セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

DMVPN フェーズ 1 デバッグはガイドを解決します

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料はダイナミック マルチポイント 仮想 な プライベート ネットワーク(DMVPN)フェーズ 1 配備のハブ & スポークで表示するデバッグ メッセージを記述したものです。

フランク DeNofa によって貢献される、Cisco TAC エンジニア。

前提条件

この資料の設定および debug コマンドに関しては、Cisco IOS ® リリース 12.4(9)T またはそれ以降を実行する 2 つの Ciscoルータを必要とします。 一般に機能この資料で参照されるデバッグがサポートされないかもしれませんが、基本的な DMVPN フェーズ 1 は集約 サービス ルータ(ASR)のために Cisco IOS Release 12.2(13)T または それ 以降かリリース 12.2(33)XNC を必要とし。

要件

次の項目に関する知識があることが推奨されます。

  • 総称ルーティング カプセル化(GRE)
  • Next Hop Resolution Protocol (NHRP; ネクスト ホップ リソリューション プロトコル)
  • Internet Security Association and Key Management Protocol(ISAKMP)
  • インターネット キー エクスチェンジ(IKE)
  • IPSec(Internet Protocol Security)
  • これらのルーティング プロトコルの少なくとも 1 つ: Enhanced Interior Gateway Routing Protocol (EIGRP)、Open Shortest Path First (OSPF)、ルーティング情報プロトコル (RIP)および Border Gateway Protocol (BGP)

使用するコンポーネント

この文書に記載されている情報は Cisco に Cisco IOS Release 15.1(4)M4 を実行する 2911 人の統合サービス ルータ(ISR)基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

重要な機能拡張

これらの Cisco IOSバージョンは DMVPN フェーズ 1 のための重要な機能か修正をもたらしました:

  • リリース 12.2(18)SXF5 -公開鍵インフラストラクチャ (PKI)を使用する場合の ISAKMP のためのよりよいサポート
  • リリース 12.2(33)XNE - ASR、IPSec プロファイル、トンネル 保護、IPSec ネットワーク アドレス変換(NAT)走査
  • リリース 12.3(7)T -内部バーチャルルーティングおよびフォワーディング(iVRF)サポート
  • リリース 12.3(11)T -前面扉 バーチャルルーティングおよびフォワーディング(fVRF)サポート
  • リリース 12.4(9)T -さまざまな DMVPN 関連デバッグおよびコマンドのためのサポート
  • リリース 12.4(15)T -共用トンネル 保護
  • リリース 12.4(20)T - DMVPN 上の IPv6
  • リリース 15.0(1)M - NHRP トンネル ヘルス モニタリング

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

関連コンフィギュレーション

トポロジー 外観

このトポロジーに関しては、動作する 2 つの 2911 ISR は DMVPN フェーズ 1 の間リリース 15.1(4)M4 設定されました: ハブとして 1 つおよびスポークとして 1。 Ethernet0/0 は「インターネット」が各ルータでインターフェイスするように使用されました。 4 つのループバックインターフェイスはハブかスポークサイトに住んでいるローカル エリア ネットワークを模倣するために設定されます。 これが DMVPN フェーズ 1 トポロジーとのであるので 1 つだけはマルチポイント GREトンネルよりもむしろポイントツーポイント GREトンネルで、スポーク設定されます話しました。 各ルータで同じ暗号 configuraton が(ISAKMP および IPSec)それらを確認するのに完全に一致しました使用されました。

ダイアグラム 1

暗号

これはハブおよびスポークに同じです。

crypto isakmp policy 1
encr 3des
hash sha
authentication pre-share
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
crypto ipsec transform-set DMVPN-TSET esp-3des esp-sha-hmac
mode transport
crypto ipsec profile DMVPN-IPSEC
set transform-set DMVPN-TSET

ハブ

interface Tunnel0
ip address 10.1.1.254 255.255.255.0
no ip redirects
ip mtu 1400
ip nhrp authentication NHRPAUTH
ip nhrp map multicast dynamic
ip nhrp network-id 1
ip tcp adjust-mss 1360
no ip split-horizon eigrp 1
tunnel source Ethernet0/0
tunnel mode gre multipoint
tunnel key 1
tunnel protection ipsec profile DMVPN-IPSEC
end

interface Ethernet0/0
ip address 172.16.10.1 255.255.255.0
end

interface Loopback0
ip address 203.0.113.1 255.255.255.255
interface Loopback1
ip address 203.0.113.2 255.255.255.255
interface Loopback2
ip address 203.0.113.3 255.255.255.255
interface Loopback3
ip address 203.0.113.4 255.255.255.255

router eigrp 1
network 10.1.1.0 0.0.0.255
network 203.0.113.1 0.0.0.0
network 203.0.113.2 0.0.0.0
network 203.0.113.3 0.0.0.0
network 203.0.113.4 0.0.0.0

スポーク

interface Tunnel0
ip address 10.1.1.1 255.255.255.0
ip mtu 1400
ip nhrp authentication NHRPAUTH
ip nhrp map 10.1.1.254 172.16.10.1
ip nhrp network-id 1
ip nhrp nhs 10.1.1.254
ip tcp adjust-mss 1360
tunnel source Ethernet0/0
tunnel destination 172.16.10.1
tunnel key 1
tunnel protection ipsec profile DMVPN-IPSEC
end

interface Ethernet0/0
ip address 172.16.1.1 255.255.255.0
end

interface Loopback0
ip address 209.165.201.1 255.255.255.255
interface Loopback1
ip address 209.165.201.2 255.255.255.255
interface Loopback2
ip address 209.165.201.3 255.255.255.255
interface Loopback3
ip address 209.165.201.4 255.255.255.255

router eigrp 1
network 209.165.201.1 0.0.0.0
network 209.165.201.2 0.0.0.0
network 209.165.201.3 0.0.0.0
network 209.165.201.4 0.0.0.0
network 10.1.1.0 0.0.0.255

デバッグ

パケットフロー ビジュアル化

これはこの資料に見られるように全体の DMVPN パケットフローのビジュアル化です。 ステップのそれぞれを説明するより詳しいデバッグはまた含まれています。

  1. スポークのトンネルが"no shutdown"のとき DMVPN プロセスを開始する NHRP 登録要求を生成します。 ハブの設定が完全にダイナミックであるので、スポークは接続を開始するエンドポイントである必要があります。
  2. NHRP 登録要求は開始するためにクリプト プロセスを引き起こす GRE でそれからカプセル化されます。
  3. この時点で、最初の ISAKMP メインモード メッセージはポート UDP500 のハブにから- ISAKMP MM1 -話しました送信 されます。
  4. ワールド・トゥデイは一致する ISAKMPポリシーがあるので、受け取り、MM1 を処理し、ISAKMP MM2 と応答します。

    ダイアグラム 2 -ステップ 1 に 4 を参照します

  5. スポークが MM2 を受け取れば、MM3 と応答します。 MM1 と同様に、スポークは受け取った ISAKMPポリシーをです有効確認します。
  6. ワールド・トゥデイは MM3 を受け取り、MM4 と応答します。
  7. ISAKMPネゴシエーションのこの時点では、スポークはポート UDP4500 で NAT が中継 パスで検出する場合応答するかもしれません。 ただし、NAT が検出する スポークは UDP500 の MM5 を続け、送信 します。 最後に、ハブは MM6 とメインモード交換を完了するために応答します。

    ダイアグラム 3 -ステップ 5 に 7 を参照します

  8. スポークがハブから MM6 を受け取れば、UDP500 のハブに Quick Mode を始めるために QM1 を送信 します。
  9. ワールド・トゥデイはすべてが受け取った属性受け入れられるように、QM1 を受け取り、QM2 と応答します。 この時点でハブはこのセッションのためのフェーズ 2 SA を作成します。
  10. Quick Mode ネゴシエーションの最後のステップとして、QM2 はスポークによって受け取られます。 スポークはそしてフェーズ 2 SA を作成し、応答の QM3 を送信 します。 これは ISAKMP および IPSec ネゴシエーションを完了します。 このときこれら二つの同位間の GRE トラフィックを暗号化する IPSecセッションがあります。

    ダイアグラム 4 -ステップ 8 に 10 を参照します

  11. 暗号 セッションがアップおよびトラフィックを通過できるのでこれらのパケットは GRE Over IPSec トンネルの内でカプセル化されます。

    ダイアグラム 5 -ステップ 11 を参照します

  12. 第一歩で見られたように、スポークは GRE Over IPSec トンネルを渡って送信 される NHRP 登録要求を生成します。
  13. ワールド・トゥデイはスポークを持っていれば有効なトンネルおよび非ブロードキャスト マルチアクセス(NBMA)アドレスを確認すれば NHRP 登録要求を受け取り、NHRP 登録応答を返します。 スポークは登録 手続を完了するこの NHRP 登録応答を受け取ります。

    ダイアグラム 6 -ステップ 12 に 13 を参照します

これらのデバッグはデバッグ dmvpn がハブ・アンド・スポーク ルータですべてのすべてのコマンド入るとき結果です。 この特殊なコマンドはデバッグのこのセットを有効に します:

Spoke1#debug dmvpn all all
DMVPN all level debugging is on
Spoke1#show debug


NHRP:
NHRP protocol debugging is on
NHRP activity debugging is on
NHRP extension processing debugging is on
NHRP cache operations debugging is on
NHRP routing debugging is on
NHRP rate limiting debugging is on
NHRP errors debugging is on
IKEV2:
IKEV2 error debugging is on
IKEV2 terse debugging is on
IKEV2 event debugging is on
IKEV2 packet debugging is on
IKEV2 detail debugging is on



Cryptographic Subsystem:
Crypto ISAKMP debugging is on
Crypto ISAKMP Error debugging is on
Crypto IPSEC debugging is on
Crypto IPSEC Error debugging is on
Crypto secure socket events debugging is on
Tunnel Protection Debugs:
Generic Tunnel Protection debugging is on
DMVPN:
DMVPN error debugging is on
DMVPN UP/DOWN event debugging is on
DMVPN detail debugging is on
DMVPN packet debugging is on
DMVPN all level debugging is on

説明を含むデバッグ

これが IPSec が設定されている configuraton であるので、デバッグは IPSec ISAKMP およびデバッグすべてを示します。 暗号なら設定されませんでしたり、「IPsec」か「ISAKMP から」。開始するデバッグを無視します

HUB デバッグ説明

デバッグ順に

スポーク デバッグ説明

これらのはじめの幾つかのデバッグ メッセージはトンネルインターフェイスで入力される no shutdown コマンドによって生成されます。 メッセージは始められている暗号、GRE および NHRP サービスによって生成されます。

NHRP 登録 エラーはハブでネクストホップサーバ (NHS)を設定してもらわないので見られます(ハブは DMVPN クラウドのための NHS です)。 これは予想どおりの結果です。

IPSEC-IFC MGRE/Tu0: トンネルステータスのチェック。
NHRP: if_up: Tunnel0 原始 0
IPSEC-IFC MGRE/Tu0: トンネル アップ
IPSEC-IFC MGRE/Tu0: 既に受信する crypto_ss_listen_start
%CRYPTO-6-ISAKMP_ON_OFF: ISAKMP はオンになっています
NHRP: 登録 送信 することが不可能- NHSes は設定しませんでした
%LINK-3-UPDOWN: インターフェイス Tunnel0、への変更された状態
NHRP: if_up: Tunnel0 原始 0
NHRP: 登録 送信 することが不可能- NHSes は設定しませんでした
IPSEC-IFC MGRE/Tu0: トンネル アップ
IPSEC-IFC MGRE/Tu0: 既に受信する crypto_ss_listen_start
%LINEPROTO-5-UPDOWN: インターフェイス Tunnel0 の行プロトコル、への変更された状態

 

 

IPSEC-IFC GRE/Tu0: トンネルステータスのチェック。
IPSEC-IFC GRE/Tu0(172.16.1.1/172.16.10.1): 接続ルックアップは 0 を戻しました
IPSEC-IFC GRE/Tu0: 既に受信する crypto_ss_listen_start
IPSEC-IFC GRE/Tu0(172.16.1.1/172.16.10.1): プロファイル DMVPN-IPSEC のソケットの開始
IPSEC-IFC GRE/Tu0(172.16.1.1/172.16.10.1): 接続ルックアップは 0 を戻しました
IPSEC-IFC GRE/Tu0(172.16.1.1/172.16.10.1): トンネルをすぐに引き起こします。
IPSEC-IFC GRE/Tu0: 共用リストに Tunnel0 トンネルインターフェイスを追加する方法
NHRP: if_up: Tunnel0 原始 0
NHRP: Tunnel0: キャッシュはターゲット 10.1.1.254/32 ネクスト・ホップ 10.1.1.254 のために追加します
           172.16.10.1
IPSEC-IFC GRE/Tu0: トンネル アップ
IPSEC-IFC GRE/Tu0(172.16.1.1/172.16.10.1): 接続ルックアップによって戻される 961D220
IPSEC-IFC GRE/Tu0: 既に受信する crypto_ss_listen_start
IPSEC-IFC GRE/Tu0: 既に受信する crypto_ss_listen_start
IPSEC-IFC GRE/Tu0(172.16.1.1/172.16.10.1): プロファイル DMVPN-IPSEC のソケットの開始
IPSEC-IFC GRE/Tu0(172.16.1.1/172.16.10.1): 接続ルックアップによって戻される 961D220
IPSEC-IFC GRE/Tu0(172.16.1.1/172.16.10.1): ソケットは既に開かれています。 Ignoring。
CRYPTO_SS (トンネル SEC): アプリケーションは受信し始めました
mapdb AVL へのマップの挿入は、マップ + 既に mapdb で存在 する エース ペア失敗しました
%CRYPTO-6-ISAKMP_ON_OFF: ISAKMP はオンになっています
CRYPTO_SS (トンネル SEC): 開いたアクティブ ソケット ヒント: ローカル 172.16.1.1 172.16.1.1/255.255.255.255/0、リモート 172.16.10.1 172.16.10.1/255.255.255.255/0、prot 47、ifc Tu0

これらのはじめの幾つかのデバッグ メッセージはトンネルインターフェイスで入力される no shutdown コマンドによって生成されます。 メッセージは始められる暗号、GRE および NHRP サービスによって生成されます。

さらに、スポークは自身の NBMA およびトンネル アドレスのための自身の NHRP キャッシュにエントリを追加します。

ISAKMP (フェーズ I)ネゴシエーションの開始する

 

IPSEC(recalculate_mtu): 1500 へのリセット sadb_root 94EFDC0 MTU
IPSEC(sa_request): 、
  (キー イギリス メッセージ。)送信 local= 172.16.1.1:500、remote= 172.16.10.1:500、
    local_proxy= 172.16.1.1/255.255.255.255/47/0 (type=1)、
    remote_proxy= 172.16.10.1/255.255.255.255/47/0 (type=1)、
    protocol= ESP、transform= esp-3des esp-sha-hmac (転送する)、
    lifedur= 3600s and 4608000kb,
    spi= 0x0(0)、conn_id= 0、keysize= 0、flags= 0x0
ISAKMP:(0): SA 要求 プロファイルはあります(NULL)
ISAKMP : 172.16.10.1 のためのピア構造体を、ピア ポート 500 作成しました
ISAKMP : 新しいピアはピア = 0x95F6858 peer_handle = 0x80000004 を作成しました
ISAKMP : ピア構造体 0x95F6858 のロックする方法、isakmp_initiator のための refcount 1
ISAKMP : local port 500, remote port 500
ISAKMP : set new node 0 to QM_IDLE     
正常に ISAKMP:(0):insert sa sa = 8A26FB0
ISAKMP:(0):Can ない開始する アグレッシブモード、試みるメインモード。
172.16.10.1 と一致する ISAKMP:(0):found ピア 事前共有キー
ISAKMP:(0): 組み立てられた NAT-T vendor-rfc3947 ID
ISAKMP:(0): 組み立てられた NAT-T vendor-07 ID
ISAKMP:(0): constructed NAT-T vendor-03 ID
ISAKMP:(0): 組み立てられた NAT-T vendor-02 ID
ISAKMP:(0):Input = IKE_MESG_FROM_IPSEC、IKE_SA_REQ_MM
ISAKMP:(0):Old 状態 = IKE_READY 新しい状態 = IKE_I_MM1
 
ISAKMP:(0): beginning Main Mode exchange
ISAKMP:(0): パケットを 172.16.10.1 my_port 500 peer_port 500 (i) MM_NO_STATE に送信 します
ISAKMP:(0):sending IKE IPv4 パケット。
IPSEC-IFC GRE/Tu0(172.16.1.1/172.16.10.1): 接続ルックアップによって戻される 961D220
IPSEC-IFC GRE/Tu0(172.16.1.1/172.16.10.1): よいソケット準備ができたメッセージ

トンネルが"no shutdown"なら第一歩は暗号 ネゴシエーションを開始することです。 ここにスポークは SA 要求を作成し、アグレッシブモードを開始するように試み、メインモードに戻って失敗します。 アグレッシブモードがどちらかのルータで設定されないので、これは期待されます。

スポークはメインモードを始め、最初の ISAKMP メッセージを、MM_NO_STATE 送信 します。 IKE_READY からの IKE_I_MM1 への ISAKMP ステート の 変化。

NAT-T Vendor ID メッセージは NAT の検出および横断で使用されます。 これらのメッセージは ISAKMP のネゴシエーションの間に NAT が設定されていればかどうかにかかわらず期待されます。 アグレッシブモード メッセージのように、これらは期待されます。

スポークのトンネルが「no shutdown だった後」、ハブは IKE 新しい SA (ポート 500 の 1) メインモード メッセージを受け取ります。 応答側として、ハブは ISAKMP Security Association (SA)を作成します。

IKE_READY からの IKE_R_MM1 への ISAKMP ステート の 変化。

ISAKMP (0): 172.16.1.1 dport 500 スポーツ 500 グローバル な(n)新しい SA からの受け取り パケット
ISAKMP : 172.16.1.1 のためのピア構造体を、ピア ポート 500 作成しました
ISAKMP : 新しいピアはピア = 0x8CACD00 peer_handle = 0x80000003 を作成しました
ISAKMP : ピア構造体 0x8CACD00 のロックする方法、crypto_isakmp_process_block のための refcount 1
ISAKMP : local port 500, remote port 500
正常に ISAKMP:(0):insert sa sa = 6A5BDE8
ISAKMP:(0):Input = IKE_MESG_FROM_PEER、IKE_MM_EXCH
ISAKMP:(0):Old 状態 = IKE_READY 新しい状態 = IKE_R_MM1

 

受け取った IKE メインモード 1 メッセージは処理されます。 ハブはピアに一致する ISAKMP 属性があり、ちょうど作成された ISAKMP SA に一杯になることを判別します。 メッセージはピアが SHA の暗号化、ハッシュ、Diffie Hellman (DH) 1 グループ、認証の事前共有キー、および 86400 秒(0x0 0x1 0x51 0x80 = 0x15180 = 86400 秒)のデフォルト SA ライフタイムのために 3DES-CBC を使用することを示します。

ISAKMP 状態は応答がスポークに送られないことを持っていないので今でも IKE_R_MM1 です。

NAT-T Vendor ID メッセージは NAT の検出および横断で使用されます。 これらのメッセージは ISAKMP のネゴシエーションの間に NAT が設定されていればかどうかにかかわらず期待されます。 同じようなメッセージは Dead Peer Detection (DPD)については見られます。

ISAKMP:(0): SA ペイロードの処理。 メッセージID = 0
ISAKMP:(0): processing vendor id payload
ISAKMP:(0): Vendor ID は Unity/DPD メジャー 69 ミスマッチのようです
ISAKMP (0): Vendor ID は NAT-T RFC 3947 です
ISAKMP:(0): processing vendor id payload
ISAKMP:(0): Vendor ID は Unity/DPD メジャー 245 ミスマッチのようです
ISAKMP (0): Vendor ID は NAT-T v7 です
ISAKMP:(0): processing vendor id payload
ISAKMP:(0): Vendor ID は Unity/DPD メジャー 157 ミスマッチのようです
ISAKMP:(0): vendor ID is NAT-T v3
ISAKMP:(0): processing vendor id payload
ISAKMP:(0): Vendor ID は Unity/DPD メジャー 123 ミスマッチのようです
ISAKMP:(0): IPSec の設定に関する詳細な情報については、
172.16.1.1 と一致する ISAKMP:(0):found ピア 事前共有キー
ISAKMP:(0): local preshared key found
ISAKMP : Scanning profiles for xauth ...
優先順位 1 ポリシーに対する ISAKMP:(0):Checking ISAKMP トランスフォーム 1
ISAKMP :      暗号化 3DES-CBC
ISAKMP :      hash SHA
ISAKMP :      default group 1
ISAKMP :      auth pre-share
ISAKMP :      life type in seconds
ISAKMP :      life duration (VPI) of 0x0 0x1 0x51 0x80
ISAKMP:(0):atts は受諾可能です。 Next payload is 0
ISAKMP:(0):Acceptable atts: 実生活: 0
ISAKMP:(0):Acceptable atts: ライフ: 0
sa vpi_length:4 の ISAKMP:(0):Fill atts
sa life_in_seconds:86400 の ISAKMP:(0):Fill atts
ISAKMP:(0):Returning 実際のライフタイム: 86400
ISAKMP:(0)::started ライフタイム タイマー: 86400。
 
ISAKMP:(0): processing vendor id payload
ISAKMP:(0): Vendor ID は Unity/DPD メジャー 69 ミスマッチのようです
ISAKMP (0): Vendor ID は NAT-T RFC 3947 です
ISAKMP:(0): processing vendor id payload
ISAKMP:(0): Vendor ID は Unity/DPD メジャー 245 ミスマッチのようです
ISAKMP (0): Vendor ID は NAT-T v7 です
ISAKMP:(0): processing vendor id payload
ISAKMP:(0): Vendor ID は Unity/DPD メジャー 157 ミスマッチのようです
ISAKMP:(0): vendor ID is NAT-T v3
ISAKMP:(0): processing vendor id payload
ISAKMP:(0): Vendor ID は Unity/DPD メジャー 123 ミスマッチのようです
ISAKMP:(0): IPSec の設定に関する詳細な情報については、
ISAKMP:(0):Input = IKE_MESG_INTERNAL、IKE_PROCESS_MAIN_MODE
ISAKMP:(0):Old 状態 = IKE_R_MM1 新しい状態 = IKE_R_MM1

 

MM_SA_SETUP (確認するメインモードはスポークに MM1 は受け取られ、有効な ISAKMPパケットとして受け入れたことを 2)送られます。

IKE_R_MM1 からの IKE_R_MM2 への ISAKMP ステート の 変化。

ISAKMP:(0): 組み立てられた NAT-T vendor-rfc3947 ID
ISAKMP:(0): パケットを 172.16.1.1 my_port 500 peer_port 500 (r) MM_SA_SETUP に送信 します
ISAKMP:(0):sending IKE IPv4 パケット。
ISAKMP:(0):Input = IKE_MESG_INTERNAL、IKE_PROCESS_COMPLETE
ISAKMP:(0):Old 状態 = IKE_R_MM1 新しい状態 = IKE_R_MM2

 
 

ISAKMP (0): 172.16.10.1 dport 500 スポーツ 500 グローバル な(i) MM_NO_STATE からの受け取り パケット
ISAKMP:(0):Input = IKE_MESG_FROM_PEER、IKE_MM_EXCH
ISAKMP:(0):Old 状態 = IKE_I_MM1 新しい状態 = IKE_I_MM2
 
ISAKMP:(0): SA ペイロードの処理。 メッセージID = 0
ISAKMP:(0): processing vendor id payload
ISAKMP:(0): Vendor ID は Unity/DPD メジャー 69 ミスマッチのようです
ISAKMP (0): Vendor ID は NAT-T RFC 3947 です
172.16.10.1 と一致する ISAKMP:(0):found ピア 事前共有キー
ISAKMP:(0): local preshared key found
ISAKMP : Scanning profiles for xauth ...
優先順位 1 ポリシーに対する ISAKMP:(0):Checking ISAKMP トランスフォーム 1
ISAKMP :      暗号化 3DES-CBC
ISAKMP :      hash SHA
ISAKMP :      default group 1
ISAKMP :      auth pre-share
ISAKMP :      life type in seconds
ISAKMP :      life duration (VPI) of 0x0 0x1 0x51 0x80
ISAKMP:(0):atts は受諾可能です。 Next payload is 0
ISAKMP:(0):Acceptable atts: 実生活: 0
ISAKMP:(0):Acceptable atts: ライフ: 0
sa vpi_length:4 の ISAKMP:(0):Fill atts
sa life_in_seconds:86400 の ISAKMP:(0):Fill atts
ISAKMP:(0):Returning 実際のライフタイム: 86400
ISAKMP:(0)::started ライフタイム タイマー: 86400。
 
ISAKMP:(0): processing vendor id payload
ISAKMP:(0): Vendor ID は Unity/DPD メジャー 69 ミスマッチのようです
ISAKMP (0): Vendor ID は NAT-T RFC 3947 です
ISAKMP:(0):Input = IKE_MESG_INTERNAL、IKE_PROCESS_MAIN_MODE
ISAKMP:(0):Old 状態 = IKE_I_MM2 新しい状態 = IKE_I_MM2

ハブに送られる MM1 メッセージに応じて MM1 は受け取られたこと confims MM2 は着きます。 受け取った IKE メインモード 2 メッセージは処理されます。 スポークはピア ハブに一致する ISAKMP 属性があり、これらの属性が作成された ISAKMP SA に一杯になることを認識します。 このパケットはピアが SHA の暗号化、ハッシュ、Diffie Hellman (DH) 1 グループ、認証の事前共有キー、および 86400 秒(0x0 0x1 0x51 0x80 = 0x15180 = 86400 秒)のデフォルト SA ライフタイムのために 3DES-CBC を使用することを示します。

NAT-T メッセージに加えて、セッションが DPD を使用したかどうか確認する交換があります。

IKE_I_MM1 からの IKE_I_MM2 への ISAKMP ステート の 変化。

 

ISAKMP:(0): パケットを 172.16.10.1 my_port 500 peer_port 500 (i) MM_SA_SETUP に送信 します
ISAKMP:(0):sending IKE IPv4 パケット。
ISAKMP:(0):Input = IKE_MESG_INTERNAL、IKE_PROCESS_COMPLETE
ISAKMP:(0):Old 状態 = IKE_I_MM2 新しい状態 = IKE_I_MM3

MM_SA_SETUP (メインモードは確認するハブに 3) スポークは MM2 を受け取り、続行することを望むことを送られます。

IKE_I_MM2 からの IKE_I_MM3 への ISAKMP ステート の 変化。

MM_SA_SETUP (メインモードはハブによって 3)受け取られます。 ハブはピアがもう一つの Cisco IOSデバイスであり、NAT が私達またはピアのために検出することを結論します。

IKE_R_MM2 からの IKE_R_MM3 への ISAKMP ステート の 変化。

ISAKMP (0): 172.16.1.1 dport 500 スポーツ 500 グローバル な(r) MM_SA_SETUP からの受け取り パケット
ISAKMP:(0):Input = IKE_MESG_FROM_PEER、IKE_MM_EXCH
ISAKMP:(0):Old 状態 = IKE_R_MM2 新しい状態 = IKE_R_MM3
 
ISAKMP:(0): processing KE payload. メッセージID = 0
ISAKMP:(0): processing NONCE payload. メッセージID = 0
172.16.1.1 と一致する ISAKMP:(0):found ピア 事前共有キー
ISAKMP:(1002): processing vendor id payload
ISAKMP:(1002): vendor ID is DPD
ISAKMP:(1002): processing vendor id payload
ISAKMP:(1002): speaking to another IOS box!
ISAKMP:(1002): processing vendor id payload
ISAKMP:(1002): Vendor ID は Unity/DPD メジャー 225 ミスマッチのようです
ISAKMP:(1002): Vendor ID は XAUTH です
ISAKMP : 受け取ったペイロードのタイプ 20
ISAKMP (1002): 彼の一致- NAT の外部のこのノード ハッシュしません
ISAKMP : 受け取ったペイロードのタイプ 20
ISAKMP (1002): 自己かピアのために見つけられる NAT 無し
ISAKMP:(1002):Input = IKE_MESG_INTERNAL、IKE_PROCESS_MAIN_MODE
ISAKMP:(1002):Old 状態 = IKE_R_MM3 新しい状態 = IKE_R_MM3

 

MM_KEY_EXCH (メインモードはハブによって 4) 送信 されます。

IKE_R_MM3 からの IKE_R_MM4 への ISAKMP ステート の 変化。

ISAKMP:(1002): パケットを 172.16.1.1 my_port 500 peer_port 500 (r) MM_KEY_EXCH に送信 します
ISAKMP:(1002):sending IKE IPv4 パケット。
ISAKMP:(1002):Input = IKE_MESG_INTERNAL、IKE_PROCESS_COMPLETE
ISAKMP:(1002):Old 状態 = IKE_R_MM3 新しい状態 = IKE_R_MM4

 

 

ISAKMP (0): 172.16.10.1 dport 500 スポーツ 500 グローバル な(i) MM_SA_SETUP からの受け取り パケット
ISAKMP:(0):Input = IKE_MESG_FROM_PEER、IKE_MM_EXCH
ISAKMP:(0):Old 状態 = IKE_I_MM3 新しい状態 = IKE_I_MM4
 
ISAKMP:(0): processing KE payload. メッセージID = 0
ISAKMP:(0): processing NONCE payload. メッセージID = 0
172.16.10.1 と一致する ISAKMP:(0):found ピア 事前共有キー
ISAKMP:(1002): processing vendor id payload
ISAKMP:(1002): vendor ID is Unity
ISAKMP:(1002): processing vendor id payload
ISAKMP:(1002): vendor ID is DPD
ISAKMP:(1002): processing vendor id payload
ISAKMP:(1002): speaking to another IOS box!
ISAKMP : 受け取ったペイロードのタイプ 20
ISAKMP (1002): 彼の一致- NAT の外部のこのノード ハッシュしません
ISAKMP : 受け取ったペイロードのタイプ 20
ISAKMP (1002): 自己かピアのために見つけられる NAT 無し
ISAKMP:(1002):Input = IKE_MESG_INTERNAL、IKE_PROCESS_MAIN_MODE
ISAKMP:(1002):Old 状態 = IKE_I_MM4 新しい状態 = IKE_I_MM4

MM_SA_SETUP (メインモードはスポークによって 4)受け取られます。 スポークはピアがもう一つの Cisco IOSデバイスであり、NAT が私達またはピアのために検出することを結論します。

IKE_I_MM3 からの IKE_I_MM4 への ISAKMP ステート の 変化。

 

ISAKMP:(1002):send 最初 の 連絡
ISAKMP:(1002):sA は ID 型 ID_IPV4_ADDR を使用して事前共有キー 認証をしています
ISAKMP (1002): ID payload
        next-payload : 8
        type: 1
        アドレス: 172.16.1.1
        プロトコル: 17
        ポート: 500
        長さ: 12
ISAKMP:(1002):Total ペイロード長: 12
ISAKMP:(1002): パケットを 172.16.10.1 my_port 500 peer_port 500 (i) MM_KEY_EXCH に送信 します
ISAKMP:(1002):sending IKE IPv4 パケット。
ISAKMP:(1002):Input = IKE_MESG_INTERNAL、IKE_PROCESS_COMPLETE
ISAKMP:(1002):Old 状態 = IKE_I_MM4 新しい状態 = IKE_I_MM5

MM_KEY_EXCH (メインモードはスポークによって 5) 送信 されます。

IKE_I_MM4 からの IKE_I_MM5 への ISAKMP ステート の 変化。

MM_KEY_EXCH (メインモードはハブによって 5)受け取られます。

IKE_R_MM4 からの IKE_R_MM5 への ISAKMP ステート の 変化。

さらに、「プロファイルのピア一致 *none* は」ISAKMP プロファイルの欠如が見られた原因です。 これが事実であるので、ISAKMP はプロファイルを使用しません。

ISAKMP (1002): 172.16.1.1 dport 500 スポーツ 500 グローバル な(r) MM_KEY_EXCH からの受け取り パケット
ISAKMP:(1002):Input = IKE_MESG_FROM_PEER、IKE_MM_EXCH
ISAKMP:(1002):Old 状態 = IKE_R_MM4 新しい状態 = IKE_R_MM5
 
ISAKMP:(1002): !--- 次の行の "i" は、パケットが(NAT から見て)内側から外側の メッセージID = 0
ISAKMP (1002): ID payload
        next-payload : 8
        type: 1
        アドレス: 172.16.1.1
        プロトコル: 17
        ポート: 500
        長さ: 12
ISAKMP:(0):: peer matches *none* of the profiles
ISAKMP:(1002): processing HASH payload. メッセージID = 0
ISAKMP:(1002): processing NOTIFY INITIAL_CONTACT protocol 1
        spi 0、メッセージID = 0、sa = 0x6A5BDE8
ISAKMP:(1002):sA 認証状況:
        authenticated
ISAKMP:(1002):sA は 172.16.1.1 と認証されました
ISAKMP:(1002):sA 認証状況:
        authenticated
ISAKMP:(1002): Process initial contact,
172.16.10.1 ローカル リモート 172.16.1.1 リモートポート 500 とのフェーズ 1 および 2 SA を存在 することを持って来て下さい
ISAKMP : ピア 172.16.10.1/172.16.1.1/500/、およびうまく挿入された 8CACD00 を挿入することを試みます。
ISAKMP:(1002):Input = IKE_MESG_INTERNAL、IKE_PROCESS_MAIN_MODE
ISAKMP:(1002):Old 状態 = IKE_R_MM5 新しい状態 = IKE_R_MM5
 
IPSEC(key_engine): 1 つの KMI メッセージとのキュー イベントを得ました
ISAKMP:(1002):sA は ID 型 ID_IPV4_ADDR を使用して事前共有キー 認証をしています
ISAKMP (1002): ID payload
        next-payload : 8
        type: 1
        アドレス: 172.16.10.1
        プロトコル: 17
        ポート: 500
        長さ: 12
ISAKMP:(1002):Total ペイロード長: 12

 

最終的な MM_KEY_EXCH パケット(メインモードはハブによって 6) 送信 されます。 このデバイスをフェーズ 2 (IPSec Quick Mode)の間準備ができている示すこれはフェーズ 1 ネゴシエーションを完了します。

IKE_R_MM5 からの IKE_P1_COMPLETE への ISAKMP ステート の 変化。

ISAKMP:(1002): パケットを 172.16.1.1 my_port 500 peer_port 500 (r) MM_KEY_EXCH に送信 します
ISAKMP:(1002):sending IKE IPv4 パケット。
ISAKMP:(1002):Input = IKE_MESG_INTERNAL、IKE_PROCESS_COMPLETE
ISAKMP:(1002):Old 状態 = IKE_R_MM5 新しい状態 = IKE_P1_COMPLETE
 
ISAKMP:(1002):Input = IKE_MESG_INTERNAL、IKE_PHASE1_COMPLETE
ISAKMP:(1002):Old 状態 = IKE_P1_COMPLETE 新しい状態 = IKE_P1_COMPLETE

 

 

ISAKMP (1002): 172.16.10.1 dport 500 スポーツ 500 グローバル な(i) MM_KEY_EXCH からの受け取り パケット
ISAKMP:(1002): !--- 次の行の "i" は、パケットが(NAT から見て)内側から外側の メッセージID = 0
ISAKMP (1002): ID payload
        next-payload : 8
        type: 1
        アドレス: 172.16.10.1
        プロトコル: 17
        ポート: 500
        長さ: 12
ISAKMP:(0):: peer matches *none* of the profiles
ISAKMP:(1002): processing HASH payload. メッセージID = 0
ISAKMP:(1002):sA 認証状況:
        authenticated
ISAKMP:(1002):sA は 172.16.10.1 と認証されました
ISAKMP : ピア 172.16.1.1/172.16.10.1/500/、およびうまく挿入された 95F6858 を挿入することを試みます。
ISAKMP:(1002):Input = IKE_MESG_FROM_PEER、IKE_MM_EXCH
ISAKMP:(1002):Old 状態 = IKE_I_MM5 新しい状態 = IKE_I_MM6
 
ISAKMP:(1002):Input = IKE_MESG_INTERNAL、IKE_PROCESS_MAIN_MODE
ISAKMP:(1002):Old 状態 = IKE_I_MM6 新しい状態 = IKE_I_MM6
 
ISAKMP:(1002):Input = IKE_MESG_INTERNAL、IKE_PROCESS_COMPLETE
ISAKMP:(1002):Old 状態 = IKE_I_MM6 新しい状態 = IKE_P1_COMPLETE

最終的な MM_KEY_EXCH パケット(メインモードはスポークによって 6)受け取られます。 このデバイスをフェーズ 2 (IPSec Quick Mode)の間準備ができている示すこれはフェーズ 1 ネゴシエーションを完了します。

次にからの IKE_I_MM6 ISAKMP ステート の 変化とすぐに IKE_P1_COMPLETE への IKE_I_MM5。

さらに、「プロファイルのピア一致 *none* は」ISAKMP プロファイルの欠如が見られた原因です。 これが事実であるので、ISAKMP はプロファイルを使用しません。

ISAKMP (フェーズ I)ネゴシエーション、IPSEC (フェーズ II)ネゴシエーションのの END 開始する

 

ISAKMP:(1002):beginning Quick Mode 交換、3464373979 の MID
ISAKMP:(1002):QM 発信側 gets spi
ISAKMP:(1002): パケットを 172.16.10.1 my_port 500 peer_port 500 (i) QM_IDLE に送信 します     
ISAKMP:(1002):sending IKE IPv4 パケット。
ISAKMP:(1002):Node 3464373979、入力 = IKE_MESG_INTERNAL、IKE_INIT_QM
ISAKMP:(1002):Old 状態 = IKE_QM_READY 新しい状態 = IKE_QM_I_QM1
ISAKMP:(1002):Input = IKE_MESG_INTERNAL、IKE_PHASE1_COMPLETE
ISAKMP:(1002):Old 状態 = IKE_P1_COMPLETE 新しい状態 = IKE_P1_COMPLETE

Quick Mode (フェーズ II、IPSec)交換はハブにスポーク送信最初の QM メッセージ開始し。

IPSec 提案があるハブは最初の Quick Mode (QM) パケットを受信します。 受け取った属性はそれを規定 します: 2 への encaps フラグが設定(トランスポート モードは、1 のフラグ トンネルモードです)、3600 秒および 4608000 キロバイト(hex の 0x465000)のデフォルト SA ライフタイム、認証のための HMAC-SHA、および暗号化のためのトリプル DES。 これらがローカルコンフィギュレーションの同じ属性セットであるので、提案は受け入れられ、IPSec SA のシェルは作成されます。 Security Parameter Index (SPI)値がこれらとまだ関連付けられていないので、これはトラフィックをまだ通過させているのに使用できない SA のちょうどシェルです。

ISAKMP (1002): 172.16.1.1 dport 500 スポーツ 500 グローバル な(r) QM_IDLE からの受け取り パケット     
ISAKMP : QM_IDLE に New ノード -830593317 を設定 して下さい     
ISAKMP:(1002): processing HASH payload. メッセージID = 3464373979
ISAKMP:(1002): SA ペイロードの処理。 メッセージID = 3464373979
ISAKMP:(1002):Checking IPSec 提案 1
ISAKMP : transform 1, ESP_3DES
ISAKMP :   attributes in transform:
ISAKMP :      encaps は 2 です(転送する)
ISAKMP :      SA life type in seconds
ISAKMP :      SA life duration (basic) of 3600
ISAKMP :      SA life type in kilobytes
ISAKMP :      SA life duration (VPI) of 0x0 0x46 0x50 0x0
ISAKMP :      authenticator is HMAC-SHA
ISAKMP:(1002):atts は受諾可能です。
IPSEC(validate_proposal_request): 提案部分 #1
IPSEC(validate_proposal_request): proposal part #1,
  (キー イギリス メッセージ。)受信 local= 172.16.10.1:0、remote= 172.16.1.1:0、
    local_proxy= 172.16.10.1/255.255.255.255/47/0 (type=1)、
    remote_proxy= 172.16.1.1/255.255.255.255/47/0 (type=1)、
    protocol= ESP、transform= どれも(転送する)、
    lifedur= 0s and 0kb,
    spi= 0x0(0)、conn_id= 0、keysize= 128、flags= 0x0

 

これらは言うちょうど一般の IPSec サービス メッセージですきちんとはたらくことを。

IPSEC-IFC MGRE/Tu0(172.16.10.1/172.16.1.1): 接続ルックアップは 0 を戻しました
IPSEC-IFC MGRE/Tu0: 既に受信する crypto_ss_listen_start
IPSEC-IFC MGRE/Tu0(172.16.10.1/172.16.1.1): プロファイル DMVPN-IPSEC のソケットの開始
IPSEC-IFC MGRE/Tu0(172.16.10.1/172.16.1.1): 接続ルックアップは 0 を戻しました
IPSEC-IFC MGRE/Tu0(172.16.10.1/172.16.1.1): トンネルをすぐに引き起こします。
IPSEC-IFC MGRE/Tu0: 共用リストに Tunnel0 トンネルインターフェイスを追加する方法
IPSEC-IFC MGRE/Tu0(172.16.10.1/172.16.1.1): tunnel_protection_start_pending_timer 8C93888
IPSEC-IFC MGRE/Tu0(172.16.10.1/172.16.1.1): よいリッスン 要求

 

疑似暗号 Map エントリは 172.16.1.1 (スポーク パブリックアドレス)への 172.16.10.1 (ハブ パブリックアドレス)からの IP プロトコル 47 (GRE)のために作成されます。 IPSec SA/SPI は受け入れられた提案からの値で両方のために着信 および 発信 トラフィック作成されます。

mapdb AVL へのマップの挿入は、マップ + 既に mapdb で存在 する エース ペア失敗しました
CRYPTO_SS (トンネル SEC): 開いた受動態ソケット ヒント: ローカル 172.16.10.1 172.16.10.1/255.255.255.255/0、リモート 172.16.1.1 172.16.1.1/255.255.255.255/0、prot 47、ifc Tu0
暗号 mapdb: proxy_match
        ソース アドレス: 172.16.10.1
        dst アドレス: 172.16.1.1
        プロトコル: 47
        ソース ポート: 0
        dst ポート: 0
ISAKMP:(1002): processing NONCE payload. メッセージID = 3464373979
ISAKMP:(1002): !--- 次の行の "i" は、パケットが(NAT から見て)内側から外側の メッセージID = 3464373979
ISAKMP:(1002): !--- 次の行の "i" は、パケットが(NAT から見て)内側から外側の メッセージID = 3464373979
ISAKMP:(1002):QM 応答側 gets spi
ISAKMP:(1002):Node 3464373979、入力 = IKE_MESG_FROM_PEER、IKE_QM_EXCH
ISAKMP:(1002):Old 状態 = IKE_QM_READY 新しい状態 = IKE_QM_SPI_STARVE
ISAKMP:(1002): Creating IPSec SAs
        172.16.1.1 からの 172.16.10.1 (f/i) 0 0 への受信 SA
        (172.16.10.1)へのプロキシ 172.16.1.1
        spi 0xDD2AC2B3 および conn_id 0 を持っています
        lifetime of 3600 seconds
        lifetime of 4608000 kilobytes
        172.16.10.1 からの 172.16.1.1 への発信 SA (f/i) 0/0
        (172.16.1.1)へのプロキシ 172.16.10.1
        spi 0x82C3E0C4 および conn_id 0 を持っています
        lifetime of 3600 seconds
        lifetime of 4608000 kilobytes

 

第 2 QM メッセージはハブによって送信 しました。 トンネル 保護は Tunnel0 に稼働していることを確認する IPSec サービスが生成するメッセージ。

キロバイトおよび秒残ることで宛先 IP、SPI、トランスフォームによって設定 される属性およびライフタイムがある別の SA 作成メッセージは見られます。

ISAKMP:(1002): パケットを 172.16.1.1 my_port 500 peer_port 500 (r) QM_IDLE に送信 します     
ISAKMP:(1002):sending IKE IPv4 パケット。
ISAKMP:(1002):Node 3464373979、入力 = IKE_MESG_INTERNAL、IKE_GOT_SPI
ISAKMP:(1002):Old 状態 = IKE_QM_SPI_STARVE 新しい状態 = IKE_QM_R_QM2
CRYPTO_SS (トンネル SEC): ソケットへのアプリケーションの完了されたバインディング
IPSEC(key_engine): 1 つの KMI メッセージとのキュー イベントを得ました
暗号 mapdb: proxy_match
        ソース アドレス: 172.16.10.1
        dst アドレス: 172.16.1.1
        プロトコル: 47
        ソース ポート: 0
        dst ポート: 0
IPSEC(crypto_ipsec_sa_find_ident_head): 同じプロキシおよびピア 172.16.1.1 との再接続
IPSEC(policy_db_add_ident): ソース 172.16.10.1、dest 172.16.1.1、dest_port 0
 
IPSEC(create_sa): sa created,
  (sa) sa_dest= 172.16.10.1、sa_proto= 50、
    sa_spi= 0xDD2AC2B3(3710567091)、
    sa_trans= esp-3des esp-sha-hmac、sa_conn_id= 3
    sa_lifetime (k/sec) = (4536779/3600)
IPSEC(create_sa): sa created,
  (sa) sa_dest= 172.16.1.1、sa_proto= 50、
    sa_spi= 0x82C3E0C4(2193875140)、
    sa_trans= esp-3des esp-sha-hmac、sa_conn_id= 4
    sa_lifetime (k/sec) = (4536779/3600)
IPSEC(crypto_ipsec_update_ident_tunnel_decap_oce): tun_decap_oce 6A648F0 との Tunnel0 ident 8B6A0E8 のアップデート
IPSEC-IFC MGRE/Tu0(172.16.10.1/172.16.1.1): 接続ルックアップによって戻される 8C93888
IPSEC-IFC MGRE/Tu0(172.16.10.1/172.16.1.1): よいソケット準備ができたメッセージ
IPSEC-IFC MGRE/Tu0(172.16.10.1/172.16.1.1): 接続ルックアップによって戻される 8C93888
IPSEC-IFC MGRE/Tu0(172.16.10.1/172.16.1.1): tunnel_protection_socket_up
IPSEC-IFC MGRE/Tu0(172.16.10.1/172.16.1.1): NHRP に信号を送ること
IPSEC-IFC MGRE/Tu0(172.16.10.1/172.16.1.1): 得られた MTU メッセージ MTU 1458
IPSEC-IFC MGRE/Tu0(172.16.10.1/172.16.1.1): 接続ルックアップによって戻される 8C93888

 

 

ISAKMP (1002): 172.16.10.1 dport 500 スポーツ 500 グローバル な(i) QM_IDLE からの受け取り パケット     
ISAKMP:(1002): processing HASH payload. メッセージID = 3464373979
ISAKMP:(1002): SA ペイロードの処理。 メッセージID = 3464373979
ISAKMP:(1002):Checking IPSec 提案 1
ISAKMP : transform 1, ESP_3DES
ISAKMP :   attributes in transform:
ISAKMP :      encaps は 2 です(転送する)
ISAKMP :      SA life type in seconds
ISAKMP :      SA life duration (basic) of 3600
ISAKMP :      SA life type in kilobytes
ISAKMP :      SA life duration (VPI) of 0x0 0x46 0x50 0x0
ISAKMP :      authenticator is HMAC-SHA
ISAKMP:(1002):atts は受諾可能です。
IPSEC(validate_proposal_request): 提案部分 #1
IPSEC(validate_proposal_request): proposal part #1,
  (キー イギリス メッセージ。)受信 local= 172.16.1.1:0、remote= 172.16.10.1:0、
    local_proxy= 172.16.1.1/255.255.255.255/47/0 (type=1)、
    remote_proxy= 172.16.10.1/255.255.255.255/47/0 (type=1)、
    protocol= ESP、transform= どれも(転送する)、
    lifedur= 0s and 0kb,
    spi= 0x0(0)、conn_id= 0、keysize= 128、flags= 0x0
暗号 mapdb: proxy_match
        ソース アドレス: 172.16.1.1
        dst アドレス: 172.16.10.1
        プロトコル: 47
        ソース ポート: 0
        dst ポート: 0

スポークは第 2 QM パケットを受信します IPSec 提案がある。 これは QM1 がハブによって受け取られたことを確認します。 受け取った属性はそれを規定 します: 2 への encaps フラグが設定(トランスポート モードは、1 のフラグ トンネルモードです)、3600 秒および 4608000 キロバイト(hex の 0x465000)のデフォルト SA ライフタイム、認証のための HMAC-SHA、および暗号化のための DES。 これらがローカルコンフィギュレーションの同じ属性セットであるので、提案は受け入れられ、IPSec SA のシェルは作成されます。 Security Parameter Index (SPI)値がこれらとまだ関連付けられていないので、これはトラフィックをまだ通過させているのに使用できない SA のちょうどシェルです。

疑似暗号 Map エントリは 172.16.1.1 (スポーク パブリックアドレス)への 172.16.10.1 (ハブ パブリックアドレス)からの IP プロトコル 47 (GRE)のために作成されます。

 

ISAKMP:(1002): processing NONCE payload. メッセージID = 3464373979
ISAKMP:(1002): !--- 次の行の "i" は、パケットが(NAT から見て)内側から外側の メッセージID = 3464373979
ISAKMP:(1002): !--- 次の行の "i" は、パケットが(NAT から見て)内側から外側の メッセージID = 3464373979
ISAKMP:(1002): Creating IPSec SAs
        172.16.10.1 からの 172.16.1.1 (f/i) 0 0 への受信 SA
        (172.16.1.1)へのプロキシ 172.16.10.1
        spi 0x82C3E0C4 および conn_id 0 を持っています
        lifetime of 3600 seconds
        lifetime of 4608000 kilobytes
        172.16.1.1 からの 172.16.10.1 への発信 SA (f/i) 0/0
        (172.16.10.1)へのプロキシ 172.16.1.1
        spi 0xDD2AC2B3 および conn_id 0 を持っています
        lifetime of 3600 seconds
        lifetime of 4608000 kilobytes

IPSec SA/SPI は受け入れられた提案からの値で両方のために着信 および 発信 トラフィック作成されます。

 

ISAKMP:(1002): パケットを 172.16.10.1 my_port 500 peer_port 500 (i) QM_IDLE に送信 します     
ISAKMP:(1002):sending IKE IPv4 パケット。
ISAKMP:(1002):deleting ノード -830593317 エラー偽理由「No エラー」
ISAKMP:(1002):Node 3464373979、入力 = IKE_MESG_FROM_PEER、IKE_QM_EXCH
ISAKMP:(1002):Old 状態 = IKE_QM_I_QM1 新しい状態 = IKE_QM_PHASE2_COMPLETE
IPSEC(key_engine): 1 つの KMI メッセージとのキュー イベントを得ました
暗号 mapdb: proxy_match
        ソース アドレス: 172.16.1.1
        dst アドレス: 172.16.10.1
        プロトコル: 47
        ソース ポート: 0
        dst ポート: 0
IPSEC(crypto_ipsec_sa_find_ident_head): 同じプロキシおよびピア 172.16.10.1 との再接続
IPSEC(policy_db_add_ident): ソース 172.16.1.1、dest 172.16.10.1、dest_port 0
 
IPSEC(create_sa): sa created,
  (sa) sa_dest= 172.16.1.1、sa_proto= 50、
    sa_spi= 0x82C3E0C4(2193875140)、
    sa_trans= esp-3des esp-sha-hmac、sa_conn_id= 3
    sa_lifetime (k/sec) = (4499172/3600)
IPSEC(create_sa): sa created,
  (sa) sa_dest= 172.16.10.1、sa_proto= 50、
    sa_spi= 0xDD2AC2B3(3710567091)、
    sa_trans= esp-3des esp-sha-hmac、sa_conn_id= 4
    sa_lifetime (k/sec) = (4499172/3600)
IPSEC(update_current_outbound_sa): イネーブル SA ピア 172.16.10.1 に現在の発信 sa に SPI DD2AC2B3 得て下さい
IPSEC(update_current_outbound_sa): 更新済ピア 172.16.10.1 現在の発信 sa への SPI DD2AC2B3
IPSEC(crypto_ipsec_update_ident_tunnel_decap_oce): tun_decap_oce 794ED30 との Tunnel0 ident 94F2740 のアップデート
IPSEC-IFC GRE/Tu0(172.16.1.1/172.16.10.1): 接続ルックアップによって戻される 961D220
IPSEC-IFC GRE/Tu0(172.16.1.1/172.16.10.1): tunnel_protection_socket_up
IPSEC-IFC GRE/Tu0(172.16.1.1/172.16.10.1): NHRP に信号を送ること
NHRP: NHS 10.1.1.254 Tunnel0 VRF 0 クラスタは「E」に 0 優先順位 0 からの"移行します
 
IPSEC-IFC GRE/Tu0(172.16.1.1/172.16.10.1): 接続ルックアップによって戻される 961D220
NHRP: DEST 10.1.1.254 によってパケットを送信 するように試み

スポークは QM 交換を完了するハブに第 3 および最終的な QM メッセージを送ります。 各ピアが各状態(MM1 による MM6/P1_COMPLETE を)通過する ISAKMP とは違ってメッセージ 3 つだけ異なっているが 6 よりもむしろある IPSec は、やや。 発信側は(「」IKE_QM_I_QM1 メッセージのによって示されるように、この場合話しました私達の) QM_PHASE2_COMPLETE に QM_I_QM1 に QM_READY から、そして直接行きます。 応答側(ハブ)は QM_READY、QM_SPI_STARVE、QM_R_QM2、QM_PHASE2_COMPLETE 行きます。

キロバイトおよび秒残ることで宛先 IP、SPI、トランスフォームによって設定 される属性およびライフタイムがある別の SA 作成メッセージは見られます。

これらの最終的な QM メッセージは Quick Mode が完了した、IPSec がトンネルの両側に稼働していることを確認します。

各ピアが各状態(MM1 による MM6/P1_COMPLETE を)通過する ISAKMP とは違ってメッセージ 3 つだけ異なっているが 6 よりもむしろある IPSec は、やや。 応答側(IKE_QM_R_QM1 メッセージの「R」示されるこの場合ハブ、)は QM_READY、QM_SPI_STARVE、QM_R_QM2、QM_PHASE2_COMPLETE 行きます。 発信側(スポーク)は QM_PHASE2_COMPLETE に QM_I_QM1 に QM_READY から、そして直接行きます。

ISAKMP (1002): 172.16.1.1 dport 500 スポーツ 500 グローバル な(r) QM_IDLE からの受け取り パケット     
できている ISAKMP:(1002):deleting ノード -830593317 エラー偽原因「QM (待って下さい)」
ISAKMP:(1002):Node 3464373979、入力 = IKE_MESG_FROM_PEER、IKE_QM_EXCH
ISAKMP:(1002):Old 状態 = IKE_QM_R_QM2 新しい状態 = IKE_QM_PHASE2_COMPLETE
IPSEC(key_engine): 1 つの KMI メッセージとのキュー イベントを得ました
IPSEC(key_engine_enable_outbound): rec'd イネーブルは ISAKMP から知らせます
IPSEC(key_engine_enable_outbound): spi 2193875140/50 のイネーブル SA
IPSEC(update_current_outbound_sa): イネーブル SA ピア 172.16.1.1 に現在の発信 sa に SPI 82C3E0C4 得て下さい
IPSEC(update_current_outbound_sa): 更新済ピア 172.16.1.1 現在の発信 sa への SPI 82C3E0C4

 

 

NHRP: Tunnel0 VRF 0 による送信登録要求、パケットサイズ: 108
 ソース: 10.1.1.1、dst: 10.1.1.254
 (f) afn: IPv4(1) は、入力します: IP(800)、ホップ: 255、ver: 1
     shtl: 4(NSAP)、sstl: 0(NSAP)
     pktsz: 108 extoff: 52
 (m)フラグ: 「ユニークな NAT」、reqid: 65540
     ソース NBMA: 172.16.1.1
     ソース プロトコル: 10.1.1.1、dst プロトコル: 10.1.1.254
 (C-1)コード: error(0) 無し
       プレフィクス: 32、MTU: 17912、hd_time: 7200
       addr_len: 0(NSAP) は、subaddr_len: 0(NSAP) は、proto_len: 0、できれば: 0
応答側 アドレス Extension(3):
前方中継 NHS レコード Extension(4):
逆中継 NHS レコード Extension(5):
認証 Extension(7):
  type:Cleartext(1)、データ: NHRPAUTH   
NAT アドレス Extension(9):
 (C-1)コード: error(0) 無し
       プレフィクス: 32、MTU: 17912、hd_time: 0
       addr_len: 4(NSAP) は、subaddr_len: 0(NSAP) は、proto_len: 4、できれば: 0
       クライアント NBMA: 172.16.10.1
       クライアント プロトコル: 10.1.1.254

これは NHS (ハブ)に登録する試みのハブに送信 される NHRP 登録要求です。 「登録応答を」。受け取るまでスポークが NHS と登録するように試み続けるのでこれらの倍数を見ることは正常です

ソース、dst: トンネル ソース(スポーク)および宛先(ハブ) IP アドレス。 これらはルータによって送信 される GRE パケットの送信元および宛先です

ソース NBMA: このパケットを送信 し、NHS と登録することを試みるスポークの NBMA (インターネット)アドレス

ソース プロトコル: スポークのトンネル アドレス登録することを試みる

dst プロトコル: NHS/hub のトンネル アドレス

認証拡張機能、データ: NHRP 認証文字列

クライアント NBMA: NHS/hub の NBMAアドレス

クライアント プロトコル: NHS/hub のトンネル アドレス

 

NHRP-RATE: 10.1.1.254 のための最初の登録要求の送信、reqid 65540
%LINK-3-UPDOWN: インターフェイス Tunnel0、への変更された状態
NHRP: if_up: Tunnel0 原始 0
NHRP: Tunnel0: ターゲット 10.1.1.254/32 ネクスト・ホップ 10.1.1.254 のためのキャッシュ アップデート
           172.16.10.1
IPSEC-IFC GRE/Tu0(172.16.1.1/172.16.10.1): 接続ルックアップによって戻される 961D220
NHRP: DEST 10.1.1.254 によってパケットを送信 するように試み

言うより多くの NHRP サービス メッセージは 10.1.1.254 の NHS に最初の登録要求 送信 されました。 キャッシュ エントリがそのトンネル IP 10.1.1.254/24 のために生命 NBMA 172.16.10.1 の追加されたことまた確認があります。 遅らせられたメッセージはトンネルが「ずっと no shut」ここに見られるであることを言います。

 

IPSEC-IFC GRE/Tu0: トンネル アップ
IPSEC-IFC GRE/Tu0(172.16.1.1/172.16.10.1): 接続ルックアップによって戻される 961D220
IPSEC-IFC GRE/Tu0: 既に受信する crypto_ss_listen_start
IPSEC-IFC GRE/Tu0: 既に受信する crypto_ss_listen_start
IPSEC-IFC GRE/Tu0(172.16.1.1/172.16.10.1): プロファイル DMVPN-IPSEC のソケットの開始
IPSEC-IFC GRE/Tu0(172.16.1.1/172.16.10.1): 接続ルックアップによって戻される 961D220
IPSEC-IFC GRE/Tu0(172.16.1.1/172.16.10.1): ソケットは既に開いています。 Ignoring。
%LINEPROTO-5-UPDOWN: インターフェイス Tunnel0 の行プロトコル、への変更された状態

これらは言う一般の IPSec サービス メッセージですきちんとはたらくことを。 トンネルプロトコルは稼働していることがここに最終的に見られるところにです。

これは NHS (ハブ)に登録する試みのスポークから届く NHRP 登録要求です。 「登録応答を」。受け取るまでスポークが NHS と登録するように試み続けるのでこれらの倍数を見ることは正常です

ソース NBMA: このパケットを送信 し、NHS と登録することを試みるスポークの NBMA (インターネット)アドレス

ソース プロトコル: スポークのアドレスをトンネル伝送して下さい登録することを試みる

dst プロトコル: NHS/hub のトンネル アドレス

認証拡張機能、データ: NHRP 認証文字列

クライアント NBMA: NHS/hub の NBMAアドレス

クライアント プロトコル: NHS/hub のトンネル アドレス

NHRP: Tunnel0 VRF 0 によるレシーブ 登録要求、パケットサイズ: 108
 (f) afn: IPv4(1) は、入力します: IP(800)、ホップ: 255、ver: 1
     shtl: 4(NSAP)、sstl: 0(NSAP)
     pktsz: 108 extoff: 52
 (m)フラグ: 「ユニークな NAT」、reqid: 65540
     ソース NBMA: 172.16.1.1
     ソース プロトコル: 10.1.1.1、dst プロトコル: 10.1.1.254
 (C-1)コード: error(0) 無し
       プレフィクス: 32、MTU: 17912、hd_time: 7200
       addr_len: 0(NSAP) は、subaddr_len: 0(NSAP) は、proto_len: 0、できれば: 0
応答側 アドレス Extension(3):
前方中継 NHS レコード Extension(4):
逆中継 NHS レコード Extension(5):
認証 Extension(7):
  type:Cleartext(1)、データ: NHRPAUTH   
NAT アドレス Extension(9):
 (C-1)コード: error(0) 無し
       プレフィクス: 32、MTU: 17912、hd_time: 0
       addr_len: 4(NSAP) は、subaddr_len: 0(NSAP) は、proto_len: 4、できれば: 0
       クライアント NBMA: 172.16.10.1
       クライアント プロトコル: 10.1.1.254

 

172.16.1.1 の NHRP で 10.1.1.1 のネクスト ホップによって利用可能 な ターゲットネットワーク 10.1.1.1/32 を追加する NHRP デバッグ パケット。 172.16.1.1 はまたハブがマルチキャストトラフィックを転送するアドレスのリストに追加されます。

これらのメッセージは登録が正常だったことを、ようにだったスポークのための解決確認しますアドレスをトンネル伝送して下さい。

NHRP: netid_in = 1、to_us = 1
NHRP: Tunnel0: キャッシュはターゲット 10.1.1.1/32 ネクスト・ホップ 10.1.1.1 のために追加します
           172.16.1.1
NHRP: トンネルエンドポイント(VPN の追加方法: 10.1.1.1、NBMA: 172.16.1.1)
NHRP: トンネルエンドポイント(VPN のための正常に接続された NHRP subblock: 10.1.1.1、NBMA: 172.16.1.1)
NHRP: キャッシュのための追加された subblock ノード: ターゲットはキャッシュのための subblock ノードを追加しました: ターゲット 10.1.1.1/32nhop 10.1.1.1
NHRP: 外部への 10.1.1.1/32 インターフェイスのための変換された内部 ダイナミック キャッシュ エントリ Tunnel0
NHRP: Tu0: ダイナミック マルチキャストマッピング NBMA の作成: 172.16.1.1
NHRP: NBMA のための追加されたダイナミック マルチキャストマッピング: 172.16.1.1
NHRP: NBMA のキャッシュのアップデート: 172.16.10.1、NBMA_ALT: 172.16.10.1
NHRP: 新しい必須長さ: 32
NHRP: DEST 10.1.1.1 によってパケットを送信 するように試み
NHRP: NBMA 172.16.1.1 への正常に NHRP 解決される 10.1.1.1
NHRP: 成功するカプセル化。  トンネル IP アドレス 172.16.1.1

 

これは先に受け取った「NHRP 登録要求」に応じてハブによって返されるスポークへの NHRP 登録応答です。 他の登録書類 の パッケージのように、ハブは複数の要求に応じてこれらの倍数を送信 します。

ソース、dst: トンネル ソース(ハブ)および宛先(スポーク) IP アドレス。 これらはルータによって送信 される GRE パケットの送信元および宛先です

ソース NBMA: スポークの NBMA (インターネット)アドレス

ソース プロトコル: スポークのトンネル アドレス登録することを試みる

dst プロトコル: NHS/hub のトンネル アドレス

クライアント NBMA: NHS/hub の NBMAアドレス

クライアント プロトコル: NHS/hub のトンネル アドレス

認証拡張機能、データ: NHRP 認証文字列

NHRP: Tunnel0 VRF 0 による送信登録応答、パケットサイズ: 128
 ソース: 10.1.1.254、dst: 10.1.1.1
 (f) afn: IPv4(1) は、入力します: IP(800)、ホップ: 255、ver: 1
     shtl: 4(NSAP)、sstl: 0(NSAP)
     pktsz: 128 extoff: 52
 (m)フラグ: 「ユニークな NAT」、reqid: 65540
     ソース NBMA: 172.16.1.1
     ソース プロトコル: 10.1.1.1、dst プロトコル: 10.1.1.254
 (C-1)コード: error(0) 無し
       プレフィクス: 32、MTU: 17912、hd_time: 7200
       addr_len: 0(NSAP) は、subaddr_len: 0(NSAP) は、proto_len: 0、できれば: 0
応答側 アドレス Extension(3):
 (c)コード: error(0) 無し
       プレフィクス: 32、MTU: 17912、hd_time: 7200
       addr_len: 4(NSAP) は、subaddr_len: 0(NSAP) は、proto_len: 4、できれば: 0
       クライアント NBMA: 172.16.10.1
       クライアント プロトコル: 10.1.1.254
前方中継 NHS レコード Extension(4):
逆中継 NHS レコード Extension(5):
認証 Extension(7):
  type:Cleartext(1)、データ: NHRPAUTH   
NAT アドレス Extension(9):
 (C-1)コード: error(0) 無し
       プレフィクス: 32、MTU: 17912、hd_time: 0
       addr_len: 4(NSAP) は、subaddr_len: 0(NSAP) は、proto_len: 4、できれば: 0
       クライアント NBMA: 172.16.10.1
       クライアント プロトコル: 10.1.1.254

 

 

NHRP: Tunnel0 VRF 0 によるレシーブ 登録応答、パケットサイズ: 128
 (f) afn: IPv4(1) は、入力します: IP(800)、ホップ: 255、ver: 1
     shtl: 4(NSAP)、sstl: 0(NSAP)
     pktsz: 128 extoff: 52
 (m)フラグ: 「ユニークな NAT」、reqid: 65541
     ソース NBMA: 172.16.1.1
     ソース プロトコル: 10.1.1.1、dst プロトコル: 10.1.1.254
 (C-1)コード: error(0) 無し
       プレフィクス: 32、MTU: 17912、hd_time: 7200
       addr_len: 0(NSAP) は、subaddr_len: 0(NSAP) は、proto_len: 0、できれば: 0
応答側 アドレス Extension(3):
 (c)コード: error(0) 無し
       プレフィクス: 32、MTU: 17912、hd_time: 7200
       addr_len: 4(NSAP) は、subaddr_len: 0(NSAP) は、proto_len: 4、できれば: 0
       クライアント NBMA: 172.16.10.1
       クライアント プロトコル: 10.1.1.254
前方中継 NHS レコード Extension(4):
逆中継 NHS レコード Extension(5):
認証 Extension(7):
  type:Cleartext(1)、データ: NHRPAUTH   
NAT アドレス Extension(9):
 (C-1)コード: error(0) 無し
       プレフィクス: 32、MTU: 17912、hd_time: 0
       addr_len: 4(NSAP) は、subaddr_len: 0(NSAP) は、proto_len: 4、できれば: 0
       クライアント NBMA: 172.16.10.1
       クライアント プロトコル: 10.1.1.254
NHRP: netid_in = 0、to_us = 1

これは先に受け取った「NHRP 登録要求」に応じてハブによって返されるスポークへの NHRP 登録応答です。 他の登録書類 の パッケージのように、ハブは複数の要求に応じてこれらの倍数を送信 します。

ソース NBMA: スポークの NBMA (インターネット)アドレス

ソース プロトコル: スポークのトンネル アドレス登録することを試みる

dst プロトコル: NHS/hub のトンネル アドレス

クライアント NBMA: NHS/hub の NBMAアドレス

クライアント プロトコル: NHS/hub のトンネル アドレス

認証拡張機能、データ: NHRP 認証文字列

言う一般の IPSec サービス メッセージそれはきちんとはたらきます。

IPSEC-IFC MGRE/Tu0: 既に受信する crypto_ss_listen_start
IPSEC-IFC MGRE/Tu0(172.16.10.1/172.16.1.1): プロファイル DMVPN-IPSEC のソケットの開始
IPSEC-IFC MGRE/Tu0(172.16.10.1/172.16.1.1): 接続ルックアップによって戻される 8C93888
IPSEC-IFC MGRE/Tu0(172.16.10.1/172.16.1.1): ソケットは既に開いています。 Ignoring。
IPSEC-IFC MGRE/Tu0(172.16.10.1/172.16.1.1): tunnel_protection_stop_pending_timer 8C93888

 
 

NHRP: NHS-UP: 10.1.1.254

言う NHRP サービス メッセージは 10.1.1.254 にある NHS 稼働しています。

EIGRP 隣接関係は隣接と稼働していることを示すシステムメッセージは 10.1.1.1 で話しました。

%DUAL-5-NBRCHANGE: EIGRP-IPv4 1: 隣接 10.1.1.1 (Tunnel0)は稼働しています: 新しい隣接関係

 
 

%DUAL-5-NBRCHANGE: EIGRP-IPv4 1: 隣接 10.1.1.254 (Tunnel0)は稼働しています: 新しい隣接関係

EIGRP 隣接関係を示すシステムメッセージは 10.1.1.254 に隣接ハブと稼働しています。

正常な NHRP 解決を確認するシステムメッセージ。

NHRP: NBMA 172.16.1.1 への正常に NHRP 解決される 10.1.1.1

 

機能性を確認し、解決して下さい

このセクションにいくつかの両方を解決するのに使用されるほとんどの役に立つ show コマンドがハブ & スポークあります。 特定のデバッグを有効に するために、これらのデバッグ conditionals を使用して下さい:

  • dmvpn 状態ピア nbma NBMA_ADDRESS をデバッグして下さい

  • dmvpn 状態ピア トンネル TUNNEL_ADDRESS をデバッグして下さい

  • debug crypto 状態ピア ipv4 NBMA_ADDRESS

暗号 ソケットを示して下さい

Spoke1#show crypto sockets

Number of Crypto Socket connections 1

Tu0 Peers (local/remote): 172.16.1.1/172.16.10.1
Local Ident (addr/mask/port/prot): (172.16.1.1/255.255.255.255/0/47)
Remote Ident (addr/mask/port/prot): (172.16.10.1/255.255.255.255/0/47)
IPSec Profile: "DMVPN-IPSEC"
Socket State: Open
Client: "TUNNEL SEC" (Client State: Active)

Crypto Sockets in Listen state:
Client: "TUNNEL SEC" Profile: "DMVPN-IPSEC" Map-name: "Tunnel0-head-0"
Hub#show crypto sockets

Number of Crypto Socket connections 1

Tu0 Peers (local/remote): 172.16.10.1/172.16.1.1
Local Ident (addr/mask/port/prot): (172.16.10.1/255.255.255.255/0/47)
Remote Ident (addr/mask/port/prot): (172.16.1.1/255.255.255.255/0/47)
IPSec Profile: "DMVPN-IPSEC"
Socket State: Open
Client: "TUNNEL SEC" (Client State: Active)

Crypto Sockets in Listen state:
Client: "TUNNEL SEC" Profile: "DMVPN-IPSEC" Map-name: "Tunnel0-head-0"

暗号 セッション 詳細を示して下さい

Spoke1#show crypto session detail
Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation
X - IKE Extended Authentication, F - IKE Fragmentation

Interface: Tunnel0
Uptime: 00:01:01
Session status: UP-ACTIVE
Peer: 172.16.10.1 port 500 fvrf: (none) ivrf: (none)
Phase1_id: 172.16.10.1
Desc: (none)
IKEv1 SA: local 172.16.1.1/500 remote 172.16.10.1/500 Active
Capabilities:(none) connid:1001 lifetime:23:58:58
IPSEC FLOW: permit 47 host 172.16.1.1 host 172.16.10.1
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 25 drop 0 life (KB/Sec) 4596087/3538
Outbound: #pkts enc'ed 25 drop 3 life (KB/Sec) 4596087/3538
Hub#show crypto session detail
Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation
X - IKE Extended Authentication, F - IKE Fragmentation

Interface: Tunnel0
Uptime: 00:01:47
Session status: UP-ACTIVE
Peer: 172.16.1.1 port 500 fvrf: (none)
ivrf: (none)
Phase1_id: 172.16.1.1
Desc: (none)
IKEv1 SA: local 172.16.10.1/500 remote 172.16.1.1/500 Active
Capabilities:(none) connid:1001 lifetime:23:58:12
IPSEC FLOW: permit 47 host 172.16.10.1 host 172.16.1.1
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 35 drop 0 life (KB/Sec) 4576682/3492
Outbound: #pkts enc'ed 35 drop 0 life (KB/Sec) 4576682/3492

show crypto isakmp sa detail

Spoke1#show crypto isakmp sa detail
Codes: C - IKE configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal
T - cTCP encapsulation, X - IKE Extended Authentication
psk - Preshared key, rsig - RSA signature renc - RSA encryption
IPv4 Crypto ISAKMP SA

C-id Local Remote I-VRF Status Encr Hash Auth DH Lifetime Cap.

1001 172.16.1.1 172.16.10.1 ACTIVE 3des sha psk 1 23:59:10
Engine-id:Conn-id = SW:1

IPv6 Crypto ISAKMP SA
Hub#show crypto isakmp sa detail
Codes: C - IKE configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal
T - cTCP encapsulation, X - IKE Extended Authentication
psk - Preshared key, rsig - RSA signature
renc - RSA encryptionIPv4 Crypto ISAKMP SA
C-id Local Remote I-VRF Status Encr Hash Auth DH Lifetime Cap.

1001 172.16.10.1 172.16.1.1 ACTIVE 3des sha psk 1 23:58:20
Engine-id:Conn-id = SW:1

IPv6 Crypto ISAKMP SA

show crypto ipsec sa detail

Spoke1#show crypto ipsec sa detail
interface: Tunnel0
Crypto map tag: Tunnel0-head-0, local addr 172.16.1.1
protected vrf: (none)
local ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (172.16.10.1/255.255.255.255/47/0)
current_peer 172.16.10.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 24, #pkts encrypt: 24, #pkts digest: 24
#pkts decaps: 24, #pkts decrypt: 24, #pkts verify: 24
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#pkts no sa (send) 3, #pkts invalid sa (rcv) 0
#pkts encaps failed (send) 0, #pkts decaps failed (rcv) 0
#pkts invalid prot (recv) 0, #pkts verify failed: 0
#pkts invalid identity (recv) 0, #pkts invalid len (rcv) 0
#pkts replay rollover (send): 0, #pkts replay rollover (rcv) 0
##pkts replay failed (rcv): 0
#pkts internal err (send): 0, #pkts internal err (recv) 0

local crypto endpt.: 172.16.1.1, remote crypto endpt.: 172.16.10.1
path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
current outbound spi: 0xA259D71(170237297)
PFS (Y/N): N, DH group: none

inbound esp sas:
spi: 0x8D538D11(2371063057)
transform: esp-3des esp-sha-hmac ,
in use settings ={Transport,}
conn id: 1, flow_id: SW:1, sibling_flags 80000006,
crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4596087/3543)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE

inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xA259D71(170237297)
transform: esp-3des esp-sha-hmac ,
in use settings ={Transport, }
conn id: 2, flow_id: SW:2, sibling_flags 80000006,
crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4596087/3543)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
Hub#show crypto ipsec sa detail
interface: Tunnel0
Crypto map tag: Tunnel0-head-0, local addr 172.16.10.1

protected vrf: (none)
local ident (addr/mask/prot/port): (172.16.10.1/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0)
current_peer 172.16.1.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 34, #pkts encrypt: 34, #pkts digest: 34
#pkts decaps: 34, #pkts decrypt: 34, #pkts verify: 34
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#pkts no sa (send) 0, #pkts invalid sa (rcv) 0
#pkts encaps failed (send) 0, #pkts decaps failed (rcv) 0
#pkts invalid prot (recv) 0, #pkts verify failed: 0
#pkts invalid identity (recv) 0, #pkts invalid len (rcv) 0
#pkts replay rollover (send): 0, #pkts replay rollover (rcv) 0
##pkts replay failed (rcv): 0
#pkts internal err (send): 0, #pkts internal err (recv) 0

local crypto endpt.: 172.16.10.1, remote crypto endpt.: 172.16.1.1
path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
current outbound spi: 0x8D538D11(2371063057)
PFS (Y/N): N, DH group: none

inbound esp sas:
spi: 0xA259D71(170237297)
transform: esp-3des esp-sha-hmac ,
in use settings ={Transport, }
conn id: 1, flow_id: SW:1, sibling_flags 80000006,
crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4576682/3497)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas: spi: 0x8D538D11(2371063057)
transform: esp-3des esp-sha-hmac ,
in use settings ={Transport, }
conn id: 2, flow_id: SW:2, sibling_flags 80000006,
crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4576682/3497)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE

outbound ah sas:
outbound pcp sas:

show ip nhrp

Spoke1#show ip nhrp
10.1.1.254/32 via 10.1.1.254
Tunnel0 created 00:00:55, never expire
Type: static, Flags:
NBMA address: 172.16.10.1
Hub#show ip nhrp
10.1.1.1/32 via 10.1.1.1
Tunnel0 created 00:01:26, expire 01:58:33
Type: dynamic, Flags: unique registered
NBMA address: 172.16.1.1

IP NHS を示して下さい

Spoke1#show ip nhrp nhs
Legend: E=Expecting replies, R=Responding, W=Waiting
Tunnel0:
10.1.1.254 RE priority = 0 cluster = 0
Hub#show ip nhrp nhs (As the hub is the only NHS for this DMVPN cloud, 
it does not have any servers configured)

示して下さい dmvpn [詳細]

"show dmvpn detail" returns the output of show ip nhrp nhs, show dmvpn, 
and show crypto session detail


Spoke1#show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
N - NATed, L - Local, X - No Socket
# Ent --> Number of NHRP entries with same NBMA peer
NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting
UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel0, IPv4 NHRP Details
Type:Spoke, NHRP Peers:1,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
----- --------------- --------------- ----- -------- -----
1 172.16.10.1 10.1.1.254 UP 00:00:39 S
Spoke1#show dmvpn detail
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
N - NATed, L - Local, X - No Socket
# Ent --> Number of NHRP entries with same NBMA peer
NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting
UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface Tunnel0 is up/up, Addr. is 10.1.1.1, VRF ""
Tunnel Src./Dest. addr: 172.16.1.1/172.16.10.1, Tunnel VRF ""
Protocol/Transport: "GRE/IP", Protect "DMVPN-IPSEC"
Interface State Control: Disabled

IPv4 NHS:
10.1.1.254 RE priority = 0 cluster = 0
Type:Spoke, Total NBMA Peers (v4/v6): 1

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb Target Network
----- --------------- --------------- ----- -------- ----- -----------------
1 172.16.10.1 10.1.1.254 UP 00:00:41 S 10.1.1.254/32


Crypto Session Details:
--------------------------------------------------------------------------------
Interface: Tunnel0
Session: [0x08D513D0]
IKEv1 SA: local 172.16.1.1/500 remote 172.16.10.1/500 Active
Capabilities:(none) connid:1001 lifetime:23:59:18
Crypto Session Status: UP-ACTIVE
fvrf: (none), Phase1_id: 172.16.10.1
IPSEC FLOW: permit 47 host 172.16.1.1 host 172.16.10.1
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 21 drop 0 life (KB/Sec) 4596088/3558
Outbound: #pkts enc'ed 21 drop 3 life (KB/Sec) 4596088/3558
Outbound SPI : 0x A259D71, transform : esp-3des esp-sha-hmac
Socket State: Open

Pending DMVPN Sessions:
Hub#show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
N - NATed, L - Local, X - No Socket
# Ent --> Number of NHRP entries with same NBMA peer
NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting
UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel0, IPv4 NHRP Details Type:Hub, NHRP Peers:1,
# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
----- --------------- --------------- ----- -------- -----
1 172.16.1.1 10.1.1.1 UP 00:01:30 D

Hub#show dmvpn detail
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
N - NATed, L - Local, X - No Socket
# Ent --> Number of NHRP entries with same NBMA peer
NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting
UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface Tunnel0 is up/up, Addr. is 10.1.1.254, VRF ""
Tunnel Src./Dest. addr: 172.16.10.1/MGRE, Tunnel VRF ""
Protocol/Transport: "multi-GRE/IP", Protect "DMVPN-IPSEC"
Interface State Control: Disabled
Type:Hub, Total NBMA Peers (v4/v6): 1
# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb Target Network
----- --------------- --------------- ----- -------- ----- -----------------
1 172.16.1.1 10.1.1.1 UP 00:01:32 D 10.1.1.1/32

Crypto Session Details:
--------------------------------------------------------------------------------
Interface: Tunnel0
Session: [0x08A27858]
IKEv1 SA: local 172.16.10.1/500 remote 172.16.1.1/500 Active
Capabilities:(none) connid:1001 lifetime:23:58:26
Crypto Session Status: UP-ACTIVE
fvrf: (none), Phase1_id: 172.16.1.1
IPSEC FLOW: permit 47 host 172.16.10.1 host 172.16.1.1
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 32 drop 0 life (KB/Sec) 4576682/3507
Outbound: #pkts enc'ed 32 drop 0 life (KB/Sec) 4576682/3507
Outbound SPI : 0x8D538D11, transform : esp-3des esp-sha-hmac
Socket State: Open

Pending DMVPN Sessions:

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116957