Risoluzione dei problemi di debug IOS IKEv2 per la VPN da sito a sito con PSK
Opzioni per il download
Linguaggio senza pregiudizi
La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Informazioni su questa traduzione
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
Introduzione
In questo documento viene descritto il debug di Internet Key Exchange versione 2 (IKEv2) su Cisco IOS® quando si usa una chiave non condivisa (PSK).
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dello scambio di pacchetti per IKEv2. Per ulteriori informazioni, fare riferimento a Scambio di pacchetti IKEv2 e debug a livello di protocollo.
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- IKEv2 (Internet Key Exchange versione 2)
- Cisco IOS 15.1(1)T o versioni successive
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Convenzioni
Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.
Premesse
Questo documento offre informazioni su come tradurre alcune righe di debug in una configurazione.
Problema principale
Lo scambio di pacchetti in IKEv2 è radicalmente diverso dallo scambio di pacchetti in IKEv1. In IKEv1 vi è stato uno scambio di fase 1 chiaramente delimitato, costituito da sei (6) pacchetti con uno scambio successivo di fase 2 costituito da tre (3) pacchetti; lo scambio IKEv2 è variabile. Per ulteriori informazioni sulle differenze e una spiegazione sullo scambio dei pacchetti, consultare di nuovo Packet Exchange IKEv2 e Debug a livello di protocollo.
Configurazione del router
In questa sezione vengono elencate le configurazioni utilizzate nel documento.
Router 1
interface Loopback0
ip address 192.168.1.1 255.255.255.0
!
interface Tunnel0
ip address 172.16.0.101 255.255.255.0
tunnel source Ethernet0/0
tunnel mode ipsec ipv4
tunnel destination 10.0.0.2
tunnel protection ipsec profile phse2-prof
!
interface Ethernet0/0
ip address 10.0.0.1 255.255.255.0
crypto ikev2 proposal PHASE1-prop
encryption 3des aes-cbc-128
integrity sha1
group 2
!
crypto ikev2 policy site-pol
proposal PHASE1-prop
!
crypto ikev2 keyring KEYRNG
peer peer1
address 10.0.0.2 255.255.255.0
hostname host1
pre-shared-key local cisco
pre-shared-key remote cisco
!
crypto ikev2 profile IKEV2-SETUP
match identity remote address 0.0.0.0
authentication remote pre-share
authentication local pre-share
keyring local KEYRNG
lifetime 120
!
crypto ipsec transform-set TS esp-3des esp-sha-hmac
!
crypto ipsec profile phse2-prof
set transform-set TS
set ikev2-profile IKEV2-SETUP
!
ip route 0.0.0.0 0.0.0.0 10.0.0.2
ip route 192.168.2.1 255.255.255.255 Tunnel0
Router 2
crypto ikev2 proposal PHASE1-prop
encryption 3des aes-cbc-128
integrity sha1
group 2
!
crypto ikev2 keyring KEYRNG
peer peer2
address 10.0.0.1 255.255.255.0
hostname host2
pre-shared-key local cisco
pre-shared-key remote cisco
!
crypto ikev2 profile IKEV2-SETUP
match identity remote address 0.0.0.0
authentication remote pre-share
authentication local pre-share
keyring local KEYRNG
lifetime 120
!
crypto ipsec transform-set TS esp-3des esp-sha-hmac
!
!
crypto ipsec profile phse2-prof
set transform-set TS
set ikev2-profile IKEV2-SETUP
!
interface Loopback0
ip address 192.168.2.1 255.255.255.0
!
interface Ethernet0/0
ip address 10.0.0.2 255.255.255.0
!
interface Tunnel0
ip address 172.16.0.102 255.255.255.0
tunnel source Ethernet0/0
tunnel mode ipsec ipv4
tunnel destination 10.0.0.1
tunnel protection ipsec profile phse2-prof
!
ip route 0.0.0.0 0.0.0.0 10.0.0.1
ip route 192.168.1.1 255.255.255.255 Tunnel0
Risoluzione dei problemi
Debug del router
Nel presente documento vengono usati i seguenti comandi di debug:
deb crypto ikev2 packet
deb crypto ikev2 internal
| Descrizione messaggio router 1 (iniziatore) | Debug | Descrizione messaggio router 2 (risponditore) | |
|---|---|---|---|
| Il router 1 riceve un pacchetto che corrisponde all'ACL crittografico per l'appliance ASA 10.0.0.2 peer. Avvia la creazione di un'appliance ASA |
*11 nov 20:28:34.003: IKEv2:Ricevuto un pacchetto dal dispatcher |
||
|
La prima coppia di messaggi è lo scambio IKE_SA_INIT. Questi messaggi negoziano algoritmi di crittografia, scambiano nonce ed eseguono uno scambio Diffie-Hellman. Configurazione pertinente: crypto ikev2 proposta PHASE1-prop crittografia 3des aes-cbc-128 integrità sha1 gruppo 2crypto ikev2 keyring peer KEYRNG indirizzo 10.0.0.2 255.255.255.0 hostname1 pre-shared-key local cisco pre-shared-key remote cisco |
*11 nov. 19:30:34.811: IKEv2:(ID SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=000000000000000 (I) MsgID = 00000000 CurState: Evento IDLE: EV_INIT_SA *11 nov. 19:30:34.811: IKEv2:(ID SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT: EV_GET_IKE_POLICY *11 nov. 19:30:34.811: IKEv2:(ID SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=000000000000000 (I) MsgID = 00000000 CurState: Evento I_BLD_INIT:EV_SET_POLICY *11 nov. 19:30:34.811: IKEv2:(ID SA = 1):impostazione dei criteri configurati *11 nov. 19:30:34.811: IKEv2:(ID SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT: EV_CHK_AUTH4PKI *11 nov. 19:30:34.811: IKEv2:(ID SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=000000000000000 (I) MsgID = 00000000 CurState: Evento I_BLD_INIT:EV_GEN_DH_KEY *11 nov. 19:30:34.811: IKEv2:(ID SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT: EV_NO_EVENT *11 nov. 19:30:34.811: IKEv2:(ID SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT: EV_OK_RECD_DH_PUBKEY_RESP *11 nov. 19:30:34.811: IKEv2:(ID SA = 1):Azione: Azione_Null *11 nov. 19:30:34.811: IKEv2:(ID SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT: EV_GET_CONFIG_MODE *11 nov. 19:30:34.811: Iniziatore IKEv2:IKEv2 - nessun dato di configurazione da inviare nello scambio IKE_SA_INIT *11 nov. 19:30:34.811: IKEv2: nessun dato di configurazione da inviare al toolkit: *11 nov. 19:30:34.811: IKEv2:(ID SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT: EV_BLD_MSG *11 nov. 19:30:34.811: IKEv2:Costruisci payload specifico del fornitore: MOTIVO-ELIMINAZIONE *11 nov. 19:30:34.811: IKEv2:Costruisci payload specifico del fornitore: (PERSONALIZZATO) *11 nov. 19:30:34.811: IKEv2:Payload notifica costruzione: NAT_DETECTION_SOURCE_IP *11 nov. 19:30:34.811: IKEv2:Payload notifica costruzione: NAT_DETECTION_DESTINATION_IP |
||
| Iniziatore che crea il pacchetto IKE_INIT_SA. Contiene: Intestazione ISAKMP (SPI/version/flags), SAi1 (algoritmo di crittografia supportato dall'iniziatore IKE), KEi (valore DH della chiave pubblica dell'iniziatore) e N (nonce iniziatore). | *11 nov 19:30:34.811: IKEv2:(ID SA = 1):Payload successivo: SA, versione: 2.0 Tipo di Exchange: IKE_SA_INIT, flag: INITIATOR ID messaggio: 0, lunghezza: 344 Contenuto payload: Payload successivo SA: Chiave, riservata: 0x0, lunghezza: 56 ultima proposta: 0x0, riservato: 0x0, lunghezza: 52 Proposta: 1, ID protocollo: IKE, dimensione SPI: 0, #trans: 5 ultima trasformazione: 0x3, riservato: 0x0: lunghezza: 8 tipo: 1, riservato: 0x0, id: 3DES ultima trasformazione: 0x3, riservato: 0x0: lunghezza: 12 tipo: 1, riservato: 0x0, id: AES-CBC ultima trasformazione: 0x3, riservato: 0x0: lunghezza: 8 tipo: 2, riservato: 0x0, id: SHA1 ultima trasformazione: 0x3, riservato: 0x0: lunghezza: 8 tipo: 3, riservato: 0x0, id: SHA96 ultima trasformazione: 0x0, riservato: 0x0: lunghezza: 8 tipo: 4, riservato: 0x0, id: DH_GROUP_1024_MOP/Gruppo 2 Payload successivo KE: N, riservato: 0x0, lunghezza: 136 Gruppo DH: 2, Riservato: 0x0 N Payload successivo: VID, riservato: 0x0, lunghezza: 24 Payload successivo VID: VID, riservato: 0x0, lunghezza: 23 Payload successivo VID: NOTIFY, riservato: 0x0, lunghezza: 21 Notify(NAT_DETECTION_SOURCE_IP) Next payload: NOTIFY, riservato: 0x0, lunghezza: 28 ID protocollo di sicurezza: IKE, dimensione spi: 0, digitare: NAT_DETECTION_SOURCE_IP Notify(NAT_DETECTION_DESTINATION_IP) Successivo payload: NONE, riservato: 0x0, lunghezza: 28 ID protocollo di sicurezza: IKE, dimensione spi: 0, digitare: NAT_DETECTION_DESTINATION_IP |
||
|
*11 nov. 19:30:34.814: IKEv2:Ricevuto un pacchetto dal dispatcher |
Il risponditore riceve IKE_INIT_SA. | ||
|
*11 nov. 19:30:34.814: IKEv2:Payload successivo: SA, versione: 2.0 Tipo di scambio: IKE_SA_INIT, flag: ID messaggio INITIATOR: 0, lunghezza: 344 |
Il risponditore avvia la creazione dell'associazione di sicurezza per il peer. | ||
|
*11 nov. 19:30:34.814: IKEv2:(ID SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: IDLE, evento:EV_RECV_INIT |
Il risponditore verifica ed elabora il messaggio IKE_INIT: (1) Sceglie la suite di crittografia tra quelle offerte dall'iniziatore, (2) calcola la propria chiave segreta DH e (3) calcola un valore skeyid, dal quale è possibile derivare tutte le chiavi per questa IKE_SA. Tutte le intestazioni dei messaggi successivi, ad eccezione delle intestazioni, vengono crittografate e autenticate. Le chiavi utilizzate per la crittografia e la protezione dell'integrità derivano da SKEYID e sono note come: SK_e (cifratura), SK_a (autenticazione), SK_d è derivato e utilizzato per la derivazione di ulteriore materiale per le chiavi per CHILD_SA, mentre SK_e e SK_a sono calcolati separatamente per ciascuna direzione. Configurazione pertinente: crypto ikev2 proposta PHASE1-prop crittografia 3des aes-cbc-128 integrità sha1 gruppo 2 crypto ikev2 keyring peer2 indirizzo 10.0.0.1 255.255.255.0 hostname2 pre-shared-key locale cisco pre-shared-key remoto cisco |
||
|
*11 nov. 19:30:34.822: IKEv2:(ID SA = 1):Payload successivo: SA, versione: 2.0 Tipo di Exchange: IKE_SA_INIT, flag: RESPONDER MSG-RESPONSE ID messaggio: 0, lunghezza: 449 |
Il router 2 genera il messaggio del risponditore per lo scambio IKE_SA_INIT, ricevuto da ASA1. Il pacchetto contiene: ISAKMP Header (SPI/versione/flag), SAr1 (algoritmo di crittografia scelto dal risponditore IKE), KEr (valore DH della chiave pubblica del risponditore) e Responder Nonce. | ||
|
*11 nov. 19:30:34.822: IKEv2:(ID SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento INIT_DONE: EV_FINE |
Il router2 invia il messaggio del risponditore al router 1. | ||
| Il router 1 riceve il pacchetto di risposta IKE_SA_INIT dal router 2. |
*11 nov. 19:30:34.823: IKEv2:Ricevuto un pacchetto dal dispatcher |
I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Init_DONE, evento:EV_START_TMR |
Il risponditore avvia il timer per il processo di autenticazione. |
| Router1 verifica ed elabora la risposta: (1) Viene calcolata la chiave segreta DH dell'iniziatore e (2) viene generato anche lo skeyid dell'iniziatore. |
*11 nov. 19:30:34.823: IKEv2:(ID SA = 1):Payload successivo: SA, versione: 2.0 Tipo di scambio: IKE_SA_INIT, flag: RESPONDER MSG-RESPONSE ID messaggio: 0, lunghezza: 449 *11 nov 19:30:34,824: IKEv2:(ID SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: I_WAIT_INIT: V_RECV_INIT |
||
|
L'iniziatore avvia lo scambio IKE_AUTH e genera il payload di autenticazione. Il pacchetto IKE_AUTH contiene: Intestazione ISAKMP (SPI/versione/flag), IDi (identità iniziatore), payload AUTH, SAi2 (avvia l'associazione di protezione simile allo scambio di set di trasformazioni di fase 2 in IKEv1) e TSi e TSr (selettori del traffico iniziatore e risponditore). Contengono rispettivamente l'indirizzo di origine e l'indirizzo di destinazione dell'iniziatore e del risponditore per l'inoltro/la ricezione del traffico crittografato. L'intervallo di indirizzi specifica che tutto il traffico da e verso l'intervallo è tunneling. Se la proposta è accettabile per il risponditore, verranno restituiti payload di Servizi terminal identici. La prima associazione di sicurezza CHILD_SA viene creata per la coppia proxy_ID che corrisponde al pacchetto di trigger. Configurazione pertinente: crypto ipsec transform-set TS esp-3des esp-sha-hmac crypto ipsec profilo phse2-prof set transform-set TS set ikev2-profilo IKEV2-SETUP |
*11 nov. 19:30:34.831: IKEv2:(ID SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000000 CurState: Evento I_BLD_AUTH:EV_GEN_AUTH *11 nov. 19:30:34.831: Payload successivo SA: TSi, riservato: 0x0, lunghezza: 40 NOTIFY(INITIAL_CONTACT) Payload successivo: NOTIFY, riservato: 0x0, lunghezza: 8 |
||
|
*11 nov. 19:30:34.832: IKEv2:Ricevuto un pacchetto dal dispatcher |
Il router 2 riceve e verifica i dati di autenticazione ricevuti dal router 1. Configurazione pertinente: crypto ipsec ikev2 ipsec-proposta protocollo AES256 esp crittografia aes-256 protocollo esp integrità sha-1 md5 |
||
|
*11 nov. 19:30:34.832: IKEv2:(ID SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 Stato corrente: Evento R_WAIT_AUTH: EV_RECV_AUTH |
Il router 2 genera la risposta al pacchetto IKE_AUTH ricevuto dal router 1. Questo pacchetto di risposta contiene: Intestazione ISAKMP (SPI/versione/flag), IDr. (identità risponditore), payload AUTH, SAr2 (avvia l'associazione di protezione simile allo scambio di set di trasformazioni di fase 2 in IKEv1), TSi e TSr (selettori del traffico iniziatore e risponditore). Contengono rispettivamente l'indirizzo di origine e l'indirizzo di destinazione dell'iniziatore e del risponditore per l'inoltro/la ricezione del traffico crittografato. L'intervallo di indirizzi specifica che tutto il traffico da e verso l'intervallo è tunneling. Questi parametri sono identici a quelli ricevuti da ASA1. | ||
|
*11 nov. 19:30:34.833: IKEv2:(ID SA = 1):Payload successivo: ENCR, versione: 2.0 Tipo di Exchange: IKE_AUTH, flag: RESPONDER MSG-RESPONSE ID messaggio: 1, lunghezza: 252 |
Il risponditore invia la risposta per IKE_AUTH. | ||
| L'iniziatore riceve una risposta dal risponditore. |
*11 nov 19:30:34,834: IKEv2:Ricevuto un pacchetto dal dispatcher |
*11 nov 19:30:34,840: IKEv2:(ID SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 Stato corrente: Evento AUTH_DONE: EV_OK_RECD_LOAD_IPSEC |
Il risponditore inserisce una voce nel DAU. |
| Il router 1 verifica ed elabora i dati di autenticazione in questo pacchetto. Il router 1 inserisce quindi questa SA nel relativo SAD. |
*11 nov 19:30:34,834: IKEv2:(ID SA = 1):Payload successivo: ENCR, versione: 2.0 Tipo di Exchange: IKE_AUTH, flag: RESPONDER MSG-RESPONSE ID messaggio: 1, lunghezza: 252 |
||
| Il tunnel è attivo sull'iniziatore e lo stato mostra READY. |
*11 nov 19:30:34,841: IKEv2:(ID SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 Stato corrente: READYEvent: V_CHK_IKE_ONLY |
*11 nov. 19:30:34,840: IKEv2:(ID SA = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento READY: V_R_OK |
Tunnel attivo sul risponditore. Il tunnel del risponditore in genere viene visualizzato prima dell'iniziatore. |
Debug CHILD_SA
Questo scambio è costituito da una singola coppia richiesta/risposta ed è stato definito come scambio di fase 2 in IKEv1. Può essere avviato da una delle estremità di IKE_SA dopo il completamento degli scambi iniziali.
| Descrizione messaggio CHILD_SA Router 1 | Debug | Descrizione del messaggio CHILD_SA del router 2 |
|---|---|---|
Il router 1 avvia lo scambio CHILD_SA. Richiesta CREATE_CHILD_SA. Il pacchetto CHILD_SA contiene in genere:
|
*11 nov. 19:31:35.873: IKEv2:Ricevuto un pacchetto dal dispatcher |
|
|
*11 nov. 19:31:35.869: IKEv2:(ID SA = 2):Payload successivo: ENCR, versione: 2.0 Tipo di Exchange: CREATE_CHILD_SA, flag: INITIATOR ID messaggio: 2, lunghezza: 460 *11 nov. 19:31:35.873: IKEv2:Payload notifica costruzione: IMPOSTA_DIMENSIONI_FINESTRA |
Questo pacchetto viene ricevuto dal router 2. | |
|
*11 nov. 19:31:35.882: IKEv2:(ID SA = 2):Payload successivo: ENCR, versione: 2.0 Tipo di Exchange: CREATE_CHILD_SA, flag: RESPONDER MSG-RESPONSE ID messaggio: 3, lunghezza: 300 |
Il router 2 ora genera la risposta per lo scambio CHILD_SA. Questa è la risposta CREATE_CHILD_SA. Il pacchetto CHILD_SA contiene in genere:
|
|
| Il router 1 riceve il pacchetto di risposta dal router 2 e completa l'attivazione di CHILD_SA. |
*11 nov. 19:31:35.882: IKEv2:(ID SA = 2):Payload successivo: ENCR, versione: 2.0 Tipo di Exchange: CREATE_CHILD_SA, flag: RESPONDER MSG-RESPONSE ID messaggio: 3, lunghezza: 300 |
Verifica tunnel
ISAKMP
Comando
show crypto ikev2 sa detailed
Uscita Router 1
Router1#show crypto ikev2 sa detailed
IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
1 10.0.0.1/500 10.0.0.2/500 none/none READY
Encr: AES-CBC, keysize: 128,
Hash: SHA96, DH Grp:2,
Auth sign: PSK, Auth verify: PSK
Life/Active Time: 120/10 sec
CE id: 1006, Session-id: 4
Status Description: Negotiation done
Local spi: E58F925107F8B73F Remote spi: AFD098F4147869DA
Local id: 10.0.0.1
Remote id: 10.0.0.2
Local req msg id: 2 Remote req msg id: 0
Local next msg id: 2 Remote next msg id: 0
Local req queued: 2 Remote req queued: 0
Local window: 5 Remote window: 5
DPD configured for 0 seconds, retry 0
NAT-T is not detected
Cisco Trust Security SGT is disabled
Initiator of SA : Yes
Uscita Router 2
Router2#show crypto ikev2 sa detailed
IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
2 10.0.0.2/500 10.0.0.1/500 none/none READY
Encr: AES-CBC, keysize: 128, Hash: SHA96,
DH Grp:2, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 120/37 sec
CE id: 1006, Session-id: 4
Status Description: Negotiation done
Local spi: AFD098F4147869DA Remote spi: E58F925107F8B73F
Local id: 10.0.0.2
Remote id: 10.0.0.1
Local req msg id: 0 Remote req msg id: 2
Local next msg id: 0 Remote next msg id: 2
Local req queued: 0 Remote req queued: 2
Local window: 5 Remote window: 5
DPD configured for 0 seconds, retry 0
NAT-T is not detected
Cisco Trust Security SGT is disabled
Initiator of SA : No
IPSec
Comando
show crypto ipsec sa
Nota: In questo output, a differenza di IKEv1, il valore del gruppo DH PFS viene visualizzato come "PFS (Y/N): N, gruppo DH: none" durante la prima negoziazione del tunnel, ma, dopo una reimpostazione della chiave, vengono visualizzati i valori corretti. Non si tratta di un bug, anche se il comportamento è descritto nell'ID bug Cisco CSCug67056. (Solo gli utenti Cisco registrati possono accedere agli strumenti o alle informazioni Cisco interne.)
La differenza tra IKEv1 e IKEv2 consiste nel fatto che, in quest'ultimo caso, le associazioni di protezione figlio vengono create come parte dello scambio AUTH. Il gruppo DH configurato nella mappa crittografica verrebbe utilizzato solo durante la reimpostazione della chiave. Verrà visualizzato il messaggio 'PFS (S/N): N, gruppo DH: none' fino alla prima reimpostazione.
Con IKEv1, si verifica un comportamento diverso, in quanto la creazione di associazioni di protezione figlio avviene durante la modalità rapida e il messaggio CREATE_CHILD_SA dispone di un provisioning per il payload di scambio chiave che specifica i parametri DH per derivare un nuovo segreto condiviso.
Uscita Router 1
Router1#show crypto ipsec sa
interface: Tunnel0
Crypto map tag: Tunnel0-head-0,
local addr 10.0.0.1
protected vrf: (none)
local ident (addr/mask/prot/port):
(0.0.0.0/0.0.0.0/256/0)
remote ident (addr/mask/prot/port):
(0.0.0.0/0.0.0.0/256/0)
current_peer 10.0.0.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 10, #pkts encrypt:
10, #pkts digest: 10
#pkts decaps: 10, #pkts decrypt:
10, #pkts verify: 10
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.0.0.1,
remote crypto endpt.: 10.0.0.2
path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
current outbound spi: 0xF6083ADD(4127734493)
PFS (Y/N): N, DH group: none
inbound esp sas:
spi: 0x6B74CB79(1802816377)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 18, flow_id: SW:18,
sibling_flags 80000040,
crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec):
(4276853/3592)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xF6083ADD(4127734493)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 17, flow_id: SW:17,
sibling_flags 80000040,
crypto map: Tunnel0-head-0
sa timing: remaining key
lifetime (k/sec): (4276853/3592)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
outbound ah sas:
outbound pcp sas:
Uscita Router 2
Router2#show crypto ipsec sa
interface: Tunnel0
Crypto map tag: Tunnel0-head-0, local addr 10.0.0.2
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/256/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/256/0)
current_peer 10.0.0.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
#pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.0.0.2,
remote crypto endpt.: 10.0.0.1
path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
current outbound spi: 0x6B74CB79(1802816377)
PFS (Y/N): N, DH group: none
inbound esp sas:
spi: 0xF6083ADD(4127734493)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 17, flow_id: SW:17,
sibling_flags 80000040,
crypto map: Tunnel0-head-0
sa timing: remaining key lifetime
(k/sec): (4347479/3584)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x6B74CB79(1802816377)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 18, flow_id: SW:18,
sibling_flags 80000040,
crypto map: Tunnel0-head-0
sa timing: remaining key
lifetime (k/sec): (4347479/3584)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
outbound ah sas:
outbound pcp sas:
È possibile anche controllare l'output del comando show crypto session su entrambi i router; in questo output viene mostrato lo stato della sessione tunnel come UP-ACTIVE.
Router1#show crypto session
Crypto session current status
Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 10.0.0.2 port 500
IKEv2 SA: local 10.0.0.1/500 remote 10.0.0.2/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
Router2#show cry session
Crypto session current status
Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 10.0.0.1 port 500
IKEv2 SA: local 10.0.0.2/500 remote 10.0.0.1/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
Informazioni correlate
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
2.0 |
12-Apr-2023 |
Aggiorna formattazione. Certificazione. |
1.0 |
28-Jan-2013 |
Versione iniziale |
Contributo dei tecnici Cisco
- Anu M ChackoLeader nel marketing tecnico Cisco
Feedback