2-PLAT-3 :PSH :client=AnyConnect client-version=3.0.1047 client-os=Windows client-os-version=
IKEv2-PLAT-3 :完成的配置模式回复
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :R_VERIFY_AUTH事件:EV_OK_GET_CONFIG
IKEv2-PROTO-3 :(6) :有发送配置模式的数据
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :R_VERIFY_AUTH事件:EV_CHK4_IC
IKEv2-PROTO-3 :(6) :处理初始联系
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :R_VERIFY_AUTH事件:EV_CHK_REDIRECT
IKEv2-PROTO-5 :(6) :重定向检查为此会话已经进行,跳过它
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :R_VERIFY_AUTH事件:EV_PROC_SA_TS
IKEv2-PROTO-2 :(6) :处理验证消息
IKEv2-PLAT-1 :加密映射:地图dynmap顺序1000。使用指定IP的调节的选择器
IKEv2-PLAT-3 :加密映射:在动态映射dynmap顺序1000的匹配
IKEv2-PLAT-3 :为RA连接禁用的PFS
IKEv2-PROTO-3 :(6) :
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :R_VERIFY_AUTH事件:EV_NO_EVENT
IKEv2-PLAT-2 :SPI的0x30B848A4已接收PFKEY SPI回拨,错误的错误
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :R_VERIFY_AUTH事件:EV_OK_RECD_IPSEC_RESP

IKEv2-PROTO-2 :(6) :处理验证消息

 

ASA建立与SA、TSi和Tsr有效载荷的IKE_AUTH响应消息。

IKE_AUTH响应方数据包包含:

  1. ISAKMP报头- SPI/version/flags.
  2. 验证有效负载-使用选定的认证方法。
  3. CFG - CFG_REQUEST/CFG_REPLY允许IKE终端对从其对等体的请求数据。如果在CFG_REQUEST配置有效负载的一个属性不是零长度,被采取作为该属性的一建议。CFG_REPLY配置有效负载可能返回该值或新的。它可能也添加新建的属性,并且不包括一些请求部分。申请人忽略他们不认可的返回的属性。对客户端的ASA回复有在CFG_REPLY数据包的隧道配置atrributes的。
  4. SAr2 - SAr2启动SA,类似于在IKEv1的第2阶段转换集合交换。
  5. TSiTsr -发起者和响应方流量选择器包含,分别,发起者的源地址和目的地址和响应方为了转发和收到加密流量。地址范围指定到/从该范围的所有流量被以隧道传输。如果建议是可接受对响应方,退还相同的TS有效载荷。

ENCR有效负载:

此有效负载解密,并且其内容解析作为另外的有效载荷。

IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :R_BLD_AUTH事件:EV_MY_AUTH_METHOD
IKEv2-PROTO-3 :(6) :获得我的认证方法
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :R_BLD_AUTH事件:EV_GET_PRESHR_KEY
IKEv2-PROTO-3 :(6) :获得*$AnyConnectClient$*的对等体的预共享密匙
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :R_BLD_AUTH事件:EV_GEN_AUTH
IKEv2-PROTO-3 :(6) :生成我的身份验证数据
IKEv2-PROTO-3 :(6) :请使用预共享密匙id hostname=ASA-IKEV2,关键LEN 20
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :R_BLD_AUTH事件:EV_CHK4_SIGN
IKEv2-PROTO-3 :(6) :获得我的认证方法
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :R_BLD_AUTH事件:EV_OK_AUTH_GEN
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :R_BLD_EAP_AUTH_VERIFY事件:EV_GEN_AUTH
IKEv2-PROTO-3 :(6) :生成我的身份验证数据
IKEv2-PROTO-3 :(6) :请使用预共享密匙id hostname=ASA-IKEV2,关键LEN 20
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :R_BLD_EAP_AUTH_VERIFY事件:EV_SEND_AUTH
IKEv2-PROTO-2 :(6) :发送验证,在EAP交换以后验证对等体
IKEv2-PROTO-3 :  ESP建议:1, SPI大小:4 (IPSec协商),
数字。转换:3
  AES-CBC SHA96   
IKEv2-PROTO-5 :构建通知有效负载:ESP_TFC_NO_SUPPORTIKEv2-PROTO-5 :构建通知有效负载:NON_FIRST_FRAGSIKEv2-PROTO-3 :(6) :构件加密的数据包;内容是:
 验证下有效负载:CFG,保留:0x0,长度:28
   验证方法PSK,保留:0x0,保留0x0
验证data&colon;20个字节
 CFG下有效负载:SA,保留:0x0,长度:4196
   cfg类型:CFG_REPLY,保留:0x0,保留:0x0

   attrib类型:内部IP4地址,长度:4

     01 01 01 01
  attrib类型:内部IP4网络屏蔽,长度:4

     00 00 00 00
  attrib类型:内部地址终止,长度:4

     00 00 00 00
  attrib类型:应用程序版本,长度:16

     41 53 41 20 31 30 30个2e 37 28 36 29 31 31 36 00
  attrib类型:未知- 28704,长度:4

     00 00 00 00
  attrib类型:未知- 28705,长度:4

     00 00 07 08
  attrib类型:未知- 28706,长度:4

     00 00 07 08
  attrib类型:未知- 28707,长度:1

     01
  attrib类型:未知- 28709,长度:4

     00 00 00个1e
  attrib类型:未知- 28710,长度:4

     00 00 00 14
  attrib类型:未知- 28684,长度:1

     01
  attrib类型:未知- 28711,长度:2

     05个7e
  attrib类型:未知- 28679,长度:1

     00
  attrib类型:未知- 28683,长度:4

     80个0b 00 01
  attrib类型:未知- 28725,长度:1

     00
  attrib类型:未知- 28726,长度:1

     00
  attrib类型:未知- 28727,长度:4056

     3c 3f 78 6d 6c 20 76 65 72 73 69个6f 6e 3d 22 31
    2e 30 22 20 65个6e 63 6f 64 69个6e 67 3d 22 55 54
    46个第2个38 22个3f 3e 3c 63 6f 6e 66 69 67第2 61 75
    74 68 20 63个6c 69 65个6e 74 3d 22 76 70个6e 22 20
    74 79 70 65个3d 22 63个6f 6d 70 6c 65 74 65 22个3e
    3c 76 65 72 73 69个6f 6e 20 77 68个6f 3d 22 73 67
    22个3e 31 30 30个2e 37 28 36 29 31 31 36个3c 2f 76
    65 72 73 69个6f 6e 3e 3c 73 65 73 73 69个6f 6e第2
    69 64个3e 38 31 39 32个3c 2f 73 65 73 73 69个6f 6e
<snip>
    72个6f 66 69个6c 65第2个6d 61 6e 69 66 65 73 74个3e
    3c 2f 63 6f 6e 66 69 67个3e 3c 2f 63 6f 6e 66 69
    67个第2个61 75 74 68个3e 00
  attrib类型:未知- 28729,长度:1

     00
 SA下有效负载:TSi,保留:0x0,长度:44
IKEv2-PROTO-4 :  最后建议:0x0,保留:0x0,长度:40
 建议:1,协议ID :ESP, SPI大小:4, #trans :3
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:12
   类型:1,保留:0x0, id :AES-CBC
IKEv2-PROTO-4 :    最后转换:0x3,保留:0x0 :长度:8
   类型:3,保留:0x0, id :SHA96
IKEv2-PROTO-4 :    最后转换:0x0,保留:0x0 :长度:8
   类型:5,保留:0x0, id :

 TSi下有效负载:Tsr,保留:0x0,长度:24
   数字时间分配系统:1,保留0x0,保留0x0
   TS类型:TS_IPV4_ADDR_RANGE,原始id :0,长度:16
   启动端口:0,末端端口:65535
   起始地址:10.2.2.1,结尾地址:10.2.2.1
 Tsr下有效负载:通知,保留:0x0,长度:24
   数字时间分配系统:1,保留0x0,保留0x0
   TS类型:TS_IPV4_ADDR_RANGE,原始id :0,长度:16
   启动端口:0,末端端口:65535
   起始地址:0.0.0.0,结尾地址:255.255.255.255

IKEv2-PROTO-3 :Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id :0x5
IKEv2-PROTO-3 :HDR[i:58AFF71141BA436B - r :FC696330E6B94D7F]
IKEv2-PROTO-4 :IKEV2 HDR ispi :58AFF71141BA436B - rspi :FC696330E6B94D7F
IKEv2-PROTO-4 :下有效负载:ENCR,版本:2.0
IKEv2-PROTO-4 :Exchange类型:IKE_AUTH,标志:响应方MSG-RESPONSE
IKEv2-PROTO-4 :消息ID :0x5,长度:4396
 ENCR下有效负载:验证,保留:0x0,长度:4368
已加密data&colon;4364个字节

 
ASA派出此IKE_AUTH响应消息,被分段到九数据包。IKE_AUTH交换完成。IKEv2-PROTO-5 :(6) :分段的信息包,片段MTU:544,片段编号:9,片段ID :3
IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :AUTH_DONE事件:EV_OK
IKEv2-PROTO-5 :(6) :操作:Action_Null
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :AUTH_DONE事件:EV_PKI_SESH_CLOSE
 
 ****************************************
伊达市:04/23/2013
时间:16:25:07
类型:信息
来源:acvpnagent

说明:功能:ikev2_log
文件:.\ikev2_anyconnect_osal.cpp
线路:2730
IPSec连接被建立了。
****************************************
伊达市:04/23/2013
时间:16:25:07
类型:信息
来源:acvpnagent

说明:IPSec会话注册:
 加密:AES-CBC
 PRF :SHA1
 HMAC :SHA96
 本地验证方法:PSK
 远程验证方法:PSK
 顺序id :0
 密钥大小:192
 DH组:1
 重新生成密钥时间:4294967秒
 本地地址:192.168.1.1
 远程地址:10.0.0.1
 本地端口:4500
 远程端口:4500
 会话ID :1
****************************************
伊达市:04/23/2013
时间:16:25:07
类型:信息
来源:acvpnui

说明:在安全网关配置的配置文件是:Anyconnect-ikev2.xml
****************************************
伊达市:04/23/2013
时间:16:25:07
类型:信息
来源:acvpnui

说明:消息类型信息发送对用户:
建立VPN会话…
****************************************
客户端报告IPSec连接如设立。客户端也检测在ASA的用户配置文件。
  ----------------------------IKE_AUTH交换末端----------------------------------- 
 

****************************************
伊达市:04/23/2013
时间:16:25:07
类型:信息
来源:acvpndownloader

说明:功能:ProfileMgr : :loadProfiles
文件:..\ Api \ ProfileMgr.cpp
线路:148
已加载配置文件:
C:\Documents and Settings\All用户\应用程序数据\思科\思科AnyConnect安全移动性Client\Profile\anyconnect-ikev2.xml
****************************************
****************************************
伊达市:04/23/2013
时间:16:25:07
类型:信息
来源:acvpndownloader

说明:当前首选设定:
ServiceDisable :错误
CertificateStoreOverride :错误
CertificateStore :全部
ShowPreConnectMessage :错误
AutoConnectOnStart :错误
MinimizeOnConnect :真
LocalLanAccess :错误
AutoReconnect :真
AutoReconnectBehavior :DisconnectOnSuspend
UseStartBeforeLogon :错误
自动更新:真
RSASecurIDIntegration :自动
WindowsLogonEnforcement :SingleLocalLogon
WindowsVPNEstablishment :LocalUsersOnly
ProxySettings :本地
AllowLocalProxyConnections :真
PPPExclusion :禁用
PPPExclusionServerIP :
AutomaticVPNPolicy :错误
TrustedNetworkPolicy :断开
UntrustedNetworkPolicy :连接
TrustedDNSDomains :
TrustedDNSServers :
AlwaysOn :错误
ConnectFailurePolicy :已关闭
AllowCaptivePortalRemediation :错误
CaptivePortalRemediationTimeout :5
ApplyLastVPNLocalResourceRules :错误
AllowVPNDisconnect :真
EnableScripting :错误
TerminateScriptOnNextEvent :错误
EnablePostSBLOnConnectScript :真
AutomaticCertSelection :真
RetainVpnOnLogoff :错误
UserEnforcement :SameUserOnly
EnableAutomaticServerSelection :错误
AutoServerSelectionImprovement :20
AutoServerSelectionSuspendTime :4
AuthenticationTimeout :12
SafeWordSofTokenIntegration :错误
AllowIPsecOverSSL :错误
ClearSmartcardPin :真
****************************************
伊达市:04/23/2013
时间:16:25:07
类型:信息
来源:acvpnui

说明:消息类型信息发送对用户:
设立VPN -检查的系统…
****************************************
伊达市:04/23/2013
时间:16:25:07
类型:信息
来源:acvpnui

说明:消息类型信息发送对用户:
设立VPN -激活VPN适配器…
****************************************
伊达市:04/23/2013
时间:16:25:07
类型:信息
来源:acvpnagent

说明:功能:CVirtualAdapter : :DoRegistryRepair
文件:.。 \ WindowsVirtualAdapter.cpp
线路:1869
被找到的VA控制键:SYSTEM\CurrentControlSet\ENUM\ROOT\NET\0000\Control

****************************************
伊达市:04/23/2013
时间:16:25:07
类型:信息
来源:acvpnagent

说明:一个新的网络接口检测。
****************************************
伊达市:04/23/2013
时间:16:25:07
类型:信息
来源:acvpnagent

说明:功能:CRouteMgr : :logInterfaces
文件:.。 \ RouteMgr.cpp
线路:2076年
被调用的功能:logInterfaces
返回码:0 (0x00000000)
说明:IP地址接口列表:
10.2.2.1
192.168.1.1
****************************************
伊达市:04/23/2013
时间:16:25:08
类型:信息
来源:acvpnagent

说明:主机配置:
 公共地址:192.168.1.1
 公共掩码:255.255.255.0
 专用地址:10.2.2.1
 私有掩码:255.0.0.0
 私有IPv6地址:不适用
 私有IPv6掩码:不适用
 远端对等体:10.0.0.1 (TCP端口443, UDP端口500), 10.0.0.1 (UDP端口4500)
 私有网络:无
 公共网络:无
 隧道模式:是
****************************************

XML配置文件装载在客户端上。因为客户端当前有从ASA的一个IP地址,客户端继续激活VPN适配器。

连接被输入到安全关联(SA)数据库,并且状态注册。ASA也执行一些检查类似普通的访问卡(CAC)重复项SAS stats、出现和设置值类似对端死机检测(DPD)等等。

 IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :AUTH_DONE事件:EV_INSERT_IKE
IKEv2-PROTO-2 :(6) :创建的SA;插入SA到数据库里
IKEv2-PLAT-3 :
连接状态:…对等体:192.168.1.1:25171, phase1_id :*$AnyConnectClient$*
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :AUTH_DONE事件:EV_REGISTER_SESSION
IKEv2-PLAT-3 :(6)用户名设置对:Anu
IKEv2-PLAT-3 :
连接状态:已注册…对等体:192.168.1.1:25171, phase1_id :*$AnyConnectClient$*
IKEv2-PROTO-3 :(6) :正在初始化的DPD,配置在10秒
IKEv2-PLAT-3 :(6) mib_index设置对:4501
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :AUTH_DONE事件:EV_GEN_LOAD_IPSEC
IKEv2-PROTO-3 :(6) :负载IPSec密钥材料
IKEv2-PLAT-3 :加密映射:在动态映射dynmap顺序1000的匹配
IKEv2-PLAT-3 :(6) DPD最长时间将是:30
IKEv2-PLAT-3 :(6) DPD最长时间将是:30
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :AUTH_DONE事件:EV_START_ACCT
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :AUTH_DONE事件:EV_CHECK_DUPE
IKEv2-PROTO-3 :(6) :检查SA重复项
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :AUTH_DONE事件:EV_CHK4_ROLE
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :READY事件:EV_R_UPDATE_CAC_STATS
IKEv2-PLAT-5 :激活的新的sa ikev2请求
IKEv2-PLAT-5 :流入协商的减少量计数
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :READY事件:EV_R_OK
IKEv2-PROTO-3 :(6) :开始计时器删除协商上下文
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :READY事件:EV_NO_EVENT
IKEv2-PLAT-2 :已接收PFKEY添加SPI的0x77EE5348 SA,错误的错误
IKEv2-PLAT-2 :为SPI 0x30B848A4的已接收PFKEY更新SA,错误的错误
 
 ****************************************
伊达市:04/23/2013
时间:16:25:08
类型:信息
来源:acvpnagent

说明:VPN连接被建立了并且能当前传递数据。
****************************************
伊达市:04/23/2013
时间:16:25:08
类型:信息
来源:acvpnui

说明:消息类型信息发送对用户:
设立VPN -配置系统…
****************************************
伊达市:04/23/2013
时间:16:25:08
类型:信息
来源:acvpnui

说明:消息类型信息发送对用户:
设立VPN…
****************************************
伊达市:04/23/2013
时间:16:25:37
类型:信息
来源:acvpnagent


文件:.。 \ IPsecProtocol.cpp
线路:945
IPSec隧道设立
****************************************
客户端报告通道作为并且准备通过流量。

通道验证

AnyConnect

显示vpn-sessiondb详细信息anyconnect命令的输出示例:是:

Session Type: AnyConnect Detailed

Username     : Anu                    Index        : 2
Assigned IP  : 10.2.2.1                Public IP    : 192.168.1.1
Protocol     : IKEv2 IPsecOverNatT AnyConnect-Parent
License      : AnyConnect Premium
Encryption   : AES192 AES256          Hashing      : none SHA1 SHA1
Bytes Tx     : 0                      Bytes Rx     : 11192
Pkts Tx      : 0                      Pkts Rx      : 171
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : ASA-IKEV2              Tunnel Group : ASA-IKEV2
Login Time   : 22:06:24 UTC Mon Apr 22 2013
Duration     : 0h:02m:26s
Inactivity   : 0h:00m:00s
NAC Result   : Unknown
VLAN Mapping : N/A                    VLAN         : none

IKEv2 Tunnels: 1
IPsecOverNatT Tunnels: 1
AnyConnect-Parent Tunnels: 1

AnyConnect-Parent:
  Tunnel ID    : 2.1
  Public IP    : 192.168.1.1
  Encryption   : none                   Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 27 Minutes
  Client Type  : AnyConnect
Client Ver   : 3.0.1047 
IKEv2:
  Tunnel ID    : 2.2
  UDP Src Port : 25171                  UDP Dst Port : 4500
  Rem Auth Mode: userPassword
  Loc Auth Mode: rsaCertificate
  Encryption   : AES192                 Hashing      : SHA1
  Rekey Int (T): 86400 Seconds          Rekey Left(T): 86254 Seconds
  PRF          : SHA1                   D/H Group    : 1
  Filter Name  :
  Client OS    : Windows
IPsecOverNatT:
  Tunnel ID    : 2.3
  Local Addr   : 0.0.0.0/0.0.0.0/0/0
  Remote Addr  : 10.2.2.1/255.255.255.255/0/0
  Encryption   : AES256                 Hashing      : SHA1
   Encapsulation: Tunnel
  Rekey Int (T): 28800 Seconds          Rekey Left(T): 28654 Seconds
   Rekey Int (D): 4608000 K-Bytes        Rekey Left(D): 4607990 K-Bytes
   Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes 
  Bytes Tx     : 0                      Bytes Rx     : 11192
   Pkts Tx      : 0                      Pkts Rx      : 171
  NAC:
  Reval Int (T): 0 Seconds              Reval Left(T): 0 Seconds
  SQ Int (T)   : 0 Seconds              EoU Age(T)   : 146 Seconds
  Hold Left (T): 0 Seconds              Posture Token:  
Redirect URL :

ISAKMP

显示crypto sa ikev2命令的输出示例:是:

ASA-IKEV2#  show crypto ikev2 sa

IKEv2 SAs:

Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id                 Local                Remote     Status         Role
 55182129    10.0.0.1/4500         192.168.1.1/25171      READY    RESPONDER
     Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
   Life/Active Time: 86400/112 sec
Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535
           remote selector 10.2.2.1/0 - 10.2.2.1/65535
          ESP spi in/out: 0x30b848a4/0x77ee5348 

detail命令显示crypto的ikev2 sa的输出示例:是:

ASA-IKEV2# show crypto ikev2 sa detail

IKEv2 SAs:

Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id                 Local                Remote     Status         Role
 55182129    10.0.0.1/4500         192.168.1.1/25171      READY    RESPONDER
      Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
      Life/Active Time: 86400/98 sec
      Session-id: 2
      Status Description: Negotiation done
      Local spi: FC696330E6B94D7F       Remote spi: 58AFF71141BA436B
      Local id: hostname=ASA-IKEV2
      Remote id: *$AnyConnectClient$*
      Local req mess id: 0              Remote req mess id: 9
      Local next mess id: 0             Remote next mess id: 9
      Local req queued: 0               Remote req queued: 9       Local window: 1                   Remote window: 1
      DPD configured for 10 seconds, retry 2
      NAT-T is detected  outside
      Assigned host addr: 10.2.2.1
Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535
          remote selector 10.2.2.1/0 - 10.2.2.1/65535
          ESP spi in/out: 0x30b848a4/0x77ee5348
         AH spi in/out: 0x0/0x0
         CPI in/out: 0x0/0x0
           Encr: AES-CBC, keysize: 256, esp_hmac: SHA96
          ah_hmac: None, comp: IPCOMP_NONE, mode tunnel

IPsec

show crypto ipsec sa命令的输出示例:是:

ASA-IKEV2# show crypto ipsec sa
interface: outside
    Crypto map tag: dynmap, seq num: 1000, local addr: 10.0.0.1

   local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (10.2.2.1/255.255.255.255/0/0)
      current_peer: 192.168.1.1, username: Anu
      dynamic allocated peer ip: 10.2.2.1

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 163, #pkts decrypt: 108, #pkts verify: 108
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 55

     local crypto endpt.: 10.0.0.1/4500, remote crypto endpt.: 192.168.1.1/25171
      path mtu 1488, ipsec overhead 82, media mtu 1500
      current outbound spi: 77EE5348
      current inbound spi : 30B848A4

  inbound esp sas:
     spi: 0x30B848A4 (817383588)
        transform: esp-aes-256 esp-sha-hmac no compression
        in use settings ={RA, Tunnel,  NAT-T-Encaps, }
        slot: 0, conn_id: 8192, crypto-map: dynmap
        sa timing: remaining key lifetime (sec): 28685
        IV size: 16 bytes
        replay detection support: Y
        Anti replay bitmap:
        0xFFAD6BED 0x7ABFD5BF
    outbound esp sas:
      spi: 0x77EE5348 (2012107592)
         transform: esp-aes-256 esp-sha-hmac no compression
        in use settings ={RA, Tunnel,  NAT-T-Encaps, }
         slot: 0, conn_id: 8192, crypto-map: dynmap
         sa timing: remaining key lifetime (sec): 28685
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
         0x00000000 0x00000001

相关信息



Document ID: 116158