Descripción del mensaje del router 1 (iniciador) |
Depuraciones |
Descripción del mensaje del router 2 (Respondedor) |
El router 1 recibe un paquete que coincide con la ACL de criptografía para el par ASA 10.0.0.2. Inicia la creación de SA |
*11 de noviembre 20:28:34.003: IKEv2:Recibió un paquete del distribuidor *11 de noviembre 20:28:34.003: IKEv2:Procesamiento de un elemento de la cola de pak *11 de noviembre 19:30:34.811: IKEv2: % Obteniendo clave previamente compartida por dirección 10.0.0.2 *11 de noviembre 19:30:34.811: IKEv2:Adición de la propuesta PHASE1-prop al conjunto de herramientas policyle *11 de noviembre 19:30:34.811: IKEv2:(1): Selección del perfil IKE IKEV2-SETUP *11 de noviembre 19:30:34.811: IKEv2:Nueva solicitud ikev2 sa admitida *11 de noviembre 19:30:34.811: IKEv2:Incremento de un recuento de sa de negociación saliente
|
|
El primer par de mensajes es el intercambio IKE_SA_INIT. Estos mensajes negocian algoritmos criptográficos, intercambian nonces y realizan un intercambio Diffie-Hellman.
Configuración relevante: crypto ikev2 offer PHASE1-prop encryption 3des aes-cbc-128 integration sha1 group 2crypto ikev2 keyring KEYRNG peer peer1 address 10.0.0.2 255.255.255.0 hostname host1 pre-shared-key local cisco pre-shared-key remote cisco
|
*11 de noviembre 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento IDLE: EV_INIT_SA *11 de noviembre 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evento: EV_GET_IKE_POLICY *11 de noviembre 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evento:EV_SET_POLICY *11 de noviembre 19:30:34.811: IKEv2:(ID de SA = 1):Definición de políticas configuradas *11 de noviembre 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evento: EV_CHK_AUTH4PKI *11 de noviembre 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evento:EV_GEN_DH_KEY *11 de noviembre 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evento: EV_NO_EVENT *11 de noviembre 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evento: EV_OK_RECD_DH_PUBKEY_RESP *11 de noviembre 19:30:34.811: IKEv2:(ID de SA = 1):Acción: Action_Null *11 de noviembre 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evento: EV_GET_CONFIG_MODE *11 de noviembre 19:30:34.811: IKEv2:iniciador IKEv2: no hay datos de configuración para enviar en el intercambio IKE_SA_INIT *11 de noviembre 19:30:34.811: IKEv2:No hay datos de configuración para enviar al kit de herramientas: *11 de noviembre 19:30:34.811: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evento: EV_BLD_MSG *11 de noviembre 19:30:34.811: IKEv2:Crear carga útil específica del proveedor: DELETE-REASON *11 de noviembre 19:30:34.811: IKEv2:Crear carga útil específica del proveedor: (LOCAL') *11 de noviembre 19:30:34.811: IKEv2:Crear carga de notificación: NAT_DETECTION_SOURCE_IP *11 de noviembre 19:30:34.811: IKEv2:Crear carga de notificación: NAT_DETECTION_DESTINATION_IP |
|
Iniciador que genera el paquete IKE_INIT_SA. Contiene: Encabezado ISAKMP (SPI/version/flags), SAi1 (algoritmo criptográfico compatible con el iniciador IKE), KEi (valor de clave pública DH del iniciador) y N (nombre del iniciador). |
*11 de noviembre 19:30:34.811: IKEv2:(ID de SA = 1):Siguiente carga: SA, versión: 2.0 Tipo de intercambio: IKE_SA_INIT, indicadores: INITIATOR ID de mensaje: 0, longitud: 344 Contenido de la carga: SA Siguiente carga útil: KE, reservado: 0x0, longitud: 56 última propuesta: 0x0, reservado: 0x0, longitud: 52 Propuesta: 1, ID de protocolo: IKE, tamaño SPI: 0, #trans: 5 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 1, reservado: 0x0, id: 3DES última transformación: 0x3, reservado: 0x0: longitud: 12 type: 1, reservado: 0x0, id: AES-CBC última transformación: 0x3, reservado: 0x0: longitud: 8 type: 2, reservado: 0x0, id: SHA1 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA96 última transformación: 0x0, reservado: 0x0: longitud: 8 type: 4, reservado: 0x0, id: DH_GROUP_1024_MODP/Grupo 2 Carga útil KE siguiente: N, reservado: 0x0, longitud: 136 Grupo DH: 2, Reservado: 0x0 N Próxima carga: VID, reservado: 0x0, longitud: 24 Carga siguiente de VID: VID, reservado: 0x0, longitud: 23 Carga siguiente de VID: NOTIFICAR, reservado: 0x0, longitud: 21 NOTIFY(NAT_DETECTION_SOURCE_IP) Próxima carga útil: NOTIFICAR, reservado: 0x0, longitud: 28 ID de protocolo de seguridad: IKE, tamaño de spi: 0, tipo: NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_DESTINATION_IP) Próxima carga útil: NINGUNO, reservado: 0x0, longitud: 28 ID de protocolo de seguridad: IKE, tamaño de spi: 0, tipo: NAT_DETECTION_DESTINATION_IP |
|
--------------------------------------El iniciador envió IKE_INIT_SA -----------------------> |
|
*11 de noviembre 19:30:34.814: IKEv2:Recibió un paquete del distribuidor *11 de noviembre 19:30:34.814: IKEv2:Procesamiento de un elemento de la cola de pak *11 de noviembre 19:30:34.814: IKEv2:Nueva solicitud ikev2 sa admitida *11 de noviembre 19:30:34.814: IKEv2:Incremento de un recuento de sa de negociación entrante
|
El respondedor recibe IKE_INIT_SA. |
|
*11 de noviembre 19:30:34.814: IKEv2:Siguiente carga: SA, versión: 2.0 Tipo de intercambio: IKE_SA_INIT, indicadores: ID del mensaje del INICIADOR: 0, longitud: 344 Contenido de la carga: Carga siguiente de SA: KE, reservado: 0x0, longitud: 56 última propuesta: 0x0, reservado: 0x0, longitud: 52 Propuesta: 1, ID de protocolo: IKE, tamaño SPI: 0, #trans: 5 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 1, reservado: 0x0, id: 3DES última transformación: 0x3, reservado: 0x0: longitud: 12 type: 1, reservado: 0x0, id: AES-CBC última transformación: 0x3, reservado: 0x0: longitud: 8 type: 2, reservado: 0x0, id: SHA1 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA96 última transformación: 0x0, reservado: 0x0: longitud: 8 type: 4, reservado: 0x0, id: DH_GROUP_1024_MODP/Grupo 2 Carga útil de KE siguiente: N, reservado: 0x0, longitud: 136 Grupo DH: 2, Reservado: 0x0 N Próxima carga: VID, reservado: 0x0, longitud: 24
*11 de noviembre 19:30:34.814: IKEv2:Analizar carga específica del proveedor: CISCO-DELETE-REASON VID Siguiente carga: VID, reservado: 0x0, longitud: 23 *11 de noviembre 19:30:34.814: IKEv2:Analizar carga específica del proveedor: (PERSONALIZADO) VID Siguiente carga: NOTIFICAR, reservado: 0x0, longitud: 21 *11 de noviembre 19:30:34.814: IKEv2:Analizar carga de notificación: NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_SOURCE_IP) Próxima carga: NOTIFICAR, reservado: 0x0, longitud: 28 ID de protocolo de seguridad: IKE, tamaño de spi: 0, tipo: NAT_DETECTION_SOURCE_IP *11 de noviembre 19:30:34.814: IKEv2:Analizar carga de notificación: NAT_DETECTION_DESTINATION_IP NOTIFY(NAT_DETECTION_DESTINATION_IP) Próxima carga útil: NINGUNO, reservado: 0x0, longitud: 28 ID de protocolo de seguridad: IKE, tamaño de spi: 0, tipo: NAT_DETECTION_DESTINATION_IP
|
El respondedor inicia la creación de SA para ese par. |
|
*11 de noviembre 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento IDLE:EV_RECV_INIT *11 de noviembre 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_INIT Evento:EV_VERIFY_MSG *11 de noviembre 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_INIT Evento:EV_INSERT_SA *11 de noviembre 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_INIT Evento:EV_GET_IKE_POLICY *11 de noviembre 19:30:34.814: IKEv2:Adición de la propuesta predeterminada a la política del kit de herramientas *11 de noviembre 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_INIT Evento:EV_PROC_MSG *11 de noviembre 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento R_INIT: EV_DETECT_NAT *11 de noviembre 19:30:34.814: IKEv2:(ID de SA = 1):Notificación de detección de NAT de proceso *11 de noviembre 19:30:34.814: IKEv2:(SA ID = 1):Procesando nat detect src notify *11 de noviembre 19:30:34.814: IKEv2:(ID de SA = 1): dirección remota coincidente *11 de noviembre 19:30:34.814: IKEv2:(ID de SA = 1):Procesando notificación de detección de dst de NAT *11 de noviembre 19:30:34.814: IKEv2:(ID de SA = 1): dirección local coincidente *11 de noviembre 19:30:34.814: IKEv2:(ID de SA = 1):No se ha encontrado NAT *11 de noviembre 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento R_INIT: EV_CHK_CONFIG_MODE *11 de noviembre 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_SET_POLICY *11 de noviembre 19:30:34.814: IKEv2:(ID de SA = 1):Definición de políticas configuradas *11 de noviembre 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_CHK_AUTH4PKI *11 de noviembre 19:30:34.814: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_PKI_SESH_OPEN *11 de noviembre 19:30:34.814: IKEv2:(ID de SA = 1):apertura de una sesión PKI *11 de noviembre 19:30:34.815: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT Evento:EV_GEN_DH_KEY *11 de noviembre 19:30:34.815: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_NO_EVENT *11 de noviembre 19:30:34.815: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT Evento:EV_OK_RECD_DH_PUBKEY_RESP *11 de noviembre 19:30:34.815: IKEv2:(ID de SA = 1):Acción: Action_Null *11 de noviembre 19:30:34.815: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT Evento:EV_GEN_DH_SECRET *11 de noviembre 19:30:34.822: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_NO_EVENT *11 de noviembre 19:30:34.822: IKEv2: % Obteniendo clave previamente compartida por dirección 10.0.0.1 *11 de noviembre 19:30:34.822: IKEv2:Adición de la propuesta predeterminada a la política del kit de herramientas *11 de noviembre 19:30:34.822: IKEv2:(2): Selección del perfil IKE IKEV2-SETUP *11 de noviembre 19:30:34.822: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_OK_RECD_DH_SECRET_RESP *11 de noviembre 19:30:34.822: IKEv2:(ID de SA = 1):Acción: Action_Null *11 de noviembre 19:30:34.822: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT Evento:EV_GEN_SKEYID *11 de noviembre 19:30:34.822: IKEv2:(ID de SA = 1):Generar skeyid *11 de noviembre 19:30:34.822: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_GET_CONFIG_MODE *11 de noviembre 19:30:34.822: Respondedor IKEv2:IKEv2: no hay datos de configuración para enviar en el intercambio IKE_SA_INIT *11 de noviembre 19:30:34.822: IKEv2:No hay datos de configuración para enviar al kit de herramientas: *11 de noviembre 19:30:34.822: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_BLD_MSG *11 de noviembre 19:30:34.822: IKEv2:Crear carga útil específica del proveedor: DELETE-REASON *11 de noviembre 19:30:34.822: IKEv2:Crear carga útil específica del proveedor: (LOCAL') *11 de noviembre 19:30:34.822: IKEv2:Crear carga de notificación: NAT_DETECTION_SOURCE_IP *11 de noviembre 19:30:34.822: IKEv2:Crear carga de notificación: NAT_DETECTION_DESTINATION_IP *11 de noviembre 19:30:34.822: IKEv2:Crear carga de notificación: HTTP_CERT_LOOKUP_SUPPORTED
|
El respondedor verifica y procesa el mensaje IKE_INIT: (1) Elige un conjunto criptográfico de los ofrecidos por el iniciador, (2) calcula su propia clave secreta DH y (3) calcula un valor skeyid, del cual se pueden derivar todas las claves para esta IKE_SA. Todos los encabezados de todos los mensajes posteriores, excepto los que vienen después, están cifrados y autenticados. Las claves utilizadas para la protección de la integridad y el cifrado se derivan de SKEYID y se conocen como: SK_e (cifrado), SK_a (autenticación), SK_d se deriva y se utiliza para la derivación de material de claves adicional para CHILD_SAs, y se calculan un SK_e y SK_a independientes para cada dirección.
Configuración relevante: propuesta crypto ikev2 cifrado PHASE1-prop 3des aes-cbc-128 integridad sha1 grupo 2 crypto ikev2 keyring KEYRNG peer peer2 dirección 10.0.0.1 255.255.255.0 nombre de host host2 clave previamente compartida local cisco clave previamente compartida remota cisco
|
|
*11 de noviembre 19:30:34.822: IKEv2:(ID de SA = 1):Siguiente carga: SA, versión: 2.0 Tipo de intercambio: IKE_SA_INIT, indicadores: RESPONDER MSG-RESPONSE ID del mensaje: 0, longitud: 449 Contenido de la carga: SA Siguiente carga útil: KE, reservado: 0x0, longitud: 48 última propuesta: 0x0, reservado: 0x0, longitud: 44 Propuesta: 1, ID de protocolo: IKE, tamaño SPI: 0, #trans: 4 última transformación: 0x3, reservado: 0x0: longitud: 12 type: 1, reservado: 0x0, id: AES-CBC última transformación: 0x3, reservado: 0x0: longitud: 8 type: 2, reservado: 0x0, id: SHA1 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA96 última transformación: 0x0, reservado: 0x0: longitud: 8 type: 4, reservado: 0x0, id: DH_GROUP_1024_MODP/Grupo 2 Carga útil KE siguiente: N, reservado: 0x0, longitud: 136 Grupo DH: 2, Reservado: 0x0 N Siguiente carga: VID, reservado: 0x0, longitud: 24 Carga siguiente de VID: VID, reservado: 0x0, longitud: 23 Carga siguiente de VID: NOTIFICAR, reservado: 0x0, longitud: 21 NOTIFY(NAT_DETECTION_SOURCE_IP) Próxima carga útil: NOTIFICAR, reservado: 0x0, longitud: 28 ID de protocolo de seguridad: IKE, tamaño de spi: 0, tipo: NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_DESTINATION_IP) Próxima carga útil: CERTREQ, reservado: 0x0, longitud: 28 ID de protocolo de seguridad: IKE, tamaño de spi: 0, tipo: NAT_DETECTION_DESTINATION_IP Carga siguiente de CERTREQ: NOTIFICAR, reservado: 0x0, longitud: 105 Hash de codificación de certificados y URL de PKIX NOTIFY(HTTP_CERT_LOOKUP_SUPPORTED) Próxima carga: NINGUNO, reservado: 0x0, longitud: 8 ID de protocolo de seguridad: IKE, tamaño de spi: 0, tipo: HTTP_CERT_LOOKUP_SUPPORTED
|
El Router 2 genera el mensaje de respuesta para el intercambio IKE_SA_INIT, que recibe ASA1. Este paquete contiene: Encabezado ISAKMP (SPI/ versión/indicadores), SAr1 (algoritmo criptográfico que elige el respondedor IKE), KEr (valor de clave pública DH del respondedor) y Responder Nonce. |
|
*11 de noviembre 19:30:34.822: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento INIT_DONE: EV_DONE *11 de noviembre 19:30:34.822: IKEv2:(SA ID = 1):Cisco DeleteReason Notify está habilitado *11 de noviembre 19:30:34.822: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento INIT_DONE: EV_CHK4_ROLE *11 de noviembre 19:30:34.822: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: INIT_DONE Evento:EV_START_TMR *11 de noviembre 19:30:34.822: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_WAIT_AUTH Evento: EV_NO_EVENT *11 de noviembre 19:30:34.822: IKEv2:Nueva solicitud ikev2 sa admitida *11 de noviembre 19:30:34.822: IKEv2:Incremento del recuento de sa de negociación saliente en uno
|
El Router 2 envía el mensaje de respuesta al Router 1. |
<-------------------------------El respondedor envió IKE_INIT_SA --------------------------- |
El Router 1 recibe el paquete de respuesta IKE_SA_INIT del Router 2. |
*11 de noviembre 19:30:34.823: IKEv2:Recibió un paquete del distribuidor
*11 de noviembre 19:30:34.823: IKEv2:Recibió un paquete del distribuidor
*11 de noviembre 19:30:34.823: IKEv2:Procesamiento de un elemento de la cola de pak
|
I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: INIT_DONE Evento:EV_START_TMR
|
Responder inicia el temporizador para el proceso de autenticación. |
El Router1 verifica y procesa la respuesta: (1) Se calcula la clave secreta DH del iniciador y (2) también se genera la ID de clave del iniciador. |
*11 de noviembre 19:30:34.823: IKEv2:(ID de SA = 1):Siguiente carga: SA, versión: 2.0 Tipo de intercambio: IKE_SA_INIT, indicadores: RESPONDER MSG-RESPONSE ID del mensaje: 0, longitud: 449 Contenido de la carga: SA Siguiente carga útil: KE, reservado: 0x0, longitud: 48 última propuesta: 0x0, reservado: 0x0, longitud: 44 Propuesta: 1, ID de protocolo: IKE, tamaño SPI: 0, #trans: 4 última transformación: 0x3, reservado: 0x0: longitud: 12 type: 1, reservado: 0x0, id: AES-CBC última transformación: 0x3, reservado: 0x0: longitud: 8 type: 2, reservado: 0x0, id: SHA1 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA96 última transformación: 0x0, reservado: 0x0: longitud: 8 type: 4, reservado: 0x0, id: DH_GROUP_1024_MODP/Grupo 2 Carga útil KE siguiente: N, reservado: 0x0, longitud: 136 Grupo DH: 2, Reservado: 0x0 N Siguiente carga: VID, reservado: 0x0, longitud: 24
*11 de noviembre 19:30:34.823: IKEv2:Analizar carga específica del proveedor: CISCO-DELETE-REASON VID Siguiente carga: VID, reservado: 0x0, longitud: 23
*11 de noviembre 19:30:34.823: IKEv2:Analizar carga específica del proveedor: (PERSONALIZADO) VID Siguiente carga: NOTIFICAR, reservado: 0x0, longitud: 21
*11 de noviembre 19:30:34.823: IKEv2:Analizar carga de notificación: NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_SOURCE_IP) Próxima carga: NOTIFICAR, reservado: 0x0, longitud: 28 ID de protocolo de seguridad: IKE, tamaño de spi: 0, tipo: NAT_DETECTION_SOURCE_IP
*11 de noviembre 19:30:34.824: IKEv2:Analizar carga de notificación: NAT_DETECTION_DESTINATION_IP NOTIFY(NAT_DETECTION_DESTINATION_IP) Próxima carga útil: CERTREQ, reservado: 0x0, longitud: 28 ID de protocolo de seguridad: IKE, tamaño de spi: 0, tipo: NAT_DETECTION_DESTINATION_IP Carga siguiente de CERTREQ: NOTIFICAR, reservado: 0x0, longitud: 105 Hash de codificación de certificados y URL de PKIX
*11 de noviembre 19:30:34.824: IKEv2:Analizar carga de notificación: HTTP_CERT_LOOKUP_SUPPORTED_NOTIFY(HTTP_CERT_LOOKUP_SUPPORTED) Próxima carga: NINGUNO, reservado: 0x0, longitud: 8 ID de protocolo de seguridad: IKE, tamaño de spi: 0, tipo: HTTP_CERT_LOOKUP_SUPPORTED
*11 de noviembre 19:30:34.824: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Evento I_WAIT_INIT: EV_RECV_INIT *11 de noviembre 19:30:34.824: IKEv2:(ID de SA = 1): procesando mensaje IKE_SA_INIT *11 de noviembre 19:30:34.824: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_PROC_INIT Evento: EV_CHK4_NOTIFY *11 de noviembre 19:30:34.824: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_PROC_INIT Evento: EV_VERIFY_MSG *11 de noviembre 19:30:34.824: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_PROC_INIT Evento: EV_PROC_MSG *11 de noviembre 19:30:34.824: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_PROC_INIT Evento: EV_DETECT_NAT *11 de noviembre 19:30:34.824: IKEv2:(ID de SA = 1):Notificación de detección de NAT de proceso *11 de noviembre 19:30:34.824: IKEv2:(SA ID = 1):Procesando nat detect src notify *11 de noviembre 19:30:34.824: IKEv2:(ID de SA = 1): dirección remota coincidente *11 de noviembre 19:30:34.824: IKEv2:(ID de SA = 1):Procesando notificación de detección de dst de NAT *11 de noviembre 19:30:34.824: IKEv2:(ID de SA = 1): dirección local coincidente *11 de noviembre 19:30:34.824: IKEv2:(ID de SA = 1):No se ha encontrado NAT *11 de noviembre 19:30:34.824: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_PROC_INIT Evento: EV_CHK_NAT_T *11 de noviembre 19:30:34.824: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_PROC_INIT Evento: EV_CHK_CONFIG_MODE *11 de noviembre 19:30:34.824: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: INIT_DONE Evento:EV_GEN_DH_SECRET *11 de noviembre 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Evento INIT_DONE: EV_NO_EVENT *11 de noviembre 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Evento INIT_DONE: EV_OK_RECD_DH_SECRET_RESP *11 de noviembre 19:30:34.831: IKEv2:(ID de SA = 1):Acción: Action_Null *11 de noviembre 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: INIT_DONE Evento:EV_GEN_SKEYID *11 de noviembre 19:30:34.831: IKEv2:(ID de SA = 1):Generar skeyid *11 de noviembre 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Evento INIT_DONE: EV_DONE *11 de noviembre 19:30:34.831: IKEv2:(SA ID = 1):Cisco DeleteReason Notify está habilitado *11 de noviembre 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Evento INIT_DONE: EV_CHK4_ROLE *11 de noviembre 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_BLD_AUTH Evento: EV_GET_CONFIG_MODE *11 de noviembre 19:30:34.831: IKEv2:Envío de datos de configuración al kit de herramientas *11 de noviembre 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_BLD_AUTH Evento: EV_CHK_EAP
|
|
El iniciador inicia el intercambio IKE_AUTH y genera la carga útil de autenticación. El paquete IKE_AUTH contiene: Encabezado ISAKMP (SPI/versión/indicadores), IDi (identidad del iniciador), carga útil AUTH, SAi2 (inicia SA similar al intercambio de conjunto de transformación de fase 2 en IKEv1) y TSi y TSr (selectores de tráfico de iniciador y de respuesta). Contienen las direcciones de origen y destino del iniciador y el respondedor respectivamente para reenviar/recibir tráfico cifrado. El rango de direcciones especifica que todo el tráfico hacia y desde ese rango se tuneliza. Si la propuesta es aceptable para el respondedor, devuelve cargas útiles de TS idénticas. El primer CHILD_SA se crea para el par proxy_ID que coincide con el paquete de desencadenador.
Configuración relevante: crypto ipsec transform-set TS esp-3des esp-sha-hmac crypto ipsec profile phse2-prof set transform-set TS set ikev2-profile IKEV2-SETUP
|
*11 de noviembre 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_BLD_AUTH Evento:EV_GEN_AUTH *11 de noviembre 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_BLD_AUTH Evento: EV_CHK_AUTH_TYPE *11 de noviembre 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_BLD_AUTH Evento: EV_OK_AUTH_GEN *11 de noviembre 19:30:34.831: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_BLD_AUTH Evento: EV_SEND_AUTH *11 de noviembre 19:30:34.831: IKEv2:Crear carga útil específica del proveedor: CISCO-GRANITE *11 de noviembre 19:30:34.831: IKEv2:Crear carga de notificación: INITIAL_CONTACT *11 de noviembre 19:30:34.831: IKEv2:Crear carga de notificación: SET_WINDOW_SIZE *11 de noviembre 19:30:34.831: IKEv2:Crear carga de notificación: ESP_TFC_NO_SUPPORT *11 de noviembre 19:30:34.831: IKEv2:Crear carga de notificación: NON_FIRST_FRAGS Contenido de la carga: Carga siguiente de VID: IDi, reservada: 0x0, longitud: 20 IDi Siguiente carga: AUTENTICACIÓN, reservada: 0x0, longitud: 12 Tipo de ID: Dirección IPv4, reservada: 0x0 0x0 AUTH Siguiente carga: CFG, reservado: 0x0, longitud: 28 Método de autenticación PSK, reservado: 0x0, reservado 0x0 CFG Siguiente carga: SA, reservado: 0x0, longitud: 309 tipo cfg: CFG_REQUEST, reservado: 0x0, reservado: 0x0
*11 de noviembre 19:30:34.831: SA Siguiente carga útil: TSi, reservado: 0x0, longitud: 40 última propuesta: 0x0, reservado: 0x0, longitud: 36 Propuesta: 1, ID de protocolo: ESP, tamaño de SPI: 4, #trans: 3 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 1, reservado: 0x0, id: 3DES última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA96 última transformación: 0x0, reservado: 0x0: longitud: 8 type: 5, reservado: 0x0, id: No use ESN Siguiente carga útil de TSi: TSr, reservado: 0x0, longitud: 24 Número de TS: 1, reservado 0x0, reservado 0x0 Tipo de TS: TS_IPV4_ADDR_RANGE, id de proto: 0, longitud: 16 puerto inicial: 0, puerto final: 65535 dirección de inicio: 0.0.0.0, dirección final: 255.255.255.255 TSr Siguiente carga útil: NOTIFICAR, reservado: 0x0, longitud: 24 Número de TS: 1, reservado 0x0, reservado 0x0 Tipo de TS: TS_IPV4_ADDR_RANGE, id de proto: 0, longitud: 16 puerto inicial: 0, puerto final: 65535 dirección de inicio: 0.0.0.0, dirección final: 255.255.255.255
NOTIFY(INITIAL_CONTACT) Próxima carga: NOTIFICAR, reservado: 0x0, longitud: 8 ID de protocolo de seguridad: IKE, tamaño de spi: 0, tipo: INITIAL_CONTACT NOTIFY(SET_WINDOW_SIZE) Siguiente carga: NOTIFICAR, reservado: 0x0, longitud: 12 ID de protocolo de seguridad: IKE, tamaño de spi: 0, tipo: SET_WINDOW_SIZE NOTIFY(ESP_TFC_NO_SUPPORT) Próxima carga: NOTIFICAR, reservado: 0x0, longitud: 8 ID de protocolo de seguridad: IKE, tamaño de spi: 0, tipo: ESP_TFC_NO_SUPPORT NOTIFY(NON_FIRST_FRAGS) Siguiente carga útil: NINGUNO, reservado: 0x0, longitud: 8 ID de protocolo de seguridad: IKE, tamaño de spi: 0, tipo: NON_FIRST_FRAGS
*11 de noviembre 19:30:34.832: IKEv2:(ID de SA = 1):Siguiente carga: ENCR, versión: 2.0 Tipo de intercambio: IKE_AUTH, indicadores: INITIATOR ID del mensaje: 1, longitud: 556 Contenido de la carga: Carga útil siguiente de ENCR: VID, reservado: 0x0, longitud: 528
*11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) IdMsg = 0000001 EstadoCur: Evento I_WAIT_AUTH: EV_NO_EVENT
|
|
-------------------------------------El iniciador envió IKE_AUTH -----------------------------> |
|
*11 de noviembre 19:30:34.832: IKEv2:Recibió un paquete del distribuidor *11 de noviembre 19:30:34.832: IKEv2:Procesamiento de un elemento de la cola de pak *11 de noviembre 19:30:34.832: IKEv2:(ID de SA = 1): la solicitud tiene el id_desorden 1; esperado de 1 a 1 *11 de noviembre 19:30:34.832: IKEv2:(ID de SA = 1):Siguiente carga: ENCR, versión: 2.0 Tipo de intercambio: IKE_AUTH, indicadores: INITIATOR ID del mensaje: 1, longitud: 556 Contenido de la carga: *11 de noviembre 19:30:34.832: IKEv2:Analizar carga específica del proveedor: (PERSONALIZADO) VID Siguiente carga: IDi, reservada: 0x0, longitud: 20 IDi Siguiente carga: AUTENTICACIÓN, reservada: 0x0, longitud: 12 Tipo de ID: Dirección IPv4, reservada: 0x0 0x0 AUTH Carga siguiente: CFG, reservado: 0x0, longitud: 28 Método de autenticación PSK, reservado: 0x0, reservado 0x0 Carga útil siguiente de CFG: SA, reservado: 0x0, longitud: 309 tipo cfg: CFG_REQUEST, reservado: 0x0, reservado: 0x0 *11 de noviembre 19:30:34.832: tipo de atributo: DNS IP4 interno, longitud: 0 *11 de noviembre 19:30:34.832: tipo de atributo: DNS IP4 interno, longitud: 0 *11 de noviembre 19:30:34.832: tipo de atributo: NBNS IP4 interno, longitud: 0 *11 de noviembre 19:30:34.832: tipo de atributo: NBNS IP4 interno, longitud: 0 *11 de noviembre 19:30:34.832: tipo de atributo: subred IP4 interna, longitud: 0 *11 de noviembre 19:30:34.832: tipo de atributo: versión de la aplicación, longitud: 257 tipo de atributo: Desconocido - 28675, longitud: 0 *11 de noviembre 19:30:34.832: tipo de atributo: Desconocido - 28672, longitud: 0 *11 de noviembre 19:30:34.832: tipo de atributo: Desconocido - 28692, longitud: 0 *11 de noviembre 19:30:34.832: tipo de atributo: Desconocido - 28681, longitud: 0 *11 de noviembre 19:30:34.832: tipo de atributo: Desconocido - 28674, longitud: 0 *11 de noviembre 19:30:34.832: SA Carga útil siguiente: TSi, reservado: 0x0, longitud: 40 última propuesta: 0x0, reservado: 0x0, longitud: 36 Propuesta: 1, ID de protocolo: ESP, tamaño de SPI: 4, #trans: 3 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 1, reservado: 0x0, id: 3DES última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA96 última transformación: 0x0, reservado: 0x0: longitud: 8 type: 5, reservado: 0x0, id: No use ESN Siguiente carga útil de TSi: TSr, reservado: 0x0, longitud: 24 Número de TS: 1, reservado 0x0, reservado 0x0 Tipo de TS: TS_IPV4_ADDR_RANGE, id de proto: 0, longitud: 16 puerto inicial: 0, puerto final: 65535 dirección de inicio: 0.0.0.0, dirección final: 255.255.255.255 TSr Siguiente carga: NOTIFICAR, reservado: 0x0, longitud: 24 Número de TS: 1, reservado 0x0, reservado 0x0 Tipo de TS: TS_IPV4_ADDR_RANGE, id de proto: 0, longitud: 16 puerto inicial: 0, puerto final: 65535 dirección de inicio: 0.0.0.0, dirección final: 255.255.255.255
|
El Router 2 recibe y verifica los datos de autenticación recibidos del Router 1.
Configuración relevante: crypto ipsec ikev2 ipsec-offer AES256 protocol esp encryption aes-256 protocol esp integration sha-1 md5
|
|
*11 de noviembre 19:30:34.832: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_RECV_AUTH *11 de noviembre 19:30:34.832: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_CHK_NAT_T *11 de noviembre 19:30:34.832: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_PROC_ID *11 de noviembre 19:30:34.832: IKEv2:(ID de SA = 1):Parámetros válidos recibidos en ID de proceso *11 de noviembre 19:30:34.832: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_CHK_IF_PEER_CERT_NEEDS_TO_BE_FETCHED_FOR_PROF_SEL *11 de noviembre 19:30:34.832: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_GET_POLICY_BY_PEERID *11 de noviembre 19:30:34.833: IKEv2:(1): Selección del perfil IKE IKEV2-SETUP *11 de noviembre 19:30:34.833: IKEv2: % Obteniendo clave previamente compartida por dirección 10.0.0.1 *11 de noviembre 19:30:34.833: IKEv2: % Obteniendo clave previamente compartida por dirección 10.0.0.1 *11 de noviembre 19:30:34.833: IKEv2:Adición de la propuesta predeterminada a la política del kit de herramientas *11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):Uso del perfil IKEv2 'IKEV2-SETUP' *11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_SET_POLICY *11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):Definición de políticas configuradas *11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_VERIFY_POLICY_BY_PEERID *11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_CHK_AUTH4EAP *11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_CHK_POLREQEAP *11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Evento: EV_CHK_AUTH_TYPE *11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Evento: EV_GET_PRESHR_KEY *11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Evento: EV_VERIFY_AUTH *11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Evento: EV_CHK4_IC *11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Evento: EV_CHK_REDIRECT *11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):La comprobación de redirección no es necesaria, se salta *11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Evento: EV_NOTIFY_AUTH_DONE *11 de noviembre 19:30:34.833: IKEv2: la autorización de grupo AAA no está configurada *11 de noviembre 19:30:34.833: IKEv2: la autorización de usuario AAA no está configurada *11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Evento: EV_CHK_CONFIG_MODE *11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Evento: EV_SET_RECD_CONFIG_MODE *11 de noviembre 19:30:34.833: IKEv2:Datos de configuración recibidos del kit de herramientas: *11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Evento: EV_PROC_SA_TS *11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH Evento: EV_GET_CONFIG_MODE *11 de noviembre 19:30:34.833: IKEv2:Error al construir la respuesta de configuración *11 de noviembre 19:30:34.833: IKEv2:No hay datos de configuración para enviar al kit de herramientas: *11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_BLD_AUTH Evento: EV_MY_AUTH_METHOD *11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_BLD_AUTH Evento: EV_GET_PRESHR_KEY *11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_BLD_AUTH Evento: EV_GEN_AUTH *11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_BLD_AUTH Evento: EV_CHK4_SIGN *11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_BLD_AUTH Evento: EV_OK_AUTH_GEN *11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_BLD_AUTH Evento: EV_SEND_AUTH *11 de noviembre 19:30:34.833: IKEv2:Crear carga útil específica del proveedor: CISCO-GRANITE *11 de noviembre 19:30:34.833: IKEv2:Crear carga de notificación: SET_WINDOW_SIZE *11 de noviembre 19:30:34.833: IKEv2:Crear carga de notificación: ESP_TFC_NO_SUPPORT *11 de noviembre 19:30:34.833: IKEv2:Crear carga de notificación: NON_FIRST_FRAGS
|
El Router 2 genera la respuesta al paquete IKE_AUTH que recibió del Router 1. Este paquete de respuesta contiene: Encabezado ISAKMP (SPI/versión/indicadores), IDr (identidad del respondedor), carga útil AUTH, SAr2 (inicia el intercambio de conjuntos de transformación de SA similar al intercambio de conjuntos de transformación de fase 2 en IKEv1) y TSi y TSr (selectores de tráfico de iniciador y respondedor). Contienen las direcciones de origen y destino del iniciador y el respondedor respectivamente para reenviar/recibir tráfico cifrado. El rango de direcciones especifica que todo el tráfico hacia y desde ese rango se tuneliza. Estos parámetros son idénticos al que se recibió de ASA1. |
|
*11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):Siguiente carga: ENCR, versión: 2.0 Tipo de intercambio: IKE_AUTH, indicadores: RESPONDER MSG-RESPONSE ID del mensaje: 1, longitud: 252 Contenido de la carga: Carga útil siguiente de ENCR: VID, reservado: 0x0, longitud: 224 *11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_OK *11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):Acción: Action_Null *11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_PKI_SESH_CLOSE *11 de noviembre 19:30:34.833: IKEv2:(SA ID = 1):Cierre de la sesión PKI *11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_UPDATE_CAC_STATS *11 de noviembre 19:30:34.833: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: AUTH_DONE Evento:EV_INSERT_IKE *11 de noviembre 19:30:34.834: IKEv2: índice mib de almacenamiento ikev2 1, plataforma 60 *11 de noviembre 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_GEN_LOAD_IPSEC *11 de noviembre 19:30:34.834: IKEv2:(ID de SA = 1):solicitud asíncrona en cola *11 de noviembre 19:30:34.834: IKEv2:(ID de SA = 1): *11 de noviembre 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: AUTH_DONE Evento: EV_NO_EVENT
|
El respondedor envía la respuesta para IKE_AUTH. |
<------------------------------------El respondedor envió IKE_AUTH---------------------------- |
El iniciador recibe la respuesta del respondedor. |
*11 de noviembre 19:30:34.834: IKEv2:Recibió un paquete del distribuidor
*11 de noviembre 19:30:34.834: IKEv2:Procesamiento de un elemento de la cola de pak
|
*11 de noviembre 19:30:34.840: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_OK_RECD_LOAD_IPSEC *11 de noviembre 19:30:34.840: IKEv2:(ID de SA = 1):Acción: Action_Null *11 de noviembre 19:30:34.840: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_START_ACCT *11 de noviembre 19:30:34.840: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_CHECK_DUPE *11 de noviembre 19:30:34.840: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_CHK4_ROLE
|
Responder inserta una entrada en el SAD. |
El Router 1 verifica y procesa los datos de autenticación en este paquete. El Router 1 luego inserta esta SA en su SAD. |
*11 de noviembre 19:30:34.834: IKEv2:(ID de SA = 1):Siguiente carga: ENCR, versión: 2.0 Tipo de intercambio: IKE_AUTH, indicadores: RESPONDER MSG-RESPONSE ID del mensaje: 1, longitud: 252 Contenido de la carga:
*11 de noviembre 19:30:34.834: IKEv2:Analizar carga específica del proveedor: (PERSONALIZADO) VID Siguiente carga: Id., reservado: 0x0, longitud: 20 IDr. Próxima carga: AUTENTICACIÓN, reservada: 0x0, longitud: 12 Tipo de ID: Dirección IPv4, reservada: 0x0 0x0 AUTH Siguiente carga: SA, reservado: 0x0, longitud: 28 Método de autenticación PSK, reservado: 0x0, reservado 0x0 SA Siguiente carga útil: TSi, reservado: 0x0, longitud: 40 última propuesta: 0x0, reservado: 0x0, longitud: 36 Propuesta: 1, ID de protocolo: ESP, tamaño de SPI: 4, #trans: 3 última transformación: 0x3, reservado: 0x0: longitud: 8 type: 1, reservado: 0x0, id: 3DES última transformación: 0x3, reservado: 0x0: longitud: 8 type: 3, reservado: 0x0, id: SHA96 última transformación: 0x0, reservado: 0x0: longitud: 8 type: 5, reservado: 0x0, id: No use ESN Siguiente carga útil de TSi: TSr, reservado: 0x0, longitud: 24 Número de TS: 1, reservado 0x0, reservado 0x0 Tipo de TS: TS_IPV4_ADDR_RANGE, id de proto: 0, longitud: 16 puerto inicial: 0, puerto final: 65535 dirección de inicio: 0.0.0.0, dirección final: 255.255.255.255 TSr Siguiente carga: NOTIFICAR, reservado: 0x0, longitud: 24 Número de TS: 1, reservado 0x0, reservado 0x0 Tipo de TS: TS_IPV4_ADDR_RANGE, id de proto: 0, longitud: 16 puerto inicial: 0, puerto final: 65535 dirección de inicio: 0.0.0.0, dirección final: 255.255.255.255
*11 de noviembre 19:30:34.834: IKEv2:Analizar carga de notificación: SET_WINDOW_SIZE NOTIFY(SET_WINDOW_SIZE) Próxima carga: NOTIFICAR, reservado: 0x0, longitud: 12 ID de protocolo de seguridad: IKE, tamaño de spi: 0, tipo: SET_WINDOW_SIZE
*11 de noviembre 19:30:34.834: IKEv2:Analizar carga de notificación: ESP_TFC_NO_SUPPORT NOTIFY(ESP_TFC_NO_SUPPORT) Próxima carga: NOTIFICAR, reservado: 0x0, longitud: 8 ID de protocolo de seguridad: IKE, tamaño de spi: 0, tipo: ESP_TFC_NO_SUPPORT
*11 de noviembre 19:30:34.834: IKEv2:Analizar carga de notificación: NON_FIRST_FRAGS NOTIFY(NON_FIRST_FRAGS) Siguiente carga útil: NINGUNO, reservado: 0x0, longitud: 8 ID de protocolo de seguridad: IKE, tamaño de spi: 0, tipo: NON_FIRST_FRAGS
*11 de noviembre 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_WAIT_AUTH Evento:EV_RECV_AUTH *11 de noviembre 19:30:34.834: IKEv2:(ID de SA = 1):Acción: Action_Null *11 de noviembre 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_CHK4_NOTIFY *11 de noviembre 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH Evento:EV_PROC_MSG *11 de noviembre 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_CHK_IF_PEER_CERT_NEEDS_TO_BE_FETCHED_FOR_PROF_SEL *11 de noviembre 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_GET_POLICY_BY_PEERID *11 de noviembre 19:30:34.834: IKEv2:Adición de la propuesta PHASE1-prop a la política del kit de herramientas *11 de noviembre 19:30:34.834: IKEv2:(ID de SA = 1):Uso del perfil IKEv2 'IKEV2-SETUP' *11 de noviembre 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_VERIFY_POLICY_BY_PEERID *11 de noviembre 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_CHK_AUTH_TYPE *11 de noviembre 19:30:34.834: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_GET_PRESHR_KEY *11 de noviembre 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH Evento:EV_VERIFY_AUTH *11 de noviembre 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_CHK_EAP *11 de noviembre 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH Evento:EV_NOTIFY_AUTH_DONE *11 de noviembre 19:30:34.835: IKEv2: la autorización de grupo AAA no está configurada *11 de noviembre 19:30:34.835: IKEv2: la autorización de usuario AAA no está configurada *11 de noviembre 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_CHK_CONFIG_MODE *11 de noviembre 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_CHK4_IC *11 de noviembre 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_CHK_IKE_ONLY *11 de noviembre 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_PROC_SA_TS *11 de noviembre 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_OK *11 de noviembre 19:30:34.835: IKEv2:(ID de SA = 1):Acción: Action_Null *11 de noviembre 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_PKI_SESH_CLOSE *11 de noviembre 19:30:34.835: IKEv2:(SA ID = 1):Cierre de la sesión PKI *11 de noviembre 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_UPDATE_CAC_STATS *11 de noviembre 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_INSERT_IKE *11 de noviembre 19:30:34.835: IKEv2: índice mib de almacenamiento ikev2 1, plataforma 60 *11 de noviembre 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_GEN_LOAD_IPSEC *11 de noviembre 19:30:34.835: IKEv2:(ID de SA = 1):solicitud asíncrona en cola
*11 de noviembre 19:30:34.835: IKEv2:(ID de SA = 1): *11 de noviembre 19:30:34.835: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_NO_EVENT *11 de noviembre 19:30:34.835: IKEv2:mensaje KMI 8 consumido. No se ha realizado ninguna acción. *11 de noviembre 19:30:34.835: IKEv2:mensaje KMI 12 consumido. No se ha realizado ninguna acción. *11 de noviembre 19:30:34.835: IKEv2: no hay datos para enviar en el conjunto de configuraciones de modo. *11 de noviembre 19:30:34.841: IKEv2:adición del identificador de identificación 0x80000002 asociado con SPI 0x9506D414 para la sesión 8
*11 de noviembre 19:30:34.841: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_OK_RECD_LOAD_IPSEC *11 de noviembre 19:30:34.841: IKEv2:(ID de SA = 1):Acción: Action_Null *11 de noviembre 19:30:34.841: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_START_ACCT *11 de noviembre 19:30:34.841: IKEv2:(ID de SA = 1):No se requiere contabilidad *11 de noviembre 19:30:34.841: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_CHECK_DUPE *11 de noviembre 19:30:34.841: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: AUTH_DONE Evento: EV_CHK4_ROLE
|
|
El túnel está activo en el iniciador y el estado muestraREADY. |
*11 de noviembre 19:30:34.841: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: READYEvent: EV_CHK_IKE_ONLY *11 de noviembre 19:30:34.841: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento READY: EV_I_OK
|
*11 de noviembre 19:30:34.840: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: READY Evento: EV_R_OK *11 de noviembre 19:30:34.840: IKEv2:(ID de SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento READY: EV_NO_EVENT
|
El túnel está activo en el Respondedor. El túnel Responder suele aparecer antes que el iniciador. |