セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

IPSec トンネル エンドポイント ディスカバリの設定

2002 年 12 月 1 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2006 年 12 月 6 日) | フィードバック

目次

概要
はじめに
     表記法
     前提条件
     使用するコンポーネント
設定
     ネットワーク ダイアグラム
     設定例
検証
     デバッグのサンプル出力
トラブルシューティング
     トラブルシューティングのコマンド
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

Tunnel End-Point Discovery(TED; トンネル エンドポイント ディスカバリ)は、Cisco IOS(R) ソフトウェアの機能で、ルータで IPSec のエンドポイントを発見できるようにするものです。TED プローブでは保護されたエンティティのアドレスを使用するため、アドレスはルーティング可能である必要があります。NAT が関与している場合は、TED は動作しません。

はじめに

表記法

文書表記の詳細については、「シスコ テクニカル ティップスの表記法」を参照してください。

前提条件

プロセスについて理解するために、次のネットワーク例を参照してください。

tedpreshare_1.gif
  1. D1 からデータ パケットが A1 に向けて送信されます。SRC=D1 DST=A1

  2. D がこれを受信し、IPSec Security Association(SA; セキュリティ結合)が確立されていないことが判明します(ただし、パケットはアクセス リストの範囲内にあります)。このパケットをドロップし、TED プローブ パケットを A1 に向けて送信します(リモート ピアを識別するため)。このとき、D の IP アドレスはペイロードに組み込まれています。

    SRC=D1

    DST=A1

    Data=IP_of_D

  3. TED プローブ パケットが A に到達し、これが TED プローブ パケットであることが識別されます。このパケットをドロップし(D1 と A1 の間のトラフィックはすべて暗号化されているため)、TED 応答パケットを D に向けて送信します。このとき、A の IP アドレスはペイロードに組み込まれています(D では、IPSec SA を確立する相手のルータを知る必要があるためです。これが D が最初に TED プローブ パケットを送信した理由です)。

    SRC=A

    DST=D

    Data=IP_of_A

  4. TED 応答パケットが D に到達します。ここで、D では Internet Key Exchange(IKE; インターネット鍵交換)のエンドポイントが判明したため、メイン モードあるいはアグレッシブ モードで A に対するトンネルを開始します。

使用するコンポーネント

この文書の情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • Cisco IOS ソフトウェア リリース 12.0

  • Cisco 2600 ルータ

この文書の情報は、特定のラボ環境にあるデバイスに基づいて作成されています。この文書内で使用されているデバイスはすべて、クリアーな状態(デフォルト)から設定作業を始めています。コマンドを実行する前に、実稼動中のネットワークに与える影響について理解しておいてください。

設定

この項では、この文書で説明する機能を設定するための情報を記載しています。

注: この文書で使用するコマンドについてその他の情報を調べるには、「Command Lookup ツール」(登録されたお客様のみ)を使用してください。

ネットワーク ダイアグラム

この文書では次の図に示すネットワーク設定を使用しています。

tedpreshare_2.gif

注: トンネルは、ルータ Daphne とルータ Fred の間に設定されます。

設定例

Daphne の設定

Daphne#show run

 Building configuration...

 

 Current configuration:

 !

 version 12.0

 service timestamps debug uptime

 service timestamps log uptime

 no service password-encryption

 !

 hostname Daphne

 !

 enable secret 5 $1$oHNE$V15SVKFjyPEnlji/MFc4H/

 enable password ww

 !

 memory-size iomem 10

 ip subnet-zero

 !

 ip audit notify log

 ip audit po max-events 100

 isdn voice-call-failure 0

 cns event-service server

 crypto isakmp policy 10

  authentication pre-share

 crypto isakmp key abc123 address 0.0.0.0

 !

 crypto ipsec transform-set ted-transforms esp-des esp-md5-hmac

 !

 crypto dynamic-map ted-map 10

  set transform-set ted-transforms

  match address 101

 

 !--- ピアのディスカバリを有効にします

 

 crypto map tedtag 10 ipsec-isakmp dynamic ted-map discover

 !

 interface Ethernet0/0

  ip address 13.13.13.13 255.255.255.0

  no ip directed-broadcast

  no mop enabled

 !

 interface Ethernet0/1

  ip address 11.11.11.1 255.255.255.0

  no ip directed-broadcast

  no ip route-cache

  no ip mroute-cache

  crypto map tedtag

 !

 ip classless

 ip route 0.0.0.0 0.0.0.0 11.11.11.2

 no ip http server

 !

 access-list 101 permit ip 13.13.13.0 0.0.0.255 12.12.12.0 0.0.0.255

 access-list 101 permit icmp 13.13.13.0 0.0.0.255 12.12.12.0 0.0.0.255

 dialer-list 1 protocol ip permit

 dialer-list 1 protocol ipx permit

 !

 tftp-server flash:c2600-jo3s56i-mz.120-7.T

 tftp-server flash:

 !

 line con 0

  transport input none

 line aux 0

 line vty 0 4

  password ww

  login

 !

 end

Fred の設定

fred#show run

 Building configuration...

 

 Current configuration:

 !

 version 12.0

 service timestamps debug uptime

 service timestamps log uptime

 no service password-encryption

 !

 hostname fred

 !

 enable secret 5 $1$sAyt$kz5oqRWWm2Fx61xxe4Zxa0

 enable password ww

 !

 memory-size iomem 10

 voice-card 1

 !

 ip subnet-zero

 !

 ip audit notify log

 ip audit po max-events 100

 isdn voice-call-failure 0

 cns event-service server

 !

 crypto isakmp policy 10

  authentication pre-share

 crypto isakmp key abc123 address 0.0.0.0

 !

 crypto ipsec transform-set ted-transforms esp-des esp-md5-hmac

 !

 crypto dynamic-map ted-map 10

  set transform-set ted-transforms

  match address 101

 

 !--- ピアのディスカバリを有効にします

 

 crypto map tedtag 10 ipsec-isakmp dynamic ted-map discover

 !

 interface Ethernet0/0

  ip address 12.12.12.12 255.255.255.0

  no ip directed-broadcast

  no mop enabled

 !

 interface Ethernet0/1

  ip address 11.11.11.2 255.255.255.0

  no ip directed-broadcast

  no ip route-cache

  no ip mroute-cache

  no mop enabled

  crypto map tedtag

 !

 ip classless

 ip route 0.0.0.0 0.0.0.0 11.11.11.1

 no ip http server

 !

 access-list 101 permit ip 12.12.12.0 0.0.0.255 13.13.13.0 0.0.0.255

 access-list 101 permit icmp 12.12.12.0 0.0.0.255 13.13.13.0 0.0.0.255

 dialer-list 1 protocol ip permit

 dialer-list 1 protocol ipx permit

 !

 line con 0

  transport input none

 line aux 0

 line vty 0 4

  password ww

  login

 !

 no scheduler allocate

 end

検証

この項では、設定が正しく動作していることを確認する方法について説明します。

特定の show コマンドは、Output Interpreter ツール登録されたお客様のみ)でサポートされており、このツールを使用することによって show コマンドの出力を分析できます。

  • debug crypto engine - 暗号化されているトラフィックを表示します。

  • show crypto ipsec sa - フェーズ 2 のセキュリティ結合を表示します。

デバッグ のサンプル出力

Daphne

Daphne#show debug

 Cryptographic Subsystem:

   Crypto ISAKMP debugging is on

   Crypto Engine debugging is on

   Crypto IPSEC debugging is on

 Daphne#

 01:33:56: IPSEC(tunnel discover request): ,

   (key eng. msg.) src= 13.13.13.14, dest= 12.12.12.13,

     src_proxy= 13.13.13.0/255.255.255.0/0/0 (type=4),

     dest_proxy= 11.11.11.1/255.255.255.255/0/0 (type=1),

     protocol= ESP, transform= esp-des esp-md5-hmac ,

     lifedur= 3600s and 4608000kb,

     spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4044

 01:33:56: GOT A PEER DISCOVERY MESSAGE FROM THE SA MANAGER!!!

 01:33:56: src = 13.13.13.14 to 12.12.12.13, protocol 3,

      transform 2, hmac 1

 01:33:56: proxy source is 13.13.13.0     /255.255.255.0

      and my address (not used now) is 11.11.11.1

 01:33:56: ISAKMP (1): ID payload

         next-payload : 5

         type         : 1

         protocol     : 17

         port         : 500

         length       : 8

 01:33:56: ISAKMP (1): Total payload length: 12

 01:33:56: 1st ID is 11.11.11.1

 01:33:56: 2nd ID is 13.13.13.0     /255.255.255.0

 01:33:56: ISAKMP (0:1): beginning peer discovery exchange

 01:33:56: ISAKMP (1): sending packet to 12.12.12.13 (I)

      PEER_DISCOVERY

 01:33:56: ISAKMP (1): received packet from 12.12.12.13 (I)

      PEER_DISCOVERY

 01:33:56: ISAKMP (0:1): processing vendor id payload

 01:33:56: ISAKMP (0:1): speaking to another IOS box!

 01:33:56: ISAKMP (0:1): processing ID payload. message ID = 0

 01:33:56: ISAKMP (0:1): processing ID payload. message ID = 1168952014

 01:33:56: ISAKMP (1): ID_IPV4_ADDR_SUBNET dst 12.12.12.0/255.255.255.0

      prot 0 port 0

 01:33:56: ISAKMP (1): received response to my peer discovery probe!

 01:33:56  ISAKMP: initiating IKE to 11.11.11.2 in response to probe.

 01:33:56: ISAKMP (2): sending packet to 11.11.11.2 (I) MM_NO_STATE

 01:33:56: ISAKMP (0:1): deleting SA

 01:33:56: ISAKMP (2): received packet from 11.11.11.2 (I) MM_NO_STATE

 01:33:56: ISAKMP (0:2): processing SA payload. message ID = 0

 01:33:56: ISAKMP (0:2): Checking ISAKMP transform 1 against

      priority 10 policy

 01:33:56: ISAKMP:      encryption DES-CBC

 01:33:56: ISAKMP:      hash SHA

 01:33:56: ISAKMP:      default group 1

 01:33:56: ISAKMP:      auth pre-share

 01:33:56: ISAKMP (0:2): atts are acceptable. Next payload is 0

 01:33:56: CryptoEngine0: generate alg parameter

 01:33:56: CRYPTO_ENGINE: Dh phase 1 status: 0

 01:33:56: CRYPTO_ENGINE: Dh phase 1 status: 0

 01:33:56: ISAKMP (0:2): SA is doing pre-shared key authentication

 01:33:56: ISAKMP (2): SA is doing pre-shared key authentication

      using id type ID_IPV4_ADDR

 01:33:56: ISAKMP (2): sending packet to 11.11.11.2 (I) MM_SA_SETUP

 01:33:56: ISAKMP (2): received packet from 11.11.11.2 (I) MM_SA_SETUP

 01:33:56: ISAKMP (0:2): processing KE payload. message ID = 0

 01:33:56: CryptoEngine0: generate alg parameter

 01:33:57: ISAKMP (0:2): processing NONCE payload. message ID = 0

 01:33:57: CryptoEngine0: create ISAKMP SKEYID for conn id 2

 01:33:57: ISAKMP (0:2): SKEYID state generated

 01:33:57: ISAKMP (0:2): processing vendor id payload

 01:33:57: ISAKMP (0:2): speaking to another IOS box!

 01:33:57: ISAKMP (2): ID payload

         next-payload : 8

         type         : 1

         protocol     : 17

         port         : 500

         length       : 8

 01:33:57: ISAKMP (2): Total payload length: 12

 01:33:57: CryptoEngine0: generate hmac context for conn id 2

 01:33:57: ISAKMP (2): sending packet to 11.11.11.2 (I) MM_KEY_EXCH

 01:33:57: ISAKMP (2): received packet from 11.11.11.2 (I) MM_KEY_EXCH

 01:33:57: ISAKMP (0:2): processing ID payload. message ID = 0

 01:33:57: ISAKMP (0:2): processing HASH payload. message ID = 0

 01:33:57: CryptoEngine0: generate hmac context for conn id 2

 01:33:57: ISAKMP (0:2): SA has been authenticated with 11.11.11.2

 01:33:57: ISAKMP (0:2): beginning Quick Mode exchange, M-ID of 474637101

 01:33:57: CryptoEngine0: clear dh number for conn id 1

 01:33:57: IPSEC(key_engine): got a queue event...

 01:33:57: IPSEC(spi_response): getting spi 348588451 for SA

         from 11.11.11.2      to 11.11.11.1      for prot 3

 01:33:57: CryptoEngine0: generate hmac context for conn id 2

 01:33:57: ISAKMP (2): sending packet to 11.11.11.2 (I) QM_IDLE

 01:33:57: ISAKMP (2): received packet from 11.11.11.2 (I) QM_IDLE

 01:33:57: CryptoEngine0: generate hmac context for conn id 2

 01:33:57: ISAKMP (0:2): processing SA payload. message ID = 474637101

 01:33:57: ISAKMP (0:2): Checking IPSec proposal 1

 01:33:57: ISAKMP: transform 1, ESP_DES

 01:33:57: ISAKMP:   attributes in transform:

 01:33:57: ISAKMP:      encaps is 1

 01:33:57: ISAKMP:      SA life type in seconds

 01:33:57: ISAKMP:      SA life duration (basic) of 3600

 01:33:57: ISAKMP:      SA life type in kilobytes

 01:33:57: ISAKMP:      SA life duration (VPI) of  0x0 0x46 0x50 0x0

 01:33:57: ISAKMP:      authenticator is HMAC-MD5

 01:33:57: validate proposal 0

 01:33:57: ISAKMP (0:2): atts are acceptable.

 01:33:57: IPSEC(validate_proposal_request): proposal part #1,

   (key eng. msg.) dest= 11.11.11.2, src= 11.11.11.1,

     dest_proxy= 12.12.12.0/255.255.255.0/0/0 (type=4),

     src_proxy= 13.13.13.0/255.255.255.0/0/0 (type=4),

     protocol= ESP, transform= esp-des esp-md5-hmac ,

     lifedur= 0s and 0kb,

     spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4

 01:33:57: validate proposal request 0

 01:33:57: ISAKMP (0:2): processing NONCE payload.

       message ID = 474637101

 01:33:57: ISAKMP (0:2): processing ID payload. message ID = 474637101

 01:33:57: ISAKMP (0:2): processing ID payload. message ID = 474637101

 01:33:57: CryptoEngine0: generate hmac context for conn id 2

 01:33:57: ipsec allocate flow 0

 01:33:57: ipsec allocate flow 0

 01:33:57: ISAKMP (0:2): Creating IPSec SAs

 01:33:57:         inbound SA from 11.11.11.2 to 11.11.11.1

      (proxy 12.12.12.0 to 13.13.13.0)

 01:33:57:         has spi 348588451 and conn_id 2000 and flags 4

 01:33:57:         lifetime of 3600 seconds

 01:33:57:         lifetime of 4608000 kilobytes

 01:33:57:         outbound SA from 11.11.11.1 to 11.11.11.2

      (proxy 13.13.13.0 to 12.12.12.0)

 01:33:57:         has spi 132187477 and conn_id 2001 and flags 4

 01:33:57:         lifetime of 3600 seconds

 01:33:57:         lifetime of 4608000 kilobytes

 01:33:57: ISAKMP (2): sending packet to 11.11.11.2 (I) QM_IDLE

 01:33:57: ISAKMP (0:2): deleting node 474637101

 01:33:57: IPSEC(key_engine): got a queue event...

 01:33:57: IPSEC(initialize_sas): ,

   (key eng. msg.) dest= 11.11.11.1, src= 11.11.11.2,

     dest_proxy= 13.13.13.0/255.255.255.0/0/0 (type=4),

     src_proxy= 12.12.12.0/255.255.255.0/0/0 (type=4),

     protocol= ESP, transform= esp-des esp-md5-hmac ,

     lifedur= 3600s and 4608000kb,

     spi= 0x14C709A3(348588451), conn_id= 2000, keysize= 0, flags= 0x4

 01:33:57: IPSEC(initialize_sas): ,

   (key eng. msg.) src= 11.11.11.1, dest= 11.11.11.2,

     src_proxy= 13.13.13.0/255.255.255.0/0/0 (type=4),

     dest_proxy= 12.12.12.0/255.255.255.0/0/0 (type=4),

     protocol= ESP, transform= esp-des esp-md5-hmac ,

     lifedur= 3600s and 4608000kb,

     spi= 0x7E10555(132187477), conn_id= 2001, keysize= 0, flags= 0x4

 01:33:57: IPSEC(create_sa): sa created,

   (sa) sa_dest= 11.11.11.1, sa_prot= 50,

     sa_spi= 0x14C709A3(348588451),

     sa_trans= esp-des esp-md5-hmac , sa_conn_id= 2000

 01:33:57: IPSEC(create_sa): sa created,

   (sa) sa_dest= 11.11.11.2, sa_prot= 50,

     sa_spi= 0x7E10555(132187477),

     sa_trans= esp-des esp-md5-hmac , sa_conn_id= 2001

 Daphne#show crypto ipsec sa

 

 interface: Ethernet0/1

     Crypto map tag: tedtag, local addr. 11.11.11.1

 

    local  ident (addr/mask/prot/port): (13.13.13.0/255.255.255.0/0/0)

    remote ident (addr/mask/prot/port): (12.12.12.0/255.255.255.0/0/0)

    current_peer: 11.11.11.2

      PERMIT, flags={}

     #pkts encaps: 9, #pkts encrypt: 9, #pkts digest 9

     #pkts decaps: 9, #pkts decrypt: 9, #pkts verify 9

     #pkts compressed: 0, #pkts decompressed: 0

     #pkts not compressed: 0, #pkts compr. failed: 0,

      #pkts decompress failed: 0

     #send errors 0, #recv errors 0

 

      local crypto endpt.: 11.11.11.1, remote crypto endpt.: 11.11.11.2

      path mtu 1500, media mtu 1500

      current outbound spi: 7E10555

 

      inbound esp sas:

       spi: 0x14C709A3(348588451)

         transform: esp-des esp-md5-hmac ,

         in use settings ={Tunnel, }

         slot: 0, conn id: 2000, flow_id: 1, crypto map: tedtag

         sa timing: remaining key lifetime (k/sec): (4607998/3557)

         IV size: 8 bytes

         replay detection support: Y

 

 

      inbound ah sas:

 

 

      inbound pcp sas:

 

 

      outbound esp sas:

       spi: 0x7E10555(132187477)

         transform: esp-des esp-md5-hmac ,

         in use settings ={Tunnel, }

         slot: 0, conn id: 2001, flow_id: 2, crypto map: tedtag

         sa timing: remaining key lifetime (k/sec): (4607998/3557)

         IV size: 8 bytes

         replay detection support: Y

 

 

      outbound ah sas:

 

      outbound pcp sas:

 

 Daphne#show version

 

 daphne uptime is 22 hours, 2 minutes

 System returned to ROM by reload at 10:18:12 UTC Wed Jun 21 2000

 System image file is "flash:c2600-jo3s56i-mz.121-2.T"

 

 cisco 2611 (MPC860) processor (revision 0x203) with 59392K/6144K bytes of

 memory.

 Processor board ID JAD03457186 (3546224134)

 M860 processor: part number 0, mask 49

 Bridging software.

 X.25 software, Version 3.0.0.

 SuperLAT software (copyright 1990 by Meridian Technology Corp).

 TN3270 Emulation software.

 Primary Rate ISDN software, Version 1.1.

 2 Ethernet/IEEE 802.3 interface(s)

 2 Channelized T1/PRI port(s)

 32K bytes of non-volatile configuration memory.

 16384K bytes of processor board System flash (Read/Write)

 

 Configuration register is 0x2102

 

Fred

fred#show debug

 Cryptographic Subsystem:

   Crypto ISAKMP debugging is on

   Crypto Engine debugging is on

   Crypto IPSEC debugging is on

 fred#

 00:40:16: %CRYPTO-4-IKMP_NO_SA: IKE message from 1.204.0.4 has

      no SA and is not an initialization offer

 00:40:16: ISAKMP (0): received packet from 13.13.13.14 (N) NEW SA

 00:40:16: ISAKMP (0:1): processing vendor id payload

 00:40:16: ISAKMP (0:1): speaking to another IOS box!

 00:40:16: ISAKMP (0:1): processing ID payload. message ID = 0

 00:40:16: ISAKMP (0:1): processing ID payload. message ID = -1418395956

 00:40:16: ISAKMP (1): ID_IPV4_ADDR_SUBNET src 13.13.13.0/255.255.255.0

      prot 0 port 0

 00:40:16: ISAKMP (1): responding to peer discovery probe!

 00:40:16: peer's address is 11.11.11.1

 00:40:16: src (him) 4, 13.13.13.0     /255.255.255.0   to dst (me) 4,

      12.12.12.0     /255.255.255.0

 00:40:16: ISAKMP (1): ID payload

         next-payload : 5

         type         : 4

         protocol     : 17

         port         : 500

         length       : 12

 00:40:16: ISAKMP (1): Total payload length: 16

 00:40:16: ISAKMP (1): sending packet to 13.13.13.14 (R) PEER_DISCOVERY

 00:40:16: ISAKMP (0:1): deleting SA

 00:40:16: ISAKMP (0): received packet from 11.11.11.1 (N) NEW SA

 00:40:16: ISAKMP (0:2): processing SA payload. message ID = 0

 00:40:16: ISAKMP (0:2): Checking ISAKMP transform 1 against

      priority 10 policy

 00:40:16: ISAKMP:      encryption DES-CBC

 00:40:16: ISAKMP:      hash SHA

 00:40:16: ISAKMP:      default group 1

 00:40:16: ISAKMP:      auth pre-share

 00:40:16: ISAKMP (0:2): atts are acceptable. Next payload is 0

 00:40:16: CryptoEngine0: generate alg parameter

 00:40:17: CRYPTO_ENGINE: Dh phase 1 status: 0

 00:40:17: CRYPTO_ENGINE: Dh phase 1 status: 0

 00:40:17: ISAKMP (0:2): SA is doing pre-shared key authentication

 00:40:17: ISAKMP (2): SA is doing pre-shared key authentication

      using id type ID_IPV4_ADDR

 00:40:17: ISAKMP (2): sending packet to 11.11.11.1 (R) MM_SA_SETUP

 00:40:17: ISAKMP (2): received packet from 11.11.11.1 (R) MM_SA_SETUP

 00:40:17: ISAKMP (0:2): processing KE payload. message ID = 0

 00:40:17: CryptoEngine0: generate alg parameter

 00:40:17: ISAKMP (0:2): processing NONCE payload. message ID = 0

 00:40:17: CryptoEngine0: create ISAKMP SKEYID for conn id 2

 00:40:17: ISAKMP (0:2): SKEYID state generated

 00:40:17: ISAKMP (0:2): processing vendor id payload

 00:40:17: ISAKMP (0:2): speaking to another IOS box!

 00:40:17: ISAKMP (2): sending packet to 11.11.11.1 (R) MM_KEY_EXCH

 00:40:17: ISAKMP (2): received packet from 11.11.11.1 (R) MM_KEY_EXCH

 00:40:17: ISAKMP (0:2): processing ID payload. message ID = 0

 00:40:17: ISAKMP (0:2): processing HASH payload. message ID = 0

 00:40:17: CryptoEngine0: generate hmac context for conn id 2

 00:40:17: ISAKMP (0:2): SA has been authenticated with 11.11.11.1

 00:40:17: ISAKMP (2): ID payload

         next-payload : 8

         type         : 1

         protocol     : 17

         port         : 500

         length       : 8

 00:40:17: ISAKMP (2): Total payload length: 12

 00:40:17: CryptoEngine0: generate hmac context for conn id 2

 00:40:17: CryptoEngine0: clear dh number for conn id 1

 00:40:17: ISAKMP (2): sending packet to 11.11.11.1 (R) QM_IDLE

 00:40:17: ISAKMP (2): received packet from 11.11.11.1 (R) QM_IDLE

 00:40:17: CryptoEngine0: generate hmac context for conn id 2

 00:40:18: ISAKMP (0:2): processing SA payload. message ID = 474637101

 00:40:18: ISAKMP (0:2): Checking IPSec proposal 1

 00:40:18: ISAKMP: transform 1, ESP_DES

 00:40:18: ISAKMP:   attributes in transform:

 00:40:18: ISAKMP:      encaps is 1

 00:40:18: ISAKMP:      SA life type in seconds

 00:40:18: ISAKMP:      SA life duration (basic) of 3600

 00:40:18: ISAKMP:      SA life type in kilobytes

 00:40:18: ISAKMP:      SA life duration (VPI) of  0x0 0x46 0x50 0x0

 00:40:18: ISAKMP:      authenticator is HMAC-MD5

 00:40:18: validate proposal 0

 00:40:18: ISAKMP (0:2): atts are acceptable.

 00:40:18: IPSEC(validate_proposal_request): proposal part #1,

   (key eng. msg.) dest= 11.11.11.2, src= 11.11.11.1,

     dest_proxy= 12.12.12.0/255.255.255.0/0/0 (type=4),

     src_proxy= 13.13.13.0/255.255.255.0/0/0 (type=4),

     protocol= ESP, transform= esp-des esp-md5-hmac ,

     lifedur= 0s and 0kb,

     spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4

 00:40:18: validate proposal request 0

 00:40:18: ISAKMP (0:2): processing NONCE payload.

      message ID = 474637101

 00:40:18: ISAKMP (0:2): processing ID payload. message ID = 474637101

 00:40:18: ISAKMP (2): ID_IPV4_ADDR_SUBNET src 13.13.13.0/255.255.255.0

      prot 0 port 0

 00:40:18: ISAKMP (0:2): processing ID payload. message ID = 474637101

 00:40:18: ISAKMP (2): ID_IPV4_ADDR_SUBNET dst 12.12.12.0/255.255.255.0

      prot 0 port 0

 00:40:18: IPSEC(key_engine): got a queue event...

 00:40:18: IPSEC(spi_response): getting spi 132187477 for SA

         from 11.11.11.1      to 11.11.11.2      for prot 3

 00:40:18: CryptoEngine0: generate hmac context for conn id 2

 00:40:18: ISAKMP (2): sending packet to 11.11.11.1 (R) QM_IDLE

 00:40:18: ISAKMP (2): received packet from 11.11.11.1 (R) QM_IDLE

 00:40:18: CryptoEngine0: generate hmac context for conn id 2

 00:40:18: ipsec allocate flow 0

 00:40:18: ipsec allocate flow 0

 00:40:18: ISAKMP (0:2): Creating IPSec SAs

 00:40:18:         inbound SA from 11.11.11.1  to 11.11.11.2

      (proxy 13.13.13.0 to 12.12.12.0)

 00:40:18:         has spi 132187477 and conn_id 2000 and flags 4

 00:40:18:         lifetime of 3600 seconds

 00:40:18:         lifetime of 4608000 kilobytes

 00:40:18:         outbound SA from 11.11.11.2 to 11.11.11.1

      (proxy 12.12.12.0 to 13.13.13.0)

 00:40:18:         has spi 348588451 and conn_id 2001 and flags 4

 00:40:18:         lifetime of 3600 seconds

 00:40:18:         lifetime of 4608000 kilobytes

 00:40:18: ISAKMP (0:2): deleting node 474637101

 00:40:18: IPSEC(key_engine): got a queue event...

 00:40:18: IPSEC(initialize_sas): ,

   (key eng. msg.) dest= 11.11.11.2, src= 11.11.11.1,

     dest_proxy= 12.12.12.0/255.255.255.0/0/0 (type=4),

     src_proxy= 13.13.13.0/255.255.255.0/0/0 (type=4),

     protocol= ESP, transform= esp-des esp-md5-hmac ,

     lifedur= 3600s and 4608000kb,

     spi= 0x7E10555(132187477), conn_id= 2000, keysize= 0, flags= 0x4

 00:40:18: IPSEC(initialize_sas): ,

   (key eng. msg.) src= 11.11.11.2, dest= 11.11.11.1,

     src_proxy= 12.12.12.0/255.255.255.0/0/0 (type=4),

     dest_proxy= 13.13.13.0/255.255.255.0/0/0 (type=4),

     protocol= ESP, transform= esp-des esp-md5-hmac ,

     lifedur= 3600s and 4608000kb,

     spi= 0x14C709A3(348588451), conn_id= 2001, keysize= 0, flags= 0x4

 00:40:18: IPSEC(create_sa): sa created,

   (sa) sa_dest= 11.11.11.2, sa_prot= 50,

     sa_spi= 0x7E10555(132187477),

     sa_trans= esp-des esp-md5-hmac , sa_conn_id= 2000

 00:40:18: IPSEC(create_sa): sa created,

   (sa) sa_dest= 11.11.11.1, sa_prot= 50,

     sa_spi= 0x14C709A3(348588451),

     sa_trans= esp-des esp-md5-hmac , sa_conn_id= 2001

 

 fred#show crypto ipsec sa

 

 interface: Ethernet0/1

     Crypto map tag: tedtag, local addr. 11.11.11.2

 

    local  ident (addr/mask/prot/port): (12.12.12.0/255.255.255.0/0/0)

    remote ident (addr/mask/prot/port): (13.13.13.0/255.255.255.0/0/0)

    current_peer: 11.11.11.1

      PERMIT, flags={}

     #pkts encaps: 9, #pkts encrypt: 9, #pkts digest 9

     #pkts decaps: 9, #pkts decrypt: 9, #pkts verify 9

     #pkts compressed: 0, #pkts decompressed: 0

     #pkts not compressed: 0, #pkts compr. failed: 0,

      #pkts decompress failed: 0

     #send errors 0, #recv errors 0

 

      local crypto endpt.: 11.11.11.2, remote crypto endpt.: 11.11.11.1

      path mtu 1500, media mtu 1500

      current outbound spi: 14C709A3

 

      inbound esp sas:

       spi: 0x7E10555(132187477)

         transform: esp-des esp-md5-hmac ,

         in use settings ={Tunnel, }

         slot: 0, conn id: 2000, flow_id: 1, crypto map: tedtag

         sa timing: remaining key lifetime (k/sec): (4607998/3451)

         IV size: 8 bytes

         replay detection support: Y

 

 

      inbound ah sas:

 

 

      inbound pcp sas:

 

 

      outbound esp sas:

       spi: 0x14C709A3(348588451)

         transform: esp-des esp-md5-hmac ,

         in use settings ={Tunnel, }

         slot: 0, conn id: 2001, flow_id: 2, crypto map: tedtag

         sa timing: remaining key lifetime (k/sec): (4607998/3433)

         IV size: 8 bytes

         replay detection support: Y

 

 

      outbound ah sas:

 

      outbound pcp sas:

 

 fred#

 

トラブルシューティング

このセクションでは、設定に対してトラブルシューティングを行う方法について説明します。

トラブルシューティングのためのコマンド

あるタイプの show コマンドは、Output Interpreter ツール登録されたお客様のみ)でサポートされています。このツールを使用すると、show コマンドの出力を分析できます。

注: debug コマンドを使用する前に、「debug コマンドに関する重要な情報」を参照してください。

  • debug crypto ipsec - フェーズ 2 の IPSec ネゴシエーションを表示します。

  • debug crypto isakmp - フェーズ 1 の ISAKMP ネゴシエーションを表示します。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 14145