PSKによるサイト間VPNのIOS IKEv2デバッグのトラブルシューティング

ダウンロードオプション

PDF (456.7 KB)
Adobe Reader を使ってさまざまなデバイスで表示

Updated: 2023 年 4 月 12 日

Document ID:115934

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

内容

はじめに

このドキュメントでは、非共有キー(PSK)が使用される場合のCisco IOS^®でのインターネットキーエクスチェンジバージョン2(IKEv2)デバッグについて説明します。

前提条件

要件

IKEv2 のパケット交換についての知識があることが推奨されます。詳細については、『IKEv2 のパケット交換とプロトコルレベルデバッグ』を参照してください。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

インターネットキー交換バージョン 2（IKEv2）
Cisco IOS 15.1(1)T 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

表記法

表記法の詳細については、『シスコテクニカルティップスの表記法』を参照してください。

背景説明

このドキュメントでは、特定のデバッグ行を設定に変換する方法について説明します。

主な問題

IKEv2 のパケット交換は IKEv1 のパケット交換とは根本的に異なります。IKEv1では、6個のパケットで構成されるフェーズ1交換と、その後のフェーズ2交換で3個のパケットで構成されるフェーズ2交換が明確に区別されていました。IKEv2交換は可変です。パケット交換の相違点と説明の詳細については、「IKEv2のパケット交換とプロトコルレベルデバッグ」を参照してください。

ルータの設定

このセクションでは、このドキュメントで使用するコンフィギュレーションを示します。

ルータ 1

interface Loopback0
 ip address 192.168.1.1 255.255.255.0
!
interface Tunnel0
 ip address 172.16.0.101 255.255.255.0
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv4
 tunnel destination 10.0.0.2
 tunnel protection ipsec profile phse2-prof
!
interface Ethernet0/0
 ip address 10.0.0.1 255.255.255.0

crypto ikev2 proposal PHASE1-prop
 encryption 3des aes-cbc-128
 integrity sha1
 group 2
!
crypto ikev2 policy site-pol
 proposal PHASE1-prop
!
crypto ikev2 keyring KEYRNG
 peer peer1
  address 10.0.0.2 255.255.255.0
  hostname host1
  pre-shared-key local cisco
  pre-shared-key remote cisco
 !
crypto ikev2 profile IKEV2-SETUP
 match identity remote address 0.0.0.0
 authentication remote pre-share
 authentication local pre-share
 keyring local KEYRNG
 lifetime 120
!
crypto ipsec transform-set TS esp-3des esp-sha-hmac
!
crypto ipsec profile phse2-prof
 set transform-set TS
 set ikev2-profile IKEV2-SETUP
!
ip route 0.0.0.0 0.0.0.0 10.0.0.2
ip route 192.168.2.1 255.255.255.255 Tunnel0

ルータ 2

crypto ikev2 proposal PHASE1-prop
 encryption 3des aes-cbc-128
 integrity sha1
 group 2
!
crypto ikev2 keyring KEYRNG
 peer peer2
  address 10.0.0.1 255.255.255.0
  hostname host2
  pre-shared-key local cisco
  pre-shared-key remote cisco
 !
crypto ikev2 profile IKEV2-SETUP
 match identity remote address 0.0.0.0
 authentication remote pre-share
 authentication local pre-share
 keyring local KEYRNG
 lifetime 120
!
crypto ipsec transform-set TS esp-3des esp-sha-hmac
!
!
crypto ipsec profile phse2-prof
 set transform-set TS
 set ikev2-profile IKEV2-SETUP
!
interface Loopback0
 ip address 192.168.2.1 255.255.255.0
!
interface Ethernet0/0
 ip address 10.0.0.2 255.255.255.0
!
interface Tunnel0
 ip address 172.16.0.102 255.255.255.0
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv4
 tunnel destination 10.0.0.1
 tunnel protection ipsec profile phse2-prof
!
ip route 0.0.0.0 0.0.0.0 10.0.0.1
ip route 192.168.1.1 255.255.255.255 Tunnel0

トラブルシュート

ルータのデバッグ

このドキュメントで使用するデバッグコマンドは次のとおりです。

deb crypto ikev2 packet
deb crypto ikev2 internal

ルータ 1（発信側）のメッセージの説明	デバッグ		ルータ 2（応答側）のメッセージの説明
ルータ 1 が暗号化 ACL と一致するピア ASA 10.0.0.2 宛のパケットを受信します。SA の作成を開始します。	11月11日20:28:34.003: IKEv2:Got a packet from dispatcher 11月11日20:28:34.003:IKEv2:PAKキューからの項目の処理 11月11日19:30:34.811: IKEv2:% Getting preshared key by address 10.0.0.2 11月11日19:30:34.811:IKEv2：ツールキットポリシーへのプロポーザルPHASE1-propの追加 Nov 11 19:30:34.811: IKEv2:(1): Choosing IKE profile IKEV2-SETUP 11月11日19:30:34.811:IKEv2：新しいikev2 sa request admitted *Nov 11 19:30:34.811: IKEv2：発信negotiating sa countを1増やす
最初の 1 組のメッセージは IKE_SA_INIT 交換です。これらのメッセージでは暗号化アルゴリズムのネゴシエーション、ナンスの交換、Diffie-Hellman 交換を行います。関連コンフィギュレーション `crypto ikev2 proposal PHASE1-prop encryption 3des aes-cbc-128 integrity sha1 group 2crypto ikev2 keyring KEYRNG peer peer1 address 10.0.0.2 255.255.255.0 hostname host1 pre-shared-key local cisco pre-shared-key remote cisco`	Nov 11 19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: IDLEイベント： EV_INIT_SA Nov 11 19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Event: EV_GET_IKE_POLICY 11月11日19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Event:EV_SET_POLICY* 11月11日19:30:34.811:IKEv2:(SA ID = 1)：設定済みポリシーの設定 Nov 11 19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Event: EV_CHK_AUTH4PKI 11月11日19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Event:EV_GEN_DH_KEY* Nov 11 19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Event: EV_NO_EVENT Nov 11 19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A a59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INITイベント： EV_OK_RECD_DH_PUBKEY_RESP 11月11日19:30:34.811:IKEv2:(SA ID = 1)：アクション：Action_Null Nov 11 19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Event: EV_GET_CONFIG_MODE 11月11日19:30:34.811:IKEv2:IKEv2イニシエータ：IKE_SA_INIT交換で送信する設定データなし Nov 11 19:30:34.811:IKEv2:No config data to send to toolkit: Nov 11 19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Event: EV_BLD_MSG 11月11日19:30:34.811:IKEv2:Construct Vendor Specific Payload:DELETE-REASON 11月11日19:30:34.811: IKEv2:Construct Vendor Specific Payload:(CUSTOM) 11月11日19:30:34.811: IKEv2:Construct Notify Payload: NAT_DETECTION_SOURCE_IP *11月11日19:30:34.811: IKEv2:Construct Notify Payload: NAT_DETECTION_DESTINATION_IP
発信側は IKE_INIT_SA パケットを作成します。これには、ISAKMPヘッダー（SPI/バージョン/フラグ）、SAi1（IKEの発信側がサポートする暗号化アルゴリズム）、KEi（発信側のDH公開キー値）、およびN（発信側のナンス）が含まれます。	11月11日19:30:34.811: IKEv2:(SA ID = 1)：次のペイロード：SA、バージョン： 2.0交換タイプ：IKE_SA_INIT、フラグ：INITIATOR*メッセージID:0、長さ：344 Payload contents: SA：次のペイロード：KE、予約済み：0x0、長さ：56 最後のプロポーザル：0x0、予約済み：0x0、長さ：52 プロポーザル：1、プロトコルID:IKE、SPIサイズ：0、#trans:5最後のトランスフォーム：0x3、予約済み：0x0：長さ：8 タイプ：1、予約済み：0x0、ID:3DES 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 12 タイプ：1、予約済み：0x0、id:AES-CBC 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：2、予約済み：0x0、ID:SHA1 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:SHA96 最後のトランスフォーム： 0x0、予約済み： 0x0：長さ： 8 タイプ：4、予約済み：0x0、ID:DH_GROUP_1024_MODP/Group 2 KE 次のペイロード：N、予約済み：0x0、長さ：136 DHグループ：2、予約済み：0x0 N次のペイロード：VID、予約済み：0x0、長さ：24 VID次ペイロード：VID、予約済み：0x0、長さ：23 VID次ペイロード：NOTIFY、予約済み：0x0、長さ：21 NOTIFY(NAT_DETECTION_SOURCE_IP)次のペイロード：NOTIFY、予約済み：0x0、長さ：28 セキュリティプロトコルID: IKE、spiサイズ： 0、タイプ： NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_DESTINATION_IP)次のペイロード：なし、予約済み：0x0、長さ：28 セキュリティプロトコルID: IKE、spiサイズ： 0、タイプ： NAT_DETECTION_DESTINATION_IP
--------------------------------------発信側が IKE_INIT_SA を送信 ----------------------->
	11月11日19:30:34.814: IKEv2:Got a packet from dispatcher 11月11日19:30:34.814:IKEv2:PAKキューからの項目の処理 11月11日19:30:34.814:IKEv2：新しいikev2 sa request admitted Nov 11 19:30:34.814: IKEv2：着信negotiating sa countを1増やす		応答側が IKE_INIT_SA を受信します。
	11月11日19:30:34.814:IKEv2：次のペイロード：SA、バージョン：2.0交換タイプ：IKE_SA_INIT、フラグ：イニシエータメッセージID:0、長さ：344 Payload contents: SA次ペイロード：KE、予約済み：0x0、長さ：56 最後のプロポーザル：0x0、予約済み：0x0、長さ：52 プロポーザル：1、プロトコルID:IKE、SPIサイズ：0、#trans:5最後のトランスフォーム：0x3、予約済み：0x0：長さ：8 タイプ：1、予約済み：0x0、ID:3DES 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 12 タイプ：1、予約済み：0x0、id:AES-CBC 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：2、予約済み：0x0、ID:SHA1 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:SHA96 最後のトランスフォーム： 0x0、予約済み： 0x0：長さ： 8 タイプ：4、予約済み：0x0、ID:DH_GROUP_1024_MODP/Group 2 KE次のペイロード：N、予約済み：0x0、長さ：136 DHグループ：2、予約済み：0x0 N次のペイロード：VID、予約済み：0x0、長さ：24 11月11日19:30:34.814:IKEv2:Parse Vendor Specific Payload: CISCO-DELETE-REASON VID Next payload: VID, reserved: 0x0, length: 23 11月11日19:30:34.814: IKEv2:Parse Vendor Specific Payload: (CUSTOM) VID Next payload: NOTIFY, reserved: 0x0, length: 21 Nov 11 19:30:34.814: IKEv2:Parse Notify Payload: NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_SOURCE_IP)次のペイロード： NOTIFY、予約済み： 0x0、長さ： 28 セキュリティプロトコルID: IKE、spiサイズ： 0、タイプ： NAT_DETECTION_SOURCE_IP *Nov 11 19:30:34.814: IKEv2:Parse Notify Payload: NAT_DETECTION_DESTINATION_IP NOTIFY(NAT_DETECTION_DESTINATION_IP)次のペイロード：なし、予約済み：0x0、長さ：28 セキュリティプロトコルID: IKE、spiサイズ： 0、タイプ： NAT_DETECTION_DESTINATION_IP		応答側がピア用の SA の作成を開始します。
	11月11日19:30:34.814: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD 5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: IDLE Event:EV_RECV_INIT* 11月11日19:30:34.814: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5SA A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_INITイベント：EV_VERIFY_MSG* 11月11日19:30:34.814: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5SA A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_INITイベント：EV_INSERT_SA* 11月11日19:30:34.814: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_INITイベント：EV_GET_IKE_POLICY* 11月11日19:30:34.814:IKEv2:Adding Proposal default to toolkit policy 11月11日19:30:34.814: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5SA A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_INITイベント：EV_PROC_MSG Nov 11 19:30:34.814: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5SA A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_INITイベント： EV_DETECT_NAT 11月11日19:30:34.814:IKEv2:(SA ID = 1):Process NAT discovery notify 11月11日19:30:34.814:IKEv2:(SA ID = 1):Processing nat detect src notify 11月11日19:30:34.814:IKEv2:(SA ID = 1)：リモートアドレスの一致 11月11日19:30:34.814:IKEv2:(SA ID = 1):Processing nat detect dst notify Nov 11 19:30:34.814: IKEv2:(SA ID = 1)：ローカルアドレスの一致 Nov 11 19:30:34.814: IKEv2:(SA ID = 1):NATが見つかりません Nov 11 19:30:34.814: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_INITイベント： EV_CHK_CONFIG_MODE Nov 11 19:30:34.814: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INITイベント： EV_SET_POLICY 11月11日19:30:34.814:IKEv2:(SA ID = 1):設定済みポリシーの設定 Nov 11 19:30:34.814: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A55 9F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INITイベント： EV_CHK_AUTH4PKI Nov 11 19:30:34.814: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A55 9F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INITイベント： EV_PKI_SESH_OPEN 11月11日19:30:34.814:IKEv2:(SA ID = 1):PKIセッションの開始 Nov 11 19:30:34.815: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A55 9F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT Event:EV_GEN_DH_KEY Nov 11 19:30:34.815: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INITイベント： EV_NO_EVENT Nov 11 19:30:34.815: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0F b R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INITイベント：EV_OK_RECD_DH_PUBKEY_RESP 11月11日19:30:34.815:IKEv2:(SA ID = 1)：アクション： Action_Null Nov 11 19:30:34.815: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A55 9F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT Event:EV_GEN_DH_SECRET Nov 11 19:30:34.822: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INITイベント： EV_NO_EVENT 11月11日19:30:34.822: IKEv2:% Getting preshared key by address 10.0.0.1 11月11日19:30:34.822:IKEv2:Adding Proposal default to toolkit policy Nov 11 19:30:34.822: IKEv2:(2): Choosing IKE profile IKEV2-SETUP Nov 11 19:30:34.822: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0F B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INITイベント： EV_OK_RECD_DH_SECRET_RESP 11月11日19:30:34.822:IKEv2:(SA ID = 1):Action: Action_Null Nov 11 19:30:34.822: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A5 9F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT Event:EV_GEN_SKEYID* 11月11日19:30:34.822:IKEv2:(SA ID = 1):skeyidを生成* Nov 11 19:30:34.822: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A5 9F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INITイベント： EV_GET_CONFIG_MODE Nov 11 19:30:34.822: IKEv2:IKEv2レスポンダ – IKE_SA_INIT交換で送信する構成データがありません Nov 11 19:30:34.822:IKEv2:No config data to send to toolkit: Nov 11 19:30:34.822: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INITイベント： EV_BLD_MSG 11月11日19:30:34.822:IKEv2:Construct Vendor Specific Payload:DELETE-REASON 11月11日19:30:34.822:IKEv2:Construct Vendor Specific Payload:(CUSTOM) Nov 11 19:30:34.822: IKEv2:Construct Notify Payload: NAT_DETECTION_SOURCE_IP Nov 11 19:30:34.822: IKEv2:Construct Notify Payload: NAT_DETECTION_DESTINATION_IP *Nov 11 19:30:34.822: IKEv2:Construct Notify Payload: HTTP_CERT_LOOKUP_SUPPORTED		応答側はIKE_INITメッセージを確認して処理します。(1)発信側が提示した暗号スイートを選択し、(2)独自のDH秘密キーを計算し、(3)skeyid値を計算します。この値から、このIKE_SAに対するすべてのキーを導出できます。その後に送信されるすべてのメッセージのヘッダーを除くすべてのメッセージが暗号化され、認証されます。暗号化と整合性の保護に使用されるキーはSKEYIDから導出され、SK_e（暗号化）、SK_a（認証）、SK_dが導出されてCHILD_SAのキー関連情報の導出に使用され、各方向に対して個別のSK_eおよびSK_aが計算されます。関連コンフィギュレーション `crypto ikev2 proposal PHASE1-prop encryption 3des aes-cbc-128 integrity sha1 group 2 crypto ikev2 keyring KEYRNG peer peer2 address 10.0.0.1 255.255.255.0 hostname host2 pre-shared-key local cisco pre-shared-key remote cisco`
	Nov 11 19:30:34.822: IKEv2:(SA ID = 1)：次のペイロード： SA、バージョン： 2.0交換の種類： IKE_SA_INIT、フラグ： RESPONDER MSG-RESPONSEメッセージID: 0、長さ： 449 Payload contents: SA（セキュリティアソシエーション）*の次のペイロード：KE、予約済み：0x0、長さ：48 最後のプロポーザル：0x0、予約済み：0x0、長さ：44 プロポーザル：1、プロトコルID:IKE、SPIサイズ：0、#trans:4最後のトランスフォーム：0x3、予約済み：0x0：長さ：12 タイプ：1、予約済み：0x0、id:AES-CBC 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：2、予約済み：0x0、ID:SHA1 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:SHA96 最後のトランスフォーム： 0x0、予約済み： 0x0：長さ： 8 タイプ：4、予約済み：0x0、ID:DH_GROUP_1024_MODP/Group 2 KE 次のペイロード：N、予約済み：0x0、長さ：136 DHグループ：2、予約済み：0x0 N次のペイロード：VID、予約済み：0x0、長さ：24 VID次ペイロード：VID、予約済み：0x0、長さ：23 VID次ペイロード：NOTIFY、予約済み：0x0、長さ：21 NOTIFY(NAT_DETECTION_SOURCE_IP)次のペイロード：NOTIFY、予約済み：0x0、長さ：28 セキュリティプロトコルID: IKE、spiサイズ： 0、タイプ： NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_DESTINATION_IP)次のペイロード：CERTREQ、予約済み：0x0、長さ：28 セキュリティプロトコルID: IKE、spiサイズ： 0、タイプ： NAT_DETECTION_DESTINATION_IP CERTREQ次のペイロード：NOTIFY、予約済み：0x0、長さ：105 Cert encoding Hash and URL of PKIX NOTIFY(HTTP_CERT_LOOKUP_SUPPORTED)次のペイロード：なし、予約済み：0x0、長さ：8 セキュリティプロトコルID: IKE、spiサイズ： 0、タイプ： HTTP_CERT_LOOKUP_SUPPORTED		ルータ 2 は、ASA1 が受け取る IKE_SA_INIT 交換の応答側メッセージを作成します。このパケットには、ISAKMPヘッダー（SPI/バージョン/フラグ）、SAr1（IKEの応答側が選択する暗号化アルゴリズム）、KEr（応答側のDH公開キー値）、および応答側のナンスが含まれます。
	Nov 11 19:30:34.822: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: INIT_DONEイベント： EV_DONE 11月11日19:30:34.822:IKEv2:(SA ID = 1):Cisco DeleteReason Notifyが有効 Nov 11 19:30:34.822: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A a59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: INIT_DONEイベント： EV_CHK4_ROLE 11月11日19:30:34.822: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: INIT_DONE Event:EV_START_TMR Nov 11 19:30:34.822: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_WAIT_AUTHイベント： EV_NO_EVENT 11月11日19:30:34.822:IKEv2:New ikev2 sa request admitted Nov 11 19:30:34.822: IKEv2:Incrementing outgoing negotiating sa count by one*		ルータ 2 は、ルータ 1 に応答側のメッセージを送信します。
<------------------------------- 応答側が IKE_INIT_SA を送信---------------------------
ルータ 1 は、ルータ 2 からの IKE_SA_INIT 応答パケットを受信します。	11月11日19:30:34.823: IKEv2:Got a packet from dispatcher 11月11日19:30:34.823: IKEv2:Got a packet from dispatcher *11月11日19:30:34.823:IKEv2:PAKキューからの項目の処理	I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: INIT_DONE Event:EV_START_TMR.	応答側は認証プロセスのタイマーを開始します。
ルータ1は応答を確認して処理します。(1)発信側のDH秘密キーが計算され、(2)発信側のskeyidも生成されます。	Nov 11 19:30:34.823: IKEv2:(SA ID = 1)：次のペイロード： SA、バージョン： 2.0交換の種類： IKE_SA_INIT、フラグ： RESPONDER MSG-RESPONSEメッセージID: 0、長さ： 449 Payload contents: SA（セキュリティアソシエーション）の次のペイロード：KE、予約済み：0x0、長さ：48 最後のプロポーザル：0x0、予約済み：0x0、長さ：44 プロポーザル：1、プロトコルID:IKE、SPIサイズ：0、#trans:4最後のトランスフォーム：0x3、予約済み：0x0：長さ：12 タイプ：1、予約済み：0x0、id:AES-CBC 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：2、予約済み：0x0、ID:SHA1 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:SHA96 最後のトランスフォーム： 0x0、予約済み： 0x0：長さ： 8 タイプ：4、予約済み：0x0、ID:DH_GROUP_1024_MODP/Group 2 KE 次のペイロード：N、予約済み：0x0、長さ：136 DHグループ：2、予約済み：0x0 N次のペイロード：VID、予約済み：0x0、長さ：24 Nov 11 19:30:34.823: IKEv2:Parse Vendor Specific Payload: CISCO-DELETE-REASON VID Next payload: VID, reserved: 0x0, length: 23 11月11日19:30:34.823: IKEv2:Parse Vendor Specific Payload: (CUSTOM) VID Next payload: NOTIFY, reserved: 0x0, length: 21 Nov 11 19:30:34.823: IKEv2:Parse Notify Payload: NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_SOURCE_IP)次のペイロード： NOTIFY、予約済み： 0x0、長さ： 28 セキュリティプロトコルID: IKE、spiサイズ： 0、タイプ： NAT_DETECTION_SOURCE_IP Nov 11 19:30:34.824: IKEv2:Parse Notify Payload: NAT_DETECTION_DESTINATION_IP NOTIFY(NAT_DETECTION_DESTINATION_IP)次のペイロード： CERTREQ、予約済み： 0x0、長さ： 28 セキュリティプロトコルID: IKE、spiサイズ： 0、タイプ： NAT_DETECTION_DESTINATION_IP CERTREQ次のペイロード：NOTIFY、予約済み：0x0、長さ：105 Cert encoding Hash and URL of PKIX Nov 11 19:30:34.824: IKEv2:Parse Notify Payload: HTTP_CERT_LOOKUP_SUPPORTED NOTIFY(HTTP_CERT_LOOKUP_SUPPORTED)次のペイロード：なし、予約： 0x0、長さ： 8 セキュリティプロトコルID: IKE、spiサイズ： 0、タイプ： HTTP_CERT_LOOKUP_SUPPORTED Nov 11 19:30:34.824: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_WAIT_INITイベント： EV_RECV_INIT Nov 11 19:30:34.824: IKEv2:(SA ID = 1):Processing IKE_SA_INIT message Nov 11 19:30:34.824: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_PROC_INITイベント： EV_CHK4_NOTIFY Nov 11 19:30:34.824: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_PROC_INITイベント： EV_VERIFY_MSG Nov 11 19:30:34.824: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_PROC_INITイベント： EV_PROC_MSG Nov 11 19:30:34.824: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_PROC_INITイベント： EV_DETECT_NAT 11月11日19:30:34.824:IKEv2:(SA ID = 1):Process NAT discovery notify 11月11日19:30:34.824:IKEv2:(SA ID = 1):Processing nat detect src notify Nov 11 19:30:34.824: IKEv2:(SA ID = 1)：リモートアドレスの一致 11月11日19:30:34.824:IKEv2:(SA ID = 1):Processing nat detect dst notify Nov 11 19:30:34.824: IKEv2:(SA ID = 1)：ローカルアドレスの一致 Nov 11 19:30:34.824: IKEv2:(SA ID = 1):NATが見つかりません Nov 11 19:30:34.824: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A5 9F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_PROC_INITイベント： EV_CHK_NAT_T Nov 11 19:30:34.824: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A5 9F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_PROC_INITイベント： EV_CHK_CONFIG_MODE Nov 11 19:30:34.824: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: INIT_DONEイベント：EV_GEN_DH_SECRET* Nov 11 19:30:34.831: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5SA A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: INIT_DONEイベント： EV_NO_EVENT Nov 11 19:30:34.831: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59A f0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: INIT_DONEイベント： EV_OK_RECD_DH_SECRET_RESP 11月11日19:30:34.831:IKEv2:(SA ID = 1)：アクション： Action_Null 11月11日19:30:34.831: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: INIT_DONEイベント：EV_GEN_SKEYID 11月11日19:30:34.831:IKEv2:(SA ID = 1):skeyidを生成* Nov 11 19:30:34.831: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: INIT_DONEイベント： EV_DONE 11月11日19:30:34.831:IKEv2:(SA ID = 1):Cisco DeleteReason Notifyが有効 Nov 11 19:30:34.831: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A a59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: INIT_DONEイベント： EV_CHK4_ROLE Nov 11 19:30:34.831: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A5 9F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_BLD_AUTHイベント： EV_GET_CONFIG_MODE 11月11日19:30:34.831:IKEv2:Sending config data to toolkit Nov 11 19:30:34.831: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_BLD_AUTHイベント： EV_CHK_EAP
発信側は IKE_AUTH 交換を開始し、認証ペイロードを生成します。IKE_AUTHパケットには、ISAKMPヘッダー（SPI/バージョン/フラグ）、IDi（発信側ID）、AUTHペイロード、SAi2（IKEv1のフェーズ2トランスフォームセット交換に類似したSAを開始）、TSiおよびTSr（発信側および応答側トラフィックセレクタ）が含まれます。これらには、暗号化されたトラフィックを送受信するための発信側と応答側の送信元アドレスと宛先アドレスがそれぞれ含まれています。このアドレス範囲は、宛先および送信元がこの範囲内であるすべてのトラフィックをトンネルすることを指定します。提案が応答側で受け入れ可能な場合、応答側は同一の TS ペイロードを送り返します。トリガーパケットと一致する proxy_ID ペア用に最初の CHILD_SA が作成されます。関連コンフィギュレーション `crypto ipsec transform-set TS esp-3des esp-sha-hmac crypto ipsec profile phse2-prof set transform-set TS set ikev2-profile IKEV2-SETUP`	Nov 11 19:30:34.831: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_BLD_AUTHイベント：EV_GEN_AUTH* Nov 11 19:30:34.831: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A55 9F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_BLD_AUTHイベント： EV_CHK_AUTH_TYPE Nov 11 19:30:34.831: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A5 9F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_BLD_AUTHイベント： EV_OK_AUTH_GEN Nov 11 19:30:34.831: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_BLD_AUTHイベント： EV_SEND_AUTH 11月11日19:30:34.831:IKEv2:Construct Vendor Specific Payload:CISCO-GRANITE 11月11日19:30:34.831: IKEv2:Construct Notify Payload: INITIAL_CONTACT 11月11日19:30:34.831: IKEv2:Construct Notify Payload: SET_WINDOW_SIZE 11月11日19:30:34.831: IKEv2:Construct Notify Payload: ESP_TFC_NO_SUPPORT 11月11日19:30:34.831: IKEv2:Construct Notify Payload: NON_FIRST_FRAGS Payload contents: VID次ペイロード：IDi、予約済み：0x0、長さ：20 IDi：次のペイロード：AUTH、予約済み：0x0、長さ：12 Idタイプ：IPv4アドレス、予約済み： 0x0 0x0 AUTH：次のペイロード：CFG、予約済み：0x0、長さ：28 認証方法PSK、予約済み： 0x0、予約済み0x0 CFG の次のペイロード：SA、予約済み：0x0、長さ：309 cfgタイプ：CFG_REQUEST、予約済み：0x0、予約済み：0x0 11月11日19:30:34.831:SA次ペイロード：TSi、予約済み：0x0、長さ：40 最後のプロポーザル：0x0、予約済み：0x0、長さ：36 プロポーザル：1、プロトコルID:ESP、SPIサイズ：4、#trans:3最後のトランスフォーム：0x3、予約済み：0x0：長さ：8 タイプ：1、予約済み：0x0、ID:3DES 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:SHA96 最後のトランスフォーム： 0x0、予約済み： 0x0：長さ： 8 タイプ：5、予約済み：0x0、ID:ESNを使用しない TSi次のペイロード：TSr、予約済み：0x0、長さ：24 TSの数：1、予約済み0x0、予約済み0x0 TSタイプ： TS_IPV4_ADDR_RANGE、プロトコルID: 0、長さ： 16 開始ポート：0、終了ポート：65535 開始アドレス： 0.0.0.0、終了アドレス： 255.255.255.255 TSr* 次のペイロード：NOTIFY、予約済み：0x0、長さ：24 TSの数：1、予約済み0x0、予約済み0x0 TSタイプ： TS_IPV4_ADDR_RANGE、プロトコルID: 0、長さ： 16 開始ポート：0、終了ポート：65535 開始アドレス： 0.0.0.0、終了アドレス： 255.255.255.255 NOTIFY(INITIAL_CONTACT)次のペイロード：NOTIFY、予約済み：0x0、長さ：8 セキュリティプロトコルID: IKE、spiサイズ： 0、タイプ： INITIAL_CONTACT NOTIFY(SET_WINDOW_SIZE)次のペイロード： NOTIFY、予約済み： 0x0、長さ： 12 セキュリティプロトコルID: IKE、spi size: 0、型： SET_WINDOW_SIZE NOTIFY(ESP_TFC_NO_SUPPORT)次のペイロード： NOTIFY、予約済み： 0x0、長さ： 8 セキュリティプロトコルID: IKE、spiサイズ： 0、タイプ： ESP_TFC_NO_SUPPORT NOTIFY(NON_FIRST_FRAGS)次のペイロード：なし、予約済み：0x0、長さ：8 セキュリティプロトコルID: IKE、spiサイズ： 0、タイプ： NON_FIRST_FRAGS Nov 11 19:30:34.832: IKEv2:(SA ID = 1)：次のペイロード： ENCR、バージョン： 2.0交換タイプ： IKE_AUTH、フラグ：発信側メッセージID:1、長さ： 556 Payload contents: ENCR次ペイロード：VID、予約済み：0x0、長さ：528 Nov 11 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0F b R_SPI=F94020DD8CB4B9C4 (I) MsgID = 000000001 CurState: I_WAIT_AUTHイベント： EV_NO_EVENT
-------------------------------------発信側が IKE_AUTH を送信 ----------------------------->
	11月11日19:30:34.832: IKEv2:Got a packet from dispatcher 11月11日19:30:34.832:IKEv2:PAKキューからの項目の処理 Nov 11 19:30:34.832: IKEv2:(SA ID = 1)：要求にmess_id 1があります。予期される値は1 ～ 1です。 11月11日19:30:34.832: IKEv2:(SA ID = 1)：次のペイロード：ENCR、バージョン： 2.0交換タイプ： IKE_AUTH、フラグ： INITIATORメッセージID:1、長さ： 556 Payload contents: 11月11日19:30:34.832: IKEv2:Parse Vendor Specific Payload: (CUSTOM) VID Next payload: IDi, reserved: 0x0, length: 20 IDi：次のペイロード：AUTH、予約済み：0x0、長さ：12 Idタイプ：IPv4アドレス、予約済み： 0x0 0x0 AUTH* Next payload:CFG、予約済み：0x0、長さ：28 認証方法PSK、予約済み： 0x0、予約済み0x0 CFG：次のペイロード：SA、予約済み：0x0、長さ：309 cfgタイプ：CFG_REQUEST、予約済み：0x0、予約済み：0x0 11月11日19:30:34.832: attrib type: internal IP4 DNS, length: 0 11月11日19:30:34.832: attrib type: internal IP4 DNS, length: 0 11月11日19:30:34.832:attrib type: internal IP4 NBNS, length: 0 11月11日19:30:34.832:attrib type: internal IP4 NBNS, length: 0 11月11日19:30:34.832:attrib type: internal IP4 subnet, length: 0 11月11日19:30:34.832:attrib type: application version, length: 257 属性タイプ：不明 – 28675、長さ： 0 11月11日19:30:34.832:attrib type: Unknown - 28672, length: 0 11月11日19:30:34.832:attrib type: Unknown - 28692, length: 0 11月11日19:30:34.832:attrib type: Unknown - 28681, length: 0 11月11日19:30:34.832:attrib type: Unknown - 28674, length: 0 11月11日19:30:34.832:SA次のペイロード：TSi、予約済み：0x0、長さ：40 最後のプロポーザル：0x0、予約済み：0x0、長さ：36 プロポーザル：1、プロトコルID:ESP、SPIサイズ：4、#trans:3最後のトランスフォーム：0x3、予約済み：0x0：長さ：8 タイプ：1、予約済み：0x0、ID:3DES 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:SHA96 最後のトランスフォーム： 0x0、予約済み： 0x0：長さ： 8 タイプ：5、予約済み：0x0、ID:ESNを使用しない TSi次のペイロード：TSr、予約済み：0x0、長さ：24 TSの数：1、予約済み0x0、予約済み0x0 TSタイプ： TS_IPV4_ADDR_RANGE、プロトコルID: 0、長さ： 16 開始ポート：0、終了ポート：65535 開始アドレス： 0.0.0.0、終了アドレス： 255.255.255.255 TSr*次のペイロード：NOTIFY、予約済み：0x0、長さ：24 TSの数：1、予約済み0x0、予約済み0x0 TSタイプ： TS_IPV4_ADDR_RANGE、プロトコルID: 0、長さ： 16 開始ポート：0、終了ポート：65535 開始アドレス： 0.0.0.0、終了アドレス： 255.255.255.255		ルータ 2 はルータ 1 から受信した認証データを確認します。関連コンフィギュレーション： crypto ipsec ikev2 ipsec-proposal AES256 protocol esp encryption aes-256 protocol esp integrity sha-1 md5
	Nov 11 19:30:34.832: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTHイベント： EV_RECV_AUTH Nov 11 19:30:34.832: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A5 9F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTHイベント： EV_CHK_NAT_T Nov 11 19:30:34.832: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTHイベント： EV_PROC_ID Nov 11 19:30:34.832: IKEv2:(SA ID = 1)：プロセスIDで有効なパラメータを受信しました Nov 11 19:30:34.832: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTH Event:_EV chk_IF_PEER_CERT_NEEDS_TO_BE_FETCHED_FOR_PROF_SEL Nov 11 19:30:34.832: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59A f0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTHイベント： EV_GET_POLICY_BY_PEERID Nov 11 19:30:34.833: IKEv2:(1): Choosing IKE profile IKEV2-SETUP 11月11日19:30:34.833: IKEv2:% Getting preshared key by address 10.0.0.1 11月11日19:30:34.833: IKEv2:% Getting preshared key by address 10.0.0.1 11月11日19:30:34.833:IKEv2:Adding Proposal default to toolkit policy Nov 11 19:30:34.833: IKEv2:(SA ID = 1):IKEv2プロファイル「IKEV2-SETUP」を使用 Nov 11 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTHイベント： EV_SET_POLICY 11月11日19:30:34.833:IKEv2:(SA ID = 1)：設定済みポリシーの設定 Nov 11 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59A f0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTHイベント： EV_VERIFY_POLICY_BY_PEERID Nov 11 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A5 9F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTHイベント： EV_CHK_AUTH4EAP Nov 11 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A5 9F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTHイベント： EV_CHK_POLREQEAP Nov 11 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A5 9F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTHイベント： EV_CHK_AUTH_TYPE Nov 11 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A55 9F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTHイベント： EV_GET_PRESHR_KEY Nov 11 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTHイベント： EV_VERIFY_AUTH Nov 11 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTHイベント： EV_CHK4_IC Nov 11 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTHイベント： EV_CHK_REDIRECT Nov 11 19:30:34.833: IKEv2:(SA ID = 1)：リダイレクトチェックは不要です。スキップします。 Nov 11 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A5 9F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTHイベント： EV_NOTIFY_AUTH_DONE Nov 11 19:30:34.833:IKEv2:AAAグループ許可が設定されていない 11月11日19:30:34.833:IKEv2:AAAユーザ許可が設定されていない Nov 11 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A5 9F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTHイベント： EV_CHK_CONFIG_MODE Nov 11 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59 F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTHイベント： EV_SET_RECD_CONFIG_MODE 11月11日19:30:34.833:IKEv2:Received config data from toolkit: Nov 11 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A5 9F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTHイベント： EV_PROC_SA_TS Nov 11 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A5 9F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTHイベント： EV_GET_CONFIG_MODE 11月11日19:30:34.833:IKEv2:Error constructing config reply 11月11日19:30:34.833:IKEv2:No config data to send to toolkit: Nov 11 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A5 9F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_BLD_AUTHイベント： EV_MY_AUTH_METHOD Nov 11 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A55 9F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_BLD_AUTHイベント： EV_GET_PRESHR_KEY Nov 11 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_BLD_AUTHイベント： EV_GEN_AUTH Nov 11 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_BLD_AUTHイベント： EV_CHK4_SIGN Nov 11 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A5 9F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_BLD_AUTHイベント： EV_OK_AUTH_GEN Nov 11 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_BLD_AUTHイベント： EV_SEND_AUTH 11月11日19:30:34.833:IKEv2:Construct Vendor Specific Payload:CISCO-GRANITE 11月11日19:30:34.833: IKEv2:Construct Notify Payload: SET_WINDOW_SIZE 11月11日19:30:34.833: IKEv2:Construct Notify Payload: ESP_TFC_NO_SUPPORT 11月11日19:30:34.833: IKEv2:Construct Notify Payload: NON_FIRST_FRAGS		ルータ 2 はルータ 1 から受信した IKE_AUTH パケットの応答を作成します。この応答パケットには、ISAKMPヘッダー（SPI/バージョン/フラグ）、IDr（応答側のID）、AUTHペイロード、SAr2（IKEv1のフェーズ2トランスフォームセット交換に類似したSAを開始）、TSiおよびTSr（発信側および応答側のトラフィックセレクタ）が含まれます。これらには、暗号化されたトラフィックを送受信するための発信側と応答側の送信元アドレスと宛先アドレスがそれぞれ含まれています。このアドレス範囲は、宛先および送信元がこの範囲内であるすべてのトラフィックをトンネルすることを指定します。これらのパラメータは ASA1 が受信したパラメータと同一です。
	Nov 11 19:30:34.833: IKEv2:(SA ID = 1)：次のペイロード： ENCR、バージョン： 2.0交換の種類： IKE_AUTH、フラグ： RESPONDER MSG-RESPONSEメッセージID: 1、長さ： 252 Payload contents: ENCR次のペイロード：VID、予約済み：0x0、長さ：224 Nov 11 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: AUTH_DONEイベント： EV_OK 11月11日19:30:34.833:IKEv2:(SA ID = 1)：アクション： Action_Null Nov 11 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: AUTH_DONEイベント： EV_PKI_SESH_CLOSE 11月11日19:30:34.833:IKEv2:(SA ID = 1):PKIセッションの終了 Nov 11 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: AUTH_DONEイベント： EV_UPDATE_CAC_STATS Nov 11 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A a59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: AUTH_DONEイベント：EV_INSERT_IKE* 11月11日19:30:34.834: IKEv2:Store mib index ikev2 1、プラットフォーム60 Nov 11 19:30:34.834: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: AUTH_DONEイベント： EV_GEN_LOAD_IPSEC 11月11日19:30:34.834:IKEv2:(SA ID = 1)：非同期要求キュー 11月11日19:30:34.834: IKEv2:(SA ID = 1): 11月11日19:30:34.834: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: AUTH_DONE*イベント： EV_NO_EVENT		応答側は IKE_AUTH の応答を送信します。
<------------------------------------ 応答側が IKE_AUTH を送信----------------------------
発信側が応答側からの応答を受信します。	11月11日19:30:34.834: IKEv2:Got a packet from dispatcher 11月11日19:30:34.834:IKEv2:PAKキューからの項目の処理	Nov 11 19:30:34.840: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A55 9F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: AUTH_DONEイベント： EV_OK_RECD_LOAD_IPSEC 11月11日19:30:34.840:IKEv2:(SA ID = 1)：アクション：Action_Null Nov 11 19:30:34.840: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A a59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: AUTH_DONEイベント： EV_START_ACCT Nov 11 19:30:34.840: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A a59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: AUTH_DONEイベント： EV_CHECK_DUPE *Nov 11 19:30:34.840: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A a59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: AUTH_DONEイベント： EV_CHK4_ROLE	応答側はエントリを SAD に追加します。
ルータ 1 はこのパケットの認証データを確認して処理します。その後、ルータ 1 はこの SA を SAD に追加します。	Nov 11 19:30:34.834: IKEv2:(SA ID = 1)：次のペイロード： ENCR、バージョン： 2.0交換タイプ： IKE_AUTH、フラグ： RESPONDER MSG-RESPONSEメッセージID: 1、長さ： 252 Payload contents:* 11月11日19:30:34.834: IKEv2:Parse Vendor Specific Payload: (CUSTOM) VID Next payload: IDr., reserved: 0x0, length: 20 IDr：次のペイロード：AUTH、予約済み：0x0、長さ：12 Idタイプ：IPv4アドレス、予約済み： 0x0 0x0 AUTH：次のペイロード：SA、予約済み：0x0、長さ：28 認証方法PSK、予約済み： 0x0、予約済み0x0 SA：次のペイロード：TSi、予約済み：0x0、長さ：40 最後のプロポーザル：0x0、予約済み：0x0、長さ：36 プロポーザル：1、プロトコルID:ESP、SPIサイズ：4、#trans:3最後のトランスフォーム：0x3、予約済み：0x0：長さ：8 タイプ：1、予約済み：0x0、ID:3DES 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:SHA96 最後のトランスフォーム： 0x0、予約済み： 0x0：長さ： 8 タイプ：5、予約済み：0x0、ID:ESNを使用しない TSi次のペイロード：TSr、予約済み：0x0、長さ：24 TSの数：1、予約済み0x0、予約済み0x0 TSタイプ： TS_IPV4_ADDR_RANGE、プロトコルID: 0、長さ： 16 開始ポート：0、終了ポート：65535 開始アドレス： 0.0.0.0、終了アドレス： 255.255.255.255 TSr次のペイロード：NOTIFY、予約済み：0x0、長さ：24 TSの数：1、予約済み0x0、予約済み0x0 TSタイプ： TS_IPV4_ADDR_RANGE、プロトコルID: 0、長さ： 16 開始ポート：0、終了ポート：65535 開始アドレス： 0.0.0.0、終了アドレス： 255.255.255.255 Nov 11 19:30:34.834: IKEv2:Parse Notify Payload: SET_WINDOW_SIZE NOTIFY(SET_WINDOW_SIZE)次のpayload: NOTIFY, reserved: 0x0, length: 12 セキュリティプロトコルID: IKE、spi size: 0、型： SET_WINDOW_SIZE Nov 11 19:30:34.834: IKEv2:Parse Notify Payload: ESP_TFC_NO_SUPPORT NOTIFY(ESP_TFC_NO_SUPPORT)次のペイロード： NOTIFY、予約済み： 0x0、長さ： 8 セキュリティプロトコルID: IKE、spiサイズ： 0、タイプ： ESP_TFC_NO_SUPPORT Nov 11 19:30:34.834: IKEv2:Parse Notify Payload: NON_FIRST_FRAGS NOTIFY(NON_FIRST_FRAGS)次のpayload: NONE, reserved: 0x0, length: 8 セキュリティプロトコルID: IKE、spiサイズ： 0、タイプ： NON_FIRST_FRAGS Nov 11 19:30:34.834: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_WAIT_AUTHイベント：EV_RECV_AUTH* 11月11日19:30:34.834:IKEv2:(SA ID = 1)：アクション： Action_Null Nov 11 19:30:34.834: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTHイベント： EV_CHK4_NOTIFY 11月11日19:30:34.834: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTHイベント：EV_PROC_MSG* Nov 11 19:30:34.834: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH Event:_EV chk_IF_PEER_CERT_NEEDS_TO_BE_FETCHED_FOR_PROF_SEL Nov 11 19:30:34.834: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59A f0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTHイベント： EV_GET_POLICY_BY_PEERID 11月11日19:30:34.834:IKEv2:Adding Proposal PHASE1-prop to toolkit policy Nov 11 19:30:34.834: IKEv2:(SA ID = 1):IKEv2プロファイル「IKEV2-SETUP」を使用 Nov 11 19:30:34.834: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59A f0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTHイベント： EV_VERIFY_POLICY_BY_PEERID Nov 11 19:30:34.834: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A5 9F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTHイベント： EV_CHK_AUTH_TYPE Nov 11 19:30:34.834: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A55 9F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTHイベント： EV_GET_PRESHR_KEY 11月11日19:30:34.835: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTHイベント：EV_VERIFY_AUTH Nov 11 19:30:34.835: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTHイベント： EV_CHK_EAP Nov 11 19:30:34.835: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A5 9F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH Event:EV_NOTIFY_AUTH_DONE 11月11日19:30:34.835:IKEv2:AAAグループ許可が設定されていない 11月11日19:30:34.835:IKEv2:AAAユーザ許可が設定されていない Nov 11 19:30:34.835: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A5 9F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTHイベント： EV_CHK_CONFIG_MODE Nov 11 19:30:34.835: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTHイベント： EV_CHK4_IC Nov 11 19:30:34.835: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A5 9F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTHイベント： EV_CHK_IKE_ONLY Nov 11 19:30:34.835: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A5 9F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTHイベント： EV_PROC_SA_TS Nov 11 19:30:34.835: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: AUTH_DONEイベント： EV_OK 11月11日19:30:34.835:IKEv2:(SA ID = 1)：アクション： Action_Null Nov 11 19:30:34.835: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: AUTH_DONEイベント： EV_PKI_SESH_CLOSE 11月11日19:30:34.835:IKEv2:(SA ID = 1):PKIセッションの終了 Nov 11 19:30:34.835: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: AUTH_DONEイベント： EV_UPDATE_CAC_STATS Nov 11 19:30:34.835: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5SA A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: AUTH_DONEイベント： EV_INSERT_IKE 11月11日19:30:34.835: IKEv2:Store mib index ikev2 1、プラットフォーム60 Nov 11 19:30:34.835: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: AUTH_DONEイベント： EV_GEN_LOAD_IPSEC 11月11日19:30:34.835:IKEv2:(SA ID = 1)：非同期要求キュー 11月11日19:30:34.835: IKEv2:(SA ID = 1): Nov 11 19:30:34.835: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5SA A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: AUTH_DONEイベント： EV_NO_EVENT 11月11日19:30:34.835:IKEv2:KMIメッセージ8を使用No action taken. 11月11日19:30:34.835:IKEv2:KMIメッセージ12が使用されました。No action taken. 11月11日19:30:34.835:IKEv2:No data to send in mode config set. 11月11日19:30:34.841:IKEv2：セッション8のSPI 0x9506D414に関連付けられたIDENTハンドル0x80000002の追加 Nov 11 19:30:34.841: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A55 9F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: AUTH_DONEイベント： EV_OK_RECD_LOAD_IPSEC 11月11日19:30:34.841:IKEv2:(SA ID = 1)：アクション： Action_Null Nov 11 19:30:34.841: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A a59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: AUTH_DONEイベント： EV_START_ACCT 11月11日19:30:34.841:IKEv2:(SA ID = 1)：アカウンティング不要 Nov 11 19:30:34.841: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A a59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: AUTH_DONEイベント： EV_CHECK_DUPE Nov 11 19:30:34.841: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: AUTH_DONE*イベント： EV_CHK4_ROLE
発信側でトンネルがアップし、ステータスに [READY] と表示されます。	11月11日19:30:34.841: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A 59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: READYEvent: EV_CHK_IKE_ONLY Nov 11 19:30:34.841: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: READY Event: EV_I_OK	11月11日19:30:34.840: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD f5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: READYイベント： EV_R_OK Nov 11 19:30:34.840: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: READY Event: EV_NO_EVENT	応答側でトンネルがアップします。応答側のトンネルは通常発信側よりも先に開始されます。

CHILD_SA のデバッグ

この交換は 1 組の要求と応答から成り、IKEv1 ではフェーズ 2 の交換と呼ばれていました。最初の交換が完了した後、IKE_SAのどちらの端からでも開始できます。

ルータ 1 の CHILD_SA メッセージの説明	デバッグ	ルータ 2 の CHILD_SA メッセージの説明
ルータ 1 が CHILD_SA 交換を開始します。これは CREATE_CHILD_SA 要求です。CHILD_SA パケットには一般的に次が含まれます。 SA HDR（バージョン、フラグ、交換タイプ）ナンスNi（オプション）:CHILD_SAが最初の交換の一部として作成される場合、2番目のKEペイロードとナンスは送信されません。 SA ペイロード KEi(Key-optional):CREATE_CHILD_SA要求には、CHILD_SAの転送秘密の保証をより強固にするために、追加のDH交換のKEペイロードをオプションで含めることができます。SA が別の DH グループを含めることを提案する場合、KEi は、発信側が応答側の受け入れを期待するグループの要素である必要があります。推測が正しくない場合、CREATE_CHILD_SAの交換は失敗し、別のKEiで再試行できます N（Notify ペイロード、オプション）。 Notify ペイロードは、エラー状態や状態遷移などの情報データを IKE ピアに送信するために使用されます。Notify Payloadは、応答メッセージ（通常は要求が拒否された理由を示す）、INFORMATIONAL交換（IKE要求以外のエラーを報告する）、またはその他のメッセージに表示され、送信者能力を示したり、要求の意味を変更したりできます。このCREATE_CHILD_SA交換がIKE_SA以外の既存のSAのキーを再生成する場合、REKEY_SAタイプのの先頭ペイロードがをSAであることをがです。CREATE_CHILD_SA の交換が既存の SA のキーの再生成を行わない場合、N ペイロードは省略する必要があります。	11月11日19:31:35.873: IKEv2:Got a packet from dispatcher 11月11日19:31:35.873:IKEv2:PAKキューからの項目の処理 Nov 11 19:31:35.873: IKEv2:(SA ID = 2)：要求にmess_id 3があります。3 ～ 7を予期します。 11月11日19:31:35.873:IKEv2:(SA ID = 2)：次のペイロード：ENCR、バージョン：2.0交換タイプ：CREATE_CHILD_SA、フラグ：イニシエータメッセージID:3、長さ：396 Payload contents: SA（セキュリティアソシエーション）の次のペイロード：N、予約済み：0x0、長さ：152 最終提案：0x0、予約済み：0x0、長さ：148 プロポーザル：1、プロトコルID:IKE、SPIサイズ：8、#trans:15最後のトランスフォーム：0x3、予約済み：0x0：長さ：12 タイプ：1、予約済み：0x0、id:AES-CBC 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 12 タイプ：1、予約済み：0x0、id:AES-CBC 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 12 タイプ：1、予約済み：0x0、id:AES-CBC 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：2、予約済み：0x0、id:SHA512 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：2、予約済み：0x0、id:SHA384 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：2、予約済み：0x0、id:SHA256 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：2、予約済み：0x0、ID:SHA1 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：2、予約済み：0x0、ID:MD5 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:SHA512 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:SHA384 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:SHA256 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:SHA96 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:MD596 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：4、予約済み：0x0、ID:DH_GROUP_1536_MODP/Group 5 最後のトランスフォーム： 0x0、予約済み： 0x0：長さ： 8 タイプ：4、予約済み：0x0、ID:DH_GROUP_1024_MODP/Group 2 N次のペイロード：KE、予約済み：0x0、長さ：24 KE次ペイロード：NOTIFY、予約済み：0x0、長さ：136 DHグループ：2、予約済み：0x0 Nov 11 19:31:35.874: IKEv2:Parse Notify Payload: SET_WINDOW_SIZE NOTIFY(SET_WINDOW_SIZE)次のペイロード：なし、予約済み：0x0、長さ：12 セキュリティプロトコルID: IKE、spi size: 0、型： SET_WINDOW_SIZE 11月11日19:31:35.874: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB 40DBAAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: READYイベント： EV_RECV_CREATE_CHILD 11月11日19:31:35.874:IKEv2:(SA ID = 2)：アクション： Action_Null 11月11日19:31:35.874: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DTE baaade6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_INITイベント： EV_RECV_CREATE_CHILD 11月11日19:31:35.874:IKEv2:(SA ID = 2)：アクション： Action_Null Nov 11 19:31:35.874: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_INIT Event: EV_VERIFY_MSG 11月11日19:31:35.874: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DTE baaade6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_INITイベント： EV_CHK_CC_TYPE 11月11日19:31:35.874: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40SA dbaaade6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_IKEイベント： EV_REKEY_IKESA Nov 11 19:31:35.874: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40SA dbaaade6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_IKEイベント： EV_GET_IKE_POLICY 11月11日19:31:35.874: IKEv2:% Getting preshared key by address 10.0.0.2 Nov 11 19:31:35.874: IKEv2:% Getting preshared key by address 10.0.0.2 11月11日19:31:35.874:IKEv2:Adding Proposal PHASE1-prop to toolkit policy Nov 11 19:31:35.874: IKEv2:(SA ID = 2):IKEv2プロファイル「IKEV2-SETUP」を使用 Nov 11 19:31:35.874: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_IKE Event: EV_PROC_MSG Nov 11 19:31:35.874: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_IKE Event: EV_SET_POLICY 11月11日19:31:35.874:IKEv2:(SA ID = 2):設定済みポリシーの設定 Nov 11 19:31:35.874: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAAAAAAS ade6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_BLD_MSGイベント： EV_GEN_DH_KEY 11月11日19:31:35.874: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DTE baaade6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_BLD_MSGイベント： EV_NO_EVENT Nov 11 19:31:35.874: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R _SPI=F14E2BBA78024DE3 (R) MsgID = 00000003キュー状態： CHILD_R_BLD_MSGイベント： EV_OK_RECD_DH_PUBKEY_RESP 11月11日19:31:35.874:IKEv2:(SA ID = 2)：アクション： Action_Null 11月11日19:31:35.874: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAAAAAS ade6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_BLD_MSG Event:EV_GEN_DH_SECRET* Nov 11 19:31:35.881: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DDTE baaade6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_BLD_MSGイベント： EV_NO_EVENT Nov 11 19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R _SPI=F14E2BBA78024DE3 (R) MsgID = 00000003キュー状態： CHILD_R_BLD_MSGイベント： EV_OK_RECD_DH_SECRET_RESP Nov 11 19:31:35.882: IKEv2:(SA ID = 2)：アクション： Action_Null Nov 11 19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DDTE baaade6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_BLD_MSGイベント： EV_BLD_MSG 11月11日19:31:35.882:IKEv2:ConstructNotifyペイロード: SET_WINDOW_SIZE Payload contents: SA（セキュリティアソシエーション）の次のペイロード：N、予約済み：0x0、長さ：56 最後のプロポーザル：0x0、予約済み：0x0、長さ：52 プロポーザル：1、プロトコルID:IKE、SPIサイズ：8、#trans:4最後のトランスフォーム：0x3、予約済み：0x0：長さ：12 タイプ：1、予約済み：0x0、id:AES-CBC 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：2、予約済み：0x0、ID:SHA1 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:SHA96 最後のトランスフォーム： 0x0、予約済み： 0x0：長さ： 8 タイプ：4、予約済み：0x0、ID:DH_GROUP_1024_MODP/Group 2 N次のペイロード：KE、予約済み：0x0、長さ：24 KE次ペイロード：NOTIFY、予約済み：0x0、長さ：136 DHグループ：2、予約済み：0x0 NOTIFY*(SET_WINDOW_SIZE)次のペイロード：なし、予約済み：0x0、長さ：12 セキュリティプロトコルID: IKE、spi size: 0、型： SET_WINDOW_SIZE
	Nov 11 19:31:35.869: IKEv2:(SA ID = 2)：次のペイロード： ENCR、バージョン： 2.0交換タイプ： CREATE_CHILD_SA、フラグ： INITIATORメッセージID: 2、長さ： 460 Payload contents: ENCR次ペイロード：SA、予約済み：0x0、長さ：432 Nov 11 19:31:35.873: IKEv2:Construct Notify Payload: SET_WINDOW_SIZE Payload contents: SA（セキュリティアソシエーション）の次のペイロード：N、予約済み：0x0、長さ：152 最終提案：0x0、予約済み：0x0、長さ：148 プロポーザル：1、プロトコルID:IKE、SPIサイズ：8、#trans:15最後のトランスフォーム：0x3、予約済み：0x0：長さ：12 タイプ：1、予約済み：0x0、id:AES-CBC 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 12 タイプ：1、予約済み：0x0、id:AES-CBC 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 12 タイプ：1、予約済み：0x0、id:AES-CBC 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：2、予約済み：0x0、id:SHA512 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：2、予約済み：0x0、id:SHA384 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：2、予約済み：0x0、id:SHA256 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：2、予約済み：0x0、ID:SHA1 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：2、予約済み：0x0、ID:MD5 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:SHA512 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:SHA384 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:SHA256 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:SHA96 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:MD596 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：4、予約済み：0x0、ID:DH_GROUP_1536_MODP/Group 5 最後のトランスフォーム： 0x0、予約済み： 0x0：長さ： 8 タイプ：4、予約済み：0x0、ID:DH_GROUP_1024_MODP/Group 2 N次のペイロード：KE、予約済み：0x0、長さ：24 KE 次ペイロード：NOTIFY、予約済み：0x0、長さ：136 DHグループ：2、予約済み：0x0 NOTIFY(SET_WINDOW_SIZE)次のペイロード：なし、予約済み：0x0、長さ：12 セキュリティプロトコルID: IKE、spi size: 0、型： SET_WINDOW_SIZE	このパケットをルータ 2 が受信します。
	Nov 11 19:31:35.882: IKEv2:(SA ID = 2)：次のペイロード： ENCR、バージョン： 2.0交換の種類： CREATE_CHILD_SA、フラグ： RESPONDER MSG-RESPONSEメッセージID: 3、長さ： 300 Payload contents: SA（セキュリティアソシエーション）の次のペイロード：N、予約済み：0x0、長さ：56 最後のプロポーザル：0x0、予約済み：0x0、長さ：52 プロポーザル：1、プロトコルID:IKE、SPIサイズ：8、#trans:4最後のトランスフォーム：0x3、予約済み：0x0：長さ：12 タイプ：1、予約済み：0x0、id:AES-CBC 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：2、予約済み：0x0、ID:SHA1 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:SHA96 最後のトランスフォーム： 0x0、予約済み： 0x0：長さ： 8 タイプ：4、予約済み：0x0、ID:DH_GROUP_1024_MODP/Group 2 N次のペイロード：KE、予約済み：0x0、長さ：24 KE 次ペイロード：NOTIFY、予約済み：0x0、長さ：136 DHグループ：2、予約済み：0x0 Nov 11 19:31:35.882: IKEv2:Parse Notify Payload: SET_WINDOW_SIZE NOTIFY(SET_WINDOW_SIZE)次のペイロード：なし、予約済み：0x0、長さ：12 セキュリティプロトコルID: IKE、spi size: 0、型： SET_WINDOW_SIZE 11月11日19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAAAAAS ade6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_WAITイベント： EV_RECV_CREATE_CHILD* Nov 11 19:31:35.882: IKEv2:(SA ID = 2)：アクション： Action_Null 11月11日19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DTE baaade6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_PROCイベント： EV_CHK4_NOTIFY Nov 11 19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_PROC Event: EV_VERIFY_MSG* Nov 11 19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_PROC Event: EV_PROC_MSG Nov 11 19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_PROC Event: EV_CHK4_PFS Nov 11 19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40SA dbaaade6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_PROCイベント： EV_GEN_DH_SECRET Nov 11 19:31:35.890: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_PROC Event: EV_NO_EVENT Nov 11 19:31:35.890: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE 6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_PROCイベント： EV_OK_RECD_DH_SECRET_RESP 11月11日19:31:35.890:IKEv2:(SA ID = 2)：アクション：Action_Null 11月11日19:31:35.890: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DTE baaade6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_PROCイベント： EV_CHK_IKE_REKEY Nov 11 19:31:35.890: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_PROC Event: EV_GEN_SKEYID 11月11日19:31:35.890:IKEv2:(SA ID = 2):skeyidを生成 11月11日19:31:35.890: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAAAAAAS ade6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_DONEイベント： EV_ACTIVATE_NEW_SA 11月11日19:31:35.890: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DTE baaade6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_DONEイベント： EV_UPDATE_CAC_STATS 11月11日19:31:35.890:IKEv2：新しいikev2 sa request activated Nov 11 19:31:35.890: IKEv2:Failed to decrement count for outgoing negotiating Nov 11 19:31:35.890: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_DONE Event: EV_CHECK_DUPE Nov 11 19:31:35.890: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_DONE Event: EV_OK Nov 11 19:31:35.890: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: EXITイベント： EV_CHK_PENDING 11月11日19:31:35.890:IKEv2:(SA ID = 2)：メッセージID 3で応答を処理、要求は4から8の範囲で送信可能 11月11日19:31:35.890: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAAAAAAS ade6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 000000003 CurState: EXIT Event: EV_NO_EVENT	ルータ 2 は CHILD_SA 交換の返信を作成します。これは CREATE_CHILD_SA 応答です。CHILD_SA パケットには一般的に次が含まれます。 SA HDR（バージョン、フラグ、交換タイプ）ナンスNi（オプション）:CHILD_SAが最初の交換の一部として作成される場合、2番目のKEペイロードとナンスは送信されません。 SA ペイロード KEi(Key-optional):CREATE_CHILD_SA要求には、CHILD_SAの転送秘密の保証をより強固にするために、追加のDH交換のKEペイロードをオプションで含めることができます。SA が別の DH グループを含めることを提案する場合、KEi は、発信側が応答側の受け入れを期待するグループの要素である必要があります。推測に失敗した場合、CREATE_CHILD_SA の交換は失敗し、別の KEi を使用して再試行を行う必要があります。 N(Notify payload-optional):Notifyペイロードは、エラー状態や状態遷移などの情報データをIKEピアに送信するために使用されます。Notifyペイロードは、応答メッセージ（通常は、要求が拒否された理由を示す）、情報交換（IKE要求以外のエラーを報告する）、またはその他の任意のメッセージに含まれ、送信者の機能を示したり、要求の意味を変更したりするために使用されます。この CREATE_CHILD_SA の交換が IKE_SA 以外の既存の SA のキーの再生成を行う場合、REKEY_SA タイプの先行する N ペイロードによってキーを再生成する SA を特定する必要があります。CREATE_CHILD_SA の交換が既存の SA のキーの再生成を行わない場合、N ペイロードは省略する必要があります。ルータ 2 は応答を送信し、新しい CHILD SA のアクティブ化を実行します。
ルータ 1 は、ルータ 2 から応答パケットを受信し、CHILD SA のアクティブ化を実行します。	Nov 11 19:31:35.882: IKEv2:(SA ID = 2)：次のペイロード： ENCR、バージョン： 2.0交換タイプ： CREATE_CHILD_SA、フラグ： RESPONDER MSG-RESPONSEメッセージID: 3、長さ： 300 Payload contents: ENCR次ペイロード：SA、予約済み：0x0、長さ：272 11月11日19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE de6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_BLD_MSG Event:EV_CHK_IKE_REKEY Nov 11 19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAS aade6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_BLD_MSGイベント： EV_GEN_SKEYID 11月11日19:31:35.882:IKEv2:(SA ID = 2):skeyidを生成 11月11日19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DTE baaade6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_DONEイベント：EV_ACTIVATE_NEW_SA* 11月11日19:31:35.882: IKEv2:Store mib index ikev2 3、プラットフォーム62 Nov 11 19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DDTE baaade6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_DONEイベント： EV_UPDATE_CAC_STATS 11月11日19:31:35.882:IKEv2：新しいikev2 sa request activated Nov 11 19:31:35.882: IKEv2:Failed to decrement count for incoming negotiating 11月11日19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40SA dbaaade6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_DONEイベント： EV_CHECK_DUPE Nov 11 19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_DONE Event: EV_OK Nov 11 19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE f6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003キュー状態： CHILD_R_DONEイベント： EV_START_DEL_NEG_TMR Nov 11 19:31:35.882: IKEv2:(SA ID = 2)：アクション： Action_Null Nov 11 19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: EXITイベント： EV_CHK_PENDING 11月11日19:31:35.882:IKEv2:(SA ID = 2)：メッセージID 3で応答を送信、要求は4 ～ 8の範囲で受け入れ可能 11月11日19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAAAAAS ade6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 000000003 CurState: EXIT* Event: EV_NO_EVENT

トンネルの確認

ISAKMP

コマンド

show crypto ikev2 sa detailed

ルータ 1 の出力

Router1#show crypto ikev2 sa  detailed
 IPv4 Crypto IKEv2  SA

Tunnel-id Local                 Remote             fvrf/ivrf         Status
1         10.0.0.1/500          10.0.0.2/500       none/none         READY
      Encr: AES-CBC, keysize: 128,  
         Hash: SHA96, DH Grp:2,  
         Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 120/10 sec
      CE id: 1006, Session-id: 4
      Status Description: Negotiation done
      Local spi: E58F925107F8B73F     Remote spi: AFD098F4147869DA
      Local id: 10.0.0.1
      Remote id: 10.0.0.2
      Local req msg id:  2       Remote req msg id:  0
      Local next msg id: 2       Remote next msg id: 0
      Local req queued:  2       Remote req queued:  0
      Local window:      5       Remote window:      5
      DPD configured for 0 seconds, retry 0
      NAT-T is not detected
      Cisco Trust Security SGT is disabled
      Initiator of SA : Yes

ルータ 2 の出力

Router2#show crypto ikev2 sa detailed
 IPv4 Crypto IKEv2  SA

Tunnel-id Local           Remote              fvrf/ivrf          Status
2         10.0.0.2/500    10.0.0.1/500        none/none          READY
      Encr: AES-CBC, keysize: 128, Hash: SHA96,  
         DH Grp:2, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 120/37 sec
      CE id: 1006, Session-id: 4
      Status Description: Negotiation done
      Local spi: AFD098F4147869DA       Remote spi: E58F925107F8B73F
      Local id: 10.0.0.2
      Remote id: 10.0.0.1
      Local req msg id:  0              Remote req msg id:  2
      Local next msg id: 0              Remote next msg id: 2
      Local req queued:  0              Remote req queued:  2
      Local window:      5              Remote window:      5
      DPD configured for 0 seconds, retry 0
      NAT-T is not detected
      Cisco Trust Security SGT is disabled
      Initiator of SA : No

IPSec

コマンド

show crypto ipsec sa

注：この出力では、IKEv1の場合とは異なり、最初のトンネルネゴシエーション時にPFS DHグループの値が「PFS (Y/N): N, DH group: none」と表示されますが、キー再生成が発生した後は、正しい値が表示されます。これは、動作がCisco Bug ID CSCug67056に記載されている場合でもバグではありません（シスコの登録ユーザのみがシスコの内部ツールまたは情報にアクセスできます）。
IKEv1とIKEv2の違いは、後者では子SAがAUTH交換自体の一部として作成される点です。暗号マップに設定されたDHグループは、キー再生成時にのみ使用されます。したがって、最初のキー再生成までは、「PFS (Y/N): N, DH group: none」と表示されます。
IKEv1では、クイックモード時に子SAの作成が発生し、CREATE_CHILD_SAメッセージに鍵交換ペイロードを伝送するプロビジョニングがあり、これによって新しい共有秘密を取得するDHパラメータが指定されるため、異なる動作であることがわかります。

ルータ 1 の出力

Router1#show crypto ipsec sa

interface: Tunnel0
    Crypto map tag: Tunnel0-head-0,  
         local addr 10.0.0.1

   protected vrf: (none)
   local  ident (addr/mask/prot/port):  
         (0.0.0.0/0.0.0.0/256/0)
   remote ident (addr/mask/prot/port):  
         (0.0.0.0/0.0.0.0/256/0)
   current_peer 10.0.0.2 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 10, #pkts encrypt:  
         10, #pkts digest: 10
    #pkts decaps: 10, #pkts decrypt:  
         10, #pkts verify: 10
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 10.0.0.1,  
         remote crypto endpt.: 10.0.0.2
     path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
     current outbound spi: 0xF6083ADD(4127734493)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0x6B74CB79(1802816377)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 18, flow_id: SW:18, 
         sibling_flags 80000040,  
         crypto map: Tunnel0-head-0
        sa timing: remaining key lifetime (k/sec):  
         (4276853/3592)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xF6083ADD(4127734493)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 17, flow_id: SW:17,  
         sibling_flags 80000040,  
         crypto map: Tunnel0-head-0
        sa timing: remaining key  
         lifetime (k/sec): (4276853/3592)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     outbound ah sas:

     outbound pcp sas:

ルータ 2 の出力

Router2#show crypto ipsec sa

interface: Tunnel0
    Crypto map tag: Tunnel0-head-0, local addr 10.0.0.2

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/256/0)
   remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/256/0)
   current_peer 10.0.0.1 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
    #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 10.0.0.2,  
         remote crypto endpt.: 10.0.0.1
     path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
     current outbound spi: 0x6B74CB79(1802816377)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0xF6083ADD(4127734493)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 17, flow_id: SW:17,  
         sibling_flags 80000040,  
         crypto map: Tunnel0-head-0
        sa timing: remaining key lifetime  
         (k/sec): (4347479/3584)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x6B74CB79(1802816377)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 18, flow_id: SW:18,  
         sibling_flags 80000040,  
         crypto map: Tunnel0-head-0
        sa timing: remaining key  
         lifetime (k/sec): (4347479/3584)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     outbound ah sas:

     outbound pcp sas:

両方のルータでshow crypto sessionコマンドの出力を確認することもできます。この出力では、トンネルセッションのステータスがUP-ACTIVEと表示されています。

Router1#show crypto session
Crypto session current status

Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 10.0.0.2 port 500
  IKEv2 SA: local 10.0.0.1/500 remote 10.0.0.2/500 Active
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map

Router2#show cry session
Crypto session current status

Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 10.0.0.1 port 500
  IKEv2 SA: local 10.0.0.2/500 remote 10.0.0.1/500 Active
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map

ルータ 1 の CHILD_SA メッセージの説明	デバッグ	ルータ 2 の CHILD_SA メッセージの説明
ルータ 1 が CHILD_SA 交換を開始します。これは CREATE_CHILD_SA 要求です。CHILD_SA パケットには一般的に次が含まれます。 SA HDR（バージョン、フラグ、交換タイプ）ナンスNi（オプション）:CHILD_SAが最初の交換の一部として作成される場合、2番目のKEペイロードとナンスは送信されません。 SA ペイロード KEi(Key-optional):CREATE_CHILD_SA要求には、CHILD_SAの転送秘密の保証をより強固にするために、追加のDH交換のKEペイロードをオプションで含めることができます。SA が別の DH グループを含めることを提案する場合、KEi は、発信側が応答側の受け入れを期待するグループの要素である必要があります。推測が正しくない場合、CREATE_CHILD_SAの交換は失敗し、別のKEiで再試行できます N（Notify ペイロード、オプション）。 Notify ペイロードは、エラー状態や状態遷移などの情報データを IKE ピアに送信するために使用されます。Notify Payloadは、応答メッセージ（通常は要求が拒否された理由を示す）、INFORMATIONAL交換（IKE要求以外のエラーを報告する）、またはその他のメッセージに表示され、送信者能力を示したり、要求の意味を変更したりできます。このCREATE_CHILD_SA交換がIKE_SA以外の既存のSAのキーを再生成する場合、REKEY_SAタイプのの先頭ペイロードがをSAであることをがです。CREATE_CHILD_SA の交換が既存の SA のキーの再生成を行わない場合、N ペイロードは省略する必要があります。	11月11日19:31:35.873: IKEv2:Got a packet from dispatcher 11月11日19:31:35.873:IKEv2:PAKキューからの項目の処理 Nov 11 19:31:35.873: IKEv2:(SA ID = 2)：要求にmess_id 3があります。3 ～ 7を予期します。 11月11日19:31:35.873:IKEv2:(SA ID = 2)：次のペイロード：ENCR、バージョン：2.0交換タイプ：CREATE_CHILD_SA、フラグ：イニシエータメッセージID:3、長さ：396 Payload contents: SA（セキュリティアソシエーション）の次のペイロード：N、予約済み：0x0、長さ：152 最終提案：0x0、予約済み：0x0、長さ：148 プロポーザル：1、プロトコルID:IKE、SPIサイズ：8、#trans:15最後のトランスフォーム：0x3、予約済み：0x0：長さ：12 タイプ：1、予約済み：0x0、id:AES-CBC 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 12 タイプ：1、予約済み：0x0、id:AES-CBC 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 12 タイプ：1、予約済み：0x0、id:AES-CBC 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：2、予約済み：0x0、id:SHA512 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：2、予約済み：0x0、id:SHA384 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：2、予約済み：0x0、id:SHA256 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：2、予約済み：0x0、ID:SHA1 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：2、予約済み：0x0、ID:MD5 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:SHA512 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:SHA384 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:SHA256 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:SHA96 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:MD596 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：4、予約済み：0x0、ID:DH_GROUP_1536_MODP/Group 5 最後のトランスフォーム： 0x0、予約済み： 0x0：長さ： 8 タイプ：4、予約済み：0x0、ID:DH_GROUP_1024_MODP/Group 2 N次のペイロード：KE、予約済み：0x0、長さ：24 KE次ペイロード：NOTIFY、予約済み：0x0、長さ：136 DHグループ：2、予約済み：0x0 Nov 11 19:31:35.874: IKEv2:Parse Notify Payload: SET_WINDOW_SIZE NOTIFY(SET_WINDOW_SIZE)次のペイロード：なし、予約済み：0x0、長さ：12 セキュリティプロトコルID: IKE、spi size: 0、型： SET_WINDOW_SIZE 11月11日19:31:35.874: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB 40DBAAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: READYイベント： EV_RECV_CREATE_CHILD 11月11日19:31:35.874:IKEv2:(SA ID = 2)：アクション： Action_Null 11月11日19:31:35.874: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DTE baaade6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_INITイベント： EV_RECV_CREATE_CHILD 11月11日19:31:35.874:IKEv2:(SA ID = 2)：アクション： Action_Null Nov 11 19:31:35.874: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_INIT Event: EV_VERIFY_MSG 11月11日19:31:35.874: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DTE baaade6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_INITイベント： EV_CHK_CC_TYPE 11月11日19:31:35.874: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40SA dbaaade6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_IKEイベント： EV_REKEY_IKESA Nov 11 19:31:35.874: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40SA dbaaade6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_IKEイベント： EV_GET_IKE_POLICY 11月11日19:31:35.874: IKEv2:% Getting preshared key by address 10.0.0.2 Nov 11 19:31:35.874: IKEv2:% Getting preshared key by address 10.0.0.2 11月11日19:31:35.874:IKEv2:Adding Proposal PHASE1-prop to toolkit policy Nov 11 19:31:35.874: IKEv2:(SA ID = 2):IKEv2プロファイル「IKEV2-SETUP」を使用 Nov 11 19:31:35.874: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_IKE Event: EV_PROC_MSG Nov 11 19:31:35.874: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_IKE Event: EV_SET_POLICY 11月11日19:31:35.874:IKEv2:(SA ID = 2):設定済みポリシーの設定 Nov 11 19:31:35.874: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAAAAAAS ade6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_BLD_MSGイベント： EV_GEN_DH_KEY 11月11日19:31:35.874: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DTE baaade6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_BLD_MSGイベント： EV_NO_EVENT Nov 11 19:31:35.874: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R _SPI=F14E2BBA78024DE3 (R) MsgID = 00000003キュー状態： CHILD_R_BLD_MSGイベント： EV_OK_RECD_DH_PUBKEY_RESP 11月11日19:31:35.874:IKEv2:(SA ID = 2)：アクション： Action_Null 11月11日19:31:35.874: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAAAAAS ade6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_BLD_MSG Event:EV_GEN_DH_SECRET* Nov 11 19:31:35.881: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DDTE baaade6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_BLD_MSGイベント： EV_NO_EVENT Nov 11 19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R _SPI=F14E2BBA78024DE3 (R) MsgID = 00000003キュー状態： CHILD_R_BLD_MSGイベント： EV_OK_RECD_DH_SECRET_RESP Nov 11 19:31:35.882: IKEv2:(SA ID = 2)：アクション： Action_Null Nov 11 19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DDTE baaade6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_BLD_MSGイベント： EV_BLD_MSG 11月11日19:31:35.882:IKEv2:ConstructNotifyペイロード: SET_WINDOW_SIZE Payload contents: SA（セキュリティアソシエーション）の次のペイロード：N、予約済み：0x0、長さ：56 最後のプロポーザル：0x0、予約済み：0x0、長さ：52 プロポーザル：1、プロトコルID:IKE、SPIサイズ：8、#trans:4最後のトランスフォーム：0x3、予約済み：0x0：長さ：12 タイプ：1、予約済み：0x0、id:AES-CBC 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：2、予約済み：0x0、ID:SHA1 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:SHA96 最後のトランスフォーム： 0x0、予約済み： 0x0：長さ： 8 タイプ：4、予約済み：0x0、ID:DH_GROUP_1024_MODP/Group 2 N次のペイロード：KE、予約済み：0x0、長さ：24 KE次ペイロード：NOTIFY、予約済み：0x0、長さ：136 DHグループ：2、予約済み：0x0 NOTIFY*(SET_WINDOW_SIZE)次のペイロード：なし、予約済み：0x0、長さ：12 セキュリティプロトコルID: IKE、spi size: 0、型： SET_WINDOW_SIZE
	Nov 11 19:31:35.869: IKEv2:(SA ID = 2)：次のペイロード： ENCR、バージョン： 2.0交換タイプ： CREATE_CHILD_SA、フラグ： INITIATORメッセージID: 2、長さ： 460 Payload contents: ENCR次ペイロード：SA、予約済み：0x0、長さ：432 Nov 11 19:31:35.873: IKEv2:Construct Notify Payload: SET_WINDOW_SIZE Payload contents: SA（セキュリティアソシエーション）の次のペイロード：N、予約済み：0x0、長さ：152 最終提案：0x0、予約済み：0x0、長さ：148 プロポーザル：1、プロトコルID:IKE、SPIサイズ：8、#trans:15最後のトランスフォーム：0x3、予約済み：0x0：長さ：12 タイプ：1、予約済み：0x0、id:AES-CBC 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 12 タイプ：1、予約済み：0x0、id:AES-CBC 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 12 タイプ：1、予約済み：0x0、id:AES-CBC 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：2、予約済み：0x0、id:SHA512 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：2、予約済み：0x0、id:SHA384 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：2、予約済み：0x0、id:SHA256 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：2、予約済み：0x0、ID:SHA1 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：2、予約済み：0x0、ID:MD5 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:SHA512 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:SHA384 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:SHA256 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:SHA96 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:MD596 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：4、予約済み：0x0、ID:DH_GROUP_1536_MODP/Group 5 最後のトランスフォーム： 0x0、予約済み： 0x0：長さ： 8 タイプ：4、予約済み：0x0、ID:DH_GROUP_1024_MODP/Group 2 N次のペイロード：KE、予約済み：0x0、長さ：24 KE 次ペイロード：NOTIFY、予約済み：0x0、長さ：136 DHグループ：2、予約済み：0x0 NOTIFY(SET_WINDOW_SIZE)次のペイロード：なし、予約済み：0x0、長さ：12 セキュリティプロトコルID: IKE、spi size: 0、型： SET_WINDOW_SIZE	このパケットをルータ 2 が受信します。
	Nov 11 19:31:35.882: IKEv2:(SA ID = 2)：次のペイロード： ENCR、バージョン： 2.0交換の種類： CREATE_CHILD_SA、フラグ： RESPONDER MSG-RESPONSEメッセージID: 3、長さ： 300 Payload contents: SA（セキュリティアソシエーション）の次のペイロード：N、予約済み：0x0、長さ：56 最後のプロポーザル：0x0、予約済み：0x0、長さ：52 プロポーザル：1、プロトコルID:IKE、SPIサイズ：8、#trans:4最後のトランスフォーム：0x3、予約済み：0x0：長さ：12 タイプ：1、予約済み：0x0、id:AES-CBC 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：2、予約済み：0x0、ID:SHA1 最後のトランスフォーム： 0x3、予約済み： 0x0：長さ： 8 タイプ：3、予約済み：0x0、id:SHA96 最後のトランスフォーム： 0x0、予約済み： 0x0：長さ： 8 タイプ：4、予約済み：0x0、ID:DH_GROUP_1024_MODP/Group 2 N次のペイロード：KE、予約済み：0x0、長さ：24 KE 次ペイロード：NOTIFY、予約済み：0x0、長さ：136 DHグループ：2、予約済み：0x0 Nov 11 19:31:35.882: IKEv2:Parse Notify Payload: SET_WINDOW_SIZE NOTIFY(SET_WINDOW_SIZE)次のペイロード：なし、予約済み：0x0、長さ：12 セキュリティプロトコルID: IKE、spi size: 0、型： SET_WINDOW_SIZE 11月11日19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAAAAAS ade6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_WAITイベント： EV_RECV_CREATE_CHILD* Nov 11 19:31:35.882: IKEv2:(SA ID = 2)：アクション： Action_Null 11月11日19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DTE baaade6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_PROCイベント： EV_CHK4_NOTIFY Nov 11 19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_PROC Event: EV_VERIFY_MSG* Nov 11 19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_PROC Event: EV_PROC_MSG Nov 11 19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_PROC Event: EV_CHK4_PFS Nov 11 19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40SA dbaaade6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_PROCイベント： EV_GEN_DH_SECRET Nov 11 19:31:35.890: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_PROC Event: EV_NO_EVENT Nov 11 19:31:35.890: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE 6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_PROCイベント： EV_OK_RECD_DH_SECRET_RESP 11月11日19:31:35.890:IKEv2:(SA ID = 2)：アクション：Action_Null 11月11日19:31:35.890: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DTE baaade6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_PROCイベント： EV_CHK_IKE_REKEY Nov 11 19:31:35.890: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_PROC Event: EV_GEN_SKEYID 11月11日19:31:35.890:IKEv2:(SA ID = 2):skeyidを生成 11月11日19:31:35.890: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAAAAAAS ade6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_DONEイベント： EV_ACTIVATE_NEW_SA 11月11日19:31:35.890: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DTE baaade6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_DONEイベント： EV_UPDATE_CAC_STATS 11月11日19:31:35.890:IKEv2：新しいikev2 sa request activated Nov 11 19:31:35.890: IKEv2:Failed to decrement count for outgoing negotiating Nov 11 19:31:35.890: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_DONE Event: EV_CHECK_DUPE Nov 11 19:31:35.890: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_DONE Event: EV_OK Nov 11 19:31:35.890: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: EXITイベント： EV_CHK_PENDING 11月11日19:31:35.890:IKEv2:(SA ID = 2)：メッセージID 3で応答を処理、要求は4から8の範囲で送信可能 11月11日19:31:35.890: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAAAAAAS ade6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 000000003 CurState: EXIT Event: EV_NO_EVENT	ルータ 2 は CHILD_SA 交換の返信を作成します。これは CREATE_CHILD_SA 応答です。CHILD_SA パケットには一般的に次が含まれます。 SA HDR（バージョン、フラグ、交換タイプ）ナンスNi（オプション）:CHILD_SAが最初の交換の一部として作成される場合、2番目のKEペイロードとナンスは送信されません。 SA ペイロード KEi(Key-optional):CREATE_CHILD_SA要求には、CHILD_SAの転送秘密の保証をより強固にするために、追加のDH交換のKEペイロードをオプションで含めることができます。SA が別の DH グループを含めることを提案する場合、KEi は、発信側が応答側の受け入れを期待するグループの要素である必要があります。推測に失敗した場合、CREATE_CHILD_SA の交換は失敗し、別の KEi を使用して再試行を行う必要があります。 N(Notify payload-optional):Notifyペイロードは、エラー状態や状態遷移などの情報データをIKEピアに送信するために使用されます。Notifyペイロードは、応答メッセージ（通常は、要求が拒否された理由を示す）、情報交換（IKE要求以外のエラーを報告する）、またはその他の任意のメッセージに含まれ、送信者の機能を示したり、要求の意味を変更したりするために使用されます。この CREATE_CHILD_SA の交換が IKE_SA 以外の既存の SA のキーの再生成を行う場合、REKEY_SA タイプの先行する N ペイロードによってキーを再生成する SA を特定する必要があります。CREATE_CHILD_SA の交換が既存の SA のキーの再生成を行わない場合、N ペイロードは省略する必要があります。ルータ 2 は応答を送信し、新しい CHILD SA のアクティブ化を実行します。
ルータ 1 は、ルータ 2 から応答パケットを受信し、CHILD SA のアクティブ化を実行します。	Nov 11 19:31:35.882: IKEv2:(SA ID = 2)：次のペイロード： ENCR、バージョン： 2.0交換タイプ： CREATE_CHILD_SA、フラグ： RESPONDER MSG-RESPONSEメッセージID: 3、長さ： 300 Payload contents: ENCR次ペイロード：SA、予約済み：0x0、長さ：272 11月11日19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE de6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_BLD_MSG Event:EV_CHK_IKE_REKEY Nov 11 19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAS aade6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_BLD_MSGイベント： EV_GEN_SKEYID 11月11日19:31:35.882:IKEv2:(SA ID = 2):skeyidを生成 11月11日19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DTE baaade6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_DONEイベント：EV_ACTIVATE_NEW_SA* 11月11日19:31:35.882: IKEv2:Store mib index ikev2 3、プラットフォーム62 Nov 11 19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DDTE baaade6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_DONEイベント： EV_UPDATE_CAC_STATS 11月11日19:31:35.882:IKEv2：新しいikev2 sa request activated Nov 11 19:31:35.882: IKEv2:Failed to decrement count for incoming negotiating 11月11日19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40SA dbaaade6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_DONEイベント： EV_CHECK_DUPE Nov 11 19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_DONE Event: EV_OK Nov 11 19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE f6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003キュー状態： CHILD_R_DONEイベント： EV_START_DEL_NEG_TMR Nov 11 19:31:35.882: IKEv2:(SA ID = 2)：アクション： Action_Null Nov 11 19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: EXITイベント： EV_CHK_PENDING 11月11日19:31:35.882:IKEv2:(SA ID = 2)：メッセージID 3で応答を送信、要求は4 ～ 8の範囲で受け入れ可能 11月11日19:31:35.882: IKEv2:(SA ID = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAAAAAS ade6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 000000003 CurState: EXIT* Event: EV_NO_EVENT

改定	発行日	コメント
2.0	12-Apr-2023	書式を更新します。再認定
1.0	28-Jan-2013	初版

PSKによるサイト間VPNのIOS IKEv2デバッグのトラブルシューティング

ダウンロードオプション

偏向のない言語

翻訳について

内容

はじめに

前提条件

要件

使用するコンポーネント

表記法

背景説明

主な問題

ルータの設定

トラブルシュート

ルータのデバッグ

CHILD_SA のデバッグ

トンネルの確認

ISAKMP

IPSec

関連情報

更新履歴

シスコエンジニア提供

このドキュメントは役に立ちましたか?

シスコに問い合わせ

PSKによるサイト間VPNのIOS IKEv2デバッグのトラブルシューティング

ダウンロード オプション

偏向のない言語

翻訳について

内容

はじめに

前提条件

要件

使用するコンポーネント

表記法

背景説明

主な問題

ルータの設定

トラブルシュート

ルータのデバッグ

CHILD_SA のデバッグ

トンネルの確認

ISAKMP

IPSec

関連情報

更新履歴

シスコ エンジニア提供

このドキュメントは役に立ちましたか?

シスコに問い合わせ

ダウンロードオプション

シスコエンジニア提供