Resolución de Problemas de Depuraciones de IOS IKEv2 para VPN de Sitio a Sitio con PSKs
Opciones de descarga
Lenguaje no discriminatorio
El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Acerca de esta traducción
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Introducción
Este documento describe las depuraciones de Intercambio de claves de Internet versión 2 (IKEv2) en Cisco IOS® cuando se utiliza una clave no compartida (PSK).
Prerequisites
Requirements
Cisco recomienda que conozca el intercambio de paquetes para IKEv2. Para obtener más información, consulte Intercambio de paquetes IKEv2 y Depuración a nivel de protocolo.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Intercambio de claves de Internet versión 2 (IKEv2)
- Cisco IOS 15.1(1)T o posterior
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Convenciones
Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.
Antecedentes
Este documento proporciona información sobre cómo traducir ciertas líneas de depuración en una configuración.
Problema principal
El intercambio de paquetes en IKEv2 es radicalmente diferente del intercambio de paquetes en IKEv1. En IKEv1 hubo un intercambio de fase 1 claramente delimitado que consistió en seis (6) paquetes con un intercambio de fase 2 posterior que consistió en tres (3) paquetes; el intercambio IKEv2 es variable. Para obtener más información sobre las diferencias y una explicación del intercambio de paquetes, refiérase nuevamente a Intercambio de Paquetes IKEv2 y Depuración a Nivel de Protocolo.
Configuración del router
Esta sección enumera las configuraciones utilizadas en este documento.
Router 1
interface Loopback0
ip address 192.168.1.1 255.255.255.0
!
interface Tunnel0
ip address 172.16.0.101 255.255.255.0
tunnel source Ethernet0/0
tunnel mode ipsec ipv4
tunnel destination 10.0.0.2
tunnel protection ipsec profile phse2-prof
!
interface Ethernet0/0
ip address 10.0.0.1 255.255.255.0
crypto ikev2 proposal PHASE1-prop
encryption 3des aes-cbc-128
integrity sha1
group 2
!
crypto ikev2 policy site-pol
proposal PHASE1-prop
!
crypto ikev2 keyring KEYRNG
peer peer1
address 10.0.0.2 255.255.255.0
hostname host1
pre-shared-key local cisco
pre-shared-key remote cisco
!
crypto ikev2 profile IKEV2-SETUP
match identity remote address 0.0.0.0
authentication remote pre-share
authentication local pre-share
keyring local KEYRNG
lifetime 120
!
crypto ipsec transform-set TS esp-3des esp-sha-hmac
!
crypto ipsec profile phse2-prof
set transform-set TS
set ikev2-profile IKEV2-SETUP
!
ip route 0.0.0.0 0.0.0.0 10.0.0.2
ip route 192.168.2.1 255.255.255.255 Tunnel0
Router 2
crypto ikev2 proposal PHASE1-prop
encryption 3des aes-cbc-128
integrity sha1
group 2
!
crypto ikev2 keyring KEYRNG
peer peer2
address 10.0.0.1 255.255.255.0
hostname host2
pre-shared-key local cisco
pre-shared-key remote cisco
!
crypto ikev2 profile IKEV2-SETUP
match identity remote address 0.0.0.0
authentication remote pre-share
authentication local pre-share
keyring local KEYRNG
lifetime 120
!
crypto ipsec transform-set TS esp-3des esp-sha-hmac
!
!
crypto ipsec profile phse2-prof
set transform-set TS
set ikev2-profile IKEV2-SETUP
!
interface Loopback0
ip address 192.168.2.1 255.255.255.0
!
interface Ethernet0/0
ip address 10.0.0.2 255.255.255.0
!
interface Tunnel0
ip address 172.16.0.102 255.255.255.0
tunnel source Ethernet0/0
tunnel mode ipsec ipv4
tunnel destination 10.0.0.1
tunnel protection ipsec profile phse2-prof
!
ip route 0.0.0.0 0.0.0.0 10.0.0.1
ip route 192.168.1.1 255.255.255.255 Tunnel0
Troubleshoot
Depuración del router
Estos comandos debug se utilizan en este documento:
deb crypto ikev2 packet
deb crypto ikev2 internal
| Descripción del mensaje del router 1 (iniciador) | Depuraciones | Descripción del mensaje del router 2 (Respondedor) | |
|---|---|---|---|
| El router 1 recibe un paquete que coincide con la ACL de criptografía para el par ASA 10.0.0.2. Inicia la creación de SA |
*11 de noviembre 20:28:34.003: IKEv2:Recibió un paquete del distribuidor |
||
|
El primer par de mensajes es el intercambio IKE_SA_INIT. Estos mensajes negocian algoritmos criptográficos, intercambian nonces y realizan un intercambio Diffie-Hellman. Configuración relevante: crypto ikev2 offer PHASE1-prop encryption 3des aes-cbc-128 integration sha1 group 2crypto ikev2 keyring KEYRNG peer peer1 address 10.0.0.2 255.255.255.0 hostname host1 pre-shared-key local cisco pre-shared-key remote cisco |
*11 de noviembre 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento IDLE: EV_INIT_SA *11 de noviembre 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evento: EV_GET_IKE_POLICY *11 de noviembre 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evento:EV_SET_POLICY *11 de noviembre 19:30:34.811: IKEv2:(ID de SA = 1):Definición de políticas configuradas *11 de noviembre 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evento: EV_CHK_AUTH4PKI *11 de noviembre 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evento:EV_GEN_DH_KEY *11 de noviembre 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evento: EV_NO_EVENT *11 de noviembre 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evento: EV_OK_RECD_DH_PUBKEY_RESP *11 de noviembre 19:30:34.811: IKEv2:(ID de SA = 1):Acción: Action_Null *11 de noviembre 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evento: EV_GET_CONFIG_MODE *11 de noviembre 19:30:34.811: IKEv2:iniciador IKEv2: no hay datos de configuración para enviar en el intercambio IKE_SA_INIT *11 de noviembre 19:30:34.811: IKEv2:No hay datos de configuración para enviar al kit de herramientas: *11 de noviembre 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evento: EV_BLD_MSG *11 de noviembre 19:30:34.811: IKEv2:Crear carga útil específica del proveedor: DELETE-REASON *11 de noviembre 19:30:34.811: IKEv2:Crear carga útil específica del proveedor: (LOCAL') *11 de noviembre 19:30:34.811: IKEv2:Crear carga de notificación: NAT_DETECTION_SOURCE_IP *11 de noviembre 19:30:34.811: IKEv2:Crear carga de notificación: NAT_DETECTION_DESTINATION_IP |
||
| Iniciador que genera el paquete IKE_INIT_SA. Contiene: Encabezado ISAKMP (SPI/version/flags), SAi1 (algoritmo criptográfico compatible con el iniciador IKE), KEi (valor de clave pública DH del iniciador) y N (nombre del iniciador). | *11 de noviembre 19:30:34.811: IKEv2:(ID de SA = 1):Siguiente carga: SA, versión: 2.0 Tipo de intercambio: IKE_SA_INIT, indicadores: INITIATOR ID de mensaje: 0, longitud: 344 Contenido de la carga: SA Siguiente carga útil: KE, reservado: 0x0, longitud: 56 última propuesta: 0x0, reservado: 0x0, longitud: 52 Propuesta: 1, ID de protocolo: IKE, tamaño SPI: 0, #trans: 5 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 1, reservado: 0x0, id: 3DES última transformación: 0x3, reservado: 0x0: longitud: 12 type: 1, reservado: 0x0, id: AES-CBC última transformación: 0x3, reservado: 0x0: longitud: 8 type: 2, reservado: 0x0, id: SHA1 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA96 última transformación: 0x0, reservado: 0x0: longitud: 8 type: 4, reservado: 0x0, id: DH_GROUP_1024_MODP/Grupo 2 Carga útil KE siguiente: N, reservado: 0x0, longitud: 136 Grupo DH: 2, Reservado: 0x0 N Próxima carga: VID, reservado: 0x0, longitud: 24 Carga siguiente de VID: VID, reservado: 0x0, longitud: 23 Carga siguiente de VID: NOTIFICAR, reservado: 0x0, longitud: 21 NOTIFY(NAT_DETECTION_SOURCE_IP) Próxima carga útil: NOTIFICAR, reservado: 0x0, longitud: 28 ID de protocolo de seguridad: IKE, tamaño de spi: 0, tipo: NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_DESTINATION_IP) Próxima carga útil: NINGUNO, reservado: 0x0, longitud: 28 ID de protocolo de seguridad: IKE, tamaño de spi: 0, tipo: NAT_DETECTION_DESTINATION_IP |
||
|
*11 de noviembre 19:30:34.814: IKEv2:Recibió un paquete del distribuidor |
El respondedor recibe IKE_INIT_SA. | ||
|
*11 de noviembre 19:30:34.814: IKEv2:Siguiente carga: SA, versión: 2.0 Tipo de intercambio: IKE_SA_INIT, indicadores: ID del mensaje del INICIADOR: 0, longitud: 344 |
El respondedor inicia la creación de SA para ese par. | ||
|
*11 de noviembre 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento IDLE:EV_RECV_INIT |
El respondedor verifica y procesa el mensaje IKE_INIT: (1) Elige un conjunto criptográfico de los ofrecidos por el iniciador, (2) calcula su propia clave secreta DH y (3) calcula un valor skeyid, del cual se pueden derivar todas las claves para esta IKE_SA. Todos los encabezados de todos los mensajes posteriores, excepto los que vienen después, están cifrados y autenticados. Las claves utilizadas para la protección de la integridad y el cifrado se derivan de SKEYID y se conocen como: SK_e (cifrado), SK_a (autenticación), SK_d se deriva y se utiliza para la derivación de material de claves adicional para CHILD_SAs, y se calculan un SK_e y SK_a independientes para cada dirección. Configuración relevante: propuesta crypto ikev2 cifrado PHASE1-prop 3des aes-cbc-128 integridad sha1 grupo 2 crypto ikev2 keyring KEYRNG peer peer2 dirección 10.0.0.1 255.255.255.0 nombre de host host2 clave previamente compartida local cisco clave previamente compartida remota cisco |
||
|
*11 de noviembre 19:30:34.822: IKEv2:(ID de SA = 1):Siguiente carga: SA, versión: 2.0 Tipo de intercambio: IKE_SA_INIT, indicadores: RESPONDER MSG-RESPONSE ID del mensaje: 0, longitud: 449 |
El Router 2 genera el mensaje de respuesta para el intercambio IKE_SA_INIT, que recibe ASA1. Este paquete contiene: Encabezado ISAKMP (SPI/ versión/indicadores), SAr1 (algoritmo criptográfico que elige el respondedor IKE), KEr (valor de clave pública DH del respondedor) y Responder Nonce. | ||
|
*11 de noviembre 19:30:34.822: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento INIT_DONE: EV_DONE |
El Router 2 envía el mensaje de respuesta al Router 1. | ||
| El Router 1 recibe el paquete de respuesta IKE_SA_INIT del Router 2. |
*11 de noviembre 19:30:34.823: IKEv2:Recibió un paquete del distribuidor |
I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: INIT_DONE Evento:EV_START_TMR |
Responder inicia el temporizador para el proceso de autenticación. |
| El Router1 verifica y procesa la respuesta: (1) Se calcula la clave secreta DH del iniciador y (2) también se genera la ID de clave del iniciador. |
*11 de noviembre 19:30:34.823: IKEv2:(ID de SA = 1):Siguiente carga: SA, versión: 2.0 Tipo de intercambio: IKE_SA_INIT, indicadores: RESPONDER MSG-RESPONSE ID del mensaje: 0, longitud: 449 *11 de noviembre 19:30:34.824: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Evento I_WAIT_INIT: EV_RECV_INIT |
||
|
El iniciador inicia el intercambio IKE_AUTH y genera la carga útil de autenticación. El paquete IKE_AUTH contiene: Encabezado ISAKMP (SPI/versión/indicadores), IDi (identidad del iniciador), carga útil AUTH, SAi2 (inicia SA similar al intercambio de conjunto de transformación de fase 2 en IKEv1) y TSi y TSr (selectores de tráfico de iniciador y de respuesta). Contienen las direcciones de origen y destino del iniciador y el respondedor respectivamente para reenviar/recibir tráfico cifrado. El rango de direcciones especifica que todo el tráfico hacia y desde ese rango se tuneliza. Si la propuesta es aceptable para el respondedor, devuelve cargas útiles de TS idénticas. El primer CHILD_SA se crea para el par proxy_ID que coincide con el paquete de desencadenador. Configuración relevante: crypto ipsec transform-set TS esp-3des esp-sha-hmac crypto ipsec profile phse2-prof set transform-set TS set ikev2-profile IKEV2-SETUP |
*11 de noviembre 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_BLD_AUTH Evento:EV_GEN_AUTH *11 de noviembre 19:30:34.831: SA Siguiente carga útil: TSi, reservado: 0x0, longitud: 40 NOTIFY(INITIAL_CONTACT) Próxima carga: NOTIFICAR, reservado: 0x0, longitud: 8 |
||
|
*11 de noviembre 19:30:34.832: IKEv2:Recibió un paquete del distribuidor |
El Router 2 recibe y verifica los datos de autenticación recibidos del Router 1. Configuración relevante: crypto ipsec ikev2 ipsec-offer AES256 protocol esp encryption aes-256 protocol esp integration sha-1 md5 |
||
|
*11 de noviembre 19:30:34.832: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_RECV_AUTH |
El Router 2 genera la respuesta al paquete IKE_AUTH que recibió del Router 1. Este paquete de respuesta contiene: Encabezado ISAKMP (SPI/versión/indicadores), IDr (identidad del respondedor), carga útil AUTH, SAr2 (inicia el intercambio de conjuntos de transformación de SA similar al intercambio de conjuntos de transformación de fase 2 en IKEv1) y TSi y TSr (selectores de tráfico de iniciador y respondedor). Contienen las direcciones de origen y destino del iniciador y el respondedor respectivamente para reenviar/recibir tráfico cifrado. El rango de direcciones especifica que todo el tráfico hacia y desde ese rango se tuneliza. Estos parámetros son idénticos al que se recibió de ASA1. | ||
|
*11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):Siguiente carga: ENCR, versión: 2.0 Tipo de intercambio: IKE_AUTH, indicadores: RESPONDER MSG-RESPONSE ID del mensaje: 1, longitud: 252 |
El respondedor envía la respuesta para IKE_AUTH. | ||
| El iniciador recibe la respuesta del respondedor. |
*11 de noviembre 19:30:34.834: IKEv2:Recibió un paquete del distribuidor |
*11 de noviembre 19:30:34.840: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_OK_RECD_LOAD_IPSEC |
Responder inserta una entrada en el SAD. |
| El Router 1 verifica y procesa los datos de autenticación en este paquete. El Router 1 luego inserta esta SA en su SAD. |
*11 de noviembre 19:30:34.834: IKEv2:(ID de SA = 1):Siguiente carga: ENCR, versión: 2.0 Tipo de intercambio: IKE_AUTH, indicadores: RESPONDER MSG-RESPONSE ID del mensaje: 1, longitud: 252 |
||
| El túnel está activo en el iniciador y el estado muestraREADY. |
*11 de noviembre 19:30:34.841: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: READYEvent: EV_CHK_IKE_ONLY |
*11 de noviembre 19:30:34.840: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: READY Evento: EV_R_OK |
El túnel está activo en el Respondedor. El túnel Responder suele aparecer antes que el iniciador. |
Depuraciones de CHILD_SA
Este intercambio consta de un único par de solicitud/respuesta y se denominó intercambio de fase 2 en IKEv1. Puede iniciarse en cualquier extremo de IKE_SA después de que se completen los intercambios iniciales.
| Descripción del Mensaje CHILD_SA del Router 1 | Depuraciones | Descripción del Mensaje CHILD_SA del Router 2 |
|---|---|---|
El router 1 inicia el intercambio CHILD_SA. Esta es la solicitud CREATE_CHILD_SA. El paquete CHILD_SA normalmente contiene:
|
*11 de noviembre 19:31:35.873: IKEv2:Recibió un paquete del distribuidor |
|
|
*11 de noviembre 19:31:35.869: IKEv2:(ID de SA = 2):Siguiente carga: ENCR, versión: 2.0 Tipo de intercambio: CREATE_CHILD_SA, indicadores: INITIATOR ID del mensaje: 2, longitud: 460 *11 de noviembre 19:31:35.873: IKEv2:Crear carga de notificación: SET_WINDOW_SIZE |
El router 2 recibe este paquete. | |
|
*11 de noviembre 19:31:35.882: IKEv2:(ID de SA = 2):Siguiente carga: ENCR, versión: 2.0 Tipo de intercambio: CREATE_CHILD_SA, indicadores: RESPONDER MSG-RESPONSE ID del mensaje: 3, longitud: 300 |
El Router 2 ahora genera la respuesta para el intercambio CHILD_SA. Esta es la respuesta CREATE_CHILD_SA. El paquete CHILD_SA normalmente contiene:
|
|
| El Router 1 recibe el paquete de respuesta del Router 2 y completa la activación de CHILD_SA. |
*11 de noviembre 19:31:35.882: IKEv2:(ID de SA = 2):Siguiente carga: ENCR, versión: 2.0 Tipo de intercambio: CREATE_CHILD_SA, indicadores: RESPONDER MSG-RESPONSE ID del mensaje: 3, longitud: 300 |
Verificación del túnel
ISAKMP
Comando
show crypto ikev2 sa detailed
Salida del router 1
Router1#show crypto ikev2 sa detailed
IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
1 10.0.0.1/500 10.0.0.2/500 none/none READY
Encr: AES-CBC, keysize: 128,
Hash: SHA96, DH Grp:2,
Auth sign: PSK, Auth verify: PSK
Life/Active Time: 120/10 sec
CE id: 1006, Session-id: 4
Status Description: Negotiation done
Local spi: E58F925107F8B73F Remote spi: AFD098F4147869DA
Local id: 10.0.0.1
Remote id: 10.0.0.2
Local req msg id: 2 Remote req msg id: 0
Local next msg id: 2 Remote next msg id: 0
Local req queued: 2 Remote req queued: 0
Local window: 5 Remote window: 5
DPD configured for 0 seconds, retry 0
NAT-T is not detected
Cisco Trust Security SGT is disabled
Initiator of SA : Yes
Salida del router 2
Router2#show crypto ikev2 sa detailed
IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
2 10.0.0.2/500 10.0.0.1/500 none/none READY
Encr: AES-CBC, keysize: 128, Hash: SHA96,
DH Grp:2, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 120/37 sec
CE id: 1006, Session-id: 4
Status Description: Negotiation done
Local spi: AFD098F4147869DA Remote spi: E58F925107F8B73F
Local id: 10.0.0.2
Remote id: 10.0.0.1
Local req msg id: 0 Remote req msg id: 2
Local next msg id: 0 Remote next msg id: 2
Local req queued: 0 Remote req queued: 2
Local window: 5 Remote window: 5
DPD configured for 0 seconds, retry 0
NAT-T is not detected
Cisco Trust Security SGT is disabled
Initiator of SA : No
IPsec
Comando
show crypto ipsec sa
Nota: En esta salida, a diferencia de IKEv1, el valor del grupo PFS DH aparece como "PFS (Y/N): N, grupo DH: none" durante la primera negociación de túnel, pero, después de que se produzca un cambio de clave, aparecen los valores correctos. No se trata de un error de funcionamiento, aunque el comportamiento se describe en el Id. de error de Cisco CSCug67056. (Sólo los usuarios registrados de Cisco pueden acceder a la información o las herramientas internas de Cisco).
La diferencia entre IKEv1 e IKEv2 es que, en este último caso, las SA secundarias se crean como parte del intercambio AUTH. El grupo DH configurado bajo el mapa criptográfico se utilizaría solamente durante la regeneración de claves. Por lo tanto, verá 'PFS (S/N): N, grupo DH: none' hasta el primer cambio de clave.
Con IKEv1, se ve un comportamiento diferente, porque la creación de SA secundaria se produce durante el modo rápido y el mensaje CREATE_CHILD_SA tiene una provisión para transportar la carga útil de intercambio de claves que especifica los parámetros DH para derivar un nuevo secreto compartido.
Salida del router 1
Router1#show crypto ipsec sa
interface: Tunnel0
Crypto map tag: Tunnel0-head-0,
local addr 10.0.0.1
protected vrf: (none)
local ident (addr/mask/prot/port):
(0.0.0.0/0.0.0.0/256/0)
remote ident (addr/mask/prot/port):
(0.0.0.0/0.0.0.0/256/0)
current_peer 10.0.0.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 10, #pkts encrypt:
10, #pkts digest: 10
#pkts decaps: 10, #pkts decrypt:
10, #pkts verify: 10
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.0.0.1,
remote crypto endpt.: 10.0.0.2
path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
current outbound spi: 0xF6083ADD(4127734493)
PFS (Y/N): N, DH group: none
inbound esp sas:
spi: 0x6B74CB79(1802816377)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 18, flow_id: SW:18,
sibling_flags 80000040,
crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec):
(4276853/3592)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xF6083ADD(4127734493)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 17, flow_id: SW:17,
sibling_flags 80000040,
crypto map: Tunnel0-head-0
sa timing: remaining key
lifetime (k/sec): (4276853/3592)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
outbound ah sas:
outbound pcp sas:
Salida del router 2
Router2#show crypto ipsec sa
interface: Tunnel0
Crypto map tag: Tunnel0-head-0, local addr 10.0.0.2
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/256/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/256/0)
current_peer 10.0.0.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
#pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.0.0.2,
remote crypto endpt.: 10.0.0.1
path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
current outbound spi: 0x6B74CB79(1802816377)
PFS (Y/N): N, DH group: none
inbound esp sas:
spi: 0xF6083ADD(4127734493)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 17, flow_id: SW:17,
sibling_flags 80000040,
crypto map: Tunnel0-head-0
sa timing: remaining key lifetime
(k/sec): (4347479/3584)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x6B74CB79(1802816377)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 18, flow_id: SW:18,
sibling_flags 80000040,
crypto map: Tunnel0-head-0
sa timing: remaining key
lifetime (k/sec): (4347479/3584)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
outbound ah sas:
outbound pcp sas:
También puede verificar la salida del comando show crypto session en ambos routers; este resultado muestra el estado de la sesión del túnel como ACTIVO.
Router1#show crypto session
Crypto session current status
Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 10.0.0.2 port 500
IKEv2 SA: local 10.0.0.1/500 remote 10.0.0.2/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
Router2#show cry session
Crypto session current status
Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 10.0.0.1 port 500
IKEv2 SA: local 10.0.0.2/500 remote 10.0.0.1/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
Información Relacionada
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
2.0 |
12-Apr-2023 |
Actualice el formato. Recertificación. |
1.0 |
28-Jan-2013 |
Versión inicial |
Con la colaboración de ingenieros de Cisco
- Anu M ChackoCisco Technical Marketing Leader
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)