Ce document décrit comment comprendre met au point sur l'appliance de sécurité adaptable Cisco (ASA) quand la version 2 (IKEv2) d'échange de clés Internet (IKE) est utilisée avec un Client à mobilité sécurisé Cisco AnyConnect. Ce document fournit également des informations sur la façon dont traduire certain mettent au point des lignes dans une configuration ASA.
Ce document ne décrit pas comment passer le trafic après qu'un tunnel VPN ait été établi à l'ASA, ni il inclut des concepts de base d'IPSec ou d'IKE.
Cisco recommande que vous ayez la connaissance de l'échange de paquet pour IKEv2. Le pour en savoir plus, se rapportent à l'échange du paquet IKEv2 et à l'élimination des imperfections de niveau de Protocol.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Le centre d'assistance technique Cisco (TAC) emploie souvent l'IKE et les commandes de débogage d'IPSec afin de comprendre où il y a un problème avec l'établissement de tunnel VPN d'IPSec, mais les commandes peuvent être cryptiques.
debug crypto ikev2 protocol 127
debug crypto ikev2 platform 127
debug aggregate-auth xml 5
Cette configuration ASA est strictement de base, sans l'utilisation des serveurs externes.
interface Ethernet0/1
nameif outside
security-level 0
ip address 10.0.0.1 255.255.255.0
ip local pool webvpn1 10.2.2.1-10.2.2.10
crypto ipsec ikev2 ipsec-proposal 3des
protocol esp encryption aes-256 aes 3des des
protocol esp integrity sha-1
crypto dynamic-map dynmap 1000 set ikev2 ipsec-proposal 3des
crypto map crymap 10000 ipsec-isakmp dynamic dynmap
crypto map crymap interface outside
crypto ca trustpoint Anu-ikev2
enrollment self
crl configure
crypto ikev2 policy 10
encryption aes-192
integrity sha
group 2
prf sha
lifetime seconds 86400
crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint Anu-ikev2
ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1
ssl trust-point Anu-ikev2 outside
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-3.0.1047-k9.pkg 1
anyconnect profiles Anyconnect-ikev2 disk0:/anyconnect-ikev2.xml
anyconnect enable
tunnel-group-list enable
group-policy ASA-IKEV2 internal
group-policy ASA-IKEV2 attributes
wins-server none
dns-server none
vpn-tunnel-protocol ikev2
default-domain none
webvpn
anyconnect modules value dart
anyconnect profiles value Anyconnect-ikev2 type user
username Anu password lAuoFgF7KmB3D0WI encrypted privilege 15
tunnel-group ASA-IKEV2 type remote-access
tunnel-group ASA-IKEV2 general-attributes
address-pool webvpn1
default-group-policy ASA-IKEV2
tunnel-group ASA-IKEV2 webvpn-attributes
group-alias ASA-IKEV2 enable
<ServerList>
<HostEntry>
<HostName>Anu-IKEV2</HostName>
<HostAddress>10.0.0.1</HostAddress>
<UserGroup>ASA-IKEV2</UserGroup>
<PrimaryProtocol>IPsec</PrimaryProtocol>
</HostEntry>
</ServerList>
Description de messages serveur |
Debugs |
Description de message de client |
|
Date : 04/23/2013 **************************************** **************************************** |
Le client initie le tunnel VPN à l'ASA. | ||
---------------------------------Débuts d'échange IKE_SA_INIT------------------------------ | |||
L'ASA reçoit le message IKE_SA_INIT du client. |
IKEv2-PLAT-4 : PAQUET RECV [IKE_SA_INIT] [192.168.1.1]:25170->[10.0.0.1]:500 InitSPI=0x58aff71141ba436b RespSPI=0x0000000000000000 MID=00000000 IKEv2-PROTO-3 : Rx [L m_id 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] : 0x0 |
||
La première paire de messages est l'échange IKE_SA_INIT. Ces messages négocient des algorithmes de chiffrement, des nonces d'échange, et font un échange de Protocole DH (Diffie-Hellman). Le message IKE_SA_INIT reçu du client contient ces champs :
|
IKEv2-PROTO-3 : HDR[i:58AFF71141BA436B - r : 0000000000000000] IKEv2-PROTO-4 : Ispi IKEV2 HDR : 58AFF71141BA436B - rspi : 0000000000000000 IKEv2-PROTO-4 : Prochaine charge utile : SA, version : 2.0 IKEv2-PROTO-4 : Type d'échange : IKE_SA_INIT, indicateurs : DEMANDEUR IKEv2-PROTO-4 : Id de message : 0x0, longueur : 528 Prochaine charge utile SA : Le KE, réservé : 0x0, longueur : 168 IKEv2-PROTO-4 : dernière proposition : 0x0, réservé : 0x0, longueur : 164 Proposition : 1, id de Protocol : IKE, taille SPI : 0, #trans : 18 IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 12 type : 1, réservé : 0x0, id : AES-CBC IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 12 type : 1, réservé : 0x0, id : AES-CBC IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 12 type : 1, réservé : 0x0, id : AES-CBC IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 8 type : 1, réservé : 0x0, id : 3DES IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 8 type : 1, réservé : 0x0, id : DES IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 8 type : 2, réservé : 0x0, id : SHA512 IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 8 type : 2, réservé : 0x0, id : SHA384 IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 8 type : 2, réservé : 0x0, id : SHA256 IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 8 type : 2, réservé : 0x0, id : SHA1 IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 8 type : 2, réservé : 0x0, id : MD5 IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 8 type : 3, réservé : 0x0, id : SHA512 IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 8 type : 3, réservé : 0x0, id : SHA384 IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 8 type : 3, réservé : 0x0, id : SHA256 IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 8 type : 3, réservé : 0x0, id : SHA96 IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 8 type : 3, réservé : 0x0, id : MD596 IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 8 type : 4, réservé : 0x0, id : DH_GROUP_1536_MODP/Group 5 IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 8 type : 4, réservé : 0x0, id : DH_GROUP_1024_MODP/Group 2 IKEv2-PROTO-4 : dernier transformez : 0x0, réservé : 0x0 : longueur : 8 type : 4, réservé : 0x0, id : DH_GROUP_768_MODP/Group 1 Prochaine charge utile du KE : N, réservé : 0x0, longueur : 104 Groupe CAD : 1, réservé : 0x0 ed 4a 54 b1 13 7c b8 89 des Cb 2e d1 28 technicien eb 5e 29 f7 62 13 6b DF 95 88 28 Ba b5 97 52 e4 E-F 1d 28 Ca 06 d1 36 b6 67 densité double 4e d8 c7 80 De 20 32 9a C2 36 34 ed 5f c5 b3 3e 1d 83 1a c7 FB 9d b8 c5 f5 Ba 4f b6 b2 e2 43 2d de Ba 4f a0 b6 90 9a 11 3f 7d 0a 21 c3 4d d3 0a d2 1e 33 43 d3 5e cc 4b 38 e0 Prochaine charge utile N : VID, réservé : 0x0, longueur : 24 20 12 8f 22 7b 16 23 52 e4 29 4d 98 c7 FD a8 77 ce 7c 0b b4 IKEv2-PROTO-5 : Analysez la charge utile spécifique de constructeur : Prochaine charge utile CISCO-DELETE-REASON VID : VID, réservé : 0x0, longueur : 23 |
||
L'ASA vérifie et traite
Configuration appropriée : crypto ikev2 policy 10 |
Paquet déchiffré : Données : 528 octets IKEv2-PLAT-3 : Charges utiles de processus de la coutume VID IKEv2-PLAT-3 : Cisco Copyright VID reçu du pair IKEv2-PLAT-3 : EAP VID d'AnyConnect reçu du pair IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000000 CurState : Événement DE VEILLE : EV_RECV_INIT IKEv2-PROTO-3 : (6) : Détection NAT de contrôle IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000000 CurState : Événement DE VEILLE : EV_CHK_REDIRECT IKEv2-PROTO-5 : (6) : Réorientez le contrôle n'est pas nécessaire, en l'ignorant IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000000 CurState : Événement DE VEILLE : EV_CHK_CAC IKEv2-PLAT-5 : Nouvelle demande d'ikev2 SA admise IKEv2-PLAT-5 : Incrémentation du compte de négociation entrant SA par un IKEv2-PLAT-5 : TRAITEMENT NON VALIDE PSH IKEv2-PLAT-5 : TRAITEMENT NON VALIDE PSH IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000000 CurState : Événement DE VEILLE : EV_CHK_COOKIE IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000000 CurState : Événement DE VEILLE : EV_CHK4_COOKIE_NOTIFY IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000000 CurState : Événement R_INIT : EV_VERIFY_MSG IKEv2-PROTO-3 : (6) : Vérifiez le message d'init SA IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000000 CurState : Événement R_INIT : EV_INSERT_SA IKEv2-PROTO-3 : (6) : Insérez SA IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000000 CurState : Événement R_INIT : EV_GET_IKE_POLICY IKEv2-PROTO-3 : (6) : Obtenir des stratégies configurées IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000000 CurState : Événement R_INIT : EV_PROC_MSG IKEv2-PROTO-2 : (6) : Traitement du message initial IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000000 CurState : Événement R_INIT : EV_DETECT_NAT IKEv2-PROTO-3 : (6) : La détection NAT de processus annoncent IKEv2-PROTO-5 : (6) : Le traitement nat détectent le src annoncent IKEv2-PROTO-5 : (6) : Adresse distante non appariée IKEv2-PROTO-5 : (6) : Le traitement nat détectent le dst annoncent IKEv2-PROTO-5 : (6) : Adresse locale appariée IKEv2-PROTO-5 : (6) : L'hôte se trouve l'extérieur NAT IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000000 CurState : Événement R_INIT : EV_CHK_CONFIG_MODE IKEv2-PROTO-3 : (6) : Données valides reçues de mode de config IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000000 CurState : Événement R_INIT : EV_SET_RECD_CONFIG_MODE IKEv2-PROTO-3 : (6) : Placez les données reçues de mode de config IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000000 CurState : Événement R_BLD_INIT : EV_SET_POLICY IKEv2-PROTO-3 : (6) : Établissement des stratégies configurées IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000000 CurState : Événement R_BLD_INIT : EV_CHK_AUTH4PKI IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000000 CurState : Événement R_BLD_INIT : EV_PKI_SESH_OPEN IKEv2-PROTO-3 : (6) : Ouvrir une session de PKI IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000000 CurState : Événement R_BLD_INIT : EV_GEN_DH_KEY IKEv2-PROTO-3 : (6) : Calculer la clé publique CAD IKEv2-PROTO-3 : (6) : IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000000 CurState : Événement R_BLD_INIT : EV_NO_EVENT IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000000 CurState : Événement R_BLD_INIT : EV_OK_RECD_DH_PUBKEY_RESP IKEv2-PROTO-5 : (6) : Action : Action_Null IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000000 CurState : Événement R_BLD_INIT : EV_GEN_DH_SECRET IKEv2-PROTO-3 : (6) : Calculer la clé de secret CAD IKEv2-PROTO-3 : (6) : IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000000 CurState : Événement R_BLD_INIT : EV_NO_EVENT IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000000 CurState : Événement R_BLD_INIT : EV_OK_RECD_DH_SECRET_RESP IKEv2-PROTO-5 : (6) : Action : Action_Null IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000000 CurState : Événement R_BLD_INIT : EV_GEN_SKEYID IKEv2-PROTO-3 : (6) : Générez le skeyid IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000000 CurState : Événement R_BLD_INIT : EV_GET_CONFIG_MODE |
||
L'ASA construit le message de réponse pour l'échange IKE_SA_INIT. Ce paquet contient :
|
IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000000 CurState : Événement R_BLD_INIT : EV_BLD_MSG IKEv2-PROTO-2 : (6) : Envoi du message initial IKEv2-PROTO-3 : Proposition d'IKE : 1, taille SPI : 0 (négociation initiale), Numérique. transforme : 4 AES-CBC SHA1 SHA96 DH_GROUP_768_MODP/Group 1 IKEv2-PROTO-5 : Charge utile spécifique de constructeur d'élaboration : DELETE-REASONIKEv2-PROTO-5 : Charge utile spécifique de constructeur d'élaboration : (CUSTOM)IKEv2-PROTO-5 : Charge utile spécifique de constructeur d'élaboration : (CUSTOM)IKEv2-PROTO-5 : L'élaboration informent la charge utile : NAT_DETECTION_SOURCE_IPIKEv2-PROTO-5 : L'élaboration informent la charge utile : NAT_DETECTION_DESTINATION_IPIKEv2-PLAT-2 : Pour récupérer a fait confiance que les émetteurs hache ou aucun disponible IKEv2-PROTO-5 : Charge utile spécifique de constructeur d'élaboration : FRAGMENTATIONIKEv2-PROTO-3 : Tx [L m_id 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] : 0x0 IKEv2-PROTO-3 : HDR[i:58AFF71141BA436B - r : FC696330E6B94D7F] IKEv2-PROTO-4 : Ispi IKEV2 HDR : 58AFF71141BA436B - rspi : FC696330E6B94D7F IKEv2-PROTO-4 : Prochaine charge utile : SA, version : 2.0 IKEv2-PROTO-4 : Type d'échange : IKE_SA_INIT, indicateurs : RESPONDER MSG-RESPONSE IKEv2-PROTO-4 : Id de message : 0x0, longueur : 386 Prochaine charge utile SA : Le KE, réservé : 0x0, longueur : 48 IKEv2-PROTO-4 : dernière proposition : 0x0, réservé : 0x0, longueur : 44 Proposition : 1, id de Protocol : IKE, taille SPI : 0, #trans : 4 IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 12 type : 1, réservé : 0x0, id : AES-CBC IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 8 type : 2, réservé : 0x0, id : SHA1 IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 8 type : 3, réservé : 0x0, id : SHA96 IKEv2-PROTO-4 : dernier transformez : 0x0, réservé : 0x0 : longueur : 8 type : 4, réservé : 0x0, id : DH_GROUP_768_MODP/Group 1 Prochaine charge utile du KE : N, réservé : 0x0, longueur : 104 Groupe CAD : 1, réservé : 0x0 c9 30 f9 32 d4 7c d1 a7 5b 71 72 09 6e 7e 91 0c ce b4 a4 3c F2 8b 74 4e 20 d'E1 59 b4 0b a1 FF 65 37 88 cc c4 a4 b6 fa 4a 63 03 93 89 E1 7e BD 6a 64 9a 38 24 e2 a8 40 f5 a3 d6 f7 E-F 1a DF 33 cc C.C 9c 34 a1 8e fa 45 79 1a 7c 29 05 87 8a courant alternatif 02 98 Cb 41 2e 7d fc c7 76 technicien 51 d6 83 1d 03 b0 d7 Prochaine charge utile N : VID, réservé : 0x0, longueur : 24 l'EC 97 b8 67 du fc eb f1 97 C2 28 7f 8c 7d b3 1e 51 d5 e7 C2 f5 Prochaine charge utile VID : VID, réservé : 0x0, longueur : 23 |
||
L'ASA envoie le message de réponse pour l'échange IKE_SA_INIT. L'échange IKE_SA_INIT est maintenant complet. L'ASA met en marche le temporisateur pour la procédure d'authentification. | IKEv2-PLAT-4 : PAQUET ENVOYÉ [IKE_SA_INIT] [10.0.0.1]:500->[192.168.1.1]:25170 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000000 IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000000 CurState : Événement INIT_DONE : EV_DONE IKEv2-PROTO-3 : (6) : La fragmentation est activée IKEv2-PROTO-3 : (6) : Cisco DeleteReason Notify est activé IKEv2-PROTO-3 : (6) : Échange complet d'init SA IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000000 CurState : Événement INIT_DONE : EV_CHK4_ROLE IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000000 CurState : Événement INIT_DONE : EV_START_TMR IKEv2-PROTO-3 : (6) : Démarrant le temporisateur pour attendre le message authentique (sec 30) IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000000 CurState : Événement R_WAIT_AUTH : EV_NO_EVENT |
**************************************** Date : 04/23/2013 Temps : 16:25:02 Type : Les informations Source : acvpnagent Description : Fonction : CIPsecProtocol : : initiateTunnel Fichier : . \ IPsecProtocol.cpp Ligne : 345 Le tunnel d'IPsec initie **************************************** |
Le client affiche le tunnel d'IPSec en tant que « initier. » |
-----------------------------------IKE_SA_INIT se terminent--------------------------------- | |||
------------------------------------- IKE_AUTH commence------------------------------------- | |||
**************************************** Date : 04/23/2013 Temps : 16:25:00 Type : Les informations Source : acvpnagent Description : Sécurisez les paramètres de passerelle : Adresse IP : 10.0.0.1 Port : 443 URL : "10.0.0.1" Méthode authentique : IKE - Eap-AnyConnect Identité d'IKE : **************************************** Date : 04/23/2013 Temps : 16:25:00 Type : Les informations Source : acvpnagent Description : Initier la connexion de Client à mobilité sécurisé Cisco AnyConnect, version 3.0.1047 **************************************** Date : 04/23/2013 |
Le client omet la charge utile AUTHENTIQUE du message 3 afin d'indiquer un désir d'utiliser l'authentification extensible. Quand l'authentification de Protocole EAP (Extensible Authentication Protocol) est spécifiée ou implicite par le profil de client et le profil ne contient pas l'élément de <IKEIdentity>, le client envoie une charge utile IDI de type ID_GROUP avec la chaîne fixe *$AnyConnectClient$*. Le client initie une connexion à l'ASA sur le port 4500. | ||
L'authentification est faite avec l'EAP. Seulement on permet une méthode d'authentification EAP simple dans une conversation d'EAP. L'ASA reçoit le message IKE_AUTH du client. |
IKEv2-PLAT-4 : PAQUET RECV [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1] : 4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 IKEv2-PROTO-3 : Rx [L m_id 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] : 0x1 |
||
Quand le client inclut une charge utile IDI Le paquet de demandeur IKE_AUTH contient :
Les attributs que le client doit fournir pour Configuration *Relevant de profil : <ServerList> |
IKEv2-PROTO-3 : HDR[i:58AFF71141BA436B - r : FC696330E6B94D7F] IKEv2-PROTO-4 : Ispi IKEV2 HDR : 58AFF71141BA436B - rspi : FC696330E6B94D7F IKEv2-PROTO-4 : Prochaine charge utile : ENCR, version : 2.0 IKEv2-PROTO-4 : Type d'échange : IKE_AUTH, indicateurs : DEMANDEUR IKEv2-PROTO-4 : Id de message : 0x1, longueur : 540 IKEv2-PROTO-5 : (6) : La demande a le mess_id 1 ; 1 prévu à 1 VRAI paquet déchiffré : Données : 465 octets IKEv2-PROTO-5 : Analysez la charge utile spécifique de constructeur : (COUTUME) prochaine charge utile VID : IDI, réservée : 0x0, longueur : 20 58 af f6 11 52 8d b0 2c b8 DA 30 46 soient 91 56 fa Prochaine charge utile IDI : CERTREQ, réservé : 0x0, longueur : 28 Type d'id : Nom de groupe, réservé : 0x0 0x0 2a 24 41 6e 79 43 6f 6e 6e 65 63 74 43 6c 69 65 6e 74 24 2a Prochaine charge utile CERTREQ : CFG, réservé : 0x0, longueur : 25 CERT encodant le certificat X.509 - signature Data&colon de CertReq ; 20 octets Prochaine charge utile CFG : SA, réservée : 0x0, longueur : 196 type de cfg : CFG_REQUEST, réservé : 0x0, réservé : 0x0 type d'attrib : adresse IP4 interne, longueur : 0 type d'attrib : netmask IP4 interne, longueur : 0 type d'attrib : DN IP4 internes, longueur : 0 type d'attrib : IP4 interne NBNS, longueur : 0 type d'attrib : échéance d'adresse interne, longueur : 0 type d'attrib : version d'application, longueur : 27 41 6e 79 43 6f 6e 6e 65 63 74 20 57 69 6e 64 6f 77 73 20 33 2e 30 2e 31 30 34 37 type d'attrib : adresse IP6 interne, longueur : 0 type d'attrib : sous-réseau IP4 interne, longueur : 0 type d'attrib : Inconnu - 28682, longueur : 15 77 69 6e 78 70 36 34 74 65 6d 70 6c 61 74 65 type d'attrib : Inconnu - 28704, longueur : 0 type d'attrib : Inconnu - 28705, longueur : 0 type d'attrib : Inconnu - 28706, longueur : 0 type d'attrib : Inconnu - 28707, longueur : 0 type d'attrib : Inconnu - 28708, longueur : 0 type d'attrib : Inconnu - 28709, longueur : 0 type d'attrib : Inconnu - 28710, longueur : 0 type d'attrib : Inconnu - 28672, longueur : 0 type d'attrib : Inconnu - 28684, longueur : 0 type d'attrib : Inconnu - 28711, longueur : 2 05 7e type d'attrib : Inconnu - 28674, longueur : 0 type d'attrib : Inconnu - 28712, longueur : 0 type d'attrib : Inconnu - 28675, longueur : 0 type d'attrib : Inconnu - 28679, longueur : 0 type d'attrib : Inconnu - 28683, longueur : 0 type d'attrib : Inconnu - 28717, longueur : 0 type d'attrib : Inconnu - 28718, longueur : 0 type d'attrib : Inconnu - 28719, longueur : 0 type d'attrib : Inconnu - 28720, longueur : 0 type d'attrib : Inconnu - 28721, longueur : 0 type d'attrib : Inconnu - 28722, longueur : 0 type d'attrib : Inconnu - 28723, longueur : 0 type d'attrib : Inconnu - 28724, longueur : 0 type d'attrib : Inconnu - 28725, longueur : 0 type d'attrib : Inconnu - 28726, longueur : 0 type d'attrib : Inconnu - 28727, longueur : 0 type d'attrib : Inconnu - 28729, longueur : 0 Prochaine charge utile SA : TSi, réservé : 0x0, longueur : 124 IKEv2-PROTO-4 : dernière proposition : 0x0, réservé : 0x0, longueur : 120 Proposition : 1, id de Protocol : L'ESP, taille SPI : 4, #trans : 12 IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 12 type : 1, réservé : 0x0, id : AES-CBC IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 12 type : 1, réservé : 0x0, id : AES-CBC IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 12 type : 1, réservé : 0x0, id : AES-CBC IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 8 type : 1, réservé : 0x0, id : 3DES IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 8 type : 1, réservé : 0x0, id : DES IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 8 type : 1, réservé : 0x0, id : NULL IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 8 type : 3, réservé : 0x0, id : SHA512 IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 8 type : 3, réservé : 0x0, id : SHA384 IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 8 type : 3, réservé : 0x0, id : SHA256 IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 8 type : 3, réservé : 0x0, id : SHA96 IKEv2-PROTO-4 : dernier transformez : 0x3, réservé : 0x0 : longueur : 8 type : 3, réservé : 0x0, id : MD596 IKEv2-PROTO-4 : dernier transformez : 0x0, réservé : 0x0 : longueur : 8 type : 5, réservé : 0x0, id : Prochaine charge utile de TSi : TSr, réservé : 0x0, longueur : 24 Numérique des solides solubles totaux : 1, 0x0 réservé, 0x0 réservé Type de SOLIDES TOTAUX : TS_IPV4_ADDR_RANGE, id proto : 0, longueur : 16 port de début : 0, port de fin : 65535 adr de début : 0.0.0.0, adr de fin : 255.255.255.255 Prochaine charge utile de TSr : ANNONCEZ, avez réservé : 0x0, longueur : 24 Numérique des solides solubles totaux : 1, 0x0 réservé, 0x0 réservé Type de SOLIDES TOTAUX : TS_IPV4_ADDR_RANGE, id proto : 0, longueur : 16 port de début : 0, port de fin : 65535 adr de début : 0.0.0.0, adr de fin : 255.255.255.255 |
||
L'ASA génère une réponse au message IKE_AUTH et prépare pour s'authentifier au client. |
Paquet déchiffré : Data&colon ; 540 octets Valeur créée de config-auth de nom de l'élément |
||
L'ASA envoie la charge utile AUTHENTIQUE afin de demander des identifiants utilisateurs du client. L'ASA envoie la méthode AUTHENTIQUE en tant que la « RSA, » ainsi elle envoie son propre certificat au client, ainsi le client peut authentifier le serveur ASA. Puisque l'ASA est disposée à utiliser une méthode d'authentification extensible, elle place une charge utile d'EAP dans le message 4 et reporte envoyer SAr2, TSi, et TSr jusqu'à ce que l'authentification de demandeur soit complète dans un échange ultérieur IKE_AUTH. Ainsi, ces trois charges utiles ne sont pas présentes dans met au point. Le paquet d'EAP contient :
|
Prochaine charge utile différence interdécile : CERT, réservé : 0x0, longueur : 36 Type d'id : DN DER ASN1, réservé : 0x0 0x0 30 1a 31 18 30 16 06 09 2a 86 48 86 f7 0d 01 09 02 16 09 41 53 41 49 2d 4b 45 56 32 Prochaine charge utile de CERT : CERT, réservé : 0x0, longueur : 436 CERT encodant le certificat X.509 - signature Data&colon de CERT ; 431 octets Prochaine charge utile de CERT : AUTHENTIQUE, réservé : 0x0, longueur : 436 CERT encodant le certificat X.509 - signature Data&colon de CERT ; 431 octets Prochaine charge utile AUTHENTIQUE : EAP, réservé : 0x0, longueur : 136 Méthode authentique RSA, réservée : 0x0, 0x0 réservé Data&colon authentique ; 128 octets Prochaine charge utile d'EAP : AUCUN, réservé : 0x0, longueur : 154 Code : demande : id : 1, longueur : 150 Type : Inconnu - 254 Données d'EAP : 145 octets IKEv2-PROTO-3 : Tx [L m_id 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] : 0x1 IKEv2-PROTO-3 : HDR[i:58AFF71141BA436B - r : FC696330E6B94D7F] IKEv2-PROTO-4 : Ispi IKEV2 HDR : 58AFF71141BA436B - rspi : FC696330E6B94D7F IKEv2-PROTO-4 : Prochaine charge utile : ENCR, version : 2.0 IKEv2-PROTO-4 : Type d'échange : IKE_AUTH, indicateurs : RESPONDER MSG-RESPONSE IKEv2-PROTO-4 : Id de message : 0x1, longueur : 1292 Prochaine charge utile ENCR : VID, réservé : 0x0, longueur : 1264 Data&colon chiffré ; 1260 octets |
||
La fragmentation peut résulter si les Certificats sont grands ou si des chaînes de certificat sont incluses. Les charges utiles du KE de demandeur et de responder peuvent également inclure les grandes clés, qui peuvent également contribuer à la fragmentation. |
IKEv2-PROTO-5 : (6) : Fragmenter le paquet, MTU de fragment : 544, nombre de fragments : 3, ID de fragment : 1 IKEv2-PLAT-4 : PAQUET ENVOYÉ [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 IKEv2-PLAT-4 : PAQUET ENVOYÉ [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 IKEv2-PLAT-4 : PAQUET ENVOYÉ [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 |
||
**************************************** |
Le certificat envoyé par l'ASA est présenté à l'utilisateur. Le certificat est non approuvé. Le type d'EAP est EAP-ANYCONNECT. | ||
Le client répond à la demande d'EAP avec une réponse. Le paquet d'EAP contient :
L'ASA déchiffre cette réponse, et le client dit qu'elle a reçu la charge utile AUTHENTIQUE dans le paquet précédent (avec le certificat) et a reçu le premier paquet de demandes d'EAP de l'ASA. Est ce ce que le paquet de réponse d'EAP de « init » contient. |
IKEv2-PLAT-4 : PAQUET RECV [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000002 Paquet déchiffré : Data&colon ; 332 octets IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000002 CurState : Événement R_PROC_EAP_RESP : EV_PROC_MSG Message reçu XML ci-dessous du client IKEv2-PROTO-5 : (6) : Action : Action_Null |
||
C'est la deuxième requête envoyée par l'ASA au client. Le paquet d'EAP contient :
Charge utile ENCR : Cette charge utile est déchiffrée, et son contenu est analysé en tant que charges utiles supplémentaires. |
IKEv2-PROTO-2 : (6) : Envoi de la demande d'EAP Message généré XML ci-dessous |
**************************************** Date : 04/23/2013 Temps : 16:25:04 Type : Les informations Source : acvpnui Description : Fonction : SDIMgr : : ProcessPromptData Fichier : . \ SDIMgr.cpp Ligne : 281 Le type d'authentification n'est pas SDI. **************************************** Date : 04/23/2013 Temps : 16:25:07 Type : Les informations Source : acvpnui Description : Fonction : ConnectMgr : : userResponse Fichier : . \ ConnectMgr.cpp Ligne : 985 Traitement de la réponse de l'utilisateur. **************************************** |
Le client demande l'authentification de l'utilisateur et l'envoie à l'ASA comme réponse d'EAP dans le paquet suivant ("authentique-réponse "). |
Le client envoie un autre message de demandeur IKE_AUTH avec la charge utile d'EAP. Le paquet d'EAP contient :
|
IKEv2-PLAT-4 : PAQUET RECV [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PROTO-3 : Rx [L m_id 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] : 0x3 IKEv2-PROTO-3 : HDR[i:58AFF71141BA436B - r : FC696330E6B94D7F] IKEv2-PROTO-4 : Ispi IKEV2 HDR : 58AFF71141BA436B - rspi : FC696330E6B94D7F IKEv2-PROTO-4 : Prochaine charge utile : ENCR, version : 2.0 IKEv2-PROTO-4 : Type d'échange : IKE_AUTH, indicateurs : DEMANDEUR IKEv2-PROTO-4 : Id de message : 0x3, longueur : 492 IKEv2-PROTO-5 : (6) : La demande a le mess_id 3 ; 3 prévus à 3 VRAI paquet déchiffré : Données : 424 octets Prochaine charge utile d'EAP : AUCUN, réservé : 0x0, longueur : 424 Code : réponse : id : 2, longueur : 420 Type : Inconnu - 254 Données d'EAP : 415 octets |
||
L'ASA traite cette réponse. Le client avait demandé que l'utilisateur entrent dans des qualifications. Cette réponse d'EAP a le type de « config-auth » de « authentique-réponse. » Ce paquet contient les qualifications entrées par l'utilisateur. |
Paquet déchiffré : Données : 492 octets Message reçu XML ci-dessous du client |
||
L'ASA établit une troisième demande d'EAP dans l'échange. Le paquet d'EAP contient :
Charge utile ENCR : Cette charge utile est déchiffrée, et son contenu est analysé en tant que charges utiles supplémentaires. |
IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000003 CurState : Événement R_BLD_EAP_REQ : EV_RECV_EAP_REQ Message généré XML ci-dessous
IKEv2-PROTO-5 : (6) : Fragmenter le paquet, MTU de fragment : 544, nombre de fragments : 9, ID de fragment : 2 |
||
**************************************** Date : 04/23/2013 Temps : 16:25:07 Type : Les informations Source : acvpnagent Description : Profil en cours : Anyconnect-ikev2.xml Paramètres de configuration reçus de session VPN : Maintenez installé : activé Paramètre de proxy : ne modifiez pas Serveur proxy : aucun URL PAC de proxy : aucun Exceptions de proxy : aucun Lockdown de proxy : activé Le fractionnement les excluent : la préférence d'accès local au LAN est désactivée Le fractionnement incluent : handicapé DN fendus : handicapé Masque local de RÉSEAU LOCAL : la préférence d'accès local au LAN est désactivée Règles de Pare-feu : aucun Adresse du client : 10.2.2.1 Masque de client : 255.0.0.0 Ipv6 addres de client : inconnu Masque d'IPv6 de client : inconnu MTU : 1406 Keepalive d'IKE : 20 secondes IKE DPD : 30 secondes Session Timeout : secondes 0 Délai d'attente de débranchement : 1800 secondes Délai d'attente de veille : 1800 secondes Serveur : inconnu Hôte MUS : inconnu Message d'utilisateur DAP : aucun État de quarantaine : handicapé Toujours sur le VPN : non handicapé Durée de bail : secondes 0 Domaine par défaut : inconnu Page d'accueil : inconnu Débranchement de suppression de Smart Card : activé Réponse de permis : inconnu **************************************** |
L'ASA envoie les configurations de configuration du VPN dans « se terminent » le message au client et répartissent une adresse IP au client du groupe VPN. | ||
Le client envoie le paquet de demandeur avec la charge utile d'EAP. Le paquet d'EAP contient :
|
IKEv2-PLAT-4 : PAQUET RECV [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000004 IKEv2-PROTO-3 : Rx [L m_id 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] : 0x4 IKEv2-PROTO-3 : HDR[i:58AFF71141BA436B - r : FC696330E6B94D7F] IKEv2-PROTO-4 : Ispi IKEV2 HDR : 58AFF71141BA436B - rspi : FC696330E6B94D7F IKEv2-PROTO-4 : Prochaine charge utile : ENCR, version : 2.0 IKEv2-PROTO-4 : Type d'échange : IKE_AUTH, indicateurs : DEMANDEUR IKEv2-PROTO-4 : Id de message : 0x4, longueur : 252 IKEv2-PROTO-5 : (6) : La demande a le mess_id 4 ; 4 prévus à 4 VRAI paquet déchiffré : Données : 177 octets Prochaine charge utile d'EAP : AUCUN, réservé : 0x0, longueur : 177 Code : réponse : id : 3, longueur : 173 Type : Inconnu - 254 Données d'EAP : 168 octets |
||
L'ASA traite ce paquet. Configuration appropriée : tunnel-group ASA-IKEV2 L'échange d'EAP est maintenant réussi. Le paquet d'EAP contient :
|
Octets packet:Data:252 déchiffrés Message reçu XML ci-dessous du client IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000004 CurState : Événement R_PROC_EAP_RESP : EV_START_TMR |
||
Puisque l'échange d'EAP est réussi, le client envoie le paquet de demandeur IKE_AUTH avec la charge utile AUTHENTIQUE. La charge utile AUTHENTIQUE est générée de la clé secrète partagée. | IKEv2-PLAT-4 : PAQUET RECV [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PROTO-3 : Rx [L m_id 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] : 0x5 IKEv2-PROTO-3 : HDR[i:58AFF71141BA436B - r : FC696330E6B94D7F] IKEv2-PROTO-4 : Ispi IKEV2 HDR : 58AFF71141BA436B - rspi : FC696330E6B94D7F IKEv2-PROTO-4 : Prochaine charge utile : ENCR, version : 2.0 IKEv2-PROTO-4 : Type d'échange : IKE_AUTH, indicateurs : DEMANDEUR IKEv2-PROTO-4 : Id de message : 0x5, longueur : 92 IKEv2-PROTO-5 : (6) : La demande a le mess_id 5 ; 5 prévus à 5 VRAIS octets packet:Data:28 déchiffrés Prochaine charge utile AUTHENTIQUE : AUCUN, réservé : 0x0, longueur : 28 Méthode authentique PSK, réservée : 0x0, 0x0 réservé Données authentiques : 20 octets |
||
Quand l'authentification EAP est spécifiée ou L'ASA traite ce message. Configuration appropriée : crypto dynamic-map dynmap 1000 |
Paquet déchiffré : Données : 92 octets IKEv2-PROTO-2 : (6) : Traitement du message authentique |
||
L'ASA établit le message de réponse IKE_AUTH avec les charges utiles SA, de TSi, et de TSr. Le paquet de responder IKE_AUTH contient :
Charge utile ENCR : Cette charge utile est déchiffrée, et son contenu est analysé en tant que charges utiles supplémentaires. |
IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000005 CurState : Événement R_BLD_AUTH : EV_MY_AUTH_METHOD IKEv2-PROTO-3 : Tx [L m_id 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] : 0x5 |
||
L'ASA envoie ce message de réponse IKE_AUTH, qui est fragmenté dans neuf paquets. L'échange IKE_AUTH est complet. | IKEv2-PROTO-5 : (6) : Fragmenter le paquet, MTU de fragment : 544, nombre de fragments : 9, ID de fragment : 3 IKEv2-PLAT-4 : PAQUET ENVOYÉ [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 : PAQUET ENVOYÉ [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 : PAQUET ENVOYÉ [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 : PAQUET ENVOYÉ [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 : PAQUET ENVOYÉ [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 : PAQUET ENVOYÉ [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 : PAQUET ENVOYÉ [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 : PAQUET ENVOYÉ [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 : PAQUET ENVOYÉ [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000005 CurState : Événement AUTH_DONE : EV_OK IKEv2-PROTO-5 : (6) : Action : Action_Null IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000005 CurState : Événement AUTH_DONE : EV_PKI_SESH_CLOSE |
||
**************************************** Date : 04/23/2013 Temps : 16:25:07 Type : Les informations Source : acvpnagent Description : Fonction : ikev2_log Fichier : .\ikev2_anyconnect_osal.cpp Ligne : 2730 La connexion d'IPsec a été établie. **************************************** Date : 04/23/2013 Temps : 16:25:07 Type : Les informations Source : acvpnagent Description : Enregistrement de session d'IPsec : Cryptage : AES-CBC PRF : SHA1 HMAC : SHA96 Méthode authentique locale : PSK Méthode authentique distante : PSK Id d'ordre : 0 Taille de clé : 192 Groupe CAD : 1 Temps de rekey : 4294967 secondes Adresse locale : 192.168.1.1 Adresse distante : 10.0.0.1 Port local : 4500 Port distant : 4500 Id de session : 1 **************************************** Date : 04/23/2013 Temps : 16:25:07 Type : Les informations Source : acvpnui Description : Le profil configuré sur la passerelle sécurisée est : Anyconnect-ikev2.xml **************************************** Date : 04/23/2013 Temps : 16:25:07 Type : Les informations Source : acvpnui Description : Type de message les informations envoyées à l'utilisateur : Établissant la session VPN… **************************************** |
Le client signale la connexion d'IPSec comme établie. Le client détecte également le profil utilisateur sur l'ASA. | ||
----------------------------Extrémités d'échange IKE_AUTHENTIC----------------------------------- | |||
**************************************** **************************************** |
Le profil XML est chargé sur le client. Puisque le client a maintenant une adresse IP de l'ASA, le client poursuit pour lancer l'adaptateur VPN. | ||
La connexion est écrite dans la base de données de l'association de sécurité (SA), et l'état EST ENREGISTRÉ. L'ASA exécute également certains contrôles comme des stats communs de la carte d'accès (CAC), la présence du doublon SAS, et des valeurs de positionnements comme la détection morte de pair (DPD) et ainsi de suite. |
IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000005 CurState : Événement AUTH_DONE : EV_INSERT_IKE IKEv2-PROTO-2 : (6) : SA créée ; insertion de SA dans la base de données IKEv2-PLAT-3 : ÉTAT DE LA CONNEXION : VERS LE HAUT… du pair : 192.168.1.1:25171, phase1_id : *$AnyConnectClient$* IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000005 CurState : Événement AUTH_DONE : EV_REGISTER_SESSION IKEv2-PLAT-3 : (6) nom d'utilisateur réglé à : Anu IKEv2-PLAT-3 : ÉTAT DE LA CONNEXION : … Pair ENREGISTRÉ : 192.168.1.1:25171, phase1_id : *$AnyConnectClient$* IKEv2-PROTO-3 : (6) : Initialiser DPD, configuré pendant 10 secondes IKEv2-PLAT-3 : (6) mib_index réglé à : 4501 IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000005 CurState : Événement AUTH_DONE : EV_GEN_LOAD_IPSEC IKEv2-PROTO-3 : (6) : Élément de clé du chargement IPSEC IKEv2-PLAT-3 : Crypto map : correspondance sur le dynmap dynamique 1000 seq de carte IKEv2-PLAT-3 : (6) le temps maximum DPD sera : 30 IKEv2-PLAT-3 : (6) le temps maximum DPD sera : 30 IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000005 CurState : Événement AUTH_DONE : EV_START_ACCT IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000005 CurState : Événement AUTH_DONE : EV_CHECK_DUPE IKEv2-PROTO-3 : (6) : Vérifier SA en double IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000005 CurState : Événement AUTH_DONE : EV_CHK4_ROLE IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000005 CurState : Événement PRÊT : EV_R_UPDATE_CAC_STATS IKEv2-PLAT-5 : Nouvelle demande d'ikev2 SA lancée IKEv2-PLAT-5 : Compte de décrément pour la négociation entrante IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000005 CurState : Événement PRÊT : EV_R_OK IKEv2-PROTO-3 : (6) : Démarrer le temporisateur pour supprimer le contexte de négociation IKEv2-PROTO-5 : (6) : Trace-> SA SM : I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) identification de message = 00000005 CurState : Événement PRÊT : EV_NO_EVENT IKEv2-PLAT-2 : PFKEY reçus ajoutent SA pour SPI 0x77EE5348, erreur FAUSSE IKEv2-PLAT-2 : Mise à jour reçue SA PFKEY pour SPI 0x30B848A4, erreur FAUSSE |
||
**************************************** Date : 04/23/2013 Temps : 16:25:08 Type : Les informations Source : acvpnagent Description : La connexion VPN a été établie et peut maintenant passer des données. **************************************** Date : 04/23/2013 Temps : 16:25:08 Type : Les informations Source : acvpnui Description : Type de message les informations envoyées à l'utilisateur : Établissant le VPN - Configurant le système… **************************************** Date : 04/23/2013 Temps : 16:25:08 Type : Les informations Source : acvpnui Description : Type de message les informations envoyées à l'utilisateur : Établissant le VPN… **************************************** Date : 04/23/2013 Temps : 16:25:37 Type : Les informations Source : acvpnagent Fichier : . \ IPsecProtocol.cpp Ligne : 945 Le tunnel d'IPsec est établi **************************************** |
Le client signale le tunnel en tant que et le prépare pour passer le trafic. |
La sortie témoin de la commande d'anyconnect de détail de VPN-sessiondb d'exposition est :
Session Type: AnyConnect Detailed
Username : Anu Index : 2
Assigned IP : 10.2.2.1 Public IP : 192.168.1.1
Protocol : IKEv2 IPsecOverNatT AnyConnect-Parent
License : AnyConnect Premium
Encryption : AES192 AES256 Hashing : none SHA1 SHA1
Bytes Tx : 0 Bytes Rx : 11192
Pkts Tx : 0 Pkts Rx : 171
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : ASA-IKEV2 Tunnel Group : ASA-IKEV2
Login Time : 22:06:24 UTC Mon Apr 22 2013
Duration : 0h:02m:26s
Inactivity : 0h:00m:00s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none
IKEv2 Tunnels: 1
IPsecOverNatT Tunnels: 1
AnyConnect-Parent Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 2.1
Public IP : 192.168.1.1
Encryption : none Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes
Client Type : AnyConnect
Client Ver : 3.0.1047
IKEv2:
Tunnel ID : 2.2
UDP Src Port : 25171 UDP Dst Port : 4500
Rem Auth Mode: userPassword
Loc Auth Mode: rsaCertificate
Encryption : AES192 Hashing : SHA1
Rekey Int (T): 86400 Seconds Rekey Left(T): 86254 Seconds
PRF : SHA1 D/H Group : 1
Filter Name :
Client OS : Windows
IPsecOverNatT:
Tunnel ID : 2.3
Local Addr : 0.0.0.0/0.0.0.0/0/0
Remote Addr : 10.2.2.1/255.255.255.255/0/0
Encryption : AES256 Hashing : SHA1
Encapsulation: Tunnel
Rekey Int (T): 28800 Seconds Rekey Left(T): 28654 Seconds
Rekey Int (D): 4608000 K-Bytes Rekey Left(D): 4607990 K-Bytes
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Bytes Tx : 0 Bytes Rx : 11192
Pkts Tx : 0 Pkts Rx : 171
NAC:
Reval Int (T): 0 Seconds Reval Left(T): 0 Seconds
SQ Int (T) : 0 Seconds EoU Age(T) : 146 Seconds
Hold Left (T): 0 Seconds Posture Token:
Redirect URL :
La sortie témoin de la crypto commande d'ikev2 SA d'exposition est :
ASA-IKEV2# show crypto ikev2 sa
IKEv2 SAs:
Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id Local Remote Status Role
55182129 10.0.0.1/4500 192.168.1.1/25171 READY RESPONDER
Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
Life/Active Time: 86400/112 sec
Child sa: local selector 0.0.0.0/0 - 255.255.255.255/65535
remote selector 10.2.2.1/0 - 10.2.2.1/65535
ESP spi in/out: 0x30b848a4/0x77ee5348
La sortie témoin de la crypto commande de détail d'ikev2 SA d'exposition est :
ASA-IKEV2# show crypto ikev2 sa detail
IKEv2 SAs:
Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id Local Remote Status Role
55182129 10.0.0.1/4500 192.168.1.1/25171 READY RESPONDER
Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
Life/Active Time: 86400/98 sec
Session-id: 2
Status Description: Negotiation done
Local spi: FC696330E6B94D7F Remote spi: 58AFF71141BA436B
Local id: hostname=ASA-IKEV2
Remote id: *$AnyConnectClient$*
Local req mess id: 0 Remote req mess id: 9
Local next mess id: 0 Remote next mess id: 9
Local req queued: 0 Remote req queued: 9 Local window: 1 Remote window: 1
DPD configured for 10 seconds, retry 2
NAT-T is detected outside
Assigned host addr: 10.2.2.1
Child sa: local selector 0.0.0.0/0 - 255.255.255.255/65535
remote selector 10.2.2.1/0 - 10.2.2.1/65535
ESP spi in/out: 0x30b848a4/0x77ee5348
AH spi in/out: 0x0/0x0
CPI in/out: 0x0/0x0
Encr: AES-CBC, keysize: 256, esp_hmac: SHA96
ah_hmac: None, comp: IPCOMP_NONE, mode tunnel
La sortie témoin de la commande de show crypto ipsec sa est :
ASA-IKEV2# show crypto ipsec sa
interface: outside
Crypto map tag: dynmap, seq num: 1000, local addr: 10.0.0.1
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.2.2.1/255.255.255.255/0/0)
current_peer: 192.168.1.1, username: Anu
dynamic allocated peer ip: 10.2.2.1
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 163, #pkts decrypt: 108, #pkts verify: 108
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 55
local crypto endpt.: 10.0.0.1/4500, remote crypto endpt.: 192.168.1.1/25171
path mtu 1488, ipsec overhead 82, media mtu 1500
current outbound spi: 77EE5348
current inbound spi : 30B848A4
inbound esp sas:
spi: 0x30B848A4 (817383588)
transform: esp-aes-256 esp-sha-hmac no compression
in use settings ={RA, Tunnel, NAT-T-Encaps, }
slot: 0, conn_id: 8192, crypto-map: dynmap
sa timing: remaining key lifetime (sec): 28685
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0xFFAD6BED 0x7ABFD5BF
outbound esp sas:
spi: 0x77EE5348 (2012107592)
transform: esp-aes-256 esp-sha-hmac no compression
in use settings ={RA, Tunnel, NAT-T-Encaps, }
slot: 0, conn_id: 8192, crypto-map: dynmap
sa timing: remaining key lifetime (sec): 28685
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001