セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

VPN Client と拡張認証による、ハブ PIX とリモート PIX 間の IPSec 設定

2003 年 2 月 14 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 9 月 26 日) | フィードバック

目次

概要
はじめに
     表記法
     前提条件
     使用するコンポーネント
     背景理論
設定
     ネットワーク ダイアグラム
     設定
確認
トラブルシューティング
     トラブルシューティング用のコマンド
     ハブ PIX からのデバッグ
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

この文書では、ゲートウェイ間およびリモート ユーザ機能に関する IPSec の設定例について説明します。Extended Authentication(Xauth; 拡張認証)を使用すると、デバイスは事前共有キーによって認証され、ユーザはユーザ名とパスワードの確認要求によって認証されます。

はじめに

表記法

文書表記の詳細については、「シスコ テクニカル ティップスの表記法」を参照してください。

前提条件

この文書に関する特別な前提条件はありません。

使用するコンポーネント

この文書の情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • PIX ファイアウォール バージョン 6.1(x)

  • VPN Client バージョン 3.5

  • Cisco Secure ACS for Windows NT バージョン 2.6

この文書の情報は、特定のラボ環境にある装置に基づいて作成されています。また、この文書で使用するデバイスは、すべて初期(デフォルト)の設定で起動しています。実稼動中のネットワークで作業をしている場合、実際にコマンドを使用する前に、その潜在的な影響について理解しておく必要があります。

背景理論

この例では、リモート PIX からハブ PIX へのゲートウェイ間 IPSec トンネルがあります。このトンネルは、リモート PIX の背後にあるネットワーク 10.48.67.x から、ハブ PIX の背後にあるネットワーク 10.48.66.x へのトラフィックを暗号化します。インターネット上にある PC は、ハブ PIX を経由してネットワーク 10.48.66.x への IPSec トンネルを形成できます。

Xauth 機能を使用するには、最初に基本的な Authentication、Authorization、and Accounting(AAA; 認証、許可、アカウンティング)サーバを設定する必要があります。crypto map client authentication コマンドを使用して、PIX ファイアウォール上で、Internet Key Exchange(IKE; インターネット鍵交換)のフェーズ 1 の間に Xauth(RADIUS/TACACS+ ユーザ名およびパスワード)確認要求が使用されるように指定します。Xauth に失敗した場合、IKE のセキュリティ結合は確立されません。crypto map client authentication コマンド文には、必ず aaa-server コマンド文に指定したのと同じ AAA サーバ名を指定してください。リモート ユーザは、Cisco Virtual Private Network(VPN)Client バージョン 3.5 を実行している必要があります。

注:シスコでは、拡張 VPN 機能を利用できるように、Cisco Secure VPN Client 1.x でなく VPN Client 3.5.x を使用するよう推奨しています。

Xauth なしの設定を復元する必要がある場合は、no crypto map client authentication コマンドを使用してください。デフォルトでは、Xauth 機能は有効になっていません。

注:暗号化テクノロジーは輸出規制の対象です。お客様自身で、暗号化テクノロジーの輸出に関する法律を理解しておく責任があります。詳細については、「Bureau of Export Administrationcisco.com 以外のサイトへ移動」を参照してください。輸出規制に関するご質問があれば、export@cisco.com までメールを送信してください。

注:PIX ファイアウォール バージョン 5.3 以降、設定可能な RADIUS ポートが導入されました。一部の RADIUS サーバは、1645/1646 以外の RADIUS ポート(通常は 1812/1813)を使用します。PIX 5.3 以上では、RADIUS の認証およびアカウンティング ポートを、次のコマンドを使用して、デフォルトの 1645/1646 以外に変更できます。


 aaa-server radius-authport #

 aaa-server radius-acctport #

 

設定

この項では、この文書に記載されている機能を設定するための情報を示します。

注:この文書で使用されるコマンドの詳細を参照するには、Command Lookup ツールを使用してください。(登録済みのお客様専用)。

ネットワーク ダイアグラム

次のダイアグラムで、VPN トンネルは緑と黒の太線で示されます。

37-01.gif

設定

この文書では、次の設定を使用します。

注:この文書の例では、サーバの IP アドレスに 209.16.200.241、グループ名に「vpn3000」、パスワードにワイルドカードの ISAKMP キーを使用します。

ハブ PIX の設定

PIX Version 6.1(1)

 nameif ethernet0 outside security0

 nameif ethernet1 inside security100

 nameif ethernet2 intf2 security10

 nameif ethernet3 intf3 security15

 enable password OnTrBUG1Tp0edmkr encrypted

 passwd 2KFQnbNIdI.2KYOU encrypted

 hostname hub

 fixup protocol ftp 21

 fixup protocol http 80

 fixup protocol h323 1720

 fixup protocol rsh 514

 fixup protocol rtsp 554

 fixup protocol smtp 25

 fixup protocol sqlnet 1521

 fixup protocol sip 5060

 fixup protocol skinny 2000

 names

 

 !--- トラフィックを暗号化プロセスに含めます 

 

 access-list 101 permit ip 10.48.66.0 255.255.255.0 10.48.67.0 255.255.255.0

 

 !--- Network Address Translation(NAT; ネットワーク アドレス変換)プロセスからのトラフィックを受け入れます

 

 access-list nonat permit ip 10.48.66.0 255.255.255.0 10.48.67.0 255.255.255.0

 access-list nonat permit ip 10.48.66.0 255.255.255.0 10.48.68.0 255.255.255.0

 pager lines 24

 interface ethernet0 auto

 interface ethernet1 auto

 interface ethernet2 auto shutdown

 interface ethernet3 auto shutdown

 mtu outside 1500

 mtu inside 1500

 mtu intf2 1500

 mtu intf3 1500

 ip address outside 209.165.200.225 255.255.255.224

 ip address inside 10.48.66.18 255.255.255.0

 ip address intf2 127.0.0.1 255.255.255.255

 ip address intf3 127.0.0.1 255.255.255.255

 ip audit info action alarm

 ip audit attack action alarm

 ip local pool mypool 10.48.68.1-10.48.68.254

 no failover

 failover timeout 0:00:00

 failover poll 15

 failover ip address outside 0.0.0.0

 failover ip address inside 0.0.0.0

 failover ip address intf2 0.0.0.0

 failover ip address intf3 0.0.0.0

 pdm history enable

 arp timeout 14400

 global (outside) 1 209.16.200.230-209.16.200.240 netmask 255.255.255.224

 global (outside) 1 209.16.200.241

 

 !--- NAT プロセスからのトラフィックを受け入れます

 

 nat (inside) 0 access-list nonat

 nat (inside) 1 10.48.66.0 255.255.255.0 0 0

 route outside 0.0.0.0 0.0.0.0 209.165.200.226 1

 timeout xlate 3:00:00

 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00

 h323 0:05:00 sip 0:30:00 sip_media 0:02:00

 timeout uauth 0:05:00 absolute

 aaa-server TACACS+ protocol tacacs+

 aaa-server RADIUS protocol radius

 aaa-server partner protocol tacacs+

 aaa-server mytacacs protocol tacacs+

 aaa-server mytacacs (inside) host 10.48.66.53 cisco123 timeout 5

 no snmp-server location

 no snmp-server contact

 snmp-server community public

 no snmp-server enable traps

 floodguard enable

 sysopt connection permit-ipsec

 no sysopt route dnat

 crypto ipsec transform-set myset esp-des esp-md5-hmac

 crypto dynamic-map dynmap 10 set transform-set myset

 

 !-- PIX 間に crypto-map sequence 10 コマンドを使用します

 

 crypto map mymap 10 ipsec-isakmp

 crypto map mymap 10 match address 101

 crypto map mymap 10 set peer 209.165.202.129

 crypto map mymap 10 set transform-set myset

 

 !-- PIX と VPN Client の間に crypto-map sequence 20 コマンドを使用します

 

 crypto map mymap 20 ipsec-isakmp dynamic dynmap

 crypto map mymap client authentication mytacacs

 crypto map mymap interface outside

 isakmp enable outside

 isakmp key ******** address 209.165.202.129 netmask 255.255.255.255

 isakmp key ******** address 0.0.0.0 netmask 0.0.0.0

 isakmp identity address

 isakmp policy 10 authentication pre-share

 isakmp policy 10 encryption des

 isakmp policy 10 hash md5

 

 !-- 3.X コードが実行されている VPN Client の ISAKMP ポリシーは DH group 2 にする必要があります 

 

 isakmp policy 10 group 2

 isakmp policy 10 lifetime 86400

 

 !-- VPN Client 用の IPSec クループ コンフィギュレーションです 

 

 vpngroup vpn3000 address-pool mypool

 vpngroup vpn3000 dns-server 10.48.66.129

 vpngroup vpn3000 wins-server 10.48.66.129

 vpngroup vpn3000 default-domain cisco.com

 vpngroup vpn3000 idle-time 1800

 telnet timeout 5

 ssh timeout 5

 terminal width 80

 Cryptochecksum:2132d4ca901933495792dd8668910a0e

 : end

  

リモート PIX の設定

PIX Version 6.1(3)

 nameif ethernet0 outside security0

 nameif ethernet1 inside security100

 nameif ethernet2 intf2 security10

 nameif ethernet3 intf3 security15

 nameif ethernet4 intf4 security20

 nameif ethernet5 intf5 security25

 enable password OnTrBUG1Tp0edmkr encrypted

 passwd 2KFQnbNIdI.2KYOU encrypted

 hostname remote

 fixup protocol ftp 21

 fixup protocol http 80

 fixup protocol h323 1720

 fixup protocol rsh 514

 fixup protocol rtsp 554

 fixup protocol smtp 25

 fixup protocol sqlnet 1521

 fixup protocol sip 5060

 fixup protocol skinny 2000

 names

 access-list 101 permit ip 10.48.67.0 255.255.255.0 10.48.66.0 255.255.255.0

 

 !--- NAT プロセスからのトラフィックを受け入れます

 

 access-list nonat permit ip 10.48.67.0 255.255.255.0 10.48.66.0 255.255.255.0

 pager lines 24

 interface ethernet0 auto

 interface ethernet1 auto

 interface ethernet2 auto shutdown

 interface ethernet3 auto shutdown

 interface ethernet4 auto shutdown

 interface ethernet5 auto shutdown

 mtu outside 1500

 mtu inside 1500

 mtu intf2 1500

 mtu intf3 1500

 mtu intf4 1500

 mtu intf5 1500

 ip address outside 209.165.202.129 255.255.255.224

 ip address inside 10.48.67.155 255.255.255.0

 ip address intf2 127.0.0.1 255.255.255.255

 ip address intf3 127.0.0.1 255.255.255.255

 ip address intf4 127.0.0.1 255.255.255.255

 ip address intf5 127.0.0.1 255.255.255.255

 ip audit info action alarm

 ip audit attack action alarm

 no failover

 failover timeout 0:00:00

 failover poll 15

 failover ip address outside 0.0.0.0

 failover ip address inside 0.0.0.0

 failover ip address intf2 0.0.0.0

 failover ip address intf3 0.0.0.0

 failover ip address intf4 0.0.0.0

 failover ip address intf5 0.0.0.0

 pdm history enable

 arp timeout 14400

 global (outside) 1 209.16.202.135-209.16.202.145 netmask 255.255.255.224

 global (outside) 1 209.16.202.146

 

 !--- NAT プロセスからのトラフィックを受け入れます

 

 nat (inside) 0 access-list nonat

 nat (inside) 1 10.48.0.0 255.255.255.0 0 0

 nat (inside) 1 10.48.67.0 255.255.255.0 0 0

 route outside 0.0.0.0 0.0.0.0 209.165.202.130 1

 timeout xlate 3:00:00

 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00

 h323 0:05:00 sip 0:30:00 sip_media 0:02:00

 timeout uauth 0:05:00 absolute

 aaa-server TACACS+ protocol tacacs+

 aaa-server RADIUS protocol radius

 no snmp-server location

 no snmp-server contact

 snmp-server community public

 no snmp-server enable traps

 floodguard enable

 sysopt connection permit-ipsec

 no sysopt route dnat

 crypto ipsec transform-set myset esp-des esp-md5-hmac

 crypto map mymap 10 ipsec-isakmp

 

 !--- トラフィックを暗号化プロセスに含めます

 

 crypto map mymap 10 match address 101

 crypto map mymap 10 set peer 209.165.200.225

 crypto map mymap 10 set transform-set myset

 crypto map mymap interface outside

 isakmp enable outside

 isakmp key ******** address 209.165.200.225 netmask 255.255.255.255

 isakmp identity address

 isakmp policy 10 authentication pre-share

 isakmp policy 10 encryption des

 isakmp policy 10 hash md5

 isakmp policy 10 group 2

 isakmp policy 10 lifetime 86400

 telnet timeout 5

 ssh timeout 5

 terminal width 80

 Cryptochecksum:6aeb3838741bbf531e8ac6ee347fe501

 : end

 

VPN Client の設定に関する詳細については、「PIX 間および VPN Client 3.X の設定」にある「コンフィギュレーション」の項を参照してください。また、PIX IPSec への AAA 認証の設定に関する詳細については、「AAA 認証(Xauth)を PIX IPSec 5.2 以降に追加する方法」を参照してください。

確認

この項では、設定が正常に動作しているかどうかを確認する際に役立つ情報を示します。

一部の show コマンドは、show コマンド出力の分析を表示する Output Interpreter ツール登録済みのお客様専用)でサポートされています。

  • show crypto isakmp sa - フェーズ 1 のセキュリティ結合を表示します。

  • show crypto ipsec sa - フェーズ 2 のセキュリティ結合を表示します。

トラブルシューティング

この項では、設定のトラブルシューティングに役立つ情報を示します。

トラブルシューティング用のコマンド

注:debug コマンドを発行する前に、「debug コマンドに関する重要な情報」を参照してください。

次の debug コマンドは、両方の IPSec ルータ(ピア)で実行する必要があります。セキュリティ結合は両方のピアでクリアする必要があります。

  • debug crypto isakmp - フェーズ 1 のエラーを表示します。

  • debug crypto ipsec - フェーズ 2 のエラーを表示します。

  • debug crypto engine - 暗号化エンジンからの情報を表示します。

  • clear crypto isakmp sa - フェーズ 1 のセキュリティ結合をクリアします。

  • clear crypto ipsec sa - フェーズ 2 のセキュリティ結合をクリアします。

  • debug radius [session | all | user username]このコマンドは PIX 6.2 で使用可能で、RADIUS のセッション情報および送受された RADIUS パケットのアトリビュートを記録します。

ハブ PIX からのデバッグ

ハブおよびリモートの PIX 間のダイナミック IPSec トンネルのデバッグ

hub(config)#

 VPN Peer: ISAKMP: Added new peer: ip:209.165.202.129 Total VPN Peers:1

 VPN Peer: ISAKMP: Peer ip:209.165.202.129 Ref cnt incremented to:1 Total VPN Peers:1  

 ISAKMP (0): beginning Main Mode exchange

 

 crypto_isakmp_process_block: src 209.165.202.129, dest 209.165.200.225

 OAK_MM exchange

 ISAKMP (0): processing SA payload. message ID = 0

 

 ISAKMP (0): Checking ISAKMP transform 1 against priority 10 policy

 ISAKMP:      encryption DES-CBC

 ISAKMP:      hash MD5

 ISAKMP:      default group 2

 ISAKMP:      auth pre-share

 ISAKMP (0): atts are acceptable. Next payload is 0

 ISAKMP (0): SA is doing pre-shared key authentication using id type ID_IPV4_ADDR

 return status is IKMP_NO_ERROR

 crypto_isakmp_process_block: src 209.165.202.129, dest 209.165.200.225

 OAK_MM exchange

 ISAKMP (0): processing KE payload. message ID = 0

 

 ISAKMP (0): processing NONCE payload. message ID = 0

 

 ISAKMP (0): processing vendor id payload

 

 ISAKMP (0): processing vendor id payload

 

 ISAKMP (0): remote peer supports dead peer detection

 

 ISAKMP (0): processing vendor id payload

 

 ISAKMP (0): speaking to another IOS box!

 

 ISAKMP (0): ID payload

         next-payload : 8

         type         : 1

         protocol     : 17

         port         : 500

         length       : 8

 ISAKMP (0): Total payload length: 12

 return status is IKMP_NO_ERROR

 crypto_isakmp_process_block: src 209.165.202.129, dest 209.165.200.225

 OAK_MM exchange

 ISAKMP (0): processing ID payload. message ID = 0

 ISAKMP (0): processing HASH payload. message ID = 0

 ISAKMP (0): SA has been authenticated

 

 ISAKMP: Created a peer node for 209.165.202.129

 ISAKMP (0): beginning Quick Mode exchange, M-ID of

 -1655811796:9d4e512cIPSEC(key_engine): got a queue event...

 IPSEC(spi_response): getting spi 0xf2dcdcd7(4074560727) for SA

         from 209.165.202.129 to 209.165.200.225 for prot 3

 

 return status is IKMP_NO_ERROR

 crypto_isakmp_process_block: src 209.165.202.129, dest 209.165.200.225

 ISAKMP (0): processing NOTIFY payload 24578 protocol 1

         spi 0, message ID = 1439544679

 ISAKMP (0): processing notify INITIAL_CONTACTIPSEC(key_engine):

 got a queue event...

 IPSEC(key_engine_delete_sas): rec'd delete notify from ISAKMP

 IPSEC(key_engine_delete_sas): delete all SAs shared with 209.165.202.129

 

 return status is IKMP_NO_ERR_NO_TRANS

 crypto_isakmp_process_block: src 209.165.202.129, dest 209.165.200.225

 ISAKMP (0): processing NOTIFY payload 24576 protocol 1

         spi 0, message ID = 2210756593

 ISAKMP (0): processing responder lifetime

 return status is IKMP_NO_ERR_NO_TRANS

 crypto_isakmp_process_block: src 209.165.202.129, dest 209.165.200.225

 OAK_QM exchange

 oakley_process_quick_mode:

 OAK_QM_IDLE

 ISAKMP (0): processing SA payload. message ID = 2639155500

 

 ISAKMP : Checking IPSec proposal 1

 

 ISAKMP: transform 1, ESP_DES

 ISAKMP:   attributes in transform:

 ISAKMP:      encaps is 1

 ISAKMP:      SA life type in seconds

 ISAKMP:      SA life duration (basic) of 28800

 ISAKMP:      SA life type in kilobytes

 ISAKMP:      SA life duration (VPI) of  0x0 0x46 0x50 0x0

 ISAKMP:      authenticator is HMAC-MD5

 ISAKMP (0): atts are acceptable.IPSEC(validate_proposal_request):

 proposal part #1,

   (key eng. msg.) dest= 209.165.202.129, src= 209.165.200.225,

     dest_proxy= 10.48.67.0/255.255.255.0/0/0 (type=4),

     src_proxy= 10.48.66.0/255.255.255.0/0/0 (type=4),

     protocol= ESP, transform= esp-des esp-md5-hmac ,

     lifedur= 0s and 0kb,

     spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4

 

 ISAKMP (0): processing NONCE payload. message ID = 2639155500

 

 ISAKMP (0): processing ID payload. message ID = 2639155500

 ISAKMP (0): processing ID payload. message ID =

 2639155500map_alloc_entry: allocating entry 1

 map_alloc_entry: allocating entry 2

 

 ISAKMP (0): Creating IPSec SAs

         inbound SA from 209.165.202.129 to 209.165.200.225 (proxy

       10.48.67.0 to      10.48.66.0)

         has spi 4074560727 and conn_id 1 and flags 4

         lifetime of 28800 seconds

         lifetime of 4608000 kilobytes

         outbound SA from 209.165.200.225 to 209.165.202.129 (proxy

      10.48.66.0 to      10.48.67.0)

         has spi 1108938242 and conn_id 2 and flags 4

         lifetime of 28800 seconds

         lifetime of 4608000 kilobytesIPSEC(key_engine): got a queue event...

 IPSEC(initialize_sas): ,

   (key eng. msg.) dest= 209.165.200.225, src= 209.165.202.129,

     dest_proxy= 10.48.66.0/255.255.255.0/0/0 (type=4),

     src_proxy= 10.48.67.0/255.255.255.0/0/0 (type=4),

     protocol= ESP, transform= esp-des esp-md5-hmac ,

     lifedur= 28800s and 4608000kb,

     spi= 0xf2dcdcd7(4074560727), conn_id= 1, keysize= 0, flags= 0x4

 IPSEC(initialize_sas): ,

   (key eng. msg.) src= 209.165.200.225, dest= 209.165.202.129,

     src_proxy= 10.48.66.0/255.255.255.0/0/0 (type=4),

     dest_proxy= 10.48.67.0/255.255.255.0/0/0 (type=4),

     protocol= ESP, transform= esp-des esp-md5-hmac ,

     lifedur= 28800s and 4608000kb,

     spi= 0x42190e02(1108938242), conn_id= 2, keysize= 0, flags= 0x4

 

 VPN Peer: IPSEC: Peer ip:209.165.202.129 Ref cnt incremented

 to:2 Total VPN Peers:1

 VPN Peer: IPSEC: Peer ip:209.165.202.129 Ref cnt incremented

 to:3 Total VPN Peers:1 

 return status is IKMP_NO_ERROR

 hub(config)#

 hub(config)#

 

VPN Client をハブ PIX に接続する際のデバッグ

hub(config)#

 hub(config)#

 hub(config)#

 crypto_isakmp_process_block: src 195.231.211.12, dest 209.165.200.225

 VPN Peer: ISAKMP: Added new peer: ip:195.231.211.12 Total VPN Peers:2

 VPN Peer: ISAKMP: Peer ip:195.231.211.12 Ref cnt incremented

 to:1 Total VPN Peers:2 

 OAK_AG exchange

 ISAKMP (0): processing SA payload. message ID = 0

 

 ISAKMP (0): Checking ISAKMP transform 1 against priority 10 policy

 ISAKMP:      encryption 3DES-CBC

 ISAKMP:      hash SHA

 ISAKMP:      default group 2

 ISAKMP:      extended auth pre-share

 ISAKMP:      life type in seconds

 ISAKMP:      life duration (VPI) of  0x0 0x20 0xc4 0x9b

 ISAKMP (0): atts are not acceptable. Next payload is 3

 ISAKMP (0): Checking ISAKMP transform 2 against priority 10 policy

 ISAKMP:      encryption 3DES-CBC

 ISAKMP:      hash MD5

 ISAKMP:      default group 2

 ISAKMP:      extended auth pre-share

 ISAKMP:      life type in seconds

 ISAKMP:      life duration (VPI) of  0x0 0x20 0xc4 0x9b

 ISAKMP (0): atts are not acceptable. Next payload is 3

 ISAKMP (0): Checking ISAKMP transform 3 against priority 10 policy

 ISAKMP:      encryption 3DES-CBC

 ISAKMP:      hash SHA

 ISAKMP:      default group 2

 ISAKMP:      auth pre-share

 ISAKMP:      life type in seconds

 ISAKMP:      life duration (VPI) of  0x0 0x20 0xc4 0x9b

 ISAKMP (0): atts are not acceptable. Next payload is 3

 ISAKMP (0): Checking ISAKMP transform 4 against priority 10 policy

 ISAKMP:      encryption 3DES-CBC

 ISAKMP:      hash MD5

 ISAKMP:      default group 2

 ISAKMP:      auth pre-share

 ISAKMP:      life type in seconds

 ISAKMP:      life duration (VPI) of  0x0 0x20 0xc4 0x9b

 ISAKMP (0): atts are not acceptable. Next payload is 3

 ISAKMP (0): Checking ISAKMP transform 5 against priority 10 policy

 ISAKMP:      encryption DES-CBC

 ISAKMP:      hash SHA

 ISAKMP:      default group 2

 ISAKMP:      extended auth pre-share

 ISAKMP:      life type in seconds

 ISAKMP:      life duration (VPI) of  0x0 0x20 0xc4 0x9b

 ISAKMP (0): atts are not acceptable. Next payload is 3

 ISAKMP (0): Checking ISAKMP transform 6 against priority 10 policy

 ISAKMP:      encryption DES-CBC

 ISAKMP:      hash MD5

 ISAKMP:      default group 2

 ISAKMP:      extended auth pre-share

 ISAKMP:      life type in seconds

 ISAKMP:      life duration (VPI) of  0x0 0x20 0xc4 0x9b

 ISAKMP (0): atts are acceptable. Next payload is 3

 ISAKMP (0): processing KE payload. message ID = 0

 

 ISAKMP (0): processing NONCE payload. message ID = 0

 

 ISAKMP (0): processing ID payload. message ID = 0

 ISAKMP (0): processing vendor id payload

 

 ISAKMP (0): processing vendor id payload

 

 ISAKMP (0): remote peer supports dead peer detection

 

 ISAKMP (0): processing vendor id payload

 

 ISAKMP (0): speaking to a Unity client

 

 ISAKMP: Created a peer node for 195.231.211.12 

 ISAKMP (0): ID payload

         next-payload : 10

         type         : 1

         protocol     : 17

         port         : 500

         length       : 8

 ISAKMP (0): Total payload length: 12

 return status is IKMP_NO_ERROR

 crypto_isakmp_process_block: src 195.231.211.12, dest 209.165.200.225

 OAK_AG exchange

 ISAKMP (0): processing HASH payload. message ID = 0

 ISAKMP (0): processing NOTIFY payload 24578 protocol 1

         spi 0, message ID = 0

 ISAKMP (0): processing notify INITIAL_CONTACTIPSEC(key_engine):

 got a queue event...

 IPSEC(key_engine_delete_sas): rec'd delete notify from ISAKMP

 IPSEC(key_engine_delete_sas): delete all SAs shared with  195.231.211.12

 

 ISAKMP (0): SA has been authenticated

 return status is IKMP_NO_ERROR

 ISAKMP/xauth: request attribute XAUTH_TYPE

 ISAKMP/xauth: request attribute XAUTH_USER_NAME

 ISAKMP/xauth: request attribute XAUTH_USER_PASSWORD 

 ISAKMP (0:0): initiating peer config to 195.231.211.12.

 ID = 3409794477 (0xcb3d55ad)

 crypto_isakmp_process_block: src 195.231.211.12, dest 209.165.200.225

 ISAKMP_TRANSACTION exchange

 ISAKMP (0:0): processing transaction payload from 195.231.211.12.

 message ID = 76

 ISAKMP: Config payload CFG_REPLY

 return status is IKMP_ERR_NO_RETRANS

 crypto_isakmp_process_block: src 195.231.211.12, dest 209.165.200.225

 ISAKMP (0:0): phase 2 packet is a duplicate of a previous packet.

 ISAKMP (0:0): initiating peer config to 195.231.211.12. ID = 224188814 (0xd5cd98e)

 crypto_isakmp_process_block: src 195.231.211.12, dest 209.165.200.225

 ISAKMP_TRANSACTION exchange

 ISAKMP (0:0): processing transaction payload from 195.231.211.12.

 message ID = 60

 ISAKMP: Config payload CFG_ACK

 return status is IKMP_NO_ERROR

 crypto_isakmp_process_block: src 195.231.211.12, dest 209.165.200.225

 ISAKMP_TRANSACTION exchange

 ISAKMP (0:0): processing transaction payload from 195.231.211.12.

 message ID = 0

 ISAKMP: Config payload CFG_REQUEST

 ISAKMP (0:0): checking request:

 ISAKMP: attribute    IP4_ADDRESS (1)

 ISAKMP: attribute    IP4_NETMASK (2)

 ISAKMP: attribute    IP4_DNS (3)

 ISAKMP: attribute    IP4_NBNS (4)

 ISAKMP: attribute    ADDRESS_EXPIRY (5)

         Unsupported Attr: 5

 ISAKMP: attribute    APPLICATION_VERSION (7)

         Unsupported Attr: 7

 ISAKMP: attribute    UNKNOWN (28672)

         Unsupported Attr: 28672

 ISAKMP: attribute    UNKNOWN (28673)

         Unsupported Attr: 28673

 ISAKMP: attribute    UNKNOWN (28674)

 ISAKMP: attribute    UNKNOWN (28676)

 ISAKMP: attribute    UNKNOWN (28679)

         Unsupported Attr: 28679

 ISAKMP: attribute    UNKNOWN (28680)

         Unsupported Attr: 28680

 ISAKMP: attribute    UNKNOWN (28677)

         Unsupported Attr: 28677

 ISAKMP (0:0): responding to peer config from 195.231.211.12.

 ID = 2177897062

 return status is IKMP_NO_ERROR

 crypto_isakmp_process_block: src 195.231.211.12, dest 209.165.200.225

 OAK_QM exchange

 oakley_process_quick_mode:

 OAK_QM_IDLE

 ISAKMP (0): processing SA payload. message ID = 1117685627

 

 ISAKMP : Checking IPSec proposal 1

 

 ISAKMP: transform 1, ESP_3DES

 ISAKMP:   attributes in transform:

 ISAKMP:      authenticator is HMAC-MD5

 ISAKMP:      encaps is 1

 ISAKMP:      SA life type in seconds

 ISAKMP:      SA life duration (VPI) of  0x0 0x20 0xc4 0x9b IPSEC(validate_proposal):

 transform proposal (prot 3, trans 3, hmac_alg 1) not

 supported

 

 ISAKMP (0): atts not acceptable. Next payload is 0

 ISAKMP (0): skipping next ANDed proposal (1)

 ISAKMP : Checking IPSec proposal 2

 

 ISAKMP: transform 1, ESP_3DES

 ISAKMP:   attributes in transform:

 ISAKMP:      authenticator is HMAC-SHA

 ISAKMP:      encaps is 1

 ISAKMP:      SA life type in seconds

 ISAKMP:      SA life duration (VPI) of  0x0 0x20 0xc4 0x9b IPSEC(validate_proposal):

 transform proposal (prot 3, trans 3, hmac_alg 2) not

 supported

 

 ISAKMP (0): atts not acceptable. Next payload is 0

 ISAKMP (0): skipping next ANDed proposal (2)

 ISAKMP : Checking IPSec proposal 3

 

 ISAKMP: transform 1, ESP_3DES

 ISAKMP:   attributes in transform:

 ISAKMP:      authenticator is HMAC-MD5

 ISAKMP:      encaps is 1

 ISAKMP:      SA life type in seconds

 ISAKMP:      SA life duration (VPI) of  0x0 0x20 0xc4 0x9b IPSEC(validate_proposal):

 transform proposal (prot 3, trans 3, hmac_alg 1) not

 supported

 

 ISAKMP (0): atts not acceptable. Next payload is 0

 ISAKMP : Checking IPSec proposal 4

 

 ISAKMP: transform 1, ESP_3DES

 ISAKMP:   attributes in transform:

 ISAKMP:      authenticator is HMAC-SHA

 ISAKMP:      encaps is 1

 ISAKMP:      SA life type in seconds

 ISAKMP:      SA life duration (VPI) of  0x0 0x20 0xc4 0x9b IPSEC(validate_proposal):

 transform proposal (prot 3, trans 3, hmac_alg 2) not

 supported

 

 ISAKMP (0): atts not acceptable. Next payload is 0

 ISAKMP : Checking IPSec proposal 5

 

 ISAKMP: transform 1, ESP_DES

 ISAKMP:   attributes in transform:

 ISAKMP:      authenticator is HMAC-MD5

 ISAKMP:      encaps is 1

 ISAKMP:      SA life type in seconds

 ISAKMP:      SA life duration (VPI) of  0x0 0x20 0xc4 0x9b

 ISAKMP (0): atts are acceptable.

 ISAKMP (0): bad SPI size of 2 octets!

 ISAKMP : Checking IPSec proposal 6

 

 ISAKMP: transform 1, ESP_DES

 ISAKMP:   attributes in transform:

 ISAKMP:      authenticator is HMAC-SHA

 ISAKMP:      encaps is 1

 ISAKMP:      SA life type in seconds

 ISAKMP:      SA life duration (VPI) of  0x0 0x20 0xc4 0x9b IPSEC(validate_proposal):

 transform proposal (prot 3, trans 2, hmac_alg 2) not

 supported

 

 ISAKMP (0): atts not acceptable. Next payload is 0

 ISAKMP (0): skipping next ANDed proposal (6)

 ISAKMP : Checking IPSec proposal 7

 

 ISAKMP: transform 1, ESP_DES

 ISAKMP:   attributes in transform:

 ISAKMP:      authenticator is HMAC-MD5

 ISAKMP:      encaps is 1

 ISAKMP:      SA life type in seconds

 ISAKMP:      SA life duration (VPI) of  0x0 0x20 0xc4 0x9b

 ISAKMP (0): atts are acceptable.IPSEC(validate_proposal_request): proposal part #1,

   (key eng. msg.) dest= 209.165.200.225, src= 195.231.211.12,

     dest_proxy= 209.165.200.225/255.255.255.255/0/0 (type=1),

     src_proxy= 10.48.68.1/255.255.255.255/0/0 (type=1),

     protocol= ESP, transform= esp-des esp-md5-hmac ,

     lifedur= 0s and 0kb,

     spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4

 

 ISAKMP (0): processing NONCE payload. message ID = 1117685627

 

 ISAKMP (0): processing ID payload. message ID = 1117685627

 ISAKMP (0): ID_IPV4_ADDR src 10.48.68.1 prot 0 port 0

 ISAKMP (0): processing ID payload. message ID = 1117685627

 ISAKMP (0): ID_IPV4_ADDR dst 209.165.200.225 prot 0 port 0IPSEC(key_engine):

 got a queue event...

 IPSEC(spi_response): getting spi 0x7af19c67(2062654567) for SA

         from  195.231.211.12 to 209.165.200.225 for prot 3

 

 return status is IKMP_NO_ERROR

 crypto_isakmp_process_block: src 195.231.211.12, dest 209.165.200.225

 OAK_QM exchange

 oakley_process_quick_mode:

 OAK_QM_IDLE

 ISAKMP (0): processing SA payload. message ID = 3541294975

 

 ISAKMP : Checking IPSec proposal 1

 

 ISAKMP: transform 1, ESP_3DES

 ISAKMP:   attributes in transform:

 ISAKMP:      authenticator is HMAC-MD5

 crypto_isakmp_process_block: src 195.231.211.12, dest 209.165.200.225

 OAK_QM exchange

 oakley_process_quick_mode:

 OAK_QM_AUTH_AWAITmap_alloc_entry: allocating entry 3

 map_alloc_entry: allocating entry 4

 

 ISAKMP (0): Creating IPSec SAs

         inbound SA from  195.231.211.12 to 209.165.200.225

 (proxy 10.48.68.1 to 209.165.200.225)

         has spi 2062654567 and conn_id 3 and flags 4

         lifetime of 2147483 seconds

         outbound SA from 209.165.200.225 to  195.231.211.12

 (proxy 209.165.200.225 to 10.48.68.1)

         has spi 3567124217 and conn_id 4 and flags 4

         lifetime of 2147483 secondsIPSEC(key_engine):

 got a queue event...

 IPSEC(initialize_sas): ,

   (key eng. msg.) dest= 209.165.200.225, src= 195.231.211.12,

     dest_proxy= 209.165.200.225/0.0.0.0/0/0 (type=1),

     src_proxy= 10.48.68.1/0.0.0.0/0/0 (type=1),

     protocol= ESP, transform= esp-des esp-md5-hmac ,

     lifedur= 2147483s and 0kb,

     spi= 0x7af19c67(2062654567), conn_id= 3, keysize= 0, flags= 0x4

 IPSEC(initialize_sas): ,

   (key eng. msg.) src= 209.165.200.225, dest= 195.231.211.12,

     src_proxy= 209.165.200.225/0.0.0.0/0/0 (type=1),

     dest_proxy= 10.48.68.1/0.0.0.0/0/0 (type=1),

     protocol= ESP, transform= esp-des esp-md5-hmac ,

     lifedur= 2147483s and 0kb,

     spi= 0xd49dfef9(3567124217), conn_id= 4, keysize= 0, flags= 0x4

 

 VPN Peer: IPSEC: Peer ip:195.231.211.12 Ref cnt incremented to:2 Total VPN Peers:2

 VPN Peer: IPSEC: Peer ip:195.231.211.12 Ref cnt incremented to:3 Total VPN Peers:2

 return status is IKMP_NO_ERROR

 crypto_isakmp_process_block: src 195.231.211.12, dest 209.165.200.225

 OAK_QM exchange

 oakley_process_quick_mode:

 OAK_QM_AUTH_AWAITmap_alloc_entry: allocating entry 5

 map_alloc_entry: allocating entry 6

 

 ISAKMP (0): Creating IPSec SAs

         inbound SA from  195.231.211.12 to 209.165.200.225

 (proxy 10.48.68.1 to 0.0.0.0)

         has spi 952069012 and conn_id 5 and flags 4

         lifetime of 2147483 seconds

         outbound SA from 209.165.200.225 to  195.231.211.12

 (proxy 0.0.0.0 to 10.48.68.1)

         has spi 387584685 and conn_id 6 and flags 4

         lifetime of 2147483 secondsIPSEC(key_engine):

 got a queue event...

 IPSEC(initialize_sas): ,

   (key eng. msg.) dest= 209.165.200.225, src= 195.231.211.12,

     dest_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),

     src_proxy= 10.48.68.1/0.0.0.0/0/0 (type=1),

     protocol= ESP, transform= esp-des esp-md5-hmac ,

     lifedur= 2147483s and 0kb,

     spi= 0x38bf6b94(952069012), conn_id= 5, keysize= 0, flags= 0x4

 IPSEC(initialize_sas): ,

   (key eng. msg.) src= 209.165.200.225, dest= 195.231.211.12,

     src_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),

     dest_proxy= 10.48.68.1/0.0.0.0/0/0 (type=1),

     protocol= ESP, transform= esp-des esp-md5-hmac ,

     lifedur= 2147483s and 0kb,

     spi= 0x171a12ad(387584685), conn_id= 6, keysize= 0, flags= 0x4

 

 VPN Peer: IPSEC: Peer ip:195.231.211.12 Ref cnt incremented

 to:4 Total VPN Peers:2

 VPN Peer: IPSEC: Peer ip:195.231.211.12 Ref cnt incremented

 to:5 Total VPN Peers:2 

 return status is IKMP_NO_ERROR

 hub(config)#

 hub(config)#

 crypto_isakmp_process_block: src 195.231.211.12, dest 209.165.200.225

 ISAKMP (0): processing NOTIFY payload 36136 protocol 1

         spi 0, message ID = 1282332046

 ISAMKP (0): received DPD_R_U_THERE from peer 195.231.211.12

 ISAKMP (0): sending NOTIFY message 36137 protocol 1

 return status is IKMP_NO_ERR_NO_TRANS

 hub(config)# no debug crypto o 

 crypto_isakmp_process_block: src 195.231.211.12, dest 209.165.200.225

 ISAKMP (0): processing NOTIFY payload 36136 protocol 1

         spi 0, message ID = 1400303838

 ISAMKP (0): received DPD_R_U_THERE from peer 195.231.211.12

 ISAKMP (0): sending NOTIFY message 36137 protocol 1

 return status is IKMP_NO_ERR_NO_TRANip

 

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 14087