Descripción del mensaje Router 1 (Initiator) |
Depuraciones |
Descripción del mensaje Router 2 (Respondedor) |
El Router 1 recibe un paquete que coincide con la ACL crypto para el peer ASA 10.0.0.2. Inicia la creación de SA |
*11 nov 20:28:34.003: IKEv2:Recibió un paquete del remitente *11 nov 20:28:34.003: IKEv2: Procesando un elemento de la cola de pak *11 nov 19:30:34.811: IKEv2: % de clave precompartida por dirección 10.0.0.2 *11 nov 19:30:34.811: IKEv2:adición de la propuesta PHASE1-prop al estilo de políticas del kit de herramientas *11 nov 19:30:34.811: IKEv2:(1): Elección del perfil IKE IKEV2-SETUP *11 nov 19:30:34.811: IKEv2:Nuevo ikev2 como solicitud admitida *11 nov 19:30:34.811: IKEv2:aumento de la negociación saliente como recuento en uno |
|
El primer par de mensajes es el intercambio IKE_SA_INIT. Estos mensajes negocian algoritmos criptográficos, intercambian nonces y realizan un intercambio Diffie-Hellman. Configuración relevante: crypto ikev2 project PHASE1-prop encryption 3des aes-cbc-128 Integrity sha1 group 2 crypto ikev2 keyring KEYRNG peer peer1 address 10.0.0.2 255.255.255.0 hostname host1 pre-shared-key local cisco pre-shared-key remote cisco |
*11 nov 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento IDLE: EV_INIT_SA *11 nov 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento I_BLD_INIT: EV_GET_IKE_POLICY *11 nov 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento I_BLD_INIT:EV_SET_POLICY *11 nov 19:30:34.811: IKEv2:(ID de SA = 1):Configuración de políticas configuradas *11 nov 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento I_BLD_INIT: EV_CHK_AUTH4PKI *11 nov 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento I_BLD_INIT:EV_GEN_DH_KEY *11 nov 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento I_BLD_INIT: EV_NO_EVENT *11 nov 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento I_BLD_INIT: EV_OK_RECD_DH_PUBKEY_RESP *11 nov 19:30:34.811: IKEv2:(ID de SA = 1):Acción: Action_Null *11 nov 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento I_BLD_INIT: EV_GET_CONFIG_MODE *11 nov 19:30:34.811: iniciador IKEv2:IKEv2 - sin datos de configuración para enviar en la versión IKE_SA_INIT *11 nov 19:30:34.811: IKEv2:No hay datos de configuración para enviar al kit de herramientas: *11 nov 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento I_BLD_INIT: EV_BLD_MSG *11 nov 19:30:34.811: IKEv2:crear carga útil específica del proveedor: ELIMINAR RAZÓN *11 nov 19:30:34.811: IKEv2:crear carga útil específica del proveedor: (LOCAL') *11 nov 19:30:34.811: IKEv2:Construir notificación de carga útil: NAT_DETECTION_SOURCE_IP *11 nov 19:30:34.811: IKEv2:Construir notificación de carga útil: NAT_DETECTION_DESTINATION_IP |
|
Paquete IKE_INIT_SA de creación del iniciador. Contiene: Encabezado ISAKMP (SPI/versión/indicadores), SAi1 (algoritmo criptográfico que admite el iniciador IKE), KEi (valor de clave pública DH del iniciador) y N (valor de inicialización). |
*11 nov 19:30:34.811: IKEv2:(ID SA = 1):Siguiente carga útil: SA, versión: 2.0 Tipo de intercambio: IKE_SA_INIT, indicadores: INITIATOR ID de mensaje: 0, longitud: 344 Contenido de la carga útil: Carga útil SA siguiente: KE, reservado: 0x0, longitud: 56 última propuesta: 0x0, reservado: 0x0, longitud: 52 Propuesta: 1, ID de protocolo: IKE, tamaño SPI: 0, #trans: 5 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 1, reservado: 0x0, id: 3DES última transformación: 0x3, reservado: 0x0: longitud: 12 type: 1, reservado: 0x0, id: AES-CBC última transformación: 0x3, reservado: 0x0: longitud: 8 type: 2, reservado: 0x0, id: SHA1 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA96 última transformación: 0x0, reservado: 0x0: longitud: 8 type: 4, reservado: 0x0, id: DH_GROUP_1024_MODP/Grupo 2 Carga útil KE siguiente: N, reservado: 0x0, longitud: 136 Grupo DH: 2, Reservado: 0x0 N Carga útil siguiente: VID, reservado: 0x0, longitud: 24 Carga útil siguiente de VID: VID, reservado: 0x0, longitud: 23 Carga útil siguiente de VID: NOTIFICACIÓN, reservada: 0x0, longitud: 21 NOTIFICACIÓN(NAT_DETECTION_SOURCE_IP) Siguiente carga útil: NOTIFICACIÓN, reservada: 0x0, longitud: 28 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_DESTINATION_IP) Siguiente carga útil: NINGUNA, reservada: 0x0, longitud: 28 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: NAT_DETECTION_DESTINATION_IP |
|
—Iniciador enviado IKE_INIT_SA —>
|
|
*11 nov 19:30:34.814: IKEv2:Recibió un paquete del remitente *11 nov 19:30:34.814: IKEv2:Procesamiento de un elemento de la cola pak *11 nov 19:30:34.814: IKEv2:Nuevo ikev2 como solicitud admitida *11 nov 19:30:34.814: IKEv2:aumento de la negociación entrante como recuento en uno |
El respondedor recibe IKE_INIT_SA. |
|
*11 nov 19:30:34.814: IKEv2:Siguiente carga útil: SA, versión: 2.0 Tipo de intercambio: IKE_SA_INIT, indicadores: ID del mensaje del INICIADOR: 0, longitud: 344 Contenido de la carga útil: Carga útil siguiente de SA: KE, reservado: 0x0, longitud: 56 última propuesta: 0x0, reservado: 0x0, longitud: 52 Propuesta: 1, ID de protocolo: IKE, tamaño SPI: 0, #trans: 5 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 1, reservado: 0x0, id: 3DES última transformación: 0x3, reservado: 0x0: longitud: 12 type: 1, reservado: 0x0, id: AES-CBC última transformación: 0x3, reservado: 0x0: longitud: 8 type: 2, reservado: 0x0, id: SHA1 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA96 última transformación: 0x0, reservado: 0x0: longitud: 8 type: 4, reservado: 0x0, id: DH_GROUP_1024_MODP/Grupo 2 Carga útil siguiente de KE: N, reservado: 0x0, longitud: 136 Grupo DH: 2, Reservado: 0x0 N Carga útil siguiente: VID, reservado: 0x0, longitud: 24 *11 nov 19:30:34.814: IKEv2: analizar la carga útil específica del proveedor: CISCO-DELETE-REASON VID: siguiente carga útil: VID, reservado: 0x0, longitud: 23 *11 nov 19:30:34.814: IKEv2: analizar la carga útil específica del proveedor: (PERSONALIZADO) VID Siguiente carga útil: NOTIFICACIÓN, reservada: 0x0, longitud: 21 *11 nov 19:30:34.814: IKEv2:carga útil de notificación de análisis: NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_SOURCE_IP) Siguiente carga útil: NOTIFICACIÓN, reservada: 0x0, longitud: 28 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: NAT_DETECTION_SOURCE_IP *11 nov 19:30:34.814: IKEv2:carga útil de notificación de análisis: NAT_DETECTION_DESTINATION_IP NOTIFY(NAT_DETECTION_DESTINATION_IP) Siguiente carga útil: NINGUNA, reservada: 0x0, longitud: 28 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: NAT_DETECTION_DESTINATION_IP |
Responder inicia la creación de SA para ese par. |
|
*11 nov 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: Evento IDLE:EV_RECV_INIT *11 nov 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_INIT Event:EV_VERIFY_MSG *11 nov 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_INIT Event:EV_INSERT_SA *11 nov 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_INIT Event:EV_GET_IKE_POLICY *11 nov 19:30:34.814: IKEv2:adición del valor predeterminado de la propuesta a la política del kit de herramientas *11 nov 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_INIT Event:EV_PROC_MSG *11 nov 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: Evento R_INIT: EV_DETECT_NAT *11 nov 19:30:34.814: IKEv2:(ID de SA = 1):Notificar el descubrimiento de NAT del proceso *11 nov 19:30:34.814: IKEv2:(ID de SA = 1):Procesamiento de la notificación de detección de src *11 nov 19:30:34.814: IKEv2:(ID de SA = 1):Dirección remota coincidente *11 nov 19:30:34.814: IKEv2:(ID de SA = 1):Procesamiento de notificación de dst de detección de nat *11 nov 19:30:34.814: IKEv2:(ID de SA = 1):Dirección local coincidente *11 nov 19:30:34.814: IKEv2:(ID de SA = 1):No se ha encontrado NAT *11 nov 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: Evento R_INIT: EV_CHK_CONFIG_MODE *11 nov 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_BLD_INIT Evento: EV_SET_POLICY *11 nov 19:30:34.814: IKEv2:(ID de SA = 1):Configuración de políticas configuradas *11 nov 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_BLD_INIT Evento: EV_CHK_AUTH4PKI *11 nov 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_BLD_INIT Evento: EV_PKI_SESH_OPEN *11 nov 19:30:34.814: IKEv2:(ID de SA = 1):Apertura de una sesión PKI *11 nov 19:30:34.815: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_BLD_INIT Evento:EV_GEN_DH_KEY *11 nov 19:30:34.815: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_BLD_INIT Evento: EV_NO_EVENT *11 nov 19:30:34.815: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_BLD_INIT Evento:EV_OK_RECD_DH_PUBKEY_RESP *11 nov 19:30:34.815: IKEv2:(ID de SA = 1):Acción: Action_Null *11 nov 19:30:34.815: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_BLD_INIT Evento:EV_GEN_DH_SECRET *11 nov 19:30:34.822: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_BLD_INIT Evento: EV_NO_EVENT *11 nov 19:30:34.822: IKEv2:% Obteniendo clave precompartida por dirección 10.0.0.1 *11 nov 19:30:34.822: IKEv2:adición del valor predeterminado de la propuesta a la política del kit de herramientas *11 nov 19:30:34.822: IKEv2:(2): Elección del perfil IKE IKEV2-SETUP *11 nov 19:30:34.822: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_BLD_INIT Evento: EV_OK_RECD_DH_SECRET_RESP *11 nov 19:30:34.822: IKEv2:(ID de SA = 1):Acción: Action_Null *11 nov 19:30:34.822: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_BLD_INIT Evento:EV_GEN_SKEYID *11 nov 19:30:34.822: IKEv2:(ID de SA = 1):Generar id de teclado *11 nov 19:30:34.822: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_BLD_INIT Evento: EV_GET_CONFIG_MODE *11 nov 19:30:34.822: respondedor IKEv2:IKEv2 - sin datos de configuración para enviar en la versión IKE_SA_INIT *11 nov 19:30:34.822: IKEv2:No hay datos de configuración para enviar al kit de herramientas: *11 nov 19:30:34.822: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: R_BLD_INIT Evento: EV_BLD_MSG *11 nov 19:30:34.822: IKEv2:crear carga útil específica del proveedor: ELIMINAR RAZÓN *11 nov 19:30:34.822: IKEv2:crear carga útil específica del proveedor: (LOCAL') *11 nov 19:30:34.822: IKEv2:Construir notificación de carga útil: NAT_DETECTION_SOURCE_IP *11 nov 19:30:34.822: IKEv2:Construir notificación de carga útil: NAT_DETECTION_DESTINATION_IP *11 nov 19:30:34.822: IKEv2:Construir notificación de carga útil: HTTP_CERT_LOOKUP_SUPPORTED |
Responder verifica y procesa el mensaje IKE_INIT: (1) Elige el conjunto criptográfico de los ofrecidos por el iniciador, (2) calcula su propia clave secreta DH y (3) calcula un valor skeyid, del cual se pueden derivar todas las claves para este IKE_SA. Todos los encabezados de todos los mensajes que siguen están cifrados y autenticados. Las claves utilizadas para la protección de la integridad y el cifrado derivan de SKEYID y se conocen como: SK_e (cifrado), SK_a (autenticación), SK_d se deriva y se utiliza para derivar material adicional de codificación para CHILD_SAs, y se calcula un SK_e y SK_a separados para cada dirección. Configuración relevante: crypto ikev2 project PHASE1-prop encryption 3des aes-cbc-128 Integrity sha1 group 2 crypto ikev2 keyring KEYRNG peer2 address 10.0.0.1 255.255.255.0 hostname host2 pre-shared-key local cisco pre-shared-key remote |
|
*11 nov 19:30:34.822: IKEv2:(ID de SA = 1):Siguiente carga útil: SA, versión: 2.0 Tipo de intercambio: IKE_SA_INIT, indicadores: RESPONDER MSG-RESPONSE ID de mensaje: 0, longitud: 449 Contenido de la carga útil: Carga útil SA siguiente: KE, reservado: 0x0, longitud: 48 última propuesta: 0x0, reservado: 0x0, longitud: 44 Propuesta: 1, ID de protocolo: IKE, tamaño SPI: 0, #trans: 4 última transformación: 0x3, reservado: 0x0: longitud: 12 type: 1, reservado: 0x0, id: AES-CBC última transformación: 0x3, reservado: 0x0: longitud: 8 type: 2, reservado: 0x0, id: SHA1 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA96 última transformación: 0x0, reservado: 0x0: longitud: 8 type: 4, reservado: 0x0, id: DH_GROUP_1024_MODP/Grupo 2 Carga útil KE siguiente: N, reservado: 0x0, longitud: 136 Grupo DH: 2, Reservado: 0x0 N Carga útil siguiente: VID, reservado: 0x0, longitud: 24 Carga útil siguiente de VID: VID, reservado: 0x0, longitud: 23 Carga útil siguiente de VID: NOTIFICACIÓN, reservada: 0x0, longitud: 21 NOTIFICACIÓN(NAT_DETECTION_SOURCE_IP) Siguiente carga útil: NOTIFICACIÓN, reservada: 0x0, longitud: 28 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_DESTINATION_IP) Siguiente carga útil: CERTREQ, reservado: 0x0, longitud: 28 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: NAT_DETECTION_DESTINATION_IP Carga útil siguiente de CERTREQ: NOTIFICACIÓN, reservada: 0x0, longitud: 105 Hash de codificación de certificado y URL de PKIX NOTIFICACIÓN(HTTP_CERT_LOOKUP_SUPPORTED) Siguiente carga útil: NINGUNA, reservada: 0x0, longitud: 8 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: HTTP_CERT_LOOKUP_SUPPORTED |
El Router 2 construye el mensaje de respuesta para el intercambio IKE_SA_INIT, que es recibido por ASA1. Este paquete contiene: Encabezado ISAKMP (SPI/ versión/indicadores), SAr1 (algoritmo criptográfico que el respondedor IKE elige), KEr (valor de clave pública DH del respondedor) y Nonce del respondedor. |
|
*11 nov 19:30:34.822: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: Evento INIT_DONE: EV_DONE *11 nov 19:30:34.822: IKEv2:(ID de SA = 1):Cisco DeleteReason Notify está habilitado *11 nov 19:30:34.822: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: Evento INIT_DONE: EV_CHK4_ROLE *11 nov 19:30:34.822: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: INIT_DONE Event:EV_START_TMR *11 nov 19:30:34.822: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: Evento R_WAIT_AUTH: EV_NO_EVENT *11 nov 19:30:34.822: IKEv2:Nuevo ikev2 como solicitud admitida *11 nov 19:30:34.822: IKEv2:Aumento de la negociación saliente como recuento en uno |
El Router 2 envía el mensaje del respondedor al Router 1. |
<—Respondedor enviado IKE_INIT_SA —
|
El Router 1 recibe el paquete de respuesta IKE_SA_INIT del Router 2. |
*11 nov 19:30:34.823: IKEv2:Recibió un paquete del remitente *11 nov 19:30:34.823: IKEv2:Recibió un paquete del remitente *11 nov 19:30:34.823: IKEv2:Procesamiento de un elemento de la cola pak |
I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000000 CurState: INIT_DONE Event:EV_START_TMR |
Responder inicia el temporizador para el proceso de autenticación. |
El Router1 verifica y procesa la respuesta: (1) Se calcula la clave secreta DH del iniciador y (2) también se genera la clave skeyid del iniciador. |
*11 nov 19:30:34.823: IKEv2:(ID de SA = 1):Siguiente carga útil: SA, versión: 2.0 Tipo de intercambio: IKE_SA_INIT, indicadores: RESPONDER MSG-RESPONSE ID del mensaje: 0, longitud: 449 Contenido de la carga útil: Carga útil SA siguiente: KE, reservado: 0x0, longitud: 48 última propuesta: 0x0, reservado: 0x0, longitud: 44 Propuesta: 1, ID de protocolo: IKE, tamaño SPI: 0, #trans: 4 última transformación: 0x3, reservado: 0x0: longitud: 12 type: 1, reservado: 0x0, id: AES-CBC última transformación: 0x3, reservado: 0x0: longitud: 8 type: 2, reservado: 0x0, id: SHA1 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA96 última transformación: 0x0, reservado: 0x0: longitud: 8 type: 4, reservado: 0x0, id: DH_GROUP_1024_MODP/Grupo 2 Carga útil KE siguiente: N, reservado: 0x0, longitud: 136 Grupo DH: 2, Reservado: 0x0 N Carga útil siguiente: VID, reservado: 0x0, longitud: 24 *11 nov 19:30:34.823: IKEv2: analizar la carga útil específica del proveedor: CISCO-DELETE-REASON VID: siguiente carga útil: VID, reservado: 0x0, longitud: 23 *11 nov 19:30:34.823: IKEv2: analizar la carga útil específica del proveedor: (PERSONALIZADO) VID Siguiente carga útil: NOTIFICACIÓN, reservada: 0x0, longitud: 21 *11 nov 19:30:34.823: IKEv2:carga útil de notificación de análisis: NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_SOURCE_IP) Siguiente carga útil: NOTIFICACIÓN, reservada: 0x0, longitud: 28 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: NAT_DETECTION_SOURCE_IP *11 nov 19:30:34.824: IKEv2:carga útil de notificación de análisis: NAT_DETECTION_DESTINATION_IP NOTIFY(NAT_DETECTION_DESTINATION_IP) Siguiente carga útil: CERTREQ, reservado: 0x0, longitud: 28 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: NAT_DETECTION_DESTINATION_IP Carga útil siguiente de CERTREQ: NOTIFICACIÓN, reservada: 0x0, longitud: 105 Hash de codificación de certificado y URL de PKIX *11 nov 19:30:34.824: IKEv2:carga útil de notificación de análisis: HTTP_CERT_LOOKUP_SUPPORTED NOTIFY(HTTP_CERT_LOOKUP_SUPPORTED) Siguiente carga útil: NINGUNA, reservada: 0x0, longitud: 8 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: HTTP_CERT_LOOKUP_SUPPORTED *11 nov 19:30:34.824: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento I_WAIT_INIT: EV_RECV_INIT *11 nov 19:30:34.824: IKEv2:(ID de SA = 1):Procesamiento del mensaje IKE_SA_INIT *11 nov 19:30:34.824: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento I_PROC_INIT: EV_CHK4_NOTIFY *11 nov 19:30:34.824: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento I_PROC_INIT: EV_VERIFY_MSG *11 nov 19:30:34.824: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento I_PROC_INIT: EV_PROC_MSG *11 nov 19:30:34.824: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento I_PROC_INIT: EV_DETECT_NAT *11 nov 19:30:34.824: IKEv2:(ID de SA = 1):Notificar el descubrimiento de NAT del proceso *11 nov 19:30:34.824: IKEv2:(ID de SA = 1):Procesamiento de la notificación de detección de src *11 nov 19:30:34.824: IKEv2:(ID de SA = 1):Dirección remota coincidente *11 nov 19:30:34.824: IKEv2:(ID de SA = 1):Procesamiento de notificación de dst de detección de nat *11 nov 19:30:34.824: IKEv2:(ID de SA = 1):Dirección local coincidente *11 nov 19:30:34.824: IKEv2:(ID de SA = 1):No se ha encontrado NAT *11 nov 19:30:34.824: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento I_PROC_INIT: EV_CHK_NAT_T *11 nov 19:30:34.824: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento I_PROC_INIT: EV_CHK_CONFIG_MODE *11 nov 19:30:34.824: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: INIT_DONE Event:EV_GEN_DH_SECRET *11 nov 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento INIT_DONE: EV_NO_EVENT *11 nov 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento INIT_DONE: EV_OK_RECD_DH_SECRET_RESP *11 nov 19:30:34.831: IKEv2:(ID de SA = 1):Acción: Action_Null *11 nov 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: INIT_DONE Event:EV_GEN_SKEYID *11 nov 19:30:34.831: IKEv2:(ID de SA = 1):Generar id de teclado *11 nov 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento INIT_DONE: EV_DONE *11 nov 19:30:34.831: IKEv2:(ID de SA = 1):Cisco DeleteReason Notify está habilitado *11 nov 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento INIT_DONE: EV_CHK4_ROLE *11 nov 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento I_BLD_AUTH: EV_GET_CONFIG_MODE *11 nov 19:30:34.831: IKEv2:envío de datos de configuración al kit de herramientas *11 nov 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento I_BLD_AUTH: EV_CHK_EAP |
|
El iniciador inicia el intercambio IKE_AUTH y genera la carga útil de autenticación. El paquete IKE_AUTH contiene: Encabezado ISAKMP (SPI/ versión/indicadores), IDi(identidad del iniciador), carga útil AUTH, SAi2(inicia SA-similar al intercambio de conjunto de transformación de fase 2 en IKEv1) y TSi y TSr (selectores de tráfico de iniciador y respondedor): Contienen la dirección de origen y de destino del iniciador y del respondedor respectivamente para reenviar/recibir tráfico cifrado. El rango de direcciones especifica que todo el tráfico hacia y desde ese rango se tuneliza. Si la propuesta es aceptable para el respondedor, envía cargas útiles de TS idénticas de vuelta. El primer CHILD_SA se crea para el par proxy_ID que coincide con el paquete de activación. Configuración relevante: crypto ipsec transform-set TS esp-3des esp-sha-hmac crypto ipsec profile phse2-prof set transform-set TS set ikev2-profile IKEV2-SETUP |
*11 nov 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: I_BLD_AUTH Event:EV_GEN_AUTH *11 nov 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento I_BLD_AUTH: EV_CHK_AUTH_TYPE *11 nov 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento I_BLD_AUTH: EV_OK_AUTH_GEN *11 nov 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento I_BLD_AUTH: EV_SEND_AUTH *11 nov 19:30:34.831: IKEv2:crear carga útil específica del proveedor: CISCO-GRANITE *11 nov 19:30:34.831: IKEv2:Construir notificación de carga útil: INITIAL_CONTACT *11 nov 19:30:34.831: IKEv2:Construir notificación de carga útil: SET_WINDOW_SIZE *11 nov 19:30:34.831: IKEv2:Construir notificación de carga útil: ESP_TFC_NO_SUPPORT *11 nov 19:30:34.831: IKEv2:Construir notificación de carga útil: NON_FIRST_FRAGS Contenido de la carga útil: Carga útil siguiente de VID: ID, reservado: 0x0, longitud: 20 IDi Carga útil siguiente: AUTH, reservada: 0x0, longitud: 12 Tipo de ID: Dirección IPv4, reservada: 0x0 0x0 AUTH Next Payload: CFG, reservado: 0x0, longitud: 28 Método de autenticación PSK, reservado: 0x0, reservado 0x0 Carga útil CFG siguiente: SA, reservada: 0x0, longitud: 309 tipo cfg: CFG_REQUEST, reservado: 0x0, reservado: 0x0 *11 nov 19:30:34.831: SA Siguiente carga útil: TSi, reservado: 0x0, longitud: 40 última propuesta: 0x0, reservado: 0x0, longitud: 36 Propuesta: 1, ID de protocolo: ESP, tamaño SPI: 4, #trans: 3 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 1, reservado: 0x0, id: 3DES última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA96 última transformación: 0x0, reservado: 0x0: longitud: 8 type: 5, reservado: 0x0, id: No utilice ESN Carga útil TSi siguiente: TSr, reservado: 0x0, longitud: 24 Número de TS: 1, reservado 0x0, reservado 0x0 Tipo de TS: TS_IPV4_ADDR_RANGE, id de prueba: 0, longitud: 16 puerto inicial: 0, puerto final: 65535 start addr: 0.0.0.0, dirección final: 255.255.255.255 Carga útil TSr siguiente: NOTIFICACIÓN, reservada: 0x0, longitud: 24 Número de TS: 1, reservado 0x0, reservado 0x0 Tipo de TS: TS_IPV4_ADDR_RANGE, id de prueba: 0, longitud: 16 puerto inicial: 0, puerto final: 65535 start addr: 0.0.0.0, dirección final: 255.255.255.255 NOTIFICACIÓN(INITIAL_CONTACT) Siguiente carga útil: NOTIFICACIÓN, reservada: 0x0, longitud: 8 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: INITIAL_CONTACT NOTIFICAR(SET_WINDOW_SIZE) Siguiente carga útil: NOTIFICACIÓN, reservada: 0x0, longitud: 12 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: SET_WINDOW_SIZE NOTIFICAR(ESP_TFC_NO_SUPPORT) Siguiente carga: NOTIFICACIÓN, reservada: 0x0, longitud: 8 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: ESP_TFC_NO_SUPPORT NOTIFICAR(NON_FIRST_FRAGS) Siguiente carga útil: NINGUNA, reservada: 0x0, longitud: 8 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: NON_FIRST_FRAGS *11 nov 19:30:34.832: IKEv2:(ID de SA = 1):Siguiente carga útil: ENCR, versión: 2.0 Tipo de intercambio: IKE_AUTH, indicadores: INICIADOR ID de mensaje: 1, longitud: 556 Contenido de la carga útil: Siguiente carga útil de ENCR: VID, reservado: 0x0, longitud: 528 *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000001 CurState: Evento I_WAIT_AUTH: EV_NO_EVENT |
|
—Iniciador enviado IKE_AUTH —>
|
|
*11 nov 19:30:34.832: IKEv2:Recibió un paquete del remitente *11 nov 19:30:34.832: IKEv2:Procesamiento de un elemento de la cola pak *11 nov 19:30:34.832: IKEv2:(ID de SA = 1):La solicitud tiene id_desorden 1; esperados 1 a 1 *11 nov 19:30:34.832: IKEv2:(ID SA = 1):Siguiente carga útil: ENCR, versión: 2.0 Tipo de intercambio: IKE_AUTH, indicadores: INITIATOR ID de mensaje: 1, longitud: 556 Contenido de la carga útil: *11 nov 19:30:34.832: IKEv2: analizar la carga útil específica del proveedor: (PERSONALIZADO) VID Siguiente carga útil: ID, reservado: 0x0, longitud: 20 IDi Carga útil siguiente: AUTH, reservada: 0x0, longitud: 12 Tipo de ID: Dirección IPv4, reservada: 0x0 0x0 Carga útil AUTH Next: CFG, reservado: 0x0, longitud: 28 Método de autenticación PSK, reservado: 0x0, reservado 0x0 Carga útil CFG siguiente: SA, reservada: 0x0, longitud: 309 tipo cfg: CFG_REQUEST, reservado: 0x0, reservado: 0x0 *11 nov 19:30:34.832: attrib type: DNS IP4 interno, longitud: 0 *11 nov 19:30:34.832: attrib type: DNS IP4 interno, longitud: 0 *11 nov 19:30:34.832: attrib type: NBNS IP4 interno, longitud: 0 *11 nov 19:30:34.832: attrib type: NBNS IP4 interno, longitud: 0 *11 nov 19:30:34.832: attrib type: subred IP4 interna, longitud: 0 *11 nov 19:30:34.832: attrib type: versión de la aplicación, longitud: 257 tipo de attrib: Desconocido - 28675, longitud: 0 *11 nov 19:30:34.832: attrib type: Desconocido - 28672, longitud: 0 *11 nov 19:30:34.832: attrib type: Desconocido - 28692, longitud: 0 *11 nov 19:30:34.832: attrib type: Desconocido - 28681, longitud: 0 *11 nov 19:30:34.832: attrib type: Desconocido - 28674, longitud: 0 *11 nov 19:30:34.832: Siguiente carga SA: TSi, reservado: 0x0, longitud: 40 última propuesta: 0x0, reservado: 0x0, longitud: 36 Propuesta: 1, ID de protocolo: ESP, tamaño SPI: 4, #trans: 3 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 1, reservado: 0x0, id: 3DES última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA96 última transformación: 0x0, reservado: 0x0: longitud: 8 type: 5, reservado: 0x0, id: No utilice ESN Carga útil TSi siguiente: TSr, reservado: 0x0, longitud: 24 Número de TS: 1, reservado 0x0, reservado 0x0 Tipo de TS: TS_IPV4_ADDR_RANGE, id de prueba: 0, longitud: 16 puerto inicial: 0, puerto final: 65535 start addr: 0.0.0.0, dirección final: 255.255.255.255 TSr Carga útil siguiente: NOTIFICACIÓN, reservada: 0x0, longitud: 24 Número de TS: 1, reservado 0x0, reservado 0x0 Tipo de TS: TS_IPV4_ADDR_RANGE, id de prueba: 0, longitud: 16 puerto inicial: 0, puerto final: 65535 start addr: 0.0.0.0, dirección final: 255.255.255.255 |
El Router 2 recibe y verifica los datos de autenticación recibidos del Router 1. Configuración relevante: crypto ipsec ikev2 ipsec-project AES256 protocol esp encryption aes-256 protocol esp Integrity sha-1 md5 |
|
*11 nov 19:30:34.832: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_WAIT_AUTH: EV_RECV_AUTH *11 nov 19:30:34.832: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_WAIT_AUTH: EV_CHK_NAT_T *11 nov 19:30:34.832: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_WAIT_AUTH: EV_PROC_ID *11 nov 19:30:34.832: IKEv2:(ID de SA = 1):Se han recibido parámetros válidos en la ID del proceso *11 nov 19:30:34.832: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_WAIT_AUTH: EV_CHK_IF_PEER_CERT_NEEDS_TO_BE_FETCHED_FOR_PROF_SEL *11 nov 19:30:34.832: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_WAIT_AUTH: EV_GET_POLICY_BY_PEERID *11 nov 19:30:34.833: IKEv2:(1): Elección del perfil IKE IKEV2-SETUP *11 nov 19:30:34.833: IKEv2: % de clave precompartida por dirección 10.0.0.1 *11 nov 19:30:34.833: IKEv2: % de clave precompartida por dirección 10.0.0.1 *11 nov 19:30:34.833: IKEv2:adición del valor predeterminado de la propuesta a la política del kit de herramientas *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):Uso del perfil IKEv2 'IKEV2-SETUP' *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_WAIT_AUTH: EV_SET_POLICY *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):Configuración de políticas configuradas *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_WAIT_AUTH: EV_VERIFY_POLICY_BY_PEERID *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_WAIT_AUTH: EV_CHK_AUTH4EAP *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_WAIT_AUTH: EV_CHK_POLREQEAP *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Event: EV_CHK_AUTH_TYPE *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Event: EV_GET_PRESHR_KEY *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Event: EV_VERIFY_AUTH *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Event: EV_CHK4_IC *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Event: EV_CHK_REDIRECT *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):No se necesita la verificación de redirección, omitiéndola *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Event: EV_NOTIFY_AUTH_DONE *11 nov 19:30:34.833: IKEv2:la autorización de grupo AAA no está configurada *11 nov 19:30:34.833: IKEv2:la autorización de usuario AAA no está configurada *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Event: EV_CHK_CONFIG_MODE *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Event: EV_SET_RECD_CONFIG_MODE *11 nov 19:30:34.833: IKEv2:Datos de configuración recibidos del kit de herramientas: *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Event: EV_PROC_SA_TS *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Event: EV_GET_CONFIG_MODE *11 nov 19:30:34.833: IKEv2:Error al construir la respuesta de configuración *11 nov 19:30:34.833: IKEv2:No hay datos de configuración para enviar al kit de herramientas: *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_BLD_AUTH: EV_MY_AUTH_METHOD *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_BLD_AUTH: EV_GET_PRESHR_KEY *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_BLD_AUTH: EV_GEN_AUTH *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_BLD_AUTH: EV_CHK4_SIGN *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_BLD_AUTH: EV_OK_AUTH_GEN *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_BLD_AUTH: EV_SEND_AUTH *11 nov 19:30:34.833: IKEv2:crear carga útil específica del proveedor: CISCO-GRANITE *11 nov 19:30:34.833: IKEv2:Construir notificación de carga útil: SET_WINDOW_SIZE *11 nov 19:30:34.833: IKEv2:Construir notificación de carga útil: ESP_TFC_NO_SUPPORT *11 nov 19:30:34.833: IKEv2:Construir notificación de carga útil: NON_FIRST_FRAGS |
El Router 2 genera la respuesta al paquete IKE_AUTH que recibió del Router 1. Este paquete de respuesta contiene: Encabezado ISAKMP (SPI/ versión/indicadores), IDr (identidad del respondedor), carga útil AUTH, SAr2(inicia SA-similar al intercambio de conjunto de transformación de fase 2 en IKEv1) y TSi y TSr(selectores de tráfico de iniciador y respondedor). Contienen la dirección de origen y de destino del iniciador y del respondedor respectivamente para reenviar/recibir tráfico cifrado. El rango de direcciones especifica que todo el tráfico hacia y desde ese rango se tuneliza. Estos parámetros son idénticos al que se recibió de ASA1. |
|
*11 nov 19:30:34.833: IKEv2:(ID de SA = 1):Siguiente carga útil: ENCR, versión: 2.0 Tipo de intercambio: IKE_AUTH, indicadores: RESPONDER MSG-RESPONSE ID de mensaje: 1, longitud: 252 Contenido de la carga útil: ENCR Carga útil siguiente: VID, reservado: 0x0, longitud: 224 *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_OK *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):Acción: Action_Null *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_PKI_SESH_CLOSE *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):Cierre de la sesión PKI *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_UPDATE_CAC_STATS *11 nov 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: EVENTO AUTH_DONE:EV_INSERT_IKE *11 nov 19:30:34.834: IKEv2:índice MIB de almacenamiento ikev2 1, plataforma 60 *11 nov 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_GEN_LOAD_IPSEC *11 nov 19:30:34.834: IKEv2:(ID de SA = 1):Solicitud asincrónica en cola *11 nov 19:30:34.834: IKEv2:(ID de SA = 1): *11 nov 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000001 CurState: AUTH_DONE Evento: EV_NO_EVENT |
Responder envía la respuesta para IKE_AUTH. |
<—Respondedor enviado IKE_AUTH—
|
El iniciador recibe la respuesta de Responder. |
*11 nov 19:30:34.834: IKEv2:Recibió un paquete del remitente *11 nov 19:30:34.834: IKEv2:Procesamiento de un elemento de la cola pak |
*11 nov 19:30:34.840: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_OK_RECD_LOAD_IPSEC *11 nov 19:30:34.840: IKEv2:(ID de SA = 1):Acción: Action_Null *11 nov 19:30:34.840: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_START_ACCT *11 nov 19:30:34.840: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_CHECK_DUPE *11 nov 19:30:34.840: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_CHK4_ROLE |
Responder inserta una entrada en el SAD. |
El Router 1 verifica y procesa los datos de autenticación en este paquete. Luego, el router 1 inserta esta SA en su SAD. |
*11 nov 19:30:34.834: IKEv2:(ID de SA = 1):Siguiente carga útil: ENCR, versión: 2.0 Tipo de intercambio: IKE_AUTH, indicadores: RESPONDER MSG-RESPONSE ID de mensaje: 1, longitud: 252 Contenido de la carga útil: *11 nov 19:30:34.834: IKEv2: analizar la carga útil específica del proveedor: (PERSONALIZADO) VID Siguiente carga útil: IDr, reservado: 0x0, longitud: 20 IDr. Carga útil siguiente: AUTH, reservada: 0x0, longitud: 12 Tipo de ID: Dirección IPv4, reservada: 0x0 0x0 AUTH Next Payload: SA, reservada: 0x0, longitud: 28 Método de autenticación PSK, reservado: 0x0, reservado 0x0 Carga útil SA siguiente: TSi, reservado: 0x0, longitud: 40 última propuesta: 0x0, reservado: 0x0, longitud: 36 Propuesta: 1, ID de protocolo: ESP, tamaño SPI: 4, #trans: 3 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 1, reservado: 0x0, id: 3DES última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA96 última transformación: 0x0, reservado: 0x0: longitud: 8 type: 5, reservado: 0x0, id: No utilice ESN Carga útil TSi siguiente: TSr, reservado: 0x0, longitud: 24 Número de TS: 1, reservado 0x0, reservado 0x0 Tipo de TS: TS_IPV4_ADDR_RANGE, id de prueba: 0, longitud: 16 puerto inicial: 0, puerto final: 65535 start addr: 0.0.0.0, dirección final: 255.255.255.255 TSr Carga útil siguiente: NOTIFICACIÓN, reservada: 0x0, longitud: 24 Número de TS: 1, reservado 0x0, reservado 0x0 Tipo de TS: TS_IPV4_ADDR_RANGE, id de prueba: 0, longitud: 16 puerto inicial: 0, puerto final: 65535 start addr: 0.0.0.0, dirección final: 255.255.255.255 *11 nov 19:30:34.834: IKEv2:carga útil de notificación de análisis: SET_WINDOW_SIZE NOTIFY(SET_WINDOW_SIZE) Siguiente carga útil: NOTIFICACIÓN, reservada: 0x0, longitud: 12 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: SET_WINDOW_SIZE *11 nov 19:30:34.834: IKEv2:carga útil de notificación de análisis: ESP_TFC_NO_SUPPORT NOTIFY(ESP_TFC_NO_SUPPORT) Siguiente carga útil: NOTIFICACIÓN, reservada: 0x0, longitud: 8 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: ESP_TFC_NO_SUPPORT *11 nov 19:30:34.834: IKEv2:carga útil de notificación de análisis: NOTIFICACIÓN NON_FIRST_FRAGS(NON_FIRST_FRAGS) Siguiente carga útil: NINGUNA, reservada: 0x0, longitud: 8 ID del protocolo de seguridad: IKE, tamaño spi: 0, tipo: NON_FIRST_FRAGS *11 nov 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_WAIT_AUTH:EV_RECV_AUTH *11 nov 19:30:34.834: IKEv2:(ID de SA = 1):Acción: Action_Null *11 nov 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_CHK4_NOTIFY *11 nov 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH Event:EV_PROC_MSG *11 nov 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_CHK_IF_PEER_CERT_NEEDS_TO_BE_FETCHED_FOR_PROF_SEL *11 nov 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_GET_POLICY_BY_PEERID *11 nov 19:30:34.834: IKEv2:adición de la propuesta PHASE1-prop a la política del kit de herramientas *11 nov 19:30:34.834: IKEv2:(ID de SA = 1):Uso del perfil IKEv2 'IKEV2-SETUP' *11 nov 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_VERIFY_POLICY_BY_PEERID *11 nov 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_CHK_AUTH_TYPE *11 nov 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_GET_PRESHR_KEY *11 nov 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH Event:EV_VERIFY_AUTH *11 nov 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_CHK_EAP *11 nov 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH Event:EV_NOTIFY_AUTH_DONE *11 nov 19:30:34.835: IKEv2:la autorización de grupo AAA no está configurada *11 nov 19:30:34.835: IKEv2:la autorización de usuario AAA no está configurada *11 nov 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_CHK_CONFIG_MODE *11 nov 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_CHK4_IC *11 nov 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_CHK_IKE_ONLY *11 nov 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_PROC_SA_TS *11 nov 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_OK *11 nov 19:30:34.835: IKEv2:(ID de SA = 1):Acción: Action_Null *11 nov 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_PKI_SESH_CLOSE *11 nov 19:30:34.835: IKEv2:(ID de SA = 1):Cierre de la sesión PKI *11 nov 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_UPDATE_CAC_STATS *11 nov 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_INSERT_IKE *11 nov 19:30:34.835: IKEv2:índice MIB de almacenamiento ikev2 1, plataforma 60 *11 nov 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_GEN_LOAD_IPSEC *11 nov 19:30:34.835: IKEv2:(ID de SA = 1):Solicitud asincrónica en cola *11 nov 19:30:34.835: IKEv2:(ID de SA = 1): *11 nov 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_NO_EVENT *11 nov 19:30:34.835: IKEv2:Se consumió el mensaje 8 de KMI. No se ha tomado ninguna medida. *11 nov 19:30:34.835: IKEv2:Se consumió el mensaje 12 de KMI. No se ha tomado ninguna medida. *11 nov 19:30:34.835: IKEv2: No hay datos para enviar en modo de configuración configurado. *11 nov 19:30:34.841: IKEv2:adición de identificador 0x80000002 asociado con SPI 0x9506D414 para la sesión 8 *11 nov 19:30:34.841: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_OK_RECD_LOAD_IPSEC *11 nov 19:30:34.841: IKEv2:(ID de SA = 1):Acción: Action_Null *11 nov 19:30:34.841: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_START_ACCT *11 nov 19:30:34.841: IKEv2:(ID de SA = 1):No se requiere contabilidad *11 nov 19:30:34.841: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_CHECK_DUPE *11 nov 19:30:34.841: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000001 CurState: AUTH_DONE Evento: EV_CHK4_ROLE |
|
El túnel está activo en el Iniciador y el estado muestra READY. |
*11 nov 19:30:34.841: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: READYEvent: EV_CHK_IKE_ONLY *11 nov 19:30:34.841: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento PREPARADO: EV_I_OK |
*11 nov 19:30:34.840: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 0000001 CurState: READY Evento: EV_R_OK *11 nov 19:30:34.840: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento PREPARADO: EV_NO_EVENT |
El túnel está activo en el Respondedor. El túnel Responder suele aparecer antes del iniciador. |