セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

テクニカルノートのトラブルシューティング ASA IPsec および IKE デバッグ(IKEv1 アグレッシブモード)

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2013 年 7 月 10 日) | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料はアグレッシブモードおよび事前共有キー両方(PSK)が使用されるとき Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)のデバッグを記述したものです。 特定のデバッグ行を設定に変換する方法についても説明します。 Cisco は持っています IPsec およびインターネット キー エクスチェンジ(IKE)の基本的な知識を推奨します。

この資料はトンネルが確立された後トラフィックを通過させることを説明しません。

Atri Basu および Marcin Latosiewicz によって貢献される、Cisco TAC エンジニア。

主な問題

IKE および IPsec デバッグは時々秘密です、しかし IPSec VPN トンネル確立における問題を理解するためにそれらを使用できます。

シナリオ

アグレッシブモードはソフトウェア(Cisco VPN Client)およびハードウェアクライアントと Easy VPN (EzVPN)の場合には一般的に使用されます(Cisco ASA 5505 適応性があるセキュリティ アプライアンス モデルか Cisco IOSか。 事前共有キーが使用される時だけソフトウェア ルータ)、しかし。 メインモードとは違って、アグレッシブモードは 3 つのメッセージで構成されています。

デバッグはソフトウェア バージョン 8.3.2 を実行し、EzVPN サーバとして機能する ASA からあります。 EzVPN クライアントはソフトウェアクライアントです。

使用した debug コマンド

このドキュメントで使用する debug コマンドは次のとおりです。

debug crypto isakmp 127
debug crypto ipsec 127

ASA の設定

この例の ASA 設定は厳しく基本的であるために意味されます; 外部サーバは使用されません。

interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 10.48.67.14 255.255.254.0

crypto ipsec transform-set TRA esp-aes esp-sha-hmac

crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000

crypto dynamic-map DYN 10 set transform-set TRA
crypto dynamic-map DYN 10 set reverse-route

crypto map MAP 65000 ipsec-isakmp dynamic DYN
crypto map MAP interface outside
crypto isakmp enable outside

crypto isakmp policy 10
 authentication pre-share
 encryption aes
 hash sha
 group 2
lifetime 86400

username cisco password  cisco
username cisco attributes
vpn-framed-ip-address 192.168.1.100 255.255.255.0

tunnel-group EZ type remote-access
tunnel-group EZ general-attributes
 default-group-policy EZ
tunnel-group EZ ipsec-attributes
 pre-shared-key *****

group-policy EZ internal
group-policy EZ attributes
 password-storage enable
 dns-server value 192.168.1.99
 vpn-tunnel-protocol ikev1
 split-tunnel-policy tunnelall
 split-tunnel-network-list value split
 default-domain value jyoungta-labdomain.cisco.com

デバッグ

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

サーバ メッセージの説明

デバッグ

クライアント メッセージの説明

 49711:28:30.28908/24/12Sev=Info/6IKE/0x6300003B
64.102.156.88 の接続を確立するように試み。
49811:28:30.29708/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=0000000000000000CurState:
AM_INITIALEvent: EV_INITIATOR
49911:28:30.29708/24/12Sev=Info/4IKE/0x63000001
IKE フェーズ 1 ネゴシエーションの開始
50011:28:30.29708/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=0000000000000000CurState:
AM_SND_MSG1Event: EV_GEN_DHKEY
50111:28:30.30408/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=0000000000000000CurState:
AM_SND_MSG1Event: EV_BLD_MSG
50211:28:30.30408/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=0000000000000000CurState:
AM_SND_MSG1Event: EV_START_RETRY_TMR
50311:28:30.30408/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=0000000000000000CurState:
AM_SND_MSG1Event: EV_SND_MSG

アグレッシブモードは開始します。 構造 AM1。 このプロセスは下記のものを含んでいます:
- ISAKMP HDR
-クライアントがサポートするすべてのトランスフォーム ペイロードおよび提案が含まれているセキュリティ アプライアンス モデル(SA)
-鍵交換 ペイロード
-フェーズ 1 発信側 ID
-臨時

 50411:28:30.30408/24/12Sev=Info/4IKE/0x63000013
>>> ISAKMP OAK AG (SA、KE、NON、ID、VID(Xauth)、VID(dpd)、VID(Frag)、VID (NATT)、VID(Unity)) 64.102.156.88 に送信 します

送信 AM1。

 <=============== 積極的なメッセージ 1 (AM1) =============== 

クライアントからのレシーブ AM1。

8 月 24 日 11:31:03 [IKEv1]IP = 64.102.156.87、ペイロードが付いている IKE_DECODE 受信メッセージ(msgid=0): HDR + SA (1) + KE (4) + NONCE (10) + ID (5) + ベンダー(13) + ベンダー(13) + ベンダー(13) + ベンダー(13) + ベンダー(13) + どれも(0) 全長: 84950611:28:30.33308/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5
R_Cookie=0000000000000000CurState:
AM_WAIT_MSG2Event: EV_NO_EVENT

サーバからの応答を待って下さい。

AM1 を処理して下さい。 compare 既に一致のために設定されたそれらの提案および変換を受け取りました。

関連コンフィギュレーション:

ISAKMP は一致するインターフェイスでクライアントが送信 したものと有効に なり、少なくとも 1 ポリシーは定義されます:

crypto isakmp enable 
outside
crypto isakmp policy
10
authentication pre-
share
encryption aes
hash sha
group 2
lifetime 86400

識別名前提供と一致しているトンネル グループ:

tunnel-group EZ type 
remote-access
tunnel-group EZ
general-attributes
default-group-policy
EZ
tunnel-group EZ ipsec-
attributes
pre-shared-key cisco
8 月 24 日 11:31:03 [IKEv1 デバッグ] SA ペイロードを処理する IP = 64.102.156.87
8 月 24 日 11:31:03 [IKEv1 デバッグ] ke ペイロードを処理する IP = 64.102.156.87
8 月 24 日 11:31:03 [IKEv1 デバッグ] ISA_KE ペイロードを処理する IP = 64.102.156.87
8 月 24 日 11:31:03 [IKEv1 デバッグ] IP = 64.102.156.87、processing NONCE ペイロード
8 月 24 日 11:31:03 [IKEv1 デバッグ] IP = 64.102.156.87、処理 ID ペイロード
8 月 24 日 11:31:03 [IKEv1 デバッグ] VID ペイロードを処理する IP = 64.102.156.87
8 月 24 日 11:31:03 [IKEv1 デバッグ] IP = 64.102.156.87、受け取った Xauth V6 VID
8 月 24 日 11:31:03 [IKEv1 デバッグ] VID ペイロードを処理する IP = 64.102.156.87
8 月 24 日 11:31:03 [IKEv1 デバッグ] IP = 64.102.156.87、受け取った DPD VID
8 月 24 日 11:31:03 [IKEv1 デバッグ] VID ペイロードを処理する IP = 64.102.156.87
8 月 24 日 11:31:03 [IKEv1 デバッグ] IP = 64.102.156.87、受け取ったフラグメンテーション VID
8 月 24 日 11:31:03 [IKEv1 デバッグ] IP = 64.102.156.87、IKE ピア含まれた IKE フラグメンテーション機能フラグ: メインモード: TrueAggressive モード: False
8 月 24 日 11:31:03 [IKEv1 デバッグ] VID ペイロードを処理する IP = 64.102.156.87
8 月 24 日 11:31:03 [IKEv1 デバッグ] IP = 64.102.156.87、受け取ったネットワーク アドレス変換トラバーサル ver 02 VID
8 月 24 日 11:31:03 [IKEv1 デバッグ] VID ペイロードを処理する IP = 64.102.156.87
8 月 24 日 11:31:03 [IKEv1 デバッグ] IP = 64.102.156.87、受け取った Cisco Unity クライアント VID
8 月 24 日 11:31:03 [IKEv1]IP = 64.102.156.87、tunnel_group ipsec で上陸する接続
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、IKE SA ペイロードを処理する IP = 64.102.156.87
[IKEv1]Phase 8 月 24 日 11:31:03 1 失敗: クラス グループ 説明に対する組合わせを誤まられた属性型: Rcv'd: グループ 2Cfg'd: Group5
[IKEv1]Phase 8 月 24 日 11:31:03 1 失敗: クラス グループ 説明に対する組合わせを誤まられた属性型: Rcv'd: グループ 2Cfg'd: Group5
[IKEv1]Phase 8 月 24 日 11:31:03 1 失敗: クラス グループ 説明に対する組合わせを誤まられた属性型: Rcv'd: グループ 2Cfg'd: Group5
[IKEv1]Phase 8 月 24 日 11:31:03 1 失敗: クラス グループ 説明に対する組合わせを誤まられた属性型: Rcv'd: グループ 2Cfg'd: Group5
[IKEv1]Phase 8 月 24 日 11:31:03 1 失敗: クラス グループ 説明に対する組合わせを誤まられた属性型: Rcv'd: グループ 2Cfg'd: Group5
[IKEv1]Phase 8 月 24 日 11:31:03 1 失敗: クラス グループ 説明に対する組合わせを誤まられた属性型: Rcv'd: グループ 2Cfg'd: Group5
[IKEv1]Phase 8 月 24 日 11:31:03 1 失敗: クラス グループ 説明に対する組合わせを誤まられた属性型: Rcv'd: グループ 2Cfg'd: Group5
[IKEv1]Phase 8 月 24 日 11:31:03 1 失敗: クラス グループ 説明に対する組合わせを誤まられた属性型: Rcv'd: グループ 2Cfg'd: Group5
[IKEv1]Phase 8 月 24 日 11:31:03 1 失敗: クラス グループ 説明に対する組合わせを誤まられた属性型: Rcv'd: グループ 2Cfg'd: Group5
[IKEv1]Phase 8 月 24 日 11:31:03 1 失敗: クラス グループ 説明に対する組合わせを誤まられた属性型: Rcv'd: グループ 2Cfg'd: Group5
[IKEv1]Phase 8 月 24 日 11:31:03 1 失敗: クラス グループ 説明に対する組合わせを誤まられた属性型: Rcv'd: グループ 2Cfg'd: Group5
[IKEv1]Phase 8 月 24 日 11:31:03 1 失敗: クラス グループ 説明に対する組合わせを誤まられた属性型: Rcv'd: グループ 2Cfg'd: Group5
[IKEv1]Phase 8 月 24 日 11:31:03 1 失敗: クラス グループ 説明に対する組合わせを誤まられた属性型: Rcv'd: グループ 2Cfg'd: Group5
[IKEv1]Phase 8 月 24 日 11:31:03 1 失敗: クラス グループ 説明に対する組合わせを誤まられた属性型: Rcv'd: グループ 2Cfg'd: Group5
[IKEv1]Phase 8 月 24 日 11:31:03 1 失敗: クラス グループ 説明に対する組合わせを誤まられた属性型: Rcv'd: グループ 2Cfg'd: Group5
[IKEv1]Phase 8 月 24 日 11:31:03 1 失敗: クラス グループ 説明に対する組合わせを誤まられた属性型: Rcv'd: グループ 2Cfg'd: Group5
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、IP = 64.102.156.87、IKE SA 提案# 1、トランスフォーム# 5 つの acceptableMatches グローバル な IKE エントリ# 1
 

構造 AM2。 このプロセスは下記のものを含んでいます:
- 『Policies』 を選択 される
- Diffie-Hellman (DH)
-応答側 ID
- auth
-ネットワーク アドレス変換(NAT) 検出 ペイロード

8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、ISAKMP SA ペイロードを組み立てる IP = 64.102.156.87
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、ke ペイロードを組み立てる IP = 64.102.156.87
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、臨時 ペイロードを組み立てる IP = 64.102.156.87
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、応答側のためのキーを生成する IP = 64.102.156.87…
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、ID ペイロードを組み立てる IP = 64.102.156.87
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、ハッシュ ペイロードを組み立てる IP = 64.102.156.87
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、IP = 64.102.156.87、ISAKMP のための計算ハッシュ
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、Cisco Unity VID ペイロードを組み立てる IP = 64.102.156.87
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、Xauth V6 VID ペイロードを組み立てる IP = 64.102.156.87
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、dpd vid ペイロードを組み立てる IP = 64.102.156.87
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、ネットワーク アドレス変換トラバーサル VID ver 02 ペイロードを組み立てる IP = 64.102.156.87
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、NAT ディスカバリ ペイロードを組み立てる IP = 64.102.156.87
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、IP = 64.102.156.87、計算 NAT ディスカバリ ハッシュ
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、NAT ディスカバリ ペイロードを組み立てる IP = 64.102.156.87
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、IP = 64.102.156.87、計算 NAT ディスカバリ ハッシュ
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec は、フラグメンテーションを組み立てる IP = 64.102.156.87 VID + 機能ペイロードを伸ばしました
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、VID ペイロードを組み立てる IP = 64.102.156.87
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、IP = 64.102.156.87、送信 Altiga/Cisco VPN3000/Cisco ASA GW VID
 

送信 AM2。

8 月 24 日 11:31:03 [IKEv1]IP = 64.102.156.87、ペイロードが付いているメッセージ(msgid=0)を送信 する IKE_DECODE: HDR + SA (1) + KE (4) + NONCE (10) + ID (5) + HASH (8) + ベンダー(13) + ベンダー(13) + ベンダー(13) + ベンダー(13) + NAT-D (130) + NAT-D (130) + ベンダー(13) + ベンダー(13) + どれも(0) 全長: 444 
 =============== 積極的なメッセージ 2 (AM2) ===============> 
 50711:28:30.40208/24/12Sev=Info/5IKE/0x6300002F
Received ISAKMP packet: ピア = 64.102.156.8
50811:28:30.40308/24/12Sev=Info/4IKE/0x63000014
<<< ISAKMP OAK AG (SA、KE、NON、ID、HASH、VID(Unity)、VID(Xauth)、VID(dpd)、VID (NATT)受け取ります、NAT-D、NAT-D、VID(Frag)、VID (か。)) 64.102.156.88 から
51011:28:30.41208/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState:
AM_WAIT_MSG2Event: EV_RCVD_MSG

レシーブ AM2。

 51111:28:30.41208/24/12Sev=Info/5IKE/0x63000001
ピアは Cisco Unity 対応ピアです
51211:28:30.41208/24/12Sev=Info/5IKE/0x63000001
ピア サポート XAUTH
51311:28:30.41208/24/12Sev=Info/5IKE/0x63000001
ピア サポート DPD
51411:28:30.41208/24/12Sev=Info/5IKE/0x63000001
ピア サポート NAT-T
51511:28:30.41208/24/12Sev=Info/5IKE/0x63000001
ピア サポート IKE フラグメンテーション ペイロード
51611:28:30.41208/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState:
AM_WAIT_MSG2Event: EV_GEN_SKEYID
51711:28:30.42208/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState:
AM_WAIT_MSG2Event: EV_AUTHENTICATE_PEER
51811:28:30.42208/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState:
AM_WAIT_MSG2Event: EV_ADJUST_PORT
51911:28:30.42208/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState:
AM_WAIT_MSG2Event: EV_CRYPTO_ACTIVE

プロセス AM 2。

 52011:28:30.42208/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState:
AM_SND_MSG3Event: EV_BLD_MSG]
52111:28:30.42208/24/12Sev=Debug/8IKE/0x63000001
IOS Vendor ID Contruction は開始しました
52211:28:30.42208/24/12Sev=Info/6IKE/0x63000001
正常な IOS Vendor ID Contruction

構造 AM3。 このプロセスはクライアント Auth が含まれています。 この時点で暗号化のために関連したすべてのデータは既に交換されてしまいました。

 52311:28:30.42308/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState:
AM_SND_MSG3Event: EV_SND_MSG
52411:28:30.42308/24/12Sev=Info/4IKE/0x63000013
>>> ISAKMP OAK AG 送信 します* (HASH、呼出: STATUS_INITIAL_CONTACT、NAT-D、NAT-D、VID (か。)、64.102.156.88 への VID(Unity))

送信 AM3。

 <=============== 積極的なメッセージ 3 (AM3) =============== 

クライアントからのレシーブ AM3。

8 月 24 日 11:31:03 [IKEv1]IP = 64.102.156.87、ペイロードが付いている IKE_DECODE 受信メッセージ(msgid=0): HDR + HASH (8) + 呼出(11) + NAT-D (130) + NAT-D (130) + ベンダー(13) + ベンダー(13) + どれも(0) 全長: 168 

プロセス AM 3.は NAT 走査(NAT-T)使用を確認します。 両側はトラフィック暗号化を開始して現在準備ができています。

8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、IP = 64.102.156.87、processing HASH ペイロード
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、IP = 64.102.156.87、ISAKMP のための計算ハッシュ
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec は、処理する IP = 64.102.156.87 ペイロードを知らせます
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、NAT ディスカバリ ペイロードを処理する IP = 64.102.156.87
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、IP = 64.102.156.87、計算 NAT ディスカバリ ハッシュ
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、NAT ディスカバリ ペイロードを処理する IP = 64.102.156.87
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、IP = 64.102.156.87、計算 NAT ディスカバリ ハッシュ
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、VID ペイロードを処理する IP = 64.102.156.87
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、IOS/PIX Vendor ID ペイロード(バージョンを処理する IP = 64.102.156.87: 1.0.0、機能: 00000408)
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、VID ペイロードを処理する IP = 64.102.156.87
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec は、IP = 64.102.156.87、Cisco Unity クライアント VID を受け取りました
8 月 24 日 11:31:03 [IKEv1]Group = ipsec、IP = 64.102.156.87、自動 NAT 検出
Status: リモート endISbehind は NAT デバイスの後ろに NAT deviceThisend ありません
 

フェーズ 1.5 (XAUTH)を始め、ユーザーの資格情報を要求して下さい。

8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、ブランク ハッシュ ペイロードを組み立てる IP = 64.102.156.87
8 月 24 日 11:31:03 [IKEv1 デバッグ]グループ = ipsec、qm ハッシュ ペイロードを組み立てる IP = 64.102.156.87
8 月 24 日 11:31:03 [IKEv1]IP = 64.102.156.87、ペイロードが付いているメッセージ(msgid=fb709d4d)を送信 する IKE_DECODE: HDR + HASH (8) + ATTR (14) + どれも(0) 全長: 72
 
  =============== Xauth -資格情報 要求 ===============> 
 53511:28:30.43008/24/12Sev=Info/4IKE/0x63000014
64.102.156.88 からの <<< ISAKMP OAK TRANS * (HASH、ATTR)受け取ります
53611:28:30.43108/24/12Sev=Decode/11IKE/0x63000001
ISAKMP ヘッダ
発信側 COOKIE:D56197780D7BE3E5
応答側 COOKIE:1B301D2DE710EDA0
Next payload: ハッシュ
Ver (Hex):10
Exchange type: トランザクション
Flags: (暗号化)
MessageID(Hex):FB709D4D
Length:76
ペイロード ハッシュ
Next payload: 属性
予約済み: 00
ペイロード長: 24
データ(Hex で): C779D5CBC5C75E3576C478A15A7CAB8A83A232D0
ペイロード属性
Next payload: なし
予約済み: 00
ペイロード長: 20
Type: ISAKMP_CFG_REQUEST
予約済み: 00
識別子: 0000
XAUTH 型: ジェネリック
XAUTH ユーザネーム: (空)
XAUTH ユーザパスワード: (空)
53711:28:30.43108/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=FB709D4DCurState: TM_INITIALEvent: EV_RCVD_MSG

レシーブ AUTH 要求。 復号化されたペイロードは空ユーザ名 および パスワード フィールドを示します。

 53811:28:30.43108/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=FB709D4DCurState: TM_PCS_XAUTH_REQEvent: EV_INIT_XAUTH
53911:28:30.43108/24/12 Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=FB709D4DCurState: TM_PCS_XAUTH_REQEvent: EV_START_RETRY_TMR
54011:28:30.43208/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=FB709D4DCurState: TM_WAIT_4USEREvent: EV_NO_EVENT
541 11:28:36.41508/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=FB709D4DCurState: TM_WAIT_4USEREvent: EV_RCVD_USER_INPUT

開始フェーズ 1.5 (XAUTH)。 ユーザインプットを待つように開始再試行タイマー。 再試行タイマーがなくなるとき、接続は自動切断されます。

 54211:28:36.41508/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=FB709D4DCurState: TM_WAIT_4USEREvent: EV_SND_MSG
54311:28:36.41508/24/12Sev=Info/4IKE/0x63000013
>>> ISAKMP OAK TRANS * (HASH、ATTR) 64.102.156.88 に送信 します
54411:28:36.41508/24/12Sev=Decode/11IKE/0x63000001
ISAKMP ヘッダ
発信側 COOKIE:D56197780D7BE3E5
応答側 COOKIE:1B301D2DE710EDA0
Next payload: ハッシュ
Ver (Hex):10
Exchange type: トランザクション
Flags: (暗号化)
MessageID(Hex):FB709D4D
Length:85
ペイロード ハッシュ
Next payload: 属性
予約済み: 00
ペイロード長: 24
データ(Hex で): 1A3645155BE9A81CB80FCDB5F7F24E03FF8239F5
ペイロード属性
Next payload: なし
予約済み: 00
ペイロード長: 33
Type: ISAKMP_CFG_REPLY
予約済み: 00
識別子: 0000
XAUTH 型: ジェネリック
XAUTH ユーザネーム: (表示する データ)
XAUTH ユーザパスワード: (表示する データ)

ユーザインプットが受け取られたら、サーバにユーザーの資格情報を送って下さい。 復号化されたペイロードは一杯にされた(隠される)ユーザ名 および パスワード フィールドを示します。 送信 モード config 要求(さまざまな属性)。

  <=============== Xauth -ユーザーの資格情報 =============== 

レシーブ ユーザーの資格情報。

8 月 24 日 11:31:09 [IKEv1]IP = 64.102.156.87、ペイロードが付いている IKE_DECODE 受信メッセージ(msgid=fb709d4d): HDR + HASH (8) + ATTR (14) + どれも(0)
total length : 85
8 月 24 日 11:31:09 [IKEv1 デバッグ]グループ = ipsec、IP = 64.102.156.87、process_attr(): 入力して下さい!
 

ユーザーの資格情報を処理して下さい。 資格情報を確認し、モード コンフィグ ペイロードを生成して下さい。

関連コンフィギュレーション:

username cisco 
password cisco
8 月 24 日 11:31:09 [IKEv1 デバッグ]グループ = ipsec、MODE_CFG 応答属性を処理する IP = 64.102.156.87。
8 月 24 日 11:31:09 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、IKEGetUserAttributes: プライマリ DNS = 192.168.1.99
8 月 24 日 11:31:09 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、IKEGetUserAttributes: セカンダリ DNS = クリアされる
8 月 24 日 11:31:09 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、IKEGetUserAttributes: プライマリ WINS = クリアされる
8 月 24 日 11:31:09 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、IKEGetUserAttributes: セカンダリ WINS = クリアされる
8 月 24 日 11:31:09 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、IKEGetUserAttributes: 分割トンネリング リストは = 分割しました
8 月 24 日 11:31:09 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、IKEGetUserAttributes: デフォルト ドメイン = jyoungta-labdomain.cisco.com
8 月 24 日 11:31:09 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、IKEGetUserAttributes: IP 圧縮は = ディセーブルにしました
8 月 24 日 11:31:09 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、IKEGetUserAttributes: 分割トンネリング ポリシーは = ディセーブルにしました
8 月 24 日 11:31:09 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、IKEGetUserAttributes: ブラウザ プロキシ 設定 = 非修正する
8 月 24 日 11:31:09 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、IKEGetUserAttributes: ブラウザ プロキシ バイパス ローカル = ディセーブル
8 月 24 日 11:31:09 [IKEv1]Group = ipsec、ユーザ名 = user1、IP = 64.102.156.87、認証されるユーザ(user1)。
 

送信 xuath 結果。

8 月 24 日 11:31:09 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、ブランク ハッシュ ペイロードを組み立てる IP = 64.102.156.87
8 月 24 日 11:31:09 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、qm ハッシュ ペイロードを組み立てる IP = 64.102.156.87
8 月 24 日 11:31:09 [IKEv1]IP = 64.102.156.87、ペイロードが付いているメッセージ(msgid=5b6910ff)を送信 する IKE_DECODE: HDR + HASH (8) + ATTR (14) + どれも(0) 全長: 64
 
  =============== Xauth -許可結果 ===============> 
 54511:28:36.41608/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=FB709D4DCurState: TM_XAUTHREQ_DONEEvent: EV_XAUTHREQ_DONE
54611:28:36.41608/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=FB709D4DCurState: TM_XAUTHREQ_DONEEvent: EV_NO_EVENT
54711:28:36.42408/24/12Sev=Info/5IKE/0x6300002F
Received ISAKMP packet: ピア = 64.102.156.88
54811:28:36.42408/24/12Sev=Info/4IKE/0x63000014
64.102.156.88 からの <<< ISAKMP OAK TRANS * (HASH、ATTR)受け取ります
54911:28:36.42508/24/12Sev=Decode/11IKE/0x63000001
ISAKMP ヘッダ
発信側 COOKIE:D56197780D7BE3E5
応答側 COOKIE:1B301D2DE710EDA0
Next payload: ハッシュ
Ver (Hex):10
Exchange type: トランザクション
Flags: (暗号化)
MessageID(Hex):5B6910FF
Length:76
ペイロード ハッシュ
Next payload: 属性
予約済み: 00
ペイロード長: 24
データ(Hex で): 7DCF47827164198731639BFB7595F694C9DDFE85
ペイロード属性
Next payload: なし
予約済み: 00
ペイロード長: 12
Type: ISAKMP_CFG_SET
予約済み: 00
識別子: 0000
XAUTH ステータス: Pass
55011:28:36.42508/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=5B6910FFCurState: TM_INITIALEvent: EV_RCVD_MSG
55111:28:36.42508/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=5B6910FFCurState: TM_PCS_XAUTH_SETEvent: EV_INIT_XAUTH
55211:28:36.42508/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=5B6910FFCurState: TM_PCS_XAUTH_SETEvent: EV_CHK_AUTH_RESULT

レシーブ auth 結果およびプロセス結果。

 55311:28:36.42508/24/12Sev=Info/4IKE/0x63000013
>>> ISAKMP OAK TRANS * (HASH、ATTR) 64.102.156.88 に送信 します

ACK 結果。

  <=============== Xauth -確認応答 =============== 

レシーブおよびプロセス ACK; サーバからの無応答。

8 月 24 日 11:31:09 [IKEv1]IP = 64.102.156.87、ペイロードが付いている IKE_DECODE 受信メッセージ(msgid=5b6910ff): HDR + HASH (8) + ATTR (14) + どれも(0) 全長: 60
8 月 24 日 11:31:09 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、process_attr(): 入力して下さい!
8 月 24 日 11:31:09 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、cfg ACK 属性を処理する IP = 64.102.156.87
 
 55511:28:36.42608/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=5B6910FFCurState: TM_XAUTH_DONEEvent:
EV_XAUTH_DONE_SUC
55611:28:36.42608/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=5B6910FFCurState: TM_XAUTH_DONEEvent: EV_NO_EVENT
55711:28:36.42608/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=FB709D4DCurState: TM_XAUTHREQ_DONEEvent: EV_TERM_REQUEST
55811:28:36.42608/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=FB709D4DCurState: TM_FREEEvent: EV_REMOVE
55911:28:36.42608/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=FB709D4DCurState: TM_FREEEvent: EV_NO_EVENT
56011:28:36.42608/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState:
CMN_XAUTH_PROGEvent: EV_XAUTH_DONE_SUC
56111:28:38.40608/24/12Sev=Debug/8IKE/0x6300004C
IKE SA (I_Cookie=D56197780D7BE3E5 のための DPD タイマーの開始
R_Cookie=1B301D2DE710EDA0) sa->state = 1、sa->dpd.worry_freq(mSec) = 5000
56211:28:38.40608/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState:
CMN_MODECFG_PROGEvent: EV_INIT_MODECFG
56311:28:38.40608/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState:
CMN_MODECFG_PROGEvent: EV_NO_EVENT
56411:28:38.40608/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=84B4B653CurState: TM_INITIALEvent: EV_INIT_MODECFG
56511:28:38.40808/24/12Sev=Info/5IKE/0x6300005E
コンセントレータにファイアウォール 要求を送信 して いる クライアント
56611:28:38.40908/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=84B4B653CurState: TM_SND_MODECFGREQEvent:
EV_START_RETRY_TMR

生成する mode-config 要求。 復号化されたペイロードはサーバからの要求されたパラメータを表示します。

 56711:28:38.40908/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=84B4B653CurState: TM_SND_MODECFGREQEvent: EV_SND_MSG
56811:28:38.40908/24/12Sev=Info/4IKE/0x63000013
>>> ISAKMP OAK TRANS * (HASH、ATTR) 64.102.156.88 に送信 します
56911:28:38.62708/24/12Sev=Decode/11IKE/0x63000001
ISAKMP ヘッダ
発信側 COOKIE:D56197780D7BE3E5
応答側 COOKIE:1B301D2DE710EDA0
Next payload: ハッシュ
Ver (Hex):10
Exchange type: トランザクション
Flags: (暗号化)
MessageID(Hex):84B4B653
Length:183

ペイロード ハッシュ
Next payload: 属性
予約済み: 00
ペイロード長: 24
データ(Hex で): 81BFBF6721A744A815D69A315EF4AAA571D6B687

ペイロード属性
Next payload: なし
予約済み: 00
ペイロード長: 131
Type: ISAKMP_CFG_REQUEST
予約済み: 00
識別子: 0000
IPv4 アドレス: (空)
IPv4 ネットマスク: (空)
IPv4 DNS: (空)
IPv4 NBNS (WINS): (空)
アドレス終止: (空)
Cisco 拡張: バナー: (空)
Cisco 拡張: 保存 PWD: (空)
Cisco 拡張: デフォルト ドメイン名: (空)
Cisco 拡張: Split Include: (空)
Cisco 拡張: 分割DNS 名前: (空)
Cisco 拡張: PFS をして下さい: (空)
不明: (空)
Cisco 拡張: バックアップサーバ: (空)
Cisco 拡張: Smart Card Removal Disconnect: (空)
アプリケーションバージョン: シスコシステムズ VPN クライアント 5.0.07.0290:WinNT
Cisco 拡張: ファイアウォール型: (空)
Cisco 拡張: ダイナミック DNS ホスト名: ATBASU-LABBOX

送信 mode-config 要求。

 <=============== Mode-config 要求 =============== 

レシーブ mode-config 要求。

[IKEv1]IP 8 月 24 日 11:31:11
= 64.102.156.87、ペイロードが付いている IKE_DECODE 受信メッセージ(msgid=84b4b653): HDR + HASH (8) + ATTR (14) + どれも(0) 全長: 183
8 月 24 日 11:31:11 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、process_attr(): 入力して下さい!
57011:28:38.62808/24/12Sev= Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=84B4B653CurState: TM_WAIT_MODECFGREPLYEvent: EV_NO_EVENT

サーバレスポンスを待って下さい。

mode-config 要求を処理して下さい。

これらの値の多数は通常グループ ポリシーで設定されます。 ただし、この例のサーバに基本設定が非常にあるので、それらをここに見ません。

8 月 24 日 11:31:11 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、cfg 要求属性を処理する IP = 64.102.156.87
8 月 24 日 11:31:11 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、MODE_CFG: IPV4 アドレスのための受け取った要求!
8 月 24 日 11:31:11 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、MODE_CFG: IPV4 ネットマスクのための受け取った要求!
8 月 24 日 11:31:11 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、MODE_CFG: DNSサーバ アドレスのための受け取った要求!
8 月 24 日 11:31:11 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、MODE_CFG: WINS サーバアドレスのための受け取った要求!
8 月 24 日 11:31:11 [IKEv1]Group = ipsec は、ユーザ名 = user1、IP = 64.102.156.87、サポートされていないトランザクション モード属性を受け取りました: 5
8 月 24 日 11:31:11 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、MODE_CFG: バナーのための受け取った要求!
8 月 24 日 11:31:11 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、MODE_CFG: 保存 PW 設定のための受け取った要求!
8 月 24 日 11:31:11 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、MODE_CFG: デフォルト ドメイン名のための受け取った要求!
8 月 24 日 11:31:11 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、MODE_CFG: スプリットトンネル リストのための受け取った要求!
8 月 24 日 11:31:11 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、MODE_CFG: 分割DNS のための受け取った要求!
8 月 24 日 11:31:11 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、MODE_CFG: PFS 設定のための受け取った要求!
8 月 24 日 11:31:11 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、MODE_CFG: クライアント ブラウザ プロキシ 設定のための受け取った要求!
8 月 24 日 11:31:11 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、MODE_CFG: ip-sec バックアップ ピアリストのための受け取った要求!
8 月 24 日 11:31:11 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、MODE_CFG: クライアント スマートカード削除接続解除 設定のための受け取った要求!
8 月 24 日 11:31:11 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、MODE_CFG: アプリケーションバージョンのための受け取った要求!
8 月 24 日 11:31:11 [IKEv1]Group = ipsec、ユーザ名 = user1、IP = 64.102.156.87、クライアント の タイプ: WinNTClient アプリケーションバージョン: 5.0.07.0290
8 月 24 日 11:31:11 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、MODE_CFG: FWTYPE のための受け取った要求!
8 月 24 日 11:31:11 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、MODE_CFG: DDNS の DHCP ホスト名のための受け取った要求は次のとおりです: ATBASU-LABBOX!
 

設定されるすべての値の mode-config 応答を組み立てて下さい。

関連コンフィギュレーション:

、ユーザ常に割り当てられます同じ IP をこの場合注意して下さい。

username cisco 
attributes
vpn-framed-ip-
address 192.168.1.100
255.255.255.0

group-policy EZ
internal
group-policy EZ
attributes
password-storage
enabledns-server value
192.168.1.129
vpn-tunnel-protocol
ikev1
split-tunnel-policy
tunnelall
split-tunnel-network-
list value split default-
domain value
jyoungta-
labdomain.cisco.com
8 月 24 日 11:31:11 [IKEv1 デバッグ]グループ = ipsec は、ユーザ名 = user1、IP = 64.102.156.87、IP アドレスを得ました(192.168.1.100) モード Cfg (有効に なる Xauth を始める前に)
8 月 24 日 11:31:11 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、サブネット マスクを送信 する IP = 64.102.156.87 (255.255.255.0) リモートクライアントに
8 月 24 日 11:31:11 [IKEv1]Group = ipsec は、ユーザ名 = user1、リモートユーザに IP = 64.102.156.87、プライベート IP アドレス 192.168.1.100 を割り当てました
8 月 24 日 11:31:11 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、ブランク ハッシュ ペイロードを組み立てる IP = 64.102.156.87
8 月 24 日 11:31:11 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、construct_cfg_set: デフォルト ドメイン = jyoungta-labdomain.cisco.com
8 月 24 日 11:31:11 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、送信クライアント ブラウザ プロキシ属性!
8 月 24 日 11:31:11 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、ブラウザ プロキシによって設定 される非修正する。 ブラウザ プロキシ データはモードcfg 応答に含まれていません
8 月 24 日 11:31:11 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、送信 Cisco スマートカード削除接続解除 イネーブル!!
8 月 24 日 11:31:11 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、qm ハッシュ ペイロードを組み立てる IP = 64.102.156.87
 

送信 mode-config 応答。

8 月 24 日 11:31:11 [IKEv1]IP = 64.102.156.87、ペイロードが付いているメッセージ(msgid=84b4b653)を送信 する IKE_DECODE: HDR + HASH (8) + ATTR (14) + どれも(0) 全長: 215 
 =============== Mode-config 応答 ===============> 
 57111:28:38.63808/24/12Sev=Info/5IKE/0x6300002F
Received ISAKMP packet: ピア = 64.102.156.88
57211:28:38.63808/24/12Sev=Info/4IKE/0x63000014
64.102.156.88 からの <<< ISAKMP OAK TRANS * (HASH、ATTR)受け取ります
57311:28:38.63908/24/12Sev=Decode/11IKE/0x63000001
ISAKMP ヘッダ
発信側 COOKIE:D56197780D7BE3E5
応答側 COOKIE:1B301D2DE710EDA0
Next payload: ハッシュ
Ver (Hex):10
Exchange type: トランザクション
Flags: (暗号化)
MessageID(Hex):84B4B653
Length:220
ペイロード ハッシュ
Next payload: 属性
予約済み: 00
ペイロード長: 24
データ(Hex で): 6DE2E70ACF6B1858846BC62E590C00A66745D14D
ペイロード属性
Next payload: なし
予約済み: 00
ペイロード長: 163
Type: ISAKMP_CFG_REPLY
予約済み: 00
識別子: 0000
IPv4 アドレス: 192.168.1.100
IPv4 ネットマスク: 255.255.255.0
IPv4 DNS: 192.168.1.99
Cisco 拡張: 保存 PWD: いいえ
Cisco 拡張: デフォルト ドメイン名:
jyoungta-labdomain.cisco.com
Cisco 拡張: PFS をして下さい: いいえ
アプリケーションバージョン: シスコシステムズ、木曜日 14-Jun-12 11:20 の建築者によって構築される株式会社 ASA5505 バージョン 8.4(4)1
Cisco 拡張: Smart Card Removal Disconnect: はい

サーバからのレシーブ mode-config パラメータ値。

フェーズ 1 はサーバで完了します。 開始 Quick Mode (QM) プロセス。

8 月 24 日 11:31:13 [IKEv1 デコード] IP = 64.102.156.87、QM を開始する IKE 応答側: メッセージ ID = 0e83792e
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、処理する遅延 Quick Mode 進行中の証明書/TRANS Exch/RM DSID
8 月 24 日 11:31:13 [IKEv1]Group = ipsec、ユーザ名 = user1、IP = 64.102.156.87、192.168.1.100 のために送信 される 無償ARP
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、処理するレジューム Quick Mode 完了する証明書/TRANS Exch/RM DSID
8 月 24 日 11:31:13 [IKEv1]Group = ipsec、ユーザ名 = user1、IP = 64.102.156.87、完了するフェーズ 1
57411:28:38.63908/24/12Sev= Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=84B4B653CurState:
TM_WAIT_MODECFGREPLYEvent: EV_RCVD_MSG
57511:28:38.63908/24/12Sev= Info/5IKE/0x63000010
MODE_CFG_REPLY: アトリビュート = INTERNAL_IPV4_ADDRESS: 、
値 = 192.168.1.100
57611:28:38.63908/24/12Sev=Info/5IKE/0x63000010
MODE_CFG_REPLY: アトリビュート = INTERNAL_IPV4_NETMASK: 、
値 = 255.255.255.0
57711:28:38.63908/24/12Sev= Info/5IKE/0x63000010
MODE_CFG_REPLY: アトリビュート = INTERNAL_IPV4_DNS(1): 、
値 = 192.168.1.99
57811:28:38.63908/24/12Sev=Info/5IKE/0x6300000D
MODE_CFG_REPLY: アトリビュート =
MODECFG_UNITY_SAVEPWD: 、値 = 0x00000000
57911:28:38.63908/24/12Sev=Info/5IKE/0x6300000E
MODE_CFG_REPLY: アトリビュート =
MODECFG_UNITY_DEFDOMAIN: 、値 = jyoungta-
labdomain.cisco.com
58011:28:38.63908/24/12Sev= Info/5IKE/0x6300000D
MODE_CFG_REPLY: アトリビュート = MODECFG_UNITY_PFS: 、値 = 0x00000000
58111:28:38.63908/24/12Sev=Info/5IKE/0x6300000E
MODE_CFG_REPLY: アトリビュート = APPLICATION_VERSION、
値 = シスコシステムズ、構築される株式会社 ASA5505 バージョン 8.4(4)1
木曜日 14-Jun-12 11:20 のビルダー
58211:28:38.63908/24/12Sev= Info/5IKE/0x6300000D
MODE_CFG_REPLY: アトリビュート =
MODECFG_UNITY_SMARTCARD_REMOVAL_DISCONNECT: 、値 = 0x00000001
58311:28:38.63908/24/12Sev= Info/5IKE/0x6300000D
MODE_CFG_REPLY: アトリビュート = 受け取られ、NAT-T を使用します
ポート番号、値 = 0x00001194
58411:28:39.36708/24/12Sev= Debug/9IKE/0x63000093
ini パラメータ EnableDNSRedirection の値は 1 です
58511:28:39.36708/24/12Sev= Debug/7IKE/0x63000076
NAV Trace->TM:MsgID=84B4B653CurState:
TM_MODECFG_DONEEvent: EV_MODECFG_DONE_SUC

プロセス パラメータは、それ自身をそれに応じて設定し。

クライアントのための構造および送信 DPD。

8 月 24 日 11:31:13 [IKEv1]IP = 64.102.156.87、この接続に対するキープアライブ型: DPD
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、P1 キーの再生成 タイマーを開始する IP = 64.102.156.87: 82080 秒。
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec は、ユーザ名 = user1、送信 する IP = 64.102.156.87 メッセージを通知します
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、ブランク ハッシュ ペイロードを組み立てる IP = 64.102.156.87
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、qm ハッシュ ペイロードを組み立てる IP = 64.102.156.87
8 月 24 日 11:31:13 [IKEv1]IP = 64.102.156.87、ペイロードが付いているメッセージ(msgid=be8f7821)を送信 する IKE_DECODE: HDR + HASH (8) + 呼出(11) + どれも(0) 全長: 92
 
 =============== Dead Peer Detection (DPD) ===============> 
 58811:28:39.79508/24/12Sev=Debug/7IKE/0x63000015
intf_data&colon; lcl=0x0501A8C0、mask=0x00FFFFFF、bcast=0xFF01A8C0、bcast_vra=0xFF07070A
58911:28:39.79508/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState:
CMN_MODECFG_PROGEvent: EV_INIT_P2
59011:28:39.79508/24/12Sev=Info/4IKE/0x63000056
ドライバからキー要求を受け取りました: ローカルIP = 192.168.1.100、GW IP = 64.102.156.88、リモートIP = 0.0.0.0
59111:28:39.79508/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState:
CMN_ACTIVEEvent: EV_NO_EVENT
59211:28:39.79508/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->QM:MsgID=0E83792ECurState: QM_INITIALEvent: EV_INITIATOR
59311:28:39.79508/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->QM:MsgID=0E83792ECurState: QM_BLD_MSG1Event: EV_CHK_PFS
59411:28:39.79608/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->QM:MsgID=0E83792ECurState: QM_BLD_MSG1Event: EV_BLD_MSG
59511:28:39.79608/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->QM:MsgID=0E83792ECurState: QM_SND_MSG1Event: EV_START_RETRY_TMR

開始 QM、フェーズ 2.構造 QM1。 このプロセスは下記のものを含んでいます:
-ハッシュ
-クライアント、トンネルタイプおよび暗号化によってサポートされるすべてのフェーズ 2 提案の SA
-臨時
-クライアントID
-プロキシ ID

 59611:28:39.79608/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->QM:MsgID=0E83792ECurState: QM_SND_MSG1Event: EV_SND_MSG
59711:28:39.79608/24/12Sev=Info/4IKE/0x63000013
>>> ISAKMP OAK QM を* (HASH、SA、NON、ID、ID) 64.102.156.88 に送信 します

QM1 を送信します。

 <=============== Quick Mode メッセージ 1 (QM1) =============== 

レシーブ QM1。

8 月 24 日 11:31:13 [IKEv1]IP = 64.102.156.87、ペイロードが付いている IKE_DECODE 受信メッセージ(msgid=e83792e): HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + どれも(0) 全長: 1026 

QM1 を処理します。

関連コンフィギュレーション:

crypto dynamic-map 
DYN 10 set transform-
set TRA
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、processing HASH ペイロード
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、SA ペイロードを処理する IP = 64.102.156.87
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、processing NONCE ペイロード
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、処理 ID ペイロード
8 月 24 日 11:31:13 [IKEv1 デコード]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、受け取った ID_IPV4_ADDR ID
192.168.1.100
8 月 24 日 11:31:13 [IKEv1]Group = ipsec は、ユーザ名 = user1、IP = 64.102.156.87、ID ペイロードのリモート プロキシ ホスト データを受け取りました: 192.168.1.100 を、プロトコル 0、ポート 0 当たって下さい
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、処理 ID ペイロード
8 月 24 日 11:31:13 [IKEv1 デコード]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、ID_IPV4_ADDR_SUBNET ID received--0.0.0.0--0.0.0.0
8 月 24 日 11:31:13 [IKEv1]Group = ipsec は、ユーザ名 = user1、IP = 64.102.156.87、ID ペイロードのローカルIP プロキシ サブネット データを受け取りました: 0.0.0.0 を、マスク 0.0.0.0、プロトコル 0、ポート 0 当たって下さい
8 月 24 日 11:31:13 [IKEv1]Group = ipsec、ユーザ名 = user1、IP = 64.102.156.87、アドレスによって見つけられない QM IsRekeyed 古い sa
8 月 24 日 11:31:13 [IKEv1]Group = ipsec、ユーザ名 = user1、IP = 64.102.156.87、マップ = MAP をチェックするスタティック暗号マップ チェック seq = 10…
8 月 24 日 11:31:13 [IKEv1]Group = ipsec、ユーザ名 = user1、IP = 64.102.156.87、バイパスされるスタティック暗号マップ チェック: 不完全な暗号マップエントリ!
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、ネットワーク アドレス変換トラバーサルによって定義される UDP カプセル化トンネル andUDP カプセル化転送するモードだけ選択する IP = 64.102.156.87
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、ネットワーク アドレス変換トラバーサルによって定義される UDP カプセル化トンネル andUDP カプセル化転送するモードだけ選択する IP = 64.102.156.87
8 月 24 日 11:31:13 [IKEv1]Group = ipsec、ユーザ名 = user1、IP = 64.102.156.87、クリプト マップのために設定される IKE リモートピア: dyn MAP
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IPSec SA ペイロードを処理する IP = 64.102.156.87
 

QM2 を構成します。

関連コンフィギュレーション:

tunnel-group EZ 
type remote-access !
(tunnel type ra = tunnel
type remote-access)

crypto ipsec transform-
set TRA esp-aes esp-
sha-hmac

crypto ipsec security-
association lifetime
seconds 28800

crypto ipsec security-
association lifetime
kilobytes 4608000
crypto dynamic-map
DYN 10 set transform-
set TRA

crypto map MAP 65000
ipsec-isakmp dynamic
DYN
crypto map MAP
interface outside
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、IPSec SA 提案# 12、トランスフォーム# 1 つの acceptableMatches グローバル な IPSec SA エントリ# 10
8 月 24 日 11:31:13 [IKEv1]Group = ipsec、ユーザ名 = user1、IP = 64.102.156.87、IKE: requesting SPI!
IPSEC: 新しい萌芽期 SA によって作成される@ 0xcfdffc90、
SCB: 0xCFDFFB58、方向: 受信
SPI: 0x9E18ACB2
Session id: 0x00138000
数字 VPIF: 0x00000004
トンネルタイプ: RA
プロトコル: 特別に
Lifetime(ライフタイム): 240 秒
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec は、ユーザ名 = user1、キー エンジンから IP = 64.102.156.87、IKE SPI を所得しました: SPI = 0x9e18acb2
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、Quick Mode を組み立てる oakley
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、ブランク ハッシュ ペイロードを組み立てる IP = 64.102.156.87
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IPSec SA ペイロードを組み立てる IP = 64.102.156.87
8 月 24 日 11:31:13 [IKEv1]Group = ipsec、ユーザ名 = user1、IP = 64.102.156.87、2147483 から 86400 秒に期間を鍵変更する無効になる開始プログラムの IPSec
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IPSec 臨時 ペイロードを組み立てる IP = 64.102.156.87
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、プロキシ ID を組み立てる IP = 64.102.156.87
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、送信プロキシ ID:
リモートホスト: 192.168.1.100Protocol 0Port 0
ローカル subnet:0.0.0.0mask 0.0.0.0 プロトコル 0Port 0
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、発信側にレスポンダー の ライフタイム 通知を送信 する IP = 64.102.156.87
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、qm ハッシュ ペイロードを組み立てる IP = 64.102.156.87
 

QM2 を送信します。

8 月 24 日 11:31:13 [IKEv1 デコード]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、第 2 QM pkt を送信 する IKE 応答側: メッセージ ID = 0e83792e
8 月 24 日 11:31:13 [IKEv1]IP = 64.102.156.87、ペイロードが付いているメッセージ(msgid=e83792e)を送信 する IKE_DECODE: HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NOTIFY (11) + NONE (0) total length : 184
 
 =============== Quick Mode メッセージ 2 (QM2) ===============> 
 60811:28:39.96208/24/12Sev=Info/4IKE/0x63000014
RECEIVING <<< ISAKMP OAK QM *(HASH, SA, NON, ID, ID,
呼出: 64.102.156.88 からの STATUS_RESP_LIFETIME)

レシーブ QM2。

 60911:28:39.96408/24/12Sev=Decode/11IKE/0x63000001
ISAKMP ヘッダ
発信側 COOKIE:D56197780D7BE3E5
応答側 COOKIE:1B301D2DE710EDA0
Next payload: ハッシュ
Ver (Hex):10
Exchange type: Quick Mode
Flags: (暗号化)
MessageID(Hex):E83792E
Length:188
ペイロード ハッシュ
Next payload: セキュリティ結合
予約済み: 00
ペイロード長: 24
データ(Hex で): CABF38A62C9B88D1691E81F3857D6189534B2EC0
ペイロード セキュリティ結合
Next payload: 臨時
予約済み: 00
ペイロード長: 52
DOI : IPSEC
Situation : (SIT_IDENTITY_ONLY)

ペイロード提案
Next payload: なし
予約済み: 00
ペイロード長: 40
Proposal # #: 1
プロトコルID: PROTO_IPSEC_ESP
SPI サイズ: 4
変換の数: 1
SPI: 9E18ACB2

ペイロード トランスフォーム
Next payload: なし
予約済み: 00
ペイロード長: 28
Transform # #: 1
トランスフォーム ID: ESP_3DES
Reserved2: 0000
ライフタイプ(有効種類): 秒
Life duration (Hex): 0020C49B
エンキャプシュレーションモード: UDP トンネル
Authentication Algorithm(認証アルゴリズム): SHA1
ペイロード 臨時
Next payload: 確認方法
予約済み: 00
ペイロード長: 24
データ(Hex で): 3A079B75DA512473706F235EA3FCA61F1D15D4CD
ペイロード 識別
Next payload: 確認方法
予約済み: 00
ペイロード長: 12
Id type: IPv4 アドレス
プロトコルID (UDP/TCP、等…): 0
Port: 0
ID Data&colon; 192.168.1.100
ペイロード 識別
Next payload: 通知
予約済み: 00
ペイロード長: 16
Id type: IPv4 サブネット
プロトコルID (UDP/TCP、等…): 0
Port: 0
ID Data&colon; 0.0.0.0/0.0.0.0
ペイロード 通知
Next payload: なし
予約済み: 00
ペイロード長: 28
DOI : IPSEC
プロトコルID: PROTO_IPSEC_ESP
Spi サイズ: 4
呼出型: STATUS_RESP_LIFETIME
SPI: 9E18ACB2
Data&colon;
ライフタイプ(有効種類): 秒
Life duration (Hex): 00015180

QM2 を処理します。 復号化されたペイロードは選択された提案を示します。

 61011:28:39.96508/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->QM:MsgID=0E83792ECurState: QM_WAIT_MSG2Event: EV_RCVD_MSG
61111:28:39.96508/24/12Sev=Info/5IKE/0x63000045
レスポンダー の ライフタイムは持っています 86400 秒の値を知らせます
61211:28:39.96508/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->QM:MsgID=0E83792ECurState: QM_WAIT_MSG2Event: EV_CHK_PFS
61311:28:39.96508/24/12Sev=Debug/7IKE/0x63000076

QM2 を処理します。

 NAV Trace->QM:MsgID=0E83792ECurState: QM_BLD_MSG3Event: EV_BLD_MSG
61411:28:39.96508/24/12Sev=Debug/7IKE/0x63000076
ISAKMP ヘッダ
発信側 COOKIE:D56197780D7BE3E5
応答側 COOKIE:1B301D2DE710EDA0
Next payload: ハッシュ
Ver (Hex):10
Exchange type: Quick Mode
Flags: (暗号化)
MessageID(Hex):E83792E
Length:52

ペイロード ハッシュ
Next payload: なし
予約済み: 00
ペイロード長: 24
データ(Hex で): CDDC20D91EB4B568C826D6A5770A5CF020141236

QM3 を構成します。 ここに示されている QM3 のための復号化されたペイロード。 このプロセス ncludes ハッシュ。

 61511:28:39.96508/24/12Sev=Debug/7IKE/0x63000076
NAV Trace->QM:MsgID=0E83792ECurState: QM_SND_MSG3Event: EV_SND_MSG
61611:28:39.96508/24/12Sev=Info/4IKE/0x63000013
>>> ISAKMP OAK QM を* (HASH) 64.102.156.88 に送信 します

QM3 を送信します。 クライアントは暗号化し、復号化して現在準備ができています。

 <=============== Quick Mode メッセージ 3 (QM3) =============== 

レシーブ QM3。

8 月 24 日 11:31:13 [IKEv1]IP = 64.102.156.87、ペイロードが付いている IKE_DECODE 受信メッセージ(msgid=e83792e): HDR + HASH (8) + どれも(0) 全長: 52 

QM3 を処理します。 受信および送信 セキュリティパラメータ インデックス(SPI)を作成して下さい。 ホストのためのスタティック ルートを追加して下さい。

関連コンフィギュレーション:

crypto ipsec transform-
set TRA esp-aes esp-
sha-hmac
crypto ipsec security-
association lifetime
seconds 28800
crypto ipsec security-
association lifetime
kilobytes 4608000
crypto dynamic-map
DYN 10 set transform-
set TRA
crypto dynamic-map
DYN 10 set reverse-
route
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、processing HASH ペイロード
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、すべての IPSec SA をロードする IP = 64.102.156.87
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、Quick Mode キーを生成する IP = 64.102.156.87!
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec は、ユーザ名 = user1、クリプト マップ dyn MAP 10 一致する ACL 未知数のために IP = 64.102.156.87、NP ルールを調べます暗号化します: 戻される
cs_id=cc107410; rule=00000000
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、Quick Mode キーを生成する IP = 64.102.156.87!
IPSEC: 新しい萌芽期 SA によって作成される@ 0xccc9ed60、
SCB: 0xCF7F59E0、
方向: 送信
SPI: 0xC055290A
Session id: 0x00138000
数字 VPIF: 0x00000004
トンネルタイプ: RA
プロトコル: 特別に
Lifetime(ライフタイム): 240 秒
IPSEC: 完了されたホスト OBSA アップデート、SPI 0xC055290A
IPSEC: 送信 VPN コンテキストの作成、SPI 0xC055290A
Flags: 0x00000025
SA: 0xccc9ed60
SPI: 0xC055290A
MTU: 1500 バイト
VCID: 0x00000000
ピア: 0x00000000
SCB: 0xA5922B6B
Channel: 0xc82afb60
IPSEC: 完了された送信 VPN コンテキスト、SPI 0xC055290A
VPN ハンドル: 0x0015909c
IPSEC: 新しい送信 暗号化ルール、SPI 0xC055290A
ソース アドレス: 0.0.0.0
ソース マスク: 0.0.0.0
Dst アドレス: 192.168.1.100
Dst マスク: 255.255.255.255
ソース ポート
甲革: 0
下部の: 0
操作: 無視
Dst ポート
甲革: 0
下部の: 0
操作: 無視
プロトコル: 0
使用 プロトコル: false
SPI: 0x00000000
使用 SPI: false
IPSEC: 完了された送信 暗号化ルール、SPI 0xC055290A
ルール ID: 0xcb47a710
IPSEC: 新しい送信割り当てルール、SPI 0xC055290A
ソース アドレス: 64.102.156.88
ソース マスク: 255.255.255.255
Dst アドレス: 64.102.156.87
Dst マスク: 255.255.255.255
ソース ポート
甲革: 4500
下部の: 4500
操作: 等号
Dst ポート
甲革: 58506
下部の: 58506
操作: 等号
プロトコル: 17
使用 プロトコル: true
SPI: 0x00000000
使用 SPI: false
IPSEC: 完了された送信割り当てルール、SPI 0xC055290A
ルール ID: 0xcdf3cfa0
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec は、ユーザ名 = user1、クリプト マップ dyn MAP 10 一致する ACL 未知数のために IP = 64.102.156.87、NP ルールを調べます暗号化します: 戻される
cs_id=cc107410; rule=00000000
8 月 24 日 11:31:13 [IKEv1]Group = ipsec、ユーザ名 = user1、IP = 64.102.156.87、ユーザ(受信 user1)Responder 完全なセキュリティ ネゴシエーション SPI = 0x9e18acb2、発信向けに
SPI = 0xc055290a
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、IKE
SA のための KEY_ADD メッセージを得ました: SPI = 0xc055290a
IPSEC: 完了されたホスト IBSA アップデート、SPI 0x9E18ACB2
IPSEC: 受信 VPN コンテキストの作成、SPI 0x9E18ACB2
Flags: 0x00000026
SA: 0xcfdffc90
SPI: 0x9E18ACB2
MTU: 0 bytes
VCID: 0x00000000
ピア: 0x0015909C
SCB: 0xA5672481
Channel: 0xc82afb60
IPSEC: 完了された受信 VPN コンテキスト、SPI 0x9E18ACB2
VPN ハンドル: 0x0016219c
IPSEC: 送信 VPN コンテキスト 0x0015909C のアップデート、SPI 0xC055290A
Flags: 0x00000025
SA: 0xccc9ed60
SPI: 0xC055290A
MTU: 1500 バイト
VCID: 0x00000000
ピア: 0x0016219C
SCB: 0xA5922B6B
Channel: 0xc82afb60
IPSEC: 完了された送信 VPN コンテキスト、SPI 0xC055290A
VPN ハンドル: 0x0015909c
IPSEC: 完了された送信内部ルール、SPI 0xC055290A
ルール ID: 0xcb47a710
IPSEC: 完了された送信 外側 SPD ルール、SPI 0xC055290A
ルール ID: 0xcdf3cfa0
IPSEC: 新しい受信 トンネル フロー ルール、SPI 0x9E18ACB2
ソース アドレス: 192.168.1.100
ソース マスク: 255.255.255.255
Dst アドレス: 0.0.0.0
Dst マスク: 0.0.0.0
ソース ポート
甲革: 0
下部の: 0
操作: 無視
Dst ポート
甲革: 0
下部の: 0
操作: 無視
プロトコル: 0
使用 プロトコル: false
SPI: 0x00000000
使用 SPI: false
IPSEC: 完了された受信 トンネル フロー ルール、SPI 0x9E18ACB2
ルール ID: 0xcdf15270
IPSEC: 新しい受信 復号化ルール、SPI 0x9E18ACB2
ソース アドレス: 64.102.156.87
ソース マスク: 255.255.255.255
Dst アドレス: 64.102.156.88
Dst マスク: 255.255.255.255
ソース ポート
甲革: 58506
下部の: 58506
操作: 等号
Dst ポート
甲革: 4500
下部の: 4500
操作: 等号
プロトコル: 17
使用 プロトコル: true
SPI: 0x00000000
使用 SPI: false
IPSEC: 完了された受信 復号化ルール、SPI 0x9E18ACB2
ルール ID: 0xce03c2f8
IPSEC: 新しい受信割り当てルール、SPI 0x9E18ACB2
ソース アドレス: 64.102.156.87
ソース マスク: 255.255.255.255
Dst アドレス: 64.102.156.88
Dst マスク: 255.255.255.255
ソース ポート
甲革: 58506
下部の: 58506
操作: 等号
Dst ポート
甲革: 4500
下部の: 4500
操作: 等号
プロトコル: 17
使用 プロトコル: true
SPI: 0x00000000
使用 SPI: false
IPSEC: 完了された受信割り当てルール、SPI 0x9E18ACB2
ルール ID: 0xcf6f58c0
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、IP = 64.102.156.87、水差し: 受け取った KEY_UPDATE、spi 0x9e18acb2
8 月 24 日 11:31:13 [IKEv1 デバッグ]グループ = ipsec、ユーザ名 = user1、P2 キーの再生成 タイマーを開始する IP = 64.102.156.87: 82080 秒。
8 月 24 日 11:31:13 [IKEv1]Group = ipsec、ユーザ名 = user1、クライアントアドレスのためのスタティック ルートを追加する IP = 64.102.156.87: 192.168.1.100
 

完全なフェーズ 2。 両側はで今暗号化し、復号化します。

8 月 24 日 11:31:13 [IKEv1]Group = ipsec、ユーザ名 = user1、IP = 64.102.156.87、完了するフェーズ 2 (msgid=0e83792e)

 

ハードウェアクライアントに関しては、1 つのより多くのメッセージはクライアントがそれ自身についての情報を送信 するところで受け取られます。 よく調べる場合、クライアントで動作する、およびソフトウェアの位置および名前必要があります EzVPN クライアントのホスト名を、ソフトウェア見つける

[IKEv1] 8 月 24 日 11:31:13: IP = 10.48.66.23、ペイロードが付いている IKE_DECODE 受信メッセージ(msgid=91facca9): HDR + HASH (8) + 呼出(11) + どれも(0) 全長: 184
8 月 24 日 11:31:13 [IKEv1 デバッグ]: グループ = EZ、ユーザ名 = cisco、IP = 10.48.66.23、processing HASH ペイロード
8 月 24 日 11:31:13 [IKEv1 デバッグ]: グループ = EZ は、ユーザ名 = cisco、処理する IP = 10.48.66.23 ペイロードを知らせます
8 月 24 日 11:31:13 [IKEv1 デコード]: 廃止 記述子-インデックス 1
8 月 24 日 11:31:13 [IKEv1 デコード]: 0000: 00000000 7534000B
62736E73 2D383731
….u4. .bsns-871
0010: 2D332E75 32000943 6973636F 20383731 -3.u2。Cisco 871
0020: 7535000B 46484B30 39343431 32513675 u5..FHK094412Q6u
0030: 36000932 32383538 39353638 75390009 6..228589568u9。
0040: 31343532 31363331 32753300 2B666C61 145216312u3.+fla
0050: 73683A63 3837302D 61647669 70736572 sh:c870-advipser
0060: 76696365 736B392D 6D7A2E31 32342D32 vicesk9-mz.124-2
0070: 302E5435 2E62696E 0.T5.bin

8 月 24 日 11:31:13 [IKEv1 デバッグ]: グループ = EZ、ユーザ名 = cisco、PSK ハッシュを処理する IP = 10.48.66.23
[IKEv1] 8 月 24 日 11:31:13: グループ = EZ、ユーザ名 = cisco、IP = 192.168.1.100、矛盾した PSK ハッシュ サイズ
8 月 24 日 11:31:13 [IKEv1 デバッグ]: グループ = EZ は、ユーザ名 = cisco、IP = 10.48.66.23、PSK ハッシュ確認失敗しました!
 

トンネルの確認

ISAKMP

SH 叫び ISA sa det コマンドからの出力は次のとおりです:

 Active SA: 1
 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
 
1 IKE Peer: 10.48.66.23
 Type : user Role : responder
 Rekey : no State : AM_ACTIVE
 Encrypt : aes Hash : SHA
 Auth : preshared Lifetime: 86400
 Lifetime Remaining: 86387
 AM_ACTIVE - aggressive mode is active.

IPSEC

インターネット制御メッセージ プロトコル (ICMP)がトンネルを引き起こすのに使用されているので 1 IPsec SA だけ稼働しています。 プロトコル 1 は ICMP です。 デバッグでネゴシエートされる SPI 値が物と異なることに注目して下さい。 これはフェーズ 2 キーの再生成の後に、実際、同じトンネルです。

SH 暗号 ipsec sa コマンドから次のとおりです出力して下さい:

interface: outside
 Crypto map tag: DYN, seq num: 10, local addr: 10.48.67.14
 
 local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
 remote ident (addr/mask/prot/port): (192.168.1.100/255.255.255.255/0/0)
 current_peer: 10.48.66.23, username: cisco
 dynamic allocated peer ip: 192.168.1.100
 
 #pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
 #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
 #pkts compressed: 0, #pkts decompressed: 0
 #pkts not compressed: 5, #pkts comp failed: 0, #pkts decomp failed: 0
 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
 #send errors: 0, #recv errors: 0
 
 local crypto endpt.: 10.48.67.14/0, remote crypto endpt.: 10.48.66.23/0
 path mtu 1500, ipsec overhead 74, media mtu 1500
 current outbound spi: C4B9A77C
 current inbound spi : EA2B6B15
 
 inbound esp sas:
 spi: 0xEA2B6B15 (3928714005)
 transform: esp-aes esp-sha-hmac no compression
 in use settings ={RA, Tunnel, }
 slot: 0, conn_id: 425984, crypto-map: DYN
 sa timing: remaining key lifetime (sec): 28714
 IV size: 16 bytes
 replay detection support: Y
 Anti replay bitmap:
 0x00000000 0x0000003F
 outbound esp sas:
 spi: 0xC4B9A77C (3300501372)
 transform: esp-aes esp-sha-hmac no compression
 in use settings ={RA, Tunnel, }
 slot: 0, conn_id: 425984, crypto-map: DYN
 sa timing: remaining key lifetime (sec): 28714
 IV size: 16 bytes
 replay detection support: Y
 Anti replay bitmap:
 0x00000000 0x00000001

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 113595