Depuraciones IKEv2 de IOS para VPN de sitio a sitio con PSKs Solución de problemas de TechNote

Opciones de descarga

PDF (182.6 KB)
Visualice con Adobe Reader en una variedad de dispositivos
ePub (101.4 KB)
Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (112.9 KB)
Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos

Actualizado:13 de marzo de 2014

ID del documento:115934

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Contenido

Introducción

Prerequisites

Requirements

Componentes Utilizados

Convenciones

Problema principal

Configuración del router

Troubleshoot

Depuración del router

Depuraciones CHILD_SA

Verificación del túnel

ISAKMP

IPsec

Información Relacionada

Introducción

Este documento describe las depuraciones de la versión 2 de Intercambio de claves de Internet (IKEv2) en Cisco IOS^® cuando se utiliza una clave previamente compartida (PSK). Además, este documento proporciona información sobre cómo traducir ciertas líneas de depuración en una configuración.

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento del intercambio de paquetes para IKEv2. Para obtener más información, consulte Intercambio de Paquetes IKEv2 y Debugging de Nivel de Protocolo.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

Intercambio de claves de Internet versión 2 (IKEv2)
Cisco IOS 15.1(1)T o posterior

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Problema principal

El intercambio de paquetes en IKEv2 es radicalmente diferente del intercambio de paquetes en IKEv1. En IKEv1 hubo un intercambio de fase 1 claramente demarcado que consistía de seis (6) paquetes seguidos de un intercambio de fase 2 que consistía de tres (3) paquetes; el intercambio IKEv2 es variable. Para obtener más información sobre las diferencias y una explicación del intercambio de paquetes, consulte Intercambio de Paquetes IKEv2 y Debugging de Nivel de Protocolo.

Configuración del router

Esta sección enumera las configuraciones utilizadas en este documento.

Router 1

interface Loopback0
 ip address 192.168.1.1 255.255.255.0
!
interface Tunnel0
 ip address 172.16.0.101 255.255.255.0
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv4
 tunnel destination 10.0.0.2
 tunnel protection ipsec profile phse2-prof
!
interface Ethernet0/0
 ip address 10.0.0.1 255.255.255.0

crypto ikev2 proposal PHASE1-prop
 encryption 3des aes-cbc-128
 integrity sha1
 group 2
!
crypto ikev2 policy site-pol
 proposal PHASE1-prop
!
crypto ikev2 keyring KEYRNG
 peer peer1
  address 10.0.0.2 255.255.255.0
  hostname host1
  pre-shared-key local cisco
  pre-shared-key remote cisco
 !
crypto ikev2 profile IKEV2-SETUP
 match identity remote address 0.0.0.0
 authentication remote pre-share
 authentication local pre-share
 keyring local KEYRNG
 lifetime 120
!
crypto ipsec transform-set TS esp-3des esp-sha-hmac
!
crypto ipsec profile phse2-prof
 set transform-set TS
 set ikev2-profile IKEV2-SETUP
!
ip route 0.0.0.0 0.0.0.0 10.0.0.2
ip route 192.168.2.1 255.255.255.255 Tunnel0

Router 2

crypto ikev2 proposal PHASE1-prop
 encryption 3des aes-cbc-128
 integrity sha1
 group 2
!
crypto ikev2 keyring KEYRNG
 peer peer2
  address 10.0.0.1 255.255.255.0
  hostname host2
  pre-shared-key local cisco
  pre-shared-key remote cisco
 !
crypto ikev2 profile IKEV2-SETUP
 match identity remote address 0.0.0.0
 authentication remote pre-share
 authentication local pre-share
 keyring local KEYRNG
 lifetime 120
!
crypto ipsec transform-set TS esp-3des esp-sha-hmac
!
!
crypto ipsec profile phse2-prof
 set transform-set TS
 set ikev2-profile IKEV2-SETUP
!
interface Loopback0
 ip address 192.168.2.1 255.255.255.0
!
interface Ethernet0/0
 ip address 10.0.0.2 255.255.255.0
!
interface Tunnel0
 ip address 172.16.0.102 255.255.255.0
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv4
 tunnel destination 10.0.0.1
 tunnel protection ipsec profile phse2-prof
!
ip route 0.0.0.0 0.0.0.0 10.0.0.1
ip route 192.168.1.1 255.255.255.255 Tunnel0

Troubleshoot

Depuración del router

Estos comandos debug se utilizan en este documento:

deb crypto ikev2 packet
deb crypto ikev2 internal

Descripción del mensaje Router 1 (Initiator)	Depuraciones		Descripción del mensaje Router 2 (Respondedor)
El Router 1 recibe un paquete que coincide con la ACL crypto para el peer ASA 10.0.0.2. Inicia la creación de SA	11 nov 20:28:34.003: IKEv2:Recibió un paquete del remitente 11 nov 20:28:34.003: IKEv2: Procesando un elemento de la cola de pak 11 nov 19:30:34.811: IKEv2: % de clave precompartida por dirección 10.0.0.2 11 nov 19:30:34.811: IKEv2:adición de la propuesta PHASE1-prop al estilo de políticas del kit de herramientas 11 nov 19:30:34.811: IKEv2:(1): Elección del perfil IKE IKEV2-SETUP 11 nov 19:30:34.811: IKEv2:Nuevo ikev2 como solicitud admitida *11 nov 19:30:34.811: IKEv2:aumento de la negociación saliente como recuento en uno
El primer par de mensajes es el intercambio IKE_SA_INIT. Estos mensajes negocian algoritmos criptográficos, intercambian nonces y realizan un intercambio Diffie-Hellman. Configuración relevante: `crypto ikev2 project PHASE1-prop encryption 3des aes-cbc-128 Integrity sha1 group 2` `crypto ikev2 keyring KEYRNG peer peer1 address 10.0.0.2 255.255.255.0 hostname host1 pre-shared-key local cisco pre-shared-key remote cisco`	11 nov 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento IDLE: EV_INIT_SA 11 nov 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento I_BLD_INIT: EV_GET_IKE_POLICY 11 nov 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento I_BLD_INIT:EV_SET_POLICY* 11 nov 19:30:34.811: IKEv2:(ID de SA = 1):Configuración de políticas configuradas 11 nov 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento I_BLD_INIT: EV_CHK_AUTH4PKI 11 nov 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento I_BLD_INIT:EV_GEN_DH_KEY* 11 nov 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento I_BLD_INIT: EV_NO_EVENT 11 nov 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento I_BLD_INIT: EV_OK_RECD_DH_PUBKEY_RESP 11 nov 19:30:34.811: IKEv2:(ID de SA = 1):Acción: Action_Null 11 nov 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento I_BLD_INIT: EV_GET_CONFIG_MODE 11 nov 19:30:34.811: iniciador IKEv2:IKEv2 - sin datos de configuración para enviar en la versión IKE_SA_INIT 11 nov 19:30:34.811: IKEv2:No hay datos de configuración para enviar al kit de herramientas: 11 nov 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento I_BLD_INIT: EV_BLD_MSG 11 nov 19:30:34.811: IKEv2:crear carga útil específica del proveedor: ELIMINAR RAZÓN 11 nov 19:30:34.811: IKEv2:crear carga útil específica del proveedor: (LOCAL') 11 nov 19:30:34.811: IKEv2:Construir notificación de carga útil: NAT_DETECTION_SOURCE_IP *11 nov 19:30:34.811: IKEv2:Construir notificación de carga útil: NAT_DETECTION_DESTINATION_IP
Paquete IKE_INIT_SA de creación del iniciador. Contiene: Encabezado ISAKMP (SPI/versión/indicadores), SAi1 (algoritmo criptográfico que admite el iniciador IKE), KEi (valor de clave pública DH del iniciador) y N (valor de inicialización).	11 nov 19:30:34.811: IKEv2:(ID SA = 1):Siguiente carga útil: SA, versión: 2.0 Tipo de intercambio: IKE_SA_INIT,* indicadores: INITIATOR ID de mensaje: 0, longitud: 344 Contenido de la carga útil: Carga útil SA siguiente: KE, reservado: 0x0, longitud: 56 última propuesta: 0x0, reservado: 0x0, longitud: 52 Propuesta: 1, ID de protocolo: IKE, tamaño SPI: 0, #trans: 5 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 1, reservado: 0x0, id: 3DES última transformación: 0x3, reservado: 0x0: longitud: 12 type: 1, reservado: 0x0, id: AES-CBC última transformación: 0x3, reservado: 0x0: longitud: 8 type: 2, reservado: 0x0, id: SHA1 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA96 última transformación: 0x0, reservado: 0x0: longitud: 8 type: 4, reservado: 0x0, id: DH_GROUP_1024_MODP/Grupo 2 Carga útil KE siguiente: N, reservado: 0x0, longitud: 136 Grupo DH: 2, Reservado: 0x0 N Carga útil siguiente: VID, reservado: 0x0, longitud: 24 Carga útil siguiente de VID: VID, reservado: 0x0, longitud: 23 Carga útil siguiente de VID: NOTIFICACIÓN, reservada: 0x0, longitud: 21 NOTIFICACIÓN(NAT_DETECTION_SOURCE_IP) Siguiente carga útil: NOTIFICACIÓN, reservada: 0x0, longitud: 28 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_DESTINATION_IP) Siguiente carga útil: NINGUNA, reservada: 0x0, longitud: 28 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: NAT_DETECTION_DESTINATION_IP
—Iniciador enviado IKE_INIT_SA —>
	11 nov 19:30:34.814: IKEv2:Recibió un paquete del remitente 11 nov 19:30:34.814: IKEv2:Procesamiento de un elemento de la cola pak 11 nov 19:30:34.814: IKEv2:Nuevo ikev2 como solicitud admitida 11 nov 19:30:34.814: IKEv2:aumento de la negociación entrante como recuento en uno		El respondedor recibe IKE_INIT_SA.
	11 nov 19:30:34.814: IKEv2:Siguiente carga útil: SA, versión: 2.0 Tipo de intercambio: IKE_SA_INIT, indicadores: ID del mensaje del INICIADOR: 0, longitud: 344 Contenido de la carga útil: Carga útil siguiente de SA: KE, reservado: 0x0, longitud: 56 última propuesta: 0x0, reservado: 0x0, longitud: 52 Propuesta: 1, ID de protocolo: IKE, tamaño SPI: 0, #trans: 5 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 1, reservado: 0x0, id: 3DES última transformación: 0x3, reservado: 0x0: longitud: 12 type: 1, reservado: 0x0, id: AES-CBC última transformación: 0x3, reservado: 0x0: longitud: 8 type: 2, reservado: 0x0, id: SHA1 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA96 última transformación: 0x0, reservado: 0x0: longitud: 8 type: 4, reservado: 0x0, id: DH_GROUP_1024_MODP/Grupo 2 Carga útil siguiente de KE: N, reservado: 0x0, longitud: 136 Grupo DH: 2, Reservado: 0x0 N Carga útil siguiente: VID, reservado: 0x0, longitud: 24 11 nov 19:30:34.814: IKEv2: analizar la carga útil específica del proveedor: CISCO-DELETE-REASON VID: siguiente carga útil: VID, reservado: 0x0, longitud: 23 11 nov 19:30:34.814: IKEv2: analizar la carga útil específica del proveedor: (PERSONALIZADO) VID Siguiente carga útil: NOTIFICACIÓN, reservada: 0x0, longitud: 21 11 nov 19:30:34.814: IKEv2:carga útil de notificación de análisis: NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_SOURCE_IP) Siguiente carga útil: NOTIFICACIÓN, reservada: 0x0, longitud: 28 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: NAT_DETECTION_SOURCE_IP *11 nov 19:30:34.814: IKEv2:carga útil de notificación de análisis: NAT_DETECTION_DESTINATION_IP NOTIFY(NAT_DETECTION_DESTINATION_IP) Siguiente carga útil: NINGUNA, reservada: 0x0, longitud: 28 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: NAT_DETECTION_DESTINATION_IP		Responder inicia la creación de SA para ese par.
	11 nov 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: Evento IDLE:EV_RECV_INIT* 11 nov 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_INIT Event:EV_VERIFY_MSG* 11 nov 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_INIT Event:EV_INSERT_SA* 11 nov 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_INIT Event:EV_GET_IKE_POLICY* 11 nov 19:30:34.814: IKEv2:adición del valor predeterminado de la propuesta a la política del kit de herramientas 11 nov 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_INIT Event:EV_PROC_MSG 11 nov 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: Evento R_INIT: EV_DETECT_NAT 11 nov 19:30:34.814: IKEv2:(ID de SA = 1):Notificar el descubrimiento de NAT del proceso 11 nov 19:30:34.814: IKEv2:(ID de SA = 1):Procesamiento de la notificación de detección de src 11 nov 19:30:34.814: IKEv2:(ID de SA = 1):Dirección remota coincidente 11 nov 19:30:34.814: IKEv2:(ID de SA = 1):Procesamiento de notificación de dst de detección de nat 11 nov 19:30:34.814: IKEv2:(ID de SA = 1):Dirección local coincidente 11 nov 19:30:34.814: IKEv2:(ID de SA = 1):No se ha encontrado NAT 11 nov 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: Evento R_INIT: EV_CHK_CONFIG_MODE 11 nov 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_BLD_INIT Evento: EV_SET_POLICY 11 nov 19:30:34.814: IKEv2:(ID de SA = 1):Configuración de políticas configuradas 11 nov 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_BLD_INIT Evento: EV_CHK_AUTH4PKI 11 nov 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_BLD_INIT Evento: EV_PKI_SESH_OPEN 11 nov 19:30:34.814: IKEv2:(ID de SA = 1):Apertura de una sesión PKI 11 nov 19:30:34.815: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_BLD_INIT Evento:EV_GEN_DH_KEY 11 nov 19:30:34.815: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_BLD_INIT Evento: EV_NO_EVENT 11 nov 19:30:34.815: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_BLD_INIT Evento:EV_OK_RECD_DH_PUBKEY_RESP 11 nov 19:30:34.815: IKEv2:(ID de SA = 1):Acción: Action_Null 11 nov 19:30:34.815: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_BLD_INIT Evento:EV_GEN_DH_SECRET 11 nov 19:30:34.822: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_BLD_INIT Evento: EV_NO_EVENT 11 nov 19:30:34.822: IKEv2:% Obteniendo clave precompartida por dirección 10.0.0.1 11 nov 19:30:34.822: IKEv2:adición del valor predeterminado de la propuesta a la política del kit de herramientas 11 nov 19:30:34.822: IKEv2:(2): Elección del perfil IKE IKEV2-SETUP 11 nov 19:30:34.822: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_BLD_INIT Evento: EV_OK_RECD_DH_SECRET_RESP 11 nov 19:30:34.822: IKEv2:(ID de SA = 1):Acción: Action_Null 11 nov 19:30:34.822: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_BLD_INIT Evento:EV_GEN_SKEYID* 11 nov 19:30:34.822: IKEv2:(ID de SA = 1):Generar id de teclado* 11 nov 19:30:34.822: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_BLD_INIT Evento: EV_GET_CONFIG_MODE 11 nov 19:30:34.822: respondedor IKEv2:IKEv2 - sin datos de configuración para enviar en la versión IKE_SA_INIT 11 nov 19:30:34.822: IKEv2:No hay datos de configuración para enviar al kit de herramientas: 11 nov 19:30:34.822: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_BLD_INIT Evento: EV_BLD_MSG 11 nov 19:30:34.822: IKEv2:crear carga útil específica del proveedor: ELIMINAR RAZÓN 11 nov 19:30:34.822: IKEv2:crear carga útil específica del proveedor: (LOCAL') 11 nov 19:30:34.822: IKEv2:Construir notificación de carga útil: NAT_DETECTION_SOURCE_IP 11 nov 19:30:34.822: IKEv2:Construir notificación de carga útil: NAT_DETECTION_DESTINATION_IP *11 nov 19:30:34.822: IKEv2:Construir notificación de carga útil: HTTP_CERT_LOOKUP_SUPPORTED		Responder verifica y procesa el mensaje IKE_INIT: (1) Elige el conjunto criptográfico de los ofrecidos por el iniciador, (2) calcula su propia clave secreta DH y (3) calcula un valor skeyid, del cual se pueden derivar todas las claves para este IKE_SA. Todos los encabezados de todos los mensajes que siguen están cifrados y autenticados. Las claves utilizadas para la protección de la integridad y el cifrado derivan de SKEYID y se conocen como: SK_e (cifrado), SK_a (autenticación), SK_d se deriva y se utiliza para derivar material adicional de codificación para CHILD_SAs, y se calcula un SK_e y SK_a separados para cada dirección. Configuración relevante: `crypto ikev2 project PHASE1-prop encryption 3des aes-cbc-128 Integrity sha1 group 2 crypto ikev2 keyring KEYRNG peer2 address 10.0.0.1 255.255.255.0 hostname host2 pre-shared-key local cisco pre-shared-key remote`
	11 nov 19:30:34.822: IKEv2:(ID de SA = 1):Siguiente carga útil: SA, versión: 2.0 Tipo de intercambio: IKE_SA_INIT,* indicadores: RESPONDER MSG-RESPONSE ID de mensaje: 0, longitud: 449 Contenido de la carga útil: Carga útil SA siguiente: KE, reservado: 0x0, longitud: 48 última propuesta: 0x0, reservado: 0x0, longitud: 44 Propuesta: 1, ID de protocolo: IKE, tamaño SPI: 0, #trans: 4 última transformación: 0x3, reservado: 0x0: longitud: 12 type: 1, reservado: 0x0, id: AES-CBC última transformación: 0x3, reservado: 0x0: longitud: 8 type: 2, reservado: 0x0, id: SHA1 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA96 última transformación: 0x0, reservado: 0x0: longitud: 8 type: 4, reservado: 0x0, id: DH_GROUP_1024_MODP/Grupo 2 Carga útil KE siguiente: N, reservado: 0x0, longitud: 136 Grupo DH: 2, Reservado: 0x0 N Carga útil siguiente: VID, reservado: 0x0, longitud: 24 Carga útil siguiente de VID: VID, reservado: 0x0, longitud: 23 Carga útil siguiente de VID: NOTIFICACIÓN, reservada: 0x0, longitud: 21 NOTIFICACIÓN(NAT_DETECTION_SOURCE_IP) Siguiente carga útil: NOTIFICACIÓN, reservada: 0x0, longitud: 28 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_DESTINATION_IP) Siguiente carga útil: CERTREQ, reservado: 0x0, longitud: 28 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: NAT_DETECTION_DESTINATION_IP Carga útil siguiente de CERTREQ: NOTIFICACIÓN, reservada: 0x0, longitud: 105 Hash de codificación de certificado y URL de PKIX NOTIFICACIÓN(HTTP_CERT_LOOKUP_SUPPORTED) Siguiente carga útil: NINGUNA, reservada: 0x0, longitud: 8 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: HTTP_CERT_LOOKUP_SUPPORTED		El Router 2 construye el mensaje de respuesta para el intercambio IKE_SA_INIT, que es recibido por ASA1. Este paquete contiene: Encabezado ISAKMP (SPI/ versión/indicadores), SAr1 (algoritmo criptográfico que el respondedor IKE elige), KEr (valor de clave pública DH del respondedor) y Nonce del respondedor.
	11 nov 19:30:34.822: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: Evento INIT_DONE: EV_DONE 11 nov 19:30:34.822: IKEv2:(ID de SA = 1):Cisco DeleteReason Notify está habilitado 11 nov 19:30:34.822: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: Evento INIT_DONE: EV_CHK4_ROLE 11 nov 19:30:34.822: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: INIT_DONE Event:EV_START_TMR 11 nov 19:30:34.822: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: Evento R_WAIT_AUTH: EV_NO_EVENT 11 nov 19:30:34.822: IKEv2:Nuevo ikev2 como solicitud admitida 11 nov 19:30:34.822: IKEv2:Aumento de la negociación saliente como recuento en uno*		El Router 2 envía el mensaje del respondedor al Router 1.
<—Respondedor enviado IKE_INIT_SA —
El Router 1 recibe el paquete de respuesta IKE_SA_INIT del Router 2.	11 nov 19:30:34.823: IKEv2:Recibió un paquete del remitente 11 nov 19:30:34.823: IKEv2:Recibió un paquete del remitente *11 nov 19:30:34.823: IKEv2:Procesamiento de un elemento de la cola pak	I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: INIT_DONE Event:EV_START_TMR	Responder inicia el temporizador para el proceso de autenticación.
El Router1 verifica y procesa la respuesta: (1) Se calcula la clave secreta DH del iniciador y (2) también se genera la clave skeyid del iniciador.	11 nov 19:30:34.823: IKEv2:(ID de SA = 1):Siguiente carga útil: SA, versión: 2.0 Tipo de intercambio: IKE_SA_INIT, indicadores: RESPONDER MSG-RESPONSE* ID del mensaje: 0, longitud: 449 Contenido de la carga útil: Carga útil SA siguiente: KE, reservado: 0x0, longitud: 48 última propuesta: 0x0, reservado: 0x0, longitud: 44 Propuesta: 1, ID de protocolo: IKE, tamaño SPI: 0, #trans: 4 última transformación: 0x3, reservado: 0x0: longitud: 12 type: 1, reservado: 0x0, id: AES-CBC última transformación: 0x3, reservado: 0x0: longitud: 8 type: 2, reservado: 0x0, id: SHA1 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA96 última transformación: 0x0, reservado: 0x0: longitud: 8 type: 4, reservado: 0x0, id: DH_GROUP_1024_MODP/Grupo 2 Carga útil KE siguiente: N, reservado: 0x0, longitud: 136 Grupo DH: 2, Reservado: 0x0 N Carga útil siguiente: VID, reservado: 0x0, longitud: 24 11 nov 19:30:34.823: IKEv2: analizar la carga útil específica del proveedor: CISCO-DELETE-REASON VID: siguiente carga útil: VID, reservado: 0x0, longitud: 23 11 nov 19:30:34.823: IKEv2: analizar la carga útil específica del proveedor: (PERSONALIZADO) VID Siguiente carga útil: NOTIFICACIÓN, reservada: 0x0, longitud: 21 11 nov 19:30:34.823: IKEv2:carga útil de notificación de análisis: NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_SOURCE_IP) Siguiente carga útil: NOTIFICACIÓN, reservada: 0x0, longitud: 28 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: NAT_DETECTION_SOURCE_IP 11 nov 19:30:34.824: IKEv2:carga útil de notificación de análisis: NAT_DETECTION_DESTINATION_IP NOTIFY(NAT_DETECTION_DESTINATION_IP) Siguiente carga útil: CERTREQ, reservado: 0x0, longitud: 28 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: NAT_DETECTION_DESTINATION_IP Carga útil siguiente de CERTREQ: NOTIFICACIÓN, reservada: 0x0, longitud: 105 Hash de codificación de certificado y URL de PKIX 11 nov 19:30:34.824: IKEv2:carga útil de notificación de análisis: HTTP_CERT_LOOKUP_SUPPORTED NOTIFY(HTTP_CERT_LOOKUP_SUPPORTED) Siguiente carga útil: NINGUNA, reservada: 0x0, longitud: 8 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: HTTP_CERT_LOOKUP_SUPPORTED 11 nov 19:30:34.824: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento I_WAIT_INIT: EV_RECV_INIT 11 nov 19:30:34.824: IKEv2:(ID de SA = 1):Procesamiento del mensaje IKE_SA_INIT 11 nov 19:30:34.824: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento I_PROC_INIT: EV_CHK4_NOTIFY 11 nov 19:30:34.824: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento I_PROC_INIT: EV_VERIFY_MSG 11 nov 19:30:34.824: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento I_PROC_INIT: EV_PROC_MSG 11 nov 19:30:34.824: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento I_PROC_INIT: EV_DETECT_NAT 11 nov 19:30:34.824: IKEv2:(ID de SA = 1):Notificar el descubrimiento de NAT del proceso 11 nov 19:30:34.824: IKEv2:(ID de SA = 1):Procesamiento de la notificación de detección de src 11 nov 19:30:34.824: IKEv2:(ID de SA = 1):Dirección remota coincidente 11 nov 19:30:34.824: IKEv2:(ID de SA = 1):Procesamiento de notificación de dst de detección de nat 11 nov 19:30:34.824: IKEv2:(ID de SA = 1):Dirección local coincidente 11 nov 19:30:34.824: IKEv2:(ID de SA = 1):No se ha encontrado NAT 11 nov 19:30:34.824: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento I_PROC_INIT: EV_CHK_NAT_T 11 nov 19:30:34.824: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento I_PROC_INIT: EV_CHK_CONFIG_MODE 11 nov 19:30:34.824: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: INIT_DONE Event:EV_GEN_DH_SECRET 11 nov 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento INIT_DONE: EV_NO_EVENT 11 nov 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento INIT_DONE: EV_OK_RECD_DH_SECRET_RESP 11 nov 19:30:34.831: IKEv2:(ID de SA = 1):Acción: Action_Null 11 nov 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: INIT_DONE Event:EV_GEN_SKEYID 11 nov 19:30:34.831: IKEv2:(ID de SA = 1):Generar id de teclado* 11 nov 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento INIT_DONE: EV_DONE 11 nov 19:30:34.831: IKEv2:(ID de SA = 1):Cisco DeleteReason Notify está habilitado 11 nov 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento INIT_DONE: EV_CHK4_ROLE 11 nov 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento I_BLD_AUTH: EV_GET_CONFIG_MODE 11 nov 19:30:34.831: IKEv2:envío de datos de configuración al kit de herramientas 11 nov 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento I_BLD_AUTH: EV_CHK_EAP
El iniciador inicia el intercambio IKE_AUTH y genera la carga útil de autenticación. El paquete IKE_AUTH contiene: Encabezado ISAKMP (SPI/ versión/indicadores), IDi(identidad del iniciador), carga útil AUTH, SAi2(inicia SA-similar al intercambio de conjunto de transformación de fase 2 en IKEv1) y TSi y TSr (selectores de tráfico de iniciador y respondedor): Contienen la dirección de origen y de destino del iniciador y del respondedor respectivamente para reenviar/recibir tráfico cifrado. El rango de direcciones especifica que todo el tráfico hacia y desde ese rango se tuneliza. Si la propuesta es aceptable para el respondedor, envía cargas útiles de TS idénticas de vuelta. El primer CHILD_SA se crea para el par proxy_ID que coincide con el paquete de activación. Configuración relevante: `crypto ipsec transform-set TS esp-3des esp-sha-hmac crypto ipsec profile phse2-prof set transform-set TS set ikev2-profile IKEV2-SETUP`	11 nov 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: I_BLD_AUTH Event:EV_GEN_AUTH* 11 nov 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento I_BLD_AUTH: EV_CHK_AUTH_TYPE 11 nov 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento I_BLD_AUTH: EV_OK_AUTH_GEN 11 nov 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento I_BLD_AUTH: EV_SEND_AUTH 11 nov 19:30:34.831: IKEv2:crear carga útil específica del proveedor: CISCO-GRANITE 11 nov 19:30:34.831: IKEv2:Construir notificación de carga útil: INITIAL_CONTACT 11 nov 19:30:34.831: IKEv2:Construir notificación de carga útil: SET_WINDOW_SIZE 11 nov 19:30:34.831: IKEv2:Construir notificación de carga útil: ESP_TFC_NO_SUPPORT 11 nov 19:30:34.831: IKEv2:Construir notificación de carga útil: NON_FIRST_FRAGS Contenido de la carga útil: Carga útil siguiente de VID: ID, reservado: 0x0, longitud: 20 IDi Carga útil siguiente: AUTH, reservada: 0x0, longitud: 12 Tipo de ID: Dirección IPv4, reservada: 0x0 0x0 AUTH Next Payload: CFG, reservado: 0x0, longitud: 28 Método de autenticación PSK, reservado: 0x0, reservado 0x0 Carga útil CFG siguiente: SA, reservada: 0x0, longitud: 309 tipo cfg: CFG_REQUEST, reservado: 0x0, reservado: 0x0 11 nov 19:30:34.831: SA Siguiente carga útil: TSi, reservado: 0x0, longitud: 40 última propuesta: 0x0, reservado: 0x0, longitud: 36 Propuesta: 1, ID de protocolo: ESP, tamaño SPI: 4, #trans: 3 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 1, reservado: 0x0, id: 3DES última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA96 última transformación: 0x0, reservado: 0x0: longitud: 8 type: 5, reservado: 0x0, id: No utilice ESN Carga útil TSi* siguiente: TSr, reservado: 0x0, longitud: 24 Número de TS: 1, reservado 0x0, reservado 0x0 Tipo de TS: TS_IPV4_ADDR_RANGE, id de prueba: 0, longitud: 16 puerto inicial: 0, puerto final: 65535 start addr: 0.0.0.0, dirección final: 255.255.255.255 Carga útil TSr siguiente: NOTIFICACIÓN, reservada: 0x0, longitud: 24 Número de TS: 1, reservado 0x0, reservado 0x0 Tipo de TS: TS_IPV4_ADDR_RANGE, id de prueba: 0, longitud: 16 puerto inicial: 0, puerto final: 65535 start addr: 0.0.0.0, dirección final: 255.255.255.255 NOTIFICACIÓN(INITIAL_CONTACT) Siguiente carga útil: NOTIFICACIÓN, reservada: 0x0, longitud: 8 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: INITIAL_CONTACT NOTIFICAR(SET_WINDOW_SIZE) Siguiente carga útil: NOTIFICACIÓN, reservada: 0x0, longitud: 12 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: SET_WINDOW_SIZE NOTIFICAR(ESP_TFC_NO_SUPPORT) Siguiente carga: NOTIFICACIÓN, reservada: 0x0, longitud: 8 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: ESP_TFC_NO_SUPPORT NOTIFICAR(NON_FIRST_FRAGS) Siguiente carga útil: NINGUNA, reservada: 0x0, longitud: 8 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: NON_FIRST_FRAGS 11 nov 19:30:34.832: IKEv2:(ID de SA = 1):Siguiente carga útil: ENCR, versión: 2.0 Tipo de intercambio: IKE_AUTH, indicadores: INICIADOR* ID de mensaje: 1, longitud: 556 Contenido de la carga útil: Siguiente carga útil de ENCR: VID, reservado: 0x0, longitud: 528 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000001 CurState:* Evento I_WAIT_AUTH: EV_NO_EVENT
—Iniciador enviado IKE_AUTH —>
	11 nov 19:30:34.832: IKEv2:Recibió un paquete del remitente 11 nov 19:30:34.832: IKEv2:Procesamiento de un elemento de la cola pak 11 nov 19:30:34.832: IKEv2:(ID de SA = 1):La solicitud tiene id_desorden 1; esperados 1 a 1 11 nov 19:30:34.832: IKEv2:(ID SA = 1):Siguiente carga útil: ENCR, versión: 2.0 Tipo de intercambio: IKE_AUTH, indicadores: INITIATOR ID de mensaje: 1, longitud: 556 Contenido de la carga útil: 11 nov 19:30:34.832: IKEv2: analizar la carga útil específica del proveedor: (PERSONALIZADO) VID Siguiente carga útil: ID, reservado: 0x0, longitud: 20 IDi* Carga útil siguiente: AUTH, reservada: 0x0, longitud: 12 Tipo de ID: Dirección IPv4, reservada: 0x0 0x0 Carga útil AUTH Next: CFG, reservado: 0x0, longitud: 28 Método de autenticación PSK, reservado: 0x0, reservado 0x0 Carga útil CFG siguiente: SA, reservada: 0x0, longitud: 309 tipo cfg: CFG_REQUEST, reservado: 0x0, reservado: 0x0 11 nov 19:30:34.832: attrib type: DNS IP4 interno, longitud: 0 11 nov 19:30:34.832: attrib type: DNS IP4 interno, longitud: 0 11 nov 19:30:34.832: attrib type: NBNS IP4 interno, longitud: 0 11 nov 19:30:34.832: attrib type: NBNS IP4 interno, longitud: 0 11 nov 19:30:34.832: attrib type: subred IP4 interna, longitud: 0 11 nov 19:30:34.832: attrib type: versión de la aplicación, longitud: 257 tipo de attrib: Desconocido - 28675, longitud: 0 11 nov 19:30:34.832: attrib type: Desconocido - 28672, longitud: 0 11 nov 19:30:34.832: attrib type: Desconocido - 28692, longitud: 0 11 nov 19:30:34.832: attrib type: Desconocido - 28681, longitud: 0 11 nov 19:30:34.832: attrib type: Desconocido - 28674, longitud: 0 11 nov 19:30:34.832: Siguiente carga SA: TSi, reservado: 0x0, longitud: 40 última propuesta: 0x0, reservado: 0x0, longitud: 36 Propuesta: 1, ID de protocolo: ESP, tamaño SPI: 4, #trans: 3 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 1, reservado: 0x0, id: 3DES última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA96 última transformación: 0x0, reservado: 0x0: longitud: 8 type: 5, reservado: 0x0, id: No utilice ESN Carga útil TSi* siguiente: TSr, reservado: 0x0, longitud: 24 Número de TS: 1, reservado 0x0, reservado 0x0 Tipo de TS: TS_IPV4_ADDR_RANGE, id de prueba: 0, longitud: 16 puerto inicial: 0, puerto final: 65535 start addr: 0.0.0.0, dirección final: 255.255.255.255 TSr Carga útil siguiente: NOTIFICACIÓN, reservada: 0x0, longitud: 24 Número de TS: 1, reservado 0x0, reservado 0x0 Tipo de TS: TS_IPV4_ADDR_RANGE, id de prueba: 0, longitud: 16 puerto inicial: 0, puerto final: 65535 start addr: 0.0.0.0, dirección final: 255.255.255.255		El Router 2 recibe y verifica los datos de autenticación recibidos del Router 1. Configuración relevante: `crypto ipsec ikev2 ipsec-project AES256 protocol esp encryption aes-256 protocol esp Integrity sha-1 md5`
	11 nov 19:30:34.832: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_WAIT_AUTH: EV_RECV_AUTH 11 nov 19:30:34.832: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_WAIT_AUTH: EV_CHK_NAT_T 11 nov 19:30:34.832: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_WAIT_AUTH: EV_PROC_ID 11 nov 19:30:34.832: IKEv2:(ID de SA = 1):Se han recibido parámetros válidos en la ID del proceso 11 nov 19:30:34.832: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_WAIT_AUTH: EV_CHK_IF_PEER_CERT_NEEDS_TO_BE_FETCHED_FOR_PROF_SEL 11 nov 19:30:34.832: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_WAIT_AUTH: EV_GET_POLICY_BY_PEERID 11 nov 19:30:34.833: IKEv2:(1): Elección del perfil IKE IKEV2-SETUP 11 nov 19:30:34.833: IKEv2: % de clave precompartida por dirección 10.0.0.1 11 nov 19:30:34.833: IKEv2: % de clave precompartida por dirección 10.0.0.1 11 nov 19:30:34.833: IKEv2:adición del valor predeterminado de la propuesta a la política del kit de herramientas 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):Uso del perfil IKEv2 'IKEV2-SETUP' 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_WAIT_AUTH: EV_SET_POLICY 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):Configuración de políticas configuradas 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_WAIT_AUTH: EV_VERIFY_POLICY_BY_PEERID 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_WAIT_AUTH: EV_CHK_AUTH4EAP 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_WAIT_AUTH: EV_CHK_POLREQEAP 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Event: EV_CHK_AUTH_TYPE 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Event: EV_GET_PRESHR_KEY 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Event: EV_VERIFY_AUTH 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Event: EV_CHK4_IC 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Event: EV_CHK_REDIRECT 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):No se necesita la verificación de redirección, omitiéndola 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Event: EV_NOTIFY_AUTH_DONE 11 nov 19:30:34.833: IKEv2:la autorización de grupo AAA no está configurada 11 nov 19:30:34.833: IKEv2:la autorización de usuario AAA no está configurada 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Event: EV_CHK_CONFIG_MODE 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Event: EV_SET_RECD_CONFIG_MODE 11 nov 19:30:34.833: IKEv2:Datos de configuración recibidos del kit de herramientas: 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Event: EV_PROC_SA_TS 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Event: EV_GET_CONFIG_MODE 11 nov 19:30:34.833: IKEv2:Error al construir la respuesta de configuración 11 nov 19:30:34.833: IKEv2:No hay datos de configuración para enviar al kit de herramientas: 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_BLD_AUTH: EV_MY_AUTH_METHOD 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_BLD_AUTH: EV_GET_PRESHR_KEY 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_BLD_AUTH: EV_GEN_AUTH 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_BLD_AUTH: EV_CHK4_SIGN 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_BLD_AUTH: EV_OK_AUTH_GEN 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_BLD_AUTH: EV_SEND_AUTH 11 nov 19:30:34.833: IKEv2:crear carga útil específica del proveedor: CISCO-GRANITE 11 nov 19:30:34.833: IKEv2:Construir notificación de carga útil: SET_WINDOW_SIZE 11 nov 19:30:34.833: IKEv2:Construir notificación de carga útil: ESP_TFC_NO_SUPPORT 11 nov 19:30:34.833: IKEv2:Construir notificación de carga útil: NON_FIRST_FRAGS		El Router 2 genera la respuesta al paquete IKE_AUTH que recibió del Router 1. Este paquete de respuesta contiene: Encabezado ISAKMP (SPI/ versión/indicadores), IDr (identidad del respondedor), carga útil AUTH, SAr2(inicia SA-similar al intercambio de conjunto de transformación de fase 2 en IKEv1) y TSi y TSr(selectores de tráfico de iniciador y respondedor). Contienen la dirección de origen y de destino del iniciador y del respondedor respectivamente para reenviar/recibir tráfico cifrado. El rango de direcciones especifica que todo el tráfico hacia y desde ese rango se tuneliza. Estos parámetros son idénticos al que se recibió de ASA1.
	11 nov 19:30:34.833: IKEv2:(ID de SA = 1):Siguiente carga útil: ENCR, versión: 2.0 Tipo de intercambio: IKE_AUTH, indicadores: RESPONDER MSG-RESPONSE* ID de mensaje: 1, longitud: 252 Contenido de la carga útil: ENCR Carga útil siguiente: VID, reservado: 0x0, longitud: 224 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_OK 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):Acción: Action_Null 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_PKI_SESH_CLOSE 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):Cierre de la sesión PKI 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_UPDATE_CAC_STATS 11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: EVENTO AUTH_DONE:EV_INSERT_IKE 11 nov 19:30:34.834: IKEv2:índice MIB de almacenamiento ikev2 1, plataforma 60 11 nov 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_GEN_LOAD_IPSEC 11 nov 19:30:34.834: IKEv2:(ID de SA = 1):Solicitud asincrónica en cola 11 nov 19:30:34.834: IKEv2:(ID de SA = 1): 11 nov 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000001 CurState: AUTH_DONE* Evento: EV_NO_EVENT		Responder envía la respuesta para IKE_AUTH.
<—Respondedor enviado IKE_AUTH—
El iniciador recibe la respuesta de Responder.	11 nov 19:30:34.834: IKEv2:Recibió un paquete del remitente 11 nov 19:30:34.834: IKEv2:Procesamiento de un elemento de la cola pak	11 nov 19:30:34.840: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_OK_RECD_LOAD_IPSEC 11 nov 19:30:34.840: IKEv2:(ID de SA = 1):Acción: Action_Null 11 nov 19:30:34.840: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_START_ACCT 11 nov 19:30:34.840: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_CHECK_DUPE *11 nov 19:30:34.840: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_CHK4_ROLE	Responder inserta una entrada en el SAD.
El Router 1 verifica y procesa los datos de autenticación en este paquete. Luego, el router 1 inserta esta SA en su SAD.	11 nov 19:30:34.834: IKEv2:(ID de SA = 1):Siguiente carga útil: ENCR, versión: 2.0 Tipo de intercambio: IKE_AUTH, indicadores: RESPONDER MSG-RESPONSE* ID de mensaje: 1, longitud: 252 Contenido de la carga útil: 11 nov 19:30:34.834: IKEv2: analizar la carga útil específica del proveedor: (PERSONALIZADO) VID Siguiente carga útil: IDr, reservado: 0x0, longitud: 20 IDr.* Carga útil siguiente: AUTH, reservada: 0x0, longitud: 12 Tipo de ID: Dirección IPv4, reservada: 0x0 0x0 AUTH Next Payload: SA, reservada: 0x0, longitud: 28 Método de autenticación PSK, reservado: 0x0, reservado 0x0 Carga útil SA siguiente: TSi, reservado: 0x0, longitud: 40 última propuesta: 0x0, reservado: 0x0, longitud: 36 Propuesta: 1, ID de protocolo: ESP, tamaño SPI: 4, #trans: 3 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 1, reservado: 0x0, id: 3DES última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA96 última transformación: 0x0, reservado: 0x0: longitud: 8 type: 5, reservado: 0x0, id: No utilice ESN Carga útil TSi siguiente: TSr, reservado: 0x0, longitud: 24 Número de TS: 1, reservado 0x0, reservado 0x0 Tipo de TS: TS_IPV4_ADDR_RANGE, id de prueba: 0, longitud: 16 puerto inicial: 0, puerto final: 65535 start addr: 0.0.0.0, dirección final: 255.255.255.255 TSr Carga útil siguiente: NOTIFICACIÓN, reservada: 0x0, longitud: 24 Número de TS: 1, reservado 0x0, reservado 0x0 Tipo de TS: TS_IPV4_ADDR_RANGE, id de prueba: 0, longitud: 16 puerto inicial: 0, puerto final: 65535 start addr: 0.0.0.0, dirección final: 255.255.255.255 11 nov 19:30:34.834: IKEv2:carga útil de notificación de análisis: SET_WINDOW_SIZE NOTIFY(SET_WINDOW_SIZE) Siguiente carga útil: NOTIFICACIÓN, reservada: 0x0, longitud: 12 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: SET_WINDOW_SIZE 11 nov 19:30:34.834: IKEv2:carga útil de notificación de análisis: ESP_TFC_NO_SUPPORT NOTIFY(ESP_TFC_NO_SUPPORT) Siguiente carga útil: NOTIFICACIÓN, reservada: 0x0, longitud: 8 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: ESP_TFC_NO_SUPPORT 11 nov 19:30:34.834: IKEv2:carga útil de notificación de análisis: NOTIFICACIÓN NON_FIRST_FRAGS(NON_FIRST_FRAGS) Siguiente carga útil: NINGUNA, reservada: 0x0, longitud: 8 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: NON_FIRST_FRAGS 11 nov 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_WAIT_AUTH:EV_RECV_AUTH 11 nov 19:30:34.834: IKEv2:(ID de SA = 1):Acción: Action_Null 11 nov 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_CHK4_NOTIFY 11 nov 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH Event:EV_PROC_MSG* 11 nov 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_CHK_IF_PEER_CERT_NEEDS_TO_BE_FETCHED_FOR_PROF_SEL 11 nov 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_GET_POLICY_BY_PEERID 11 nov 19:30:34.834: IKEv2:adición de la propuesta PHASE1-prop a la política del kit de herramientas 11 nov 19:30:34.834: IKEv2:(ID de SA = 1):Uso del perfil IKEv2 'IKEV2-SETUP' 11 nov 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_VERIFY_POLICY_BY_PEERID 11 nov 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_CHK_AUTH_TYPE 11 nov 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_GET_PRESHR_KEY 11 nov 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH Event:EV_VERIFY_AUTH 11 nov 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_CHK_EAP 11 nov 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH Event:EV_NOTIFY_AUTH_DONE 11 nov 19:30:34.835: IKEv2:la autorización de grupo AAA no está configurada 11 nov 19:30:34.835: IKEv2:la autorización de usuario AAA no está configurada 11 nov 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_CHK_CONFIG_MODE 11 nov 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_CHK4_IC 11 nov 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_CHK_IKE_ONLY 11 nov 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_PROC_SA_TS 11 nov 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_OK 11 nov 19:30:34.835: IKEv2:(ID de SA = 1):Acción: Action_Null 11 nov 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_PKI_SESH_CLOSE 11 nov 19:30:34.835: IKEv2:(ID de SA = 1):Cierre de la sesión PKI 11 nov 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_UPDATE_CAC_STATS 11 nov 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_INSERT_IKE 11 nov 19:30:34.835: IKEv2:índice MIB de almacenamiento ikev2 1, plataforma 60 11 nov 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_GEN_LOAD_IPSEC 11 nov 19:30:34.835: IKEv2:(ID de SA = 1):Solicitud asincrónica en cola 11 nov 19:30:34.835: IKEv2:(ID de SA = 1): 11 nov 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_NO_EVENT 11 nov 19:30:34.835: IKEv2:Se consumió el mensaje 8 de KMI. No se ha tomado ninguna medida. 11 nov 19:30:34.835: IKEv2:Se consumió el mensaje 12 de KMI. No se ha tomado ninguna medida. 11 nov 19:30:34.835: IKEv2: No hay datos para enviar en modo de configuración configurado. 11 nov 19:30:34.841: IKEv2:adición de identificador 0x80000002 asociado con SPI 0x9506D414 para la sesión 8 11 nov 19:30:34.841: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_OK_RECD_LOAD_IPSEC 11 nov 19:30:34.841: IKEv2:(ID de SA = 1):Acción: Action_Null 11 nov 19:30:34.841: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_START_ACCT 11 nov 19:30:34.841: IKEv2:(ID de SA = 1):No se requiere contabilidad 11 nov 19:30:34.841: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_CHECK_DUPE 11 nov 19:30:34.841: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000001 CurState: AUTH_DONE* Evento: EV_CHK4_ROLE
El túnel está activo en el Iniciador y el estado muestra READY.	11 nov 19:30:34.841: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: READYEvent: EV_CHK_IKE_ONLY 11 nov 19:30:34.841: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento PREPARADO: EV_I_OK	11 nov 19:30:34.840: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000001 CurState: READY* Evento: EV_R_OK *11 nov 19:30:34.840: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento PREPARADO: EV_NO_EVENT	El túnel está activo en el Respondedor. El túnel Responder suele aparecer antes del iniciador.

Depuraciones CHILD_SA

Este intercambio consiste en un único par de solicitud/respuesta y se denominó intercambio de fase 2 en IKEv1. Podría iniciarse en cualquiera de los extremos de IKE_SA después de que se completen los intercambios iniciales.

Descripción del mensaje del router 1 CHILD_SA	Depuraciones	Descripción del mensaje del router 2 CHILD_SA
El router 1 inicia el intercambio CHILD_SA. Esta es la solicitud CREATE_CHILD_SA. El paquete CHILD_SA normalmente contiene: SA HDR (versión.indicadores/tipo de intercambio) Nonce Ni (opcional): Si se crea CHILD_SA como parte del intercambio inicial, no se debe enviar una segunda carga útil KE y ninguna) Carga útil de SA KEi (Clave opcional): La solicitud CREATE_CHILD_SA puede contener opcionalmente una carga KE para un intercambio DH adicional para habilitar garantías más fuertes de secreto de reenvío para CHILD_SA. Si las ofertas SA incluyen diferentes grupos DH, KEi debe ser un elemento del grupo que el iniciador espera que el respondedor acepte. Si se da cuenta de que el intercambio CREATE_CHILD_SA falla y tendrá que volver a intentarlo con un KEi diferente N(Notify payload-opcional). La carga de notificación se utiliza para transmitir datos informativos, como las condiciones de error y las transiciones de estado, a un peer IKE. Puede aparecer una carga útil de notificación en un mensaje de respuesta (que normalmente especifica por qué se rechazó una solicitud), en un intercambio de información (para informar de un error que no se encuentra en una solicitud IKE) o en cualquier otro mensaje para indicar las capacidades del remitente o para modificar el significado de la solicitud.Si este intercambio CREATE_CHILD_SA está reescribiendo una SA existente que no sea IKE_SA, la carga útil N líder del tipo REKEY_SA debe identificar que se renueve. Si este intercambio CREATE_CHILD_SA no está reintroduciendo una SA existente, se DEBE omitir la carga útil N.	11 nov 19:31:35.873: IKEv2:Recibió un paquete del remitente 11 nov 19:31:35.873: IKEv2:Procesamiento de un elemento de la cola pak 11 nov 19:31:35.873: IKEv2:(ID de SA = 2):La solicitud tiene id_desorden 3; esperados 3 a 7 11 nov 19:31:35.873: IKEv2:(ID de SA = 2):Siguiente carga útil: ENCR, versión: 2.0 Tipo de intercambio: CREATE_CHILD_SA, indicadores: INICIADOR ID de mensaje: 3, longitud: 396 Contenido de la carga útil: Carga útil SA siguiente: N, reservado: 0x0, longitud: 152 última propuesta: 0x0, reservado: 0x0, longitud: 148 Propuesta: 1, ID de protocolo: IKE, tamaño SPI: 8, #trans: 15 última transformación: 0x3, reservado: 0x0: longitud: 12 type: 1, reservado: 0x0, id: AES-CBC última transformación: 0x3, reservado: 0x0: longitud: 12 type: 1, reservado: 0x0, id: AES-CBC última transformación: 0x3, reservado: 0x0: longitud: 12 type: 1, reservado: 0x0, id: AES-CBC última transformación: 0x3, reservado: 0x0: longitud: 8 type: 2, reservado: 0x0, id: SHA512 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 2, reservado: 0x0, id: SHA384 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 2, reservado: 0x0, id: SHA256 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 2, reservado: 0x0, id: SHA1 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 2, reservado: 0x0, id: MD5 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA512 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA384 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA256 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA96 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: MD596 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 4, reservado: 0x0, id: DH_GROUP_1536_MODP/Grupo 5 última transformación: 0x0, reservado: 0x0: longitud: 8 type: 4, reservado: 0x0, id: DH_GROUP_1024_MODP/Grupo 2 N Carga útil siguiente: KE, reservado: 0x0, longitud: 24 Carga útil KE siguiente: NOTIFICACIÓN, reservada: 0x0, longitud: 136 Grupo DH: 2, Reservado: 0x0 11 nov 19:31:35.874: IKEv2:carga útil de notificación de análisis: SET_WINDOW_SIZE NOTIFY(SET_WINDOW_SIZE) Siguiente carga útil: NINGUNA, reservada: 0x0, longitud: 12 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: SET_WINDOW_SIZE 11 nov 19:31:35.874: IKEv2:(ID SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento READY: EV_RECV_CREATE_CHILD 11 nov 19:31:35.874: IKEv2:(ID de SA = 2):Acción: Action_Null 11 nov 19:31:35.874: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_INIT: EV_RECV_CREATE_CHILD 11 nov 19:31:35.874: IKEv2:(ID de SA = 2):Acción: Action_Null 11 nov 19:31:35.874: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_INIT: EV_VERIFY_MSG 11 nov 19:31:35.874: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_INIT: EV_CHK_CC_TYPE 11 nov 19:31:35.874: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_IKE: EV_REKEY_IKESA 11 nov 19:31:35.874: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_IKE: EV_GET_IKE_POLICY 11 nov 19:31:35.874: IKEv2:% Obteniendo clave precompartida por dirección 10.0.0.2 11 nov 19:31:35.874: IKEv2: % de clave precompartida por dirección 10.0.0.2 11 nov 19:31:35.874: IKEv2:adición de la propuesta PHASE1-prop a la política del kit de herramientas 11 nov 19:31:35.874: IKEv2:(ID de SA = 2):Uso del perfil IKEv2 'IKEV2-SETUP' 11 nov 19:31:35.874: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_IKE: EV_PROC_MSG 11 nov 19:31:35.874: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_IKE: EV_SET_POLICY 11 nov 19:31:35.874: IKEv2:(ID de SA = 2):Configuración de políticas configuradas 11 nov 19:31:35.874: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_BLD_MSG: EV_GEN_DH_KEY 11 nov 19:31:35.874: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_BLD_MSG: EV_NO_EVENT 11 nov 19:31:35.874: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_BLD_MSG: EV_OK_RECD_DH_PUBKEY_RESP 11 nov 19:31:35.874: IKEv2:(ID de SA = 2):Acción: Action_Null 11 nov 19:31:35.874: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_BLD_MSG:EV_GEN_DH_SECRET* 11 nov 19:31:35.881: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_BLD_MSG: EV_NO_EVENT 11 nov 19:31:35.882: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_BLD_MSG: EV_OK_RECD_DH_SECRET_RESP 11 nov 19:31:35.882: IKEv2:(ID de SA = 2):Acción: Action_Null 11 nov 19:31:35.882: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_BLD_MSG: EV_BLD_MSG 11 nov 19:31:35.882: IKEv2:Construct Notificar carga útil: SET_WINDOW_SIZE Contenido de la carga útil: Carga útil SA siguiente: N, reservado: 0x0, longitud: 56 última propuesta: 0x0, reservado: 0x0, longitud: 52 Propuesta: 1, ID de protocolo: IKE, tamaño SPI: 8, #trans: 4 última transformación: 0x3, reservado: 0x0: longitud: 12 type: 1, reservado: 0x0, id: AES-CBC última transformación: 0x3, reservado: 0x0: longitud: 8 type: 2, reservado: 0x0, id: SHA1 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA96 última transformación: 0x0, reservado: 0x0: longitud: 8 type: 4, reservado: 0x0, id: DH_GROUP_1024_MODP/Grupo 2 N Carga útil siguiente: KE, reservado: 0x0, longitud: 24 Carga útil KE siguiente: NOTIFICACIÓN, reservada: 0x0, longitud: 136 Grupo DH: 2, Reservado: 0x0 NOTIFICAR* (SET_WINDOW_SIZE) Siguiente carga útil: NINGUNA, reservada: 0x0, longitud: 12 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: SET_WINDOW_SIZE
	11 nov 19:31:35.869: IKEv2:(ID SA = 2):Siguiente carga útil: ENCR, versión: 2.0 Tipo de intercambio: CREATE_CHILD_SA, indicadores: INITIATOR* ID de mensaje: 2, longitud: 460 Contenido de la carga útil: Siguiente carga útil de ENCR: SA, reservada: 0x0, longitud: 432 11 nov 19:31:35.873: IKEv2:Construir notificación de carga útil: SET_WINDOW_SIZE Contenido de la carga útil: Carga útil SA siguiente: N, reservado: 0x0, longitud: 152 última propuesta: 0x0, reservado: 0x0, longitud: 148 Propuesta: 1, ID de protocolo: IKE, tamaño SPI: 8, #trans: 15 última transformación: 0x3, reservado: 0x0: longitud: 12 type: 1, reservado: 0x0, id: AES-CBC última transformación: 0x3, reservado: 0x0: longitud: 12 type: 1, reservado: 0x0, id: AES-CBC última transformación: 0x3, reservado: 0x0: longitud: 12 type: 1, reservado: 0x0, id: AES-CBC última transformación: 0x3, reservado: 0x0: longitud: 8 type: 2, reservado: 0x0, id: SHA512 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 2, reservado: 0x0, id: SHA384 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 2, reservado: 0x0, id: SHA256 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 2, reservado: 0x0, id: SHA1 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 2, reservado: 0x0, id: MD5 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA512 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA384 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA256 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA96 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: MD596 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 4, reservado: 0x0, id: DH_GROUP_1536_MODP/Grupo 5 última transformación: 0x0, reservado: 0x0: longitud: 8 type: 4, reservado: 0x0, id: DH_GROUP_1024_MODP/Grupo 2 N Carga útil siguiente: KE, reservado: 0x0, longitud: 24 Carga útil KE siguiente: NOTIFICACIÓN, reservada: 0x0, longitud: 136 Grupo DH: 2, Reservado: 0x0 NOTIFICAR* (SET_WINDOW_SIZE) Siguiente carga útil: NINGUNA, reservada: 0x0, longitud: 12 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: SET_WINDOW_SIZE	Este paquete es recibido por el Router 2.
	11 nov 19:31:35.882: IKEv2:(ID SA = 2):Siguiente carga útil: ENCR, versión: 2.0 Tipo de intercambio: CREATE_CHILD_SA,* indicadores: RESPONDER MSG-RESPONSE ID de mensaje: 3, longitud: 300 Contenido de la carga útil: Carga útil SA siguiente: N, reservado: 0x0, longitud: 56 última propuesta: 0x0, reservado: 0x0, longitud: 52 Propuesta: 1, ID de protocolo: IKE, tamaño SPI: 8, #trans: 4 última transformación: 0x3, reservado: 0x0: longitud: 12 type: 1, reservado: 0x0, id: AES-CBC última transformación: 0x3, reservado: 0x0: longitud: 8 type: 2, reservado: 0x0, id: SHA1 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA96 última transformación: 0x0, reservado: 0x0: longitud: 8 type: 4, reservado: 0x0, id: DH_GROUP_1024_MODP/Grupo 2 N Carga útil siguiente: KE, reservado: 0x0, longitud: 24 Carga útil KE siguiente: NOTIFICACIÓN, reservada: 0x0, longitud: 136 Grupo DH: 2, Reservado: 0x0 11 nov 19:31:35.882: IKEv2:carga útil de notificación de análisis: SET_WINDOW_SIZE NOTIFY(SET_WINDOW_SIZE) Siguiente carga útil: NINGUNA, reservada: 0x0, longitud: 12 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: SET_WINDOW_SIZE 11 nov 19:31:35.882: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 0000003 CurState: CHILD_I_WAIT Evento: EV_RECV CREATE_CHILD 11 nov 19:31:35.882: IKEv2:(ID de SA = 2):Acción: Action_Null 11 nov 19:31:35.882: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 0000003 CurState: CHILD_I_PROC Evento: EV_CHK4_NOTIFY 11 nov 19:31:35.882: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: Evento CHILD_I_PROC: EV_VERIFY_MSG* 11 nov 19:31:35.882: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: Evento CHILD_I_PROC: EV_PROC_MSG 11 nov 19:31:35.882: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: Evento CHILD_I_PROC: EV_CHK4_PFS 11 nov 19:31:35.882: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: Evento CHILD_I_PROC: EV_GEN_DH_SECRET 11 nov 19:31:35.890: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: Evento CHILD_I_PROC: EV_NO_EVENT 11 nov 19:31:35.890: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: Evento CHILD_I_PROC: EV_OK_RECD_DH_SECRET_RESP 11 nov 19:31:35.890: IKEv2:(ID de SA = 2):Acción: Action_Null 11 nov 19:31:35.890: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: Evento CHILD_I_PROC: EV_CHK_IKE_REKEY 11 nov 19:31:35.890: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: Evento CHILD_I_PROC: EV_GEN_SKEYID 11 nov 19:31:35.890: IKEv2:(ID de SA = 2):Generar id de teclado 11 nov 19:31:35.890: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 0000003 CurState: CHILD_I_DONE Evento: EV_ACTIVATE_ATE NEW_SA 11 nov 19:31:35.890: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: Evento CHILD_I_DONE: EV_UPDATE_CAC_STATS 11 nov 19:31:35.890: IKEv2:Nuevo ikev2 como solicitud activada 11 nov 19:31:35.890: IKEv2: no se pudo reducir el recuento para la negociación saliente 11 nov 19:31:35.890: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: Evento CHILD_I_DONE: EV_CHECK_DUPE 11 nov 19:31:35.890: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: Evento CHILD_I_DONE: EV_OK 11 nov 19:31:35.890: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: Evento EXIT: EV_CHK_PENDING 11 nov 19:31:35.890: IKEv2:(ID de SA = 2):Respuesta procesada con id de mensaje 3; las solicitudes se pueden enviar del rango 4 al 8 11 nov 19:31:35.890: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 0000003 CurState: Evento DE SALIDA: EV_NO_EVENT	El Router 2 ahora genera la respuesta para el intercambio CHILD_SA. Esta es la respuesta CREATE_CHILD_SA. El paquete CHILD_SA normalmente contiene: SA HDR (versión.indicadores/tipo de intercambio) Nonce Ni (opcional): Si se crea CHILD_SA como parte del intercambio inicial, no se debe enviar una segunda carga útil KE ni una sola vez. Carga útil de SA KEi (Clave opcional): La solicitud CREATE_CHILD_SA puede contener opcionalmente una carga KE para un intercambio DH adicional para habilitar garantías más fuertes de secreto de reenvío para CHILD_SA. Si las ofertas SA incluyen diferentes grupos DH, KEi debe ser un elemento del grupo que el iniciador espera que el respondedor acepte. Si se da cuenta de que el intercambio CREATE_CHILD_SA falla y debe reintentar con un KEi diferente. N (Notificar carga útil opcional): La carga útil de notificación se utiliza para transmitir datos informativos, como condiciones de error y transiciones de estado, a un peer IKE. Una carga útil de notificación puede aparecer en un mensaje de respuesta (que normalmente especifica por qué se rechazó una solicitud), en un intercambio de información (para informar de un error que no se encuentra en una solicitud IKE) o en cualquier otro mensaje para indicar las capacidades del remitente o para modificar el significado de la solicitud. Si este intercambio CREATE_CHILD_SA está reintroduciendo una SA existente que no sea IKE_SA, la carga útil N principal del tipo REKEY_SA debe identificar la SA que se está reintroduciendo. Si este intercambio CREATE_CHILD_SA no está reintroduciendo una SA existente, se debe omitir la carga útil N. El Router 2 envía la respuesta y completa la activación de la nueva CHILD SA.
El Router 1 recibe el paquete de respuesta del Router 2 y completa la activación de CHILD_SA.	11 nov 19:31:35.882: IKEv2:(ID de SA = 2):Siguiente carga útil: ENCR, versión: 2.0 Tipo de intercambio: CREATE_CHILD_SA, indicadores: RESPONDER MSG-RESPONSE* ID de mensaje: 3, longitud: 300 Contenido de la carga útil: Siguiente carga útil de ENCR: SA, reservada: 0x0, longitud: 272 11 nov 19:31:35.882: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_BLD_MSG:EV_CHK_IKE_REKEY* 11 nov 19:31:35.882: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_BLD_MSG: EV_GEN_SKEYID 11 nov 19:31:35.882: IKEv2:(ID de SA = 2):Generar id de teclado 11 nov 19:31:35.882: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_DONE:EV_ACTIVATE_NEW_SA* 11 nov 19:31:35.882: IKEv2:índice MIB de almacenamiento ikev2 3, plataforma 62 11 nov 19:31:35.882: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_DONE: EV_UPDATE_CAC_STATS 11 nov 19:31:35.882: IKEv2:Nuevo ikev2 como solicitud activada 11 nov 19:31:35.882: IKEv2:Error al reducir la cuenta para la negociación entrante 11 nov 19:31:35.882: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 0000003 CurState: CHILD_R_DONE* Evento: EV_CHECK_DUPE 11 nov 19:31:35.882: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_DONE: EV_OK 11 nov 19:31:35.882: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_DONE: EV_START_DEL_NEG_TMR 11 nov 19:31:35.882: IKEv2:(ID de SA = 2):Acción: Action_Null 11 nov 19:31:35.882: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento EXIT: EV_CHK_PENDING 11 nov 19:31:35.882: IKEv2:(ID de SA = 2):Respuesta enviada con id de mensaje 3; las solicitudes pueden aceptarse del rango 4 al 8 11 nov 19:31:35.882: IKEv2:(ID de SA = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 0000003 CurState: Evento DE SALIDA: EV_NO_EVENT

Verificación del túnel

ISAKMP

Comando

show crypto ikev2 sa detailed

Salida del Router 1

Router1#show crypto ikev2 sa  detailed
 IPv4 Crypto IKEv2  SA

Tunnel-id Local                 Remote             fvrf/ivrf         Status
1         10.0.0.1/500          10.0.0.2/500       none/none         READY
      Encr: AES-CBC, keysize: 128,  
         Hash: SHA96, DH Grp:2,  
         Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 120/10 sec
      CE id: 1006, Session-id: 4
      Status Description: Negotiation done
      Local spi: E58F925107F8B73F     Remote spi: AFD098F4147869DA
      Local id: 10.0.0.1
      Remote id: 10.0.0.2
      Local req msg id:  2       Remote req msg id:  0
      Local next msg id: 2       Remote next msg id: 0
      Local req queued:  2       Remote req queued:  0
      Local window:      5       Remote window:      5
      DPD configured for 0 seconds, retry 0
      NAT-T is not detected
      Cisco Trust Security SGT is disabled
      Initiator of SA : Yes

Salida del Router 2

Router2#show crypto ikev2 sa detailed
 IPv4 Crypto IKEv2  SA

Tunnel-id Local           Remote              fvrf/ivrf          Status
2         10.0.0.2/500    10.0.0.1/500        none/none          READY
      Encr: AES-CBC, keysize: 128, Hash: SHA96,  
         DH Grp:2, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 120/37 sec
      CE id: 1006, Session-id: 4
      Status Description: Negotiation done
      Local spi: AFD098F4147869DA       Remote spi: E58F925107F8B73F
      Local id: 10.0.0.2
      Remote id: 10.0.0.1
      Local req msg id:  0              Remote req msg id:  2
      Local next msg id: 0              Remote next msg id: 2
      Local req queued:  0              Remote req queued:  2
      Local window:      5              Remote window:      5
      DPD configured for 0 seconds, retry 0
      NAT-T is not detected
      Cisco Trust Security SGT is disabled
      Initiator of SA : No

IPsec

Comando

show crypto ipsec sa

Nota: En este resultado, a diferencia de IKEv1, el valor del grupo DH de PFS aparece como "PFS (Y/N): N, grupo DH: none" durante la primera negociación de túnel, pero, después de que se produzca una nueva clave, aparecen los valores correctos. Esto no es un error, aunque el comportamiento se describe en el Id. de bug Cisco CSCug67056.

La diferencia entre IKEv1 e IKEv2 es que, en este último, las SA secundarias se crean como parte del intercambio AUTH. El grupo DH configurado bajo el mapa criptográfico se utilizaría solamente durante la nueva clave. Por lo tanto, verá 'PFS (S/N): N, grupo DH: hasta la primera llave.

Con IKEv1, verá un comportamiento diferente, porque la creación de SA secundaria ocurre durante el modo rápido, y el mensaje CREATE_CHILD_SA tiene una provisión para llevar la carga útil de intercambio de claves que especifica los parámetros DH para derivar un nuevo secreto compartido.

Salida del Router 1

Router1#show crypto ipsec sa

interface: Tunnel0
    Crypto map tag: Tunnel0-head-0,  
         local addr 10.0.0.1

   protected vrf: (none)
   local  ident (addr/mask/prot/port):  
         (0.0.0.0/0.0.0.0/256/0)
   remote ident (addr/mask/prot/port):  
         (0.0.0.0/0.0.0.0/256/0)
   current_peer 10.0.0.2 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 10, #pkts encrypt:  
         10, #pkts digest: 10
    #pkts decaps: 10, #pkts decrypt:  
         10, #pkts verify: 10
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 10.0.0.1,  
         remote crypto endpt.: 10.0.0.2
     path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
     current outbound spi: 0xF6083ADD(4127734493)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0x6B74CB79(1802816377)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 18, flow_id: SW:18, 
         sibling_flags 80000040,  
         crypto map: Tunnel0-head-0
        sa timing: remaining key lifetime (k/sec):  
         (4276853/3592)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xF6083ADD(4127734493)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 17, flow_id: SW:17,  
         sibling_flags 80000040,  
         crypto map: Tunnel0-head-0
        sa timing: remaining key  
         lifetime (k/sec): (4276853/3592)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     outbound ah sas:

     outbound pcp sas:

Salida del Router 2

Router2#show crypto ipsec sa

interface: Tunnel0
    Crypto map tag: Tunnel0-head-0, local addr 10.0.0.2

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/256/0)
   remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/256/0)
   current_peer 10.0.0.1 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
    #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 10.0.0.2,  
         remote crypto endpt.: 10.0.0.1
     path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
     current outbound spi: 0x6B74CB79(1802816377)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0xF6083ADD(4127734493)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 17, flow_id: SW:17,  
         sibling_flags 80000040,  
         crypto map: Tunnel0-head-0
        sa timing: remaining key lifetime  
         (k/sec): (4347479/3584)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x6B74CB79(1802816377)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 18, flow_id: SW:18,  
         sibling_flags 80000040,  
         crypto map: Tunnel0-head-0
        sa timing: remaining key  
         lifetime (k/sec): (4347479/3584)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     outbound ah sas:

     outbound pcp sas:

También puede verificar el resultado del comando show crypto session en ambos routers; este resultado muestra el estado de la sesión del túnel como ACTIVE ACTIVO ACTIVO ACTIVO.

Router1#show crypto session
Crypto session current status

Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 10.0.0.2 port 500
  IKEv2 SA: local 10.0.0.1/500 remote 10.0.0.2/500 Active
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map

Router2#show cry session
Crypto session current status

Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 10.0.0.1 port 500
  IKEv2 SA: local 10.0.0.2/500 remote 10.0.0.1/500 Active
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map

Información Relacionada

Historial de revisiones

Revisión	Fecha de publicación	Comentarios
1.0	13-Mar-2014	Versión inicial

Con la colaboración de ingenieros de Cisco

Anu M. Chacko and Atri Basu
Cisco TAC Engineers.

¿Resultó útil este documento?

Comentarios

Contacte a Cisco

Abrir un caso de soporte
(Requiere un Cisco Service Contract)