Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASA IPsec и отладки IKE (IKEv1 Главный Способ) Поиск неисправностей TechNote

17 октября 2015 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Когда и главный способ и предобщий ключ (PSK) используются, этот документ описывает отладки на Адаптивном приборе безопасности (ASA). Перевод определенных линий отладки в конфигурацию также обсужден.

Темы, не обсужденные в этом документе, включают проходящий трафик после того, как тоннель был установлен и фундаментальные понятия IPsec или Интернет-обмена ключа (IKE).

Внесенный Atri Basu, Марчином Латосиевичем и Джеем Янгом Тейлором, Cisco инженеры TAC.

Предпосылки

Требования

У читателей этого документа должно быть знание этих тем.

  • PSK

  • ИКОНОСКОП

Используемые компоненты

Информация в этом документе основана на этих версиях аппаратного и программного обеспечения:

  • Cisco ASA 8.3.2

  • Маршрутизатор, управляющий IOS 12.4T

Соглашения

Для получения дополнительной информации о соглашениях документа направьте в Cisco Технические Соглашения Подсказок.

Основная проблема

IKE и отладки IPsec являются иногда загадочными, но можно использовать их для понимания, где расположен IPsec VPN туннельная проблема учреждения.

Сценарий

Когда свидетельства используются для идентификации, главный способ, как правило, используется между тоннелями ОТ LAN К LAN или, в случае удаленного доступа (EzVPN).

Отладки от двух ASAs, которые управляют версией 8.3.2 программного обеспечения. Эти два устройства сформируют тоннель ОТ LAN К LAN.

Описаны два главных сценария:

  • ASA как инициатор для IKE
  • ASA как респондент для IKE

отладьте Используемые Команды

Это команды отладки, используемые в этом документе:

  • crypto isakmp 127 отладки
  • crypto ipsec 127 отладки

Конфигурация ASA

Конфигурация IPsec

crypto ipsec transform-set TRANSFORM esp-aes esp-sha-hmac
crypto map MAP 10 match address VPN
crypto map MAP 10 set peer 10.0.0.2
crypto map MAP 10 set transform-set TRANSFORM
crypto map MAP 10 set reverse-route
crypto map MAP interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group 10.0.0.2 type ipsec-l2l
tunnel-group 10.0.0.2 ipsec-attributes
pre-shared-key cisco
access-list VPN extended permit tcp 192.168.1.0
255.255.255.0 192.168.2.0 255.255.255.0
access-list VPN extended permit icmp 192.168.1.0
255.255.255.0 192.168.2.0 255.255.255.0

Конфигурация IP:

 

ciscoasa# show ip

System IP Addresses:

Interface        Name   IP address   Subnet mask    Method

GigabitEthernet0/0      inside   192.168.1.1    255.255.255.0  manual
GigabitEthernet0/1      outside  10.0.0.1      255.255.255.0  manual

Current IP Addresses:

Interface        Name    IP address   Subnet mask    Method

GigabitEthernet0/0      inside    192.168.1.1    255.255.255.0  manual
GigabitEthernet0/1    outside  10.0.0.1     255.255.255.0  manual

Конфигурация NAT

object network INSIDE-RANGE
 subnet 192.168.1.0 255.255.255.0object network FOREIGN_NETWORK
 subnet 192.168.2.0 255.255.255
nat (inside,outside) source static INSIDE-RANGE INSIDE-RANGE
destination static FOREIGN_NETWORK FOREIGN_NETWORK

Отладка

Описание сообщения инициатора
Отладки
Описание сообщения респондента
Главный обмен способа начинается; никакая политика не была разделена, и пэры находятся все еще в MM_NO_STATE. Как инициатор, ASA начинает строить полезный груз..
[IKEv1 DEBUG]: Pitcher: received a key acquire 
message, spi 0x0 IPSEC(crypto_map_check)-3: Looking
for crypto map matching 5-tuple: Prot=1,
saddr=192.168.1.2, sport=2816, daddr=192.168.2.1
dport=2816 IPSEC(crypto_map_check)-3:
Checking crypto map MAP 10: matched.
[IKEv1]: IP = 10.0.0.2, IKE Initiator: New Phase 1,
Intf inside, IKE Peer 10.0.0.2 local Proxy Address
192.168.1.0, remote Proxy Address 192.168.2.0,
Crypto map (MAP)
 
Конструкция MM1. Этот процесс включает первоначальное предложение по IKE и поддержанным продавцам NAT-T.
[IKEv1 DEBUG]: IP = 10.0.0.2, 
constructing ISAKMP SA payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
constructing NAT-Traversal VID ver 02 payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
constructing NAT-Traversal VID ver 03 payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
constructing NAT-Traversal VID ver RFC payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
constructing Fragmentation VID
+ extended capabilities payload
Пошлите MM1.
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING 
Message (msgid=0) with payloads : HDR
+ SA (1) + VENDOR (13) + VENDOR (13)
+ VENDOR (13) + VENDOR (13)
+ NONE (0) total length : 168
 
===================== MM1 ========================>
 
 
[IKEv1]: IP = 10.0.0.2, IKE_DECODE RECEIVED 
Message (msgid=0) with payloads : HDR
+ SA (1) + VENDOR (13) + VENDOR (13)
+ VENDOR (13) + VENDOR (13)
+ NONE (0) total length : 164
MM1 получен от инициатора.
[IKEv1 DEBUG]: IP = 10.0.0.2, 
processing SA payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Oakley proposal is acceptable
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Received NAT-Traversal RFC VID
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Received NAT-Traversal ver 03 VID
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Received NAT-Traversal ver 02 VID
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing IKE SA payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
IKE SA Proposal # 1, Transform # 1
acceptable Matches global IKE entry # 2
Процесс MM1. Сравнение политики ISAKMP/IKE начинается. Отдаленный пэр рекламирует это, это может использовать NAT-T. Связанные configuration:crypto isakmp политика 10 шифрования идентификации перед долей 3des крошат sha целую жизнь группы 2 86400.
[IKEv1 DEBUG]: IP = 10.0.0.2, 
constructing ISAKMP SA payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
constructing NAT-Traversal VID ver 02 payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
constructing Fragmentation VID
+ extended capabilities payload
Конструкция MM2. В этом сообщении респондент выбирает который isakmp стратегические параметры настройки использовать. Это также рекламирует версии NAT-T, которые это может использовать.
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING 
Message (msgid=0) with payloads : HDR + SA (1)
+ VENDOR (13) + VENDOR (13)
+ NONE(0) total length : 128
Пошлите MM2.
 
<=================== MM2 =========================
 
MM2 получен от респондента.
[IKEv1]: IP = 10.0.0.2, IKE_DECODE RECEIVED 
Message (msgid=0) with payloads : HDR + SA (1)
+ VENDOR (13) + NONE (0) total length : 104
 
Процесс MM2.
[IKEv1 DEBUG]: IP = 10.0.0.2, 
processing SA payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Oakley proposal is acceptable
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Received NAT-Traversal RFC VID
 
Конструкция MM3. Этот процесс включает полезные грузы открытия NAT, полезные грузы Ключевого обмена (KE) Diffie-Hellman (DH) (initator включает g, p, и респонденту), и поддержка DPD.
Nov 30 10:38:29 [IKEv1 DEBUG]: IP = 10.0.0.2, 
constructing ke payload
Nov 30 10:38:29 [IKEv1 DEBUG]: IP = 10.0.0.2,
constructing nonce payload
Nov 30 10:38:29 [IKEv1 DEBUG]: IP = 10.0.0.2,
constructing Cisco Unity VID payload
Nov 30 10:38:29 [IKEv1 DEBUG]: IP = 10.0.0.2,
constructing xauth V6 VID payload
Nov 30 10:38:29 [IKEv1 DEBUG]: IP = 10.0.0.2,
Send IOS VID
Nov 30 10:38:29 [IKEv1 DEBUG]: IP = 10.0.0.2,
Constructing ASA spoofing IOS Vendor ID payload
(version: 1.0.0, capabilities: 20000001)
Nov 30 10:38:29 [IKEv1 DEBUG]: IP = 10.0.0.2,
constructing VID payload
Nov 30 10:38:29 [IKEv1 DEBUG]: IP = 10.0.0.2,
Send Altiga/Cisco VPN3000/Cisco ASA GW VID
Nov 30 10:38:29 [IKEv1 DEBUG]: IP = 10.0.0.2,
constructing NAT-Discovery payload
Nov 30 10:38:29 [IKEv1 DEBUG]: IP = 10.0.0.2,
computing NAT Discovery hash
Nov 30 10:38:29 [IKEv1 DEBUG]: IP = 10.0.0.2,
constructing NAT-Discovery payload
Nov 30 10:38:29 [IKEv1 DEBUG]: IP = 10.0.0.2,
computing NAT Discovery hash
 
Пошлите MM3.
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING 
Message (msgid=0) with payloads : HDR + KE (4)
+ NONCE (10) + VENDOR (13) + VENDOR (13)
+ VENDOR (13) + VENDOR (13) + NAT-D (20)
+ NAT-D (20) + NONE (0) total length : 304
 
 
========================= MM3 ===================>
 
 
[IKEv1]: IP = 10.0.0.2, IKE_DECODE RECEIVED 
Message (msgid=0) with payloads : HDR + KE (4)
+ NONCE (10) + VENDOR (13) + VENDOR (13)
+ VENDOR (13) + NAT-D (130) + NAT-D (130)
+ NONE (0) total length : 284
MM3 получен от инициатора.
 
[IKEv1 DEBUG]: IP = 10.0.0.2, 
processing ke payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing ISA_KE payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing nonce payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Received DPD VID
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Processing IOS/PIX Vendor ID payload
(version: 1.0.0, capabilities: 00000f6f)
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Received xauth V6 VID
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing NAT-Discovery payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
computing NAT Discovery hash
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing NAT-Discovery payload
Процесс MM3. От NAT-D респондент полезных грузов в состоянии определить, находится ли initator позади NAT и если респондент находится позади NAT. От DH KE респондент полезного груза получает ценности p, g и A.
 
[IKEv1 DEBUG]: IP = 10.0.0.2, 
computing NAT Discovery hash
[IKEv1 DEBUG]: IP = 10.0.0.2,
constructing ke payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
constructing nonce payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
constructing Cisco Unity VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
constructing xauth V6 VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Send IOS VID
[IKEv1 DEBUG]: IP = 10.0.0.2,
Constructing ASA spoofing IOS Vendor ID payload
(version: 1.0.0, capabilities: 20000001)
[IKEv1 DEBUG]: IP = 10.0.0.2,
constructing VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Send Altiga/Cisco VPN3000/Cisco ASA GW VID
[IKEv1 DEBUG]: IP = 10.0.0.2,
constructing NAT-Discovery payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
computing NAT Discovery hash
[IKEv1 DEBUG]: IP = 10.0.0.2,
constructing NAT-Discovery payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
computing NAT Discovery hash
Конструкция MM4. Этот процесс включает полезный груз открытия NAT, DH, респондент KE производит "B" и "s" (передает "B" обратно в initator), и DPD VID.
 
[IKEv1]: IP = 10.0.0.2, 
Connection landed on tunnel_group 10.0.0.2
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, Generating keys for Responder�
Пэр связан с туннельной группой 10.0.0.2 L2L, и шифрование и ключи мешанины произведены от "s" выше и pre-shared-key.
 
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING 
Message (msgid=0) with payloads : HDR + KE (4)
+ NONCE (10) + VENDOR (13) + VENDOR (13)
+ VENDOR (13) + VENDOR (13) + NAT-D (130)
+ NAT-D (130) + NONE (0) total length : 304
Пошлите MM4.
 
<====================== MM4 ======================
 
MM4 получен от респондента.
IKEv1]: IP = 10.0.0.2, IKE_DECODE RECEIVED 
Message (msgid=0) with payloads : HDR + KE (4)
+ NONCE (10) + VENDOR (13) + VENDOR (13)
+ VENDOR (13) + VENDOR (13) + NAT-D (20)
+ NAT-D (20) + NONE (0) total length : 304
 
Процесс MM4. От полезных грузов NAT-D initator теперь в состоянии определить, находится ли iniator позади NAT и если респондент находится позади NAT. От DH KE инициатор получает "B" и может теперь произвести "s".
[IKEv1 DEBUG]: IP = 10.0.0.2, 
processing ike payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing ISA_KE payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing nonce payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Received Cisco Unity client VID
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Received DPD VID
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Processing IOS/PIX Vendor ID payload
(version: 1.0.0, capabilities: 00000f7f)
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing VID payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
Received xauth V6 VID
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing NAT-Discovery payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
computing NAT Discovery hash
[IKEv1 DEBUG]: IP = 10.0.0.2,
processing NAT-Discovery payload
[IKEv1 DEBUG]: IP = 10.0.0.2,
computing NAT Discovery hash
Пэр связан с туннельной группой 10.0.0.2 L2L, и initator производит шифрование и ключи мешанины с помощью "s" выше и pre-shared-key.
[IKEv1]: IP = 10.0.0.2, 
Connection landed on tunnel_group 10.0.0.2
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, Generating keys for Initiator...
Конструкция MM5. Связанный configuration:crypto isakmp автомобиль идентичности
[IKEv1 DEBUG]: Group = 10.0.0.2, 
IP = 10.0.0.2, constructing ID payload
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, constructing hash payload
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, Computing hash for ISAKMP
[IKEv1 DEBUG]: IP = 10.0.0.2,
Constructing IOS keep alive payload:
proposal=32767/32767 sec.
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, constructing dpd vid payload
Пошлите MM5.
[IKEv1]: IP = 10.0.0.2, 
IKE_DECODE SENDING Message (msgid=0)
with payloads : HDR + ID (5) + HASH (8)
+ IOS KEEPALIVE (128) +VENDOR (13)
+ NONE (0) total length : 96
 
====================== MM5 ======================>
 
Респондент не находится позади никакого NAT. Никакой NAT-T не требуется.
[IKEv1]: 
Group = 10.0.0.2,
IP = 10.0.0.2,
Automatic NAT Detection
Status: Remote end
is NOT behind a NAT
device This end is NOT
behind a NAT device
[IKEv1]: 
IP = 10.0.0.2,
IKE_DECODE RECEIVED
Message (msgid=0)
with payloads : HDR
+ ID (5) + HASH (8)
+ NONE (0) total
length : 64
MM5 получен от инициатора. Этот процесс включает удаленную личность пэра (ID) и связь, приземляющаяся на особую туннельную группу.
 
[IKEv1 DEBUG]: Group = 10.0.0.2, 
IP = 10.0.0.2, processing ID payload
[IKEv1 DECODE]: Group = 10.0.0.2,
IP = 10.0.0.2, ID_IPV4_ADDR ID received 10.0.0.2
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, processing hash payload
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, Computing hash for ISAKMP
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, processing notify payload
[IKEv1]: Group = 10.0.0.2,
IP = 10.0.0.2,Automatic NAT
[IKEv1]: IP = 10.0.0.2,
Connection landed on tunnel_group 10.0.0.2
Процесс MM5. Идентификация с предобщими ключами начинается теперь. Идентификация происходит на обоих пэрах; поэтому, вы будете видеть два набора соответствующих процессов идентификации. Связанный configuration:tunnel тип ipsec-l2l группы 10.0.0.2
 
Detection Status: Remote end is NOT 
behind a NAT device This end is NOT behind
a NAT device
Никакой NAT-T не потребовал в этом случае.
 
[IKEv1 DEBUG]: Group = 10.0.0.2, 
IP = 10.0.0.2, constructing ID payload
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, constructing hash payload
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, Computing hash for ISAKMP
[IKEv1 DEBUG]: IP = 10.0.0.2,
Constructing IOS keep alive payload:
proposal=32767/32767 sec.
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, constructing dpd vid payload
Конструкция MM6. Пошлите идентичность, включает, набирают повторно начатые времена и идентичность, посланная отдаленному пэру.
 
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING 
Message (msgid=0) with payloads : HDR + ID (5)
+ HASH (8) + IOS KEEPALIVE (128) +VENDOR (13)
+ NONE (0) total length : 96
Пошлите MM6.
 
<====================== MM6 ======================
 
MM6 получен от респондента.
[IKEv1]: 
IP = 10.0.0.2,
IKE_DECODE RECEIVED
Message (msgid=0)
with payloads : HDR
+ ID (5) + HASH (8)
+ NONE (0) total
length : 64
[IKEv1]: 
Group = 10.0.0.2,
IP = 10.0.0.2,
PHASE 1 COMPLETED
[IKEv1]: IP = 10.0.0.2,
Keep-alive
type for this
connection: DPD
[IKEv1 DEBUG]:
Group = 10.0.0.2,
IP = 10.0.0.2,
Starting P1
rekey timer:
64800 seconds.
Полная фаза 1. Начните isakmp набирают повторно таймер. Связанные configuration:crypto isakmp политика, 10 шифрования идентификации перед долей 3des крошит sha целую жизнь группы 2 86400 ciscoasa# sh, управляют всем crypto isakmp crypto isakmp автомобиль идентичности
Процесс MM6. Этот процесс включает удаленную идентичность, посланную от пэра и окончательного решения относительно туннельной группы выбрать
 [IKEv1 DEBUG]: Group = 10.0.0.2, 
IP = 10.0.0.2, processing ID payload
[IKEv1 DECODE]: Group = 10.0.0.2,
IP = 10.0.0.2, ID_IPV4_ADDR ID received
10.0.0.2
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, processing hash payload
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, Computing hash for ISAKMP
[IKEv1]: IP = 10.0.0.2,
Connection landed on tunnel_group 10.0.0.2
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, Oakley begin quick mode
[IKEv1 DECODE]: Group = 10.0.0.2,
IP = 10.0.0.2, IKE Initiator starting
QM: msg id = 7b80c2b0
 
Полная фаза 1. Начните ISAKMP набирают повторно таймер. Связанная configuration:tunnel туннельная группа 10.0.0.2 типа ipsec-l2l группы 10.0.0.2 ipsec-приписывает pre-shared-key сига
[IKEv1]: Group = 10.0.0.2,
IP = 10.0.0.2, PHASE 1 COMPLETED
[IKEv1]: IP = 10.0.0.2,
Keep-alive type for this connection:
DPD DPD has bee negotiated and
Phase 1 is now complete.
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, Starting P1
rekey timer: 82080 seconds.
 
Фаза 2 (быстрый способ) начинается.
IPSEC: New embryonic SA 
created @ 0x53FC3C00,
SCB: 0x53F90A00,
Direction: inbound
SPI : 0xFD2D851F
Session ID: 0x00006000
VPIF num : 0x00000003
Tunnel type: l2l
Protocol : esp
Lifetime : 240 seconds
 
Конструкция QM1. Этот процесс включает IDs по доверенности и политику IPsec. Связанный configuration:crypto ipsec установленный в преобразование TRANSFORM особенно-aes esp-sha-hmac список доступа VPN расширил разрешение icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
[IKEv1 DEBUG]: Group = 10.0.0.2, 
IP = 10.0.0.2, IKE got SPI from key engine:
SPI = 0xfd2d851f
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, oakley constucting quick mode
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, constructing blank hash payload
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, constructing IPSec SA payload
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, constructing IPSec nonce payload
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, constructing proxy ID
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, Transmitting Proxy Id:
Local subnet: 192.168.1.0 mask 255.255.255.0
Protocol 1 Port 0
Remote subnet: 192.168.2.0 Mask 255.255.255.0
Protocol 1 Port 0
The local subnet (192.168.1.0/24) and expcted remote
subnet (192.168.2.0/24) are being sent
[IKEv1 DECODE]: Group = 10.0.0.2,
IP = 10.0.0.2, IKE Initiator sending Initial Contact
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, constructing qm hash payload
[IKEv1 DECODE]: Group = 10.0.0.2,
IP = 10.0.0.2, IKE Initiator sending 1st QM pkt:
msg id = 7b80c2b0
 
Пошлите QM1.
 [IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING   
Message (msgid=7b80c2b0) with payloads : HDR
+ HASH (8) + SA (1) + NONCE (10) + ID (5)
+ ID (5) + NOTIFY (11) + NONE (0) total length : 200
 
 
========================== QM1 ===================>
 
 
[IKEv1 DECODE]: IP = 10.0.0.2, 
IKE Responder starting QM: msg id = 52481cf5
[IKEv1]: IP = 10.0.0.2, IKE_DECODE RECEIVED
Message (msgid=52481cf5) with payloads :
HDR + HASH (8) + SA (1) + NONCE (10)
+ ID (5) + ID (5) + NONE (0) total length : 172
QM1 получен от инициатора. Респондент начинает фазу 2 (QM).
 
[IKEv1 DEBUG]: Group = 10.0.0.2, 
IP = 10.0.0.2,
processing hash payload
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,
processing SA payload
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,
processing nonce payload
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,
processing ID payload
Процесс QM1. Этот процесс сравнивает отдаленные полномочия с местным жителем и выбирает приемлемую политику IPsec. Связанный configuration:crypto ipsec установленный в преобразование TRANSFORM особенно-aes esp-sha-hmac список доступа VPN расширил разрешение icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 адресов матча MAP 10 карты crypto VPN
 
[IKEv1 DECODE]: Group = 10.0.0.2, IP = 10.0.0.2, 
ID_IPV4_ADDR_SUBNET ID
received--192.168.2.0--255.255.255.0
[IKEv1]: Group = 10.0.0.2, IP = 10.0.0.2,
Received remote IP Proxy Subnet data in ID Payload:
Address 192.168.2.0, Mask 255.255.255.0,
Protocol 1, Port 0
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,
processing ID payload
[IKEv1 DECODE]: Group = 10.0.0.2, IP = 10.0.0.2,
ID_IPV4_ADDR_SUBNET ID
received--192.168.1.0--255.255.255.0
[IKEv1]: Group = 10.0.0.2, IP = 10.0.0.2,
Received local IP Proxy Subnet data in ID Payload:
Address 192.168.1.0, Mask 255.255.255.0,
Protocol 1, Port 0
Отдаленные и местные подсети (192.168.2.0/24 и 192.168.1.0/24) получены.
 
[IKEv1]: Group = 10.0.0.2, IP = 10.0.0.2,   
QM IsRekeyed old sa not found by addr
[IKEv1]: Group = 10.0.0.2, IP = 10.0.0.2,
Static Crypto Map check, checking map = MAP,
seq = 10...
[IKEv1]: Group = 10.0.0.2, IP = 10.0.0.2,
Static Crypto Map check, map MAP,
seq = 10 is a successful match
[IKEv1]: Group = 10.0.0.2, IP = 10.0.0.2,
IKE Remote Peer configured for crypto map: MAP
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,
processing IPSec SA payload
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,
IPSec SA Proposal # 1, Transform # 1 acceptable
Matches global IPSec SA entry # 10
Соответствующий статический crypto вход разыскан и найден.
 
[IKEv1]: Group = 10.0.0.2, IP = 10.0.0.2,  
IKE: requesting SPI!
IPSEC: New embryonic SA created @ 0x53FC3698,
SCB: 0x53FC2998,
Direction: inbound
SPI : 0x1698CAC7
Session ID: 0x00004000
VPIF num : 0x00000003
Tunnel type: l2l
Protocol : esp
Lifetime : 240 seconds
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,
IKE got SPI from key engine: SPI = 0x1698cac7
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,
oakley constructing quick mode
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,
constructing blank hash payload
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,
constructing IPSec SA payload
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,
constructing IPSec nonce payload
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,
constructing proxy ID
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,
Transmitting Proxy Id:
Remote subnet: 192.168.2.0 Mask 255.255.255.0
Protocol 1 Port 0
Local subnet: 192.168.1.0 mask 255.255.255.0
Protocol 1 Port 0
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,
constructing qm hash payload
[IKEv1 DECODE]: Group = 10.0.0.2, IP = 10.0.0.2,
IKE Responder sending 2nd QM pkt: msg id = 52481cf5
Конструкция QM2. Этот процесс включает подтверждение тождеств по доверенности, туннельного типа, и проверка выполнена для зеркального crypto ACLs.
 
[IKEv1]: IP = 10.0.0.2, IKE_DECODE SENDING 
Message (msgid=52481cf5) with payloads :
HDR + HASH (8) + SA (1) + NONCE (10) + ID (5)
+ ID (5) + NONE (0) total length : 172
Пошлите QM2.
 
<======================= QM2 ======================
 
QM2 получен от респондента.
IKEv1]: IP = 10.0.0.2, IKE_DECODE RECEIVED  
Message (msgid=7b80c2b0) with payloads :
HDR + HASH (8) + SA (1) + NONCE (10)
+ ID (5) + ID (5) + NOTIFY (11)
+ NONE (0) total length : 200
 
Процесс QM2. В этом процессе отдаленный конец посылает параметры, и самые короткие предложенные сроки службы фазы 2 выбран.
 [IKEv1 DEBUG]: Group = 10.0.0.2, 
IP = 10.0.0.2, processing hash payload
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, processing SA payload
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, processing nonce payload
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, processing ID payload
[IKEv1 DECODE]: Group = 10.0.0.2,
IP = 10.0.0.2, ID_IPV4_ADDR_SUBNET ID
received--192.168.1.0--255.255.255.0
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, processing ID payload
[IKEv1 DECODE]: Group = 10.0.0.2,
IP = 10.0.0.2, ID_IPV4_ADDR_SUBNET ID
received--192.168.2.0--255.255.255.0
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, processing notify payload
[IKEv1 DECODE]: Responder Lifetime
decode follows (outb SPI[4]|attributes):
[IKEv1 DECODE]: 0000: DDE50931 80010001
00020004 00000E10 ...1............
[IKEv1]: Group = 10.0.0.2, IP = 10.0.0.2,
Responder forcing change of IPSec rekeying
duration from 28800 to 3600 seconds
based on response from peer, the ASA is
changing certain IPSEC attributes.
In this case the rekey interval
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, loading all IPSEC SAs
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, Generating Quick Mode Key!
Найденное соответствие crypto наносит на карту "MAP" и вход 10 и соответствовало ему против списка доступа "VPN".
[IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2,    
NP encrypt rule look up for crypto map MAP 10
matching ACL VPN: returned cs_id=53f11198;
rule=53f11a90
Прибор произвел SPIs 0xfd2d851f и 0xdde50931for входящий и исходящий трафик соответственно.
 [IKEv1 DEBUG]: Group = 10.0.0.2, IP = 10.0.0.2, 
Generating Quick Mode Key!
IPSEC: New embryonic SA created @ 0x53FC3698,
SCB: 0x53F910F0,
Direction: outbound
SPI : 0xDDE50931
Session ID: 0x00006000
VPIF num : 0x00000003
Tunnel type: l2l
Protocol : esp
Lifetime : 240 seconds
IPSEC: Completed host OBSA update,
SPI 0xDDE50931
IPSEC: Creating outbound VPN context,
SPI 0xDDE50931
Flags: 0x00000005
SA : 0x53FC3698
SPI : 0xDDE50931
MTU : 1500 bytes
VCID : 0x00000000
Peer : 0x00000000
SCB : 0x01CF218F
Channel: 0x4C69CB80
IPSEC: Completed outbound VPN context,
SPI 0xDDE50931
VPN handle: 0x000161A4
IPSEC: New outbound encrypt rule,
SPI 0xDDE50931
Src addr: 192.168.1.0
Src mask: 255.255.255.0
Dst addr: 192.168.2.0
Dst mask: 255.255.255.0
Src ports
Upper: 0
Lower: 0
Op : ignore
Dst ports
Upper: 0
Lower: 0
Op : ignore
Protocol: 1
Use protocol: true
SPI: 0x00000000
Use SPI: false
IPSEC: Completed outbound encrypt rule,
SPI 0xDDE50931
Rule ID: 0x53FC3AD8
IPSEC: New outbound permit rule,
SPI 0xDDE50931
Src addr: 10.0.0.1
Src mask: 255.255.255.255
Dst addr: 10.0.0.2
Dst mask: 255.255.255.255
Src ports
Upper: 0
Lower: 0
Op : ignore
Dst ports
Upper: 0
Lower: 0
Op : ignore
Protocol: 50
Use protocol: true
SPI: 0xDDE50931
Use SPI: true
IPSEC: Completed outbound permit rule,
SPI 0xDDE50931
Rule ID: 0x53F91538
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2,
NP encrypt rule look up for crypto map MAP 10
matching ACL VPN: returned cs_id=53f11198;
rule=53f11a90
[IKEv1]: Group = 10.0.0.2, IP = 10.0.0.2,
Security negotiation complete for LAN-to-LAN
Group (10.0.0.2) Initiator,
Inbound SPI = 0xfd2d851f,
Outbound SPI = 0xdde50931
Конструкция QM3. Подтвердите весь SPIs, созданный отдаленному пэру.
Confirm all SPIs created to remote peer.
IPSEC: Completed host IBSA update,
SPI 0xFD2D851F
IPSEC: Creating inbound VPN context,
SPI 0xFD2D851F
Flags: 0x00000006
SA : 0x53FC3C00
SPI : 0xFD2D851F
MTU : 0 bytes
VCID : 0x00000000
Peer : 0x000161A4
SCB : 0x01CEA8EF
Channel: 0x4C69CB80
IPSEC: Completed inbound VPN context,
SPI 0xFD2D851F
VPN handle: 0x00018BBC
IPSEC: Updating outbound VPN context 0x000161A4,
SPI 0xDDE50931
Flags: 0x00000005
SA : 0x53FC3698
SPI : 0xDDE50931
MTU : 1500 bytes
VCID : 0x00000000
Peer : 0x00018BBC
SCB : 0x01CF218F
Channel: 0x4C69CB80
IPSEC: Completed outbound VPN context,
SPI 0xDDE50931
VPN handle: 0x000161A4
IPSEC: Completed outbound inner rule,
SPI 0xDDE50931
Rule ID: 0x53FC3AD8
IPSEC: Completed outbound outer SPD rule,
SPI 0xDDE50931
Rule ID: 0x53F91538
IPSEC: New inbound tunnel flow rule,
SPI 0xFD2D851F
Src addr: 192.168.2.0
Src mask: 255.255.255.0
Dst addr: 192.168.1.0
Dst mask: 255.255.255.0
Src ports
Upper: 0
Lower: 0
Op : ignore
Dst ports
Upper: 0
Lower: 0
Op : ignore
Protocol: 1
Use protocol: true
SPI: 0x00000000
Use SPI: false
IPSEC: Completed inbound tunnel flow rule,
SPI 0xFD2D851F
Rule ID: 0x53F91970
IPSEC: New inbound decrypt rule,
SPI 0xFD2D851F
Src addr: 10.0.0.2
Src mask: 255.255.255.255
Dst addr: 10.0.0.1
Dst mask: 255.255.255.255
Src ports
Upper: 0
Lower: 0
Op : ignore
Dst ports
Upper: 0
Lower: 0
Op : ignore
Protocol: 50
Use protocol: true
SPI: 0xFD2D851F
Use SPI: true
IPSEC: Completed inbound decrypt rule,
SPI 0xFD2D851F
Rule ID: 0x53F91A08
IPSEC: New inbound permit rule,
SPI 0xFD2D851F
Src addr: 10.0.0.2
Src mask: 255.255.255.255
Dst addr: 10.0.0.1
Dst mask: 255.255.255.255
Src ports
Upper: 0
Lower: 0
Op : ignore
Dst ports
Upper: 0
Lower: 0
Op : ignore
Protocol: 50
Use protocol: true
SPI: 0xFD2D851F
Use SPI: true
IPSEC: Completed inbound permit rule,
SPI 0xFD2D851F
Rule ID: 0x53F91AA0
Пошлите QM3.
[IKEv1 DECODE]: Group = 10.0.0.2, 
IP = 10.0.0.2, IKE Initiator sending 3rd
QM pkt: msg id = 7b80c2b0
 
======================== QM3 =====================>
 
Полная фаза 2. Инициатор теперь готов зашифровать и расшифровать пакеты с помощью этих ценностей SPI.
[IKEv1]: IP = 10.0.0.2, 
IKE_DECODE SENDING
Message (msgid=7b80c2b0
with payloads : HDR
+ HASH (8)
+ NONE (0)
total length :76
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2,
IKE got a KEY_ADD msg for SA:
SPI = 0xdde50931
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2,
Pitcher: received KEY_UPDATE,
spi 0xfd2d851f
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2,
Starting P2 rekey timer:
3060 seconds.
[IKEv1]: Group = 10.0.0.2,
IP = 10.0.0.2,
PHASE 2 COMPLETED
(msgid=7b80c2b0)
[IKEv1]: IP = 10.0.0.2,    
IKE_DECODE RECEIVED
Message (msgid=52481cf5)
with payloads : HDR
+ HASH (8)
+ NONE (0)
total length : 52
Инициатор QM3 receivd fom.
 
[IKEv1 DEBUG]: Group = 10.0.0.2, 
IP = 10.0.0.2, processing hash payload
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, loading all IPSEC SAs
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, Generating Quick Mode Key!
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, NP encrypt rule look up for
crypto map MAP 10 matching ACL VPN:
returned cs_id=53f11198; rule=53f11a90
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, Generating Quick Mode Key!
IPSEC: New embryonic SA created @ 0x53F18B00,
SCB: 0x53F8A1C0,
Direction: outbound
SPI : 0xDB680406
Session ID: 0x00004000
VPIF num : 0x00000003
Tunnel type: l2l
Protocol : esp
Lifetime : 240 seconds
IPSEC: Completed host OBSA update,
SPI 0xDB680406
IPSEC: Creating outbound VPN context,
SPI 0xDB680406
Flags: 0x00000005
SA : 0x53F18B00
SPI : 0xDB680406
MTU : 1500 bytes
VCID : 0x00000000
Peer : 0x00000000
SCB : 0x005E4849
Channel: 0x4C69CB80
IPSEC: Completed outbound VPN context,
SPI 0xDB680406
VPN handle: 0x0000E9B4
IPSEC: New outbound encrypt rule,
SPI 0xDB680406
Src addr: 192.168.1.0
Src mask: 255.255.255.0
Dst addr: 192.168.2.0
Dst mask: 255.255.255.0
Src ports
Upper: 0
Lower: 0
Op : ignore
Dst ports
Upper: 0
Lower: 0
Op : ignore
Protocol: 1
Use protocol: true
SPI: 0x00000000
Use SPI: false
IPSEC: Completed outbound encrypt rule,
SPI 0xDB680406
Rule ID: 0x53F89160
IPSEC: New outbound permit rule,
SPI 0xDB680406
Src addr: 10.0.0.1
Src mask: 255.255.255.255
Dst addr: 10.0.0.2
Dst mask: 255.255.255.255
Src ports
Upper: 0
Lower: 0
Op : ignore
Dst ports
Upper: 0
Lower: 0
Op : ignore
Protocol: 50
Use protocol: true
SPI: 0xDB680406
Use SPI: true
IPSEC: Completed outbound permit rule,
SPI 0xDB680406
Rule ID: 0x53E47E88
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, NP encrypt rule look up
for crypto map MAP 10 matching ACL VPN:
returned cs_id=53f11198; rule=53f11a90
Процесс QM3. Ключи шифрования произведены для данных SAs. Во время этого процесса SPIs приведены в порядок для прохождения движения.
[IKEv1]: Group = 10.0.0.2, IP = 10.0.0.2,   
Security negotiation complete for
LAN-to-LAN Group (10.0.0.2) Responder,
Inbound SPI = 0x1698cac7,
Outbound SPI = 0xdb680406
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, IKE got a
KEY_ADD msg for SA: SPI = 0xdb680406
IPSEC: Completed host IBSA update,
SPI 0x1698CAC7
IPSEC: Creating inbound VPN context,
SPI 0x1698CAC7
Flags: 0x00000006
SA : 0x53FC3698
SPI : 0x1698CAC7
MTU : 0 bytes
VCID : 0x00000000
Peer : 0x0000E9B4
SCB : 0x005DAE51
Channel: 0x4C69CB80
IPSEC: Completed inbound VPN context,
SPI 0x1698CAC7
VPN handle: 0x00011A8C
IPSEC: Updating outbound VPN context 0x0000E9B4,
SPI 0xDB680406
Flags: 0x00000005
SA : 0x53F18B00
SPI : 0xDB680406
MTU : 1500 bytes
VCID : 0x00000000
Peer : 0x00011A8C
SCB : 0x005E4849
Channel: 0x4C69CB80
IPSEC: Completed outbound VPN context,
SPI 0xDB680406
VPN handle: 0x0000E9B4
IPSEC: Completed outbound inner rule,
SPI 0xDB680406
Rule ID: 0x53F89160
IPSEC: Completed outbound outer SPD rule,
SPI 0xDB680406
Rule ID: 0x53E47E88
IPSEC: New inbound tunnel flow rule,
SPI 0x1698CAC7
Src addr: 192.168.2.0
Src mask: 255.255.255.0
Dst addr: 192.168.1.0
Dst mask: 255.255.255.0
Src ports
Upper: 0
Lower: 0
Op : ignore
Dst ports
Upper: 0
Lower: 0
Op : ignore
Protocol: 1
Use protocol: true
SPI: 0x00000000
Use SPI: false
IPSEC: Completed inbound tunnel flow rule,
SPI 0x1698CAC7
Rule ID: 0x53FC3E80
IPSEC: New inbound decrypt rule,
SPI 0x1698CAC7
Src addr: 10.0.0.2
Src mask: 255.255.255.255
Dst addr: 10.0.0.1
Dst mask: 255.255.255.255
Src ports
Upper: 0
Lower: 0
Op : ignore
Dst ports
Upper: 0
Lower: 0
Op : ignore
Protocol: 50
Use protocol: true
SPI: 0x1698CAC7
Use SPI: true
IPSEC: Completed inbound decrypt rule,
SPI 0x1698CAC7
Rule ID: 0x53FC3F18
IPSEC: New inbound permit rule,
SPI 0x1698CAC7
Src addr: 10.0.0.2
Src mask: 255.255.255.255
Dst addr: 10.0.0.1
Dst mask: 255.255.255.255
Src ports
Upper: 0
Lower: 0
Op : ignore
Dst ports
Upper: 0
Lower: 0
Op : ignore
Protocol: 50
Use protocol: true
SPI: 0x1698CAC7
Use SPI: true
IPSEC: Completed inbound permit rule,
SPI 0x1698CAC7
Rule ID: 0x53F8AEA8
[IKEv1 DEBUG]: Group = 10.0.0.2,
IP = 10.0.0.2, Pitcher:
received KEY_UPDATE, spi 0x1698cac7
SPIs назначены на данные SAs.
[IKEv1 DEBUG]: Group = 10.0.0.2,    
IP = 10.0.0.2, Starting P2
rekey timer: 3060 seconds.
Начните IPsec набирают повторно времена.
[IKEv1]: Group = 10.0.0.2,  
IP = 10.0.0.2, PHASE 2
COMPLETED (msgid=52481cf5)
Полная фаза 2. И респондент и инициатор в состоянии шифровать/расшифровывать движение.

Туннельная проверка


Примечание: Так как ICMP используется для вызова тоннеля, только одна IPSec SA возросла. Протокол 1 = ICMP.

show crypto ipsec sa
interface: outside
   Crypto map tag: MAP, seq num: 10, local addr: 10.0.0.1
     access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
     local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/1/0)
     remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/1/0)
     current_peer: 10.0.0.2
     #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
     #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
     #pkts compressed: 0, #pkts decompressed: 0
     #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
     #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
     #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
     #send errors: 0, #recv errors: 0
     local crypto endpt.: 10.0.0.1/0, remote crypto endpt.: 10.0.0.2/0
     path mtu 1500, ipsec overhead 74, media mtu 1500
     current outbound spi: DB680406
     current inbound spi : 1698CAC7
   inbound esp sas:
     spi: 0x1698CAC7 (379112135)
        transform: esp-aes esp-sha-hmac no compression
        in use settings ={L2L, Tunnel, }
        slot: 0, conn_id: 16384, crypto-map: MAP
        sa timing: remaining key lifetime (kB/sec): (3914999/3326)
        IV size: 16 bytes
        replay detection support: Y
        Anti replay bitmap:
         0x00000000 0x0000001F
   outbound esp sas:
     spi: 0xDB680406 (3681027078)
        transform: esp-aes esp-sha-hmac no compression
        in use settings ={L2L, Tunnel, }
        slot: 0, conn_id: 16384, crypto-map: MAP
        sa timing: remaining key lifetime (kB/sec): (3914999/3326)
        IV size: 16 bytes
        replay detection support: Y
        Anti replay bitmap:
         0x00000000 0x00000001

 

show crypto isakmp sa

  Active SA: 1
   Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1  IKE Peer: 10.0.0.2
   Type   : L2L            Role   : responder
   Rekey  : no             State  : MM_ACTIVE

Соответствующая информация


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 113574