라우터 1(개시자) 메시지 설명 |
디버그 |
라우터 2(Responder) 메시지 설명 |
라우터 1은 피어 ASA 10.0.0.2에 대한 암호화 acl과 일치하는 패킷을 수신합니다. SA 생성을 시작합니다 |
*11월 11일 20:28:34.003: IKEv2:디스패처에서 패킷 가져오기 *11월 11일 20:28:34.003: IKEv2:pak 큐에서 항목 처리 *11월 11일 19:30:34.811: IKEv2:% 주소 10.0.0.2로 사전 공유 키를 가져오는 중 *11월 11일 19:30:34.811: IKEv2:툴킷 정책에 제안 PHASE1-prop 추가 *11월 11일 19:30:34.811: IKEv2:(1): IKE 프로필 IKEV2-SETUP 선택 *11월 11일 19:30:34.811: IKEv2:새 ikev2 sa 요청이 승인됨 *11월 11일 19:30:34.811: IKEv2: 발신 협상 sa 수를 1씩 증가
|
|
첫 번째 메시지 쌍은 IKE_SA_INIT 교환입니다. 이러한 메시지는 암호화 알고리즘을 협상하고 논스를 교환하며 Diffie-Hellman 교환을 수행합니다.
관련 구성: crypto ikev2 제안 PHASE1-prop encryption 3des aes-cbc-128 integrity sha1 group 2crypto ikev2 keyring peer1 address 10.0.0.2 255.255.255.0 hostname host1 pre-shared-key local cisco pre-shared-key remote cisco
|
*11월 11일 19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: 유휴 이벤트: EV_INIT_SA *11월 11일 19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: IBLD_INIT 이벤트: EV_GET_IKE_정책 *11월 11일 19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT 이벤트:EV_SET_POLICY *11월 11일 19:30:34.811: IKEv2:(SA ID = 1):구성된 정책 설정 *11월 11일 19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: IBLD_INIT 이벤트: EV_CHK_AUTH4PKI *11월 11일 19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT 이벤트:EV_GEN_DH_KEY *11월 11일 19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: IBLD_INIT 이벤트: 이벤트 없음(_N) *11월 11일 19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: IBLD_INIT 이벤트: EV_OK_RECD_DH_PUBKEY_RESP *11월 11일 19:30:34.811: IKEv2:(SA ID = 1):작업: Action_Null *11월 11일 19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: IBLD_INIT 이벤트: EV_GET_CONFIG_모드 *11월 11일 19:30:34.811: IKEv2:IKEv2 개시자 - IKE_SA_INIT exch에서 전송할 구성 데이터가 없습니다. *11월 11일 19:30:34.811: IKEv2:툴킷에 전송할 컨피그레이션 데이터 없음: *11월 11일 19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: IBLD_INIT 이벤트: EV_BLD_메시지 *11월 11일 19:30:34.811: IKEv2:공급업체별 페이로드 구성: 삭제 사유 *11월 11일 19:30:34.811: IKEv2:공급업체별 페이로드 구성: (사용자 지정) *11월 11일 19:30:34.811: IKEv2:알림 페이로드 구성: NAT_DETECTION_SOURCE_IP *11월 11일 19:30:34.811: IKEv2:알림 페이로드 구성: NAT_DETECTION_DESTINATION_IP |
|
개시자가 IKE_INIT_SA 패킷을 구축합니다. 다음과 같은 내용이 포함되어 있습니다. ISAKMP 헤더(SPI/버전/플래그), SAi1(IKE 개시자가 지원하는 암호화 알고리즘), KEi(개시자의 DH 공개 키 값) 및 N(개시자 Nonce) |
*11월 11일 19:30:34.811: IKEv2:(SA ID = 1):다음 페이로드: SA, 버전: 2.0 Exchange 유형: IKE_SA_INIT, 플래그: INITIATOR Message id: 길이: 344 페이로드 내용: SA 다음 페이로드: KE, 예약: 0x0, 길이: 56 마지막 제안: 0x0, 예약됨: 0x0, 길이: 52 제안: 1, 프로토콜 id: IKE, SPI 크기: 0, #trans: 마지막 변환 5개: 0x3, 예약됨: 0x0: 길이: 8 유형: 1, 예약됨: 0x0, id: 3DES 마지막 변환: 0x3, 예약됨: 0x0: 길이: 12 유형: 1, 예약됨: 0x0, id: AES-CBC 마지막 변환: 0x3, 예약됨: 0x0: 길이: 8 유형: 2, 예약됨: 0x0, id: SHA1 마지막 변환: 0x3, 예약됨: 0x0: 길이: 8 유형: 3, 예약됨: 0x0, id: SHA96 마지막 변환: 0x0, 예약됨: 0x0: 길이: 8 유형: 4, 예약됨: 0x0, id: DH_GROUP_1024_MODP/그룹 2 KE 다음 페이로드: N, 예약됨: 0x0, 길이: 136 DH 그룹: 2, 예약됨: 0x0 N 다음 페이로드: VID, 예약됨: 0x0, 길이: 24 VID 다음 페이로드: VID, 예약됨: 0x0, 길이: 23 VID 다음 페이로드: 알림, 예약됨: 0x0, 길이: 21 NOTIFY(NAT_DETECTION_SOURCE_IP) 다음 페이로드: 알림, 예약됨: 0x0, 길이: 28 보안 프로토콜 id: IKE, spi 크기: 0, 유형: NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_DESTINATION_IP) 다음 페이로드: 없음, 예약됨: 0x0, 길이: 28 보안 프로토콜 id: IKE, spi 크기: 0, 유형: NAT_DETECTION_DESTINATION_IP |
|
--------------------------------------Initiator가 IKE_INIT_SA를 -----------------------> |
|
*11월 11일 19:30:34.814: IKEv2:디스패처에서 패킷 가져오기 *11월 11일 19:30:34.814: IKEv2:pak 큐에서 항목 처리 *11월 11일 19:30:34.814: IKEv2:새 ikev2 sa 요청이 승인됨 *11월 11일 19:30:34.814: IKEv2: 들어오는 협상 sa 수를 1씩 증가
|
응답자가 IKE_INIT_SA를 수신합니다. |
|
*11월 11일 19:30:34.814: IKEv2:다음 페이로드: SA, 버전: 2.0 Exchange 유형: IKE_SA_INIT, 플래그: 초기자 메시지 ID: 길이: 344 페이로드 내용: SA 다음 페이로드: KE, 예약: 0x0, 길이: 56 마지막 제안: 0x0, 예약됨: 0x0, 길이: 52 제안: 1, 프로토콜 id: IKE, SPI 크기: 0, #trans: 마지막 변환 5개: 0x3, 예약됨: 0x0: 길이: 8 유형: 1, 예약됨: 0x0, id: 3DES 마지막 변환: 0x3, 예약됨: 0x0: 길이: 12 유형: 1, 예약됨: 0x0, id: AES-CBC 마지막 변환: 0x3, 예약됨: 0x0: 길이: 8 유형: 2, 예약됨: 0x0, id: SHA1 마지막 변환: 0x3, 예약됨: 0x0: 길이: 8 유형: 3, 예약됨: 0x0, id: SHA96 마지막 변환: 0x0, 예약됨: 0x0: 길이: 8 유형: 4, 예약됨: 0x0, id: DH_GROUP_1024_MODP/그룹 2 KE 다음 페이로드: N, 예약됨: 0x0, 길이: 136 DH 그룹: 2, 예약됨: 0x0 N 다음 페이로드: VID, 예약됨: 0x0, 길이: 24
*11월 11일 19:30:34.814: IKEv2:공급업체별 페이로드 구문 분석: CISCO-DELETE-REASON VID 다음 페이로드: VID, 예약됨: 0x0, 길이: 23 *11월 11일 19:30:34.814: IKEv2:공급업체별 페이로드 구문 분석: (사용자 지정) VID 다음 페이로드: 알림, 예약됨: 0x0, 길이: 21 *11월 11일 19:30:34.814: IKEv2:구문 분석 알림 페이로드: NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_SOURCE_IP) 다음 페이로드: 알림, 예약됨: 0x0, 길이: 28 보안 프로토콜 id: IKE, spi 크기: 0, 유형: NAT_DETECTION_SOURCE_IP *11월 11일 19:30:34.814: IKEv2:구문 분석 알림 페이로드: NAT_DETECTION_DESTINATION_IP NOTIFY(NAT_DETECTION_DESTINATION_IP) 다음 페이로드: 없음, 예약됨: 0x0, 길이: 28 보안 프로토콜 id: IKE, spi 크기: 0, 유형: NAT_DETECTION_DESTINATION_IP
|
Responder가 해당 피어에 대한 SA 생성을 시작합니다. |
|
*11월 11일 19:30:34.814: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: 유휴 이벤트:EV_RECV_INIT *11월 11일 19:30:34.814: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_INIT 이벤트:EV_VERIFY_MSG *11월 11일 19:30:34.814: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_INIT 이벤트:EV_INSERT_SA *11월 11일 19:30:34.814: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_INIT 이벤트:EV_GET_IKE_POLICY *11월 11일 19:30:34.814: IKEv2:툴킷 정책에 제안 기본값 추가 *11월 11일 19:30:34.814: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_INIT 이벤트:EV_PROC_MSG *11월 11일 19:30:34.814: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_INIT 이벤트: EV_DETECT_NAT *11월 11일 19:30:34.814: IKEv2:(SA ID = 1):NAT 검색 알림 처리 *11월 11일 19:30:34.814: IKEv2:(SA ID = 1): nat 처리 시 src 알림 감지 *11월 11일 19:30:34.814: IKEv2:(SA ID = 1):일치하는 원격 주소 *11월 11일 19:30:34.814: IKEv2:(SA ID = 1): NAT 탐지 dst notify 처리 *11월 11일 19:30:34.814: IKEv2:(SA ID = 1):로컬 주소 일치 *11월 11일 19:30:34.814: IKEv2:(SA ID = 1):NAT를 찾을 수 없음 *11월 11일 19:30:34.814: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_INIT 이벤트: EV_CHK_CONFIG_모드 *11월 11일 19:30:34.814: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT 이벤트: EV_설정_정책 *11월 11일 19:30:34.814: IKEv2:(SA ID = 1):구성된 정책 설정 *11월 11일 19:30:34.814: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT 이벤트: EV_CHK_AUTH4PKI *11월 11일 19:30:34.814: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT 이벤트: EV_PKI_SESH_OPEN *11월 11일 19:30:34.814: IKEv2:(SA ID = 1):PKI 세션 열기 *11월 11일 19:30:34.815: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT 이벤트:EV_GEN_DH_KEY *11월 11일 19:30:34.815: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT 이벤트: 이벤트 없음(_N) *11월 11일 19:30:34.815: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT 이벤트: EV_OK_RECD_DH_PUBKEY_RESP *11월 11일 19:30:34.815: IKEv2:(SA ID = 1):작업: Action_Null *11월 11일 19:30:34.815: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT 이벤트:EV_GEN_DH_SECRET *11월 11일 19:30:34.82: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT 이벤트: 이벤트 없음(_N) *11월 11일 19:30:34.82: IKEv2:% 주소 10.0.0.1로 사전 공유 키를 가져오는 중 *11월 11일 19:30:34.82: IKEv2:툴킷 정책에 제안 기본값 추가 *11월 11일 19:30:34.82: IKEv2:(2): IKE 프로필 IKEV2-SETUP 선택 *11월 11일 19:30:34.82: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT 이벤트: EV_OK_RECD_DH_SECRET_RESP *11월 11일 19:30:34.82: IKEv2:(SA ID = 1):작업: Action_Null *11월 11일 19:30:34.82: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT 이벤트:EV_GEN_SKEYID *11월 11일 19:30:34.82: IKEv2:(SA ID = 1):Generate skeyid *11월 11일 19:30:34.82: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT 이벤트: EV_GET_CONFIG_모드 *11월 11일 19:30:34.82: IKEv2:IKEv2 responder - IKE_SA_INIT exch에서 전송할 컨피그레이션 데이터 없음 *11월 11일 19:30:34.82: IKEv2:툴킷에 전송할 컨피그레이션 데이터 없음: *11월 11일 19:30:34.82: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT 이벤트: EV_BLD_메시지 *11월 11일 19:30:34.82: IKEv2:공급업체별 페이로드 구성: 삭제 사유 *11월 11일 19:30:34.82: IKEv2:공급업체별 페이로드 구성: (사용자 지정) *11월 11일 19:30:34.82: IKEv2:알림 페이로드 구성: NAT_DETECTION_SOURCE_IP *11월 11일 19:30:34.82: IKEv2:알림 페이로드 구성: NAT_DETECTION_DESTINATION_IP *11월 11일 19:30:34.82: IKEv2:알림 페이로드 구성: HTTP_CERT_LOOKUP_SUPPORTED
|
Responder는 IKE_INIT 메시지를 확인하고 처리합니다. (1) 개시자가 제공한 암호화 그룹을 선택하고, (2) 자체 DH 비밀 키를 계산하고, (3) 이 IKE_SA에 대해 모든 키를 파생할 수 있는 skeyid 값을 계산합니다. 뒤에 오는 모든 메시지의 헤더를 제외한 모든 헤더가 암호화 및 인증됩니다. 암호화 및 무결성 보호에 사용되는 키는 SKEYID에서 파생되며 다음과 같습니다. SK_e(암호화), SK_a(인증), SK_d를 도출하여 CHILD_SA에 대한 추가 키잉 재료 도출에 사용하고, 각 방향에 대해 별도의 SK_e 및 SK_a를 산출한다.
관련 구성: crypto ikev2 제안 PHASE1-prop encryption 3des aes-cbc-128 integrity sha1 group 2 crypto ikev2 keyring KEYRNG peer2 address 10.0.0.1 255.255.255.0 hostname host2 pre-shared-key local cisco pre-shared-key remote cisco
|
|
*11월 11일 19:30:34.82: IKEv2:(SA ID = 1):다음 페이로드: SA, 버전: 2.0 Exchange 유형: IKE_SA_INIT, 플래그: RESPONDER MSG-RESPONSE 메시지 id: 길이: 449 페이로드 내용: SA 다음 페이로드: KE, 예약: 0x0, 길이: 48 마지막 제안: 0x0, 예약됨: 0x0, 길이: 44 제안: 1, 프로토콜 id: IKE, SPI 크기: 0, #trans: 4 마지막 변환: 0x3, 예약됨: 0x0: 길이: 12 유형: 1, 예약됨: 0x0, id: AES-CBC 마지막 변환: 0x3, 예약됨: 0x0: 길이: 8 유형: 2, 예약됨: 0x0, id: SHA1 마지막 변환: 0x3, 예약됨: 0x0: 길이: 8 유형: 3, 예약됨: 0x0, id: SHA96 마지막 변환: 0x0, 예약됨: 0x0: 길이: 8 유형: 4, 예약됨: 0x0, id: DH_GROUP_1024_MODP/그룹 2 KE 다음 페이로드: N, 예약됨: 0x0, 길이: 136 DH 그룹: 2, 예약됨: 0x0 N 다음 페이로드: VID, 예약됨: 0x0, 길이: 24 VID 다음 페이로드: VID, 예약됨: 0x0, 길이: 23 VID 다음 페이로드: 알림, 예약됨: 0x0, 길이: 21 NOTIFY(NAT_DETECTION_SOURCE_IP) 다음 페이로드: 알림, 예약됨: 0x0, 길이: 28 보안 프로토콜 id: IKE, spi 크기: 0, 유형: NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_DESTINATION_IP) 다음 페이로드: CERTREQ, 예약: 0x0, 길이: 28 보안 프로토콜 id: IKE, spi 크기: 0, 유형: NAT_DETECTION_DESTINATION_IP CERTREQ 다음 페이로드: 알림, 예약됨: 0x0, 길이: 105 PKIX의 인증서 인코딩 해시 및 URL NOTIFY(HTTP_CERT_LOOKUP_SUPPORTED) 다음 페이로드: 없음, 예약됨: 0x0, 길이: 8 보안 프로토콜 id: IKE, spi 크기: 0, 유형: HTTP_CERT_LOOKUP_SUPPORTED
|
라우터 2는 ASA1에서 수신하는 IKE_SA_INIT 교환에 대한 responder 메시지를 작성합니다. 이 패킷에는 다음이 포함됩니다. ISAKMP 헤더(SPI/ 버전/플래그), SAr1(IKE 응답자가 선택하는 암호화 알고리즘), KEr(응답자의 DH 공개 키 값) 및 Responder Nonce. |
|
*11월 11일 19:30:34.82: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: INIT_DONE 이벤트: 완료(_D) *11월 11일 19:30:34.82: IKEv2:(SA ID = 1):Cisco DeleteReason Notify가 활성화됨 *11월 11일 19:30:34.82: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: INIT_DONE 이벤트: EV_CHK4_ROLE *11월 11일 19:30:34.82: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: INIT_DONE 이벤트:EV_START_TMR *11월 11일 19:30:34.82: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_WAIT_AUTH 이벤트: 이벤트 없음(_N) *11월 11일 19:30:34.82: IKEv2:새 ikev2 sa 요청이 승인됨 *11월 11일 19:30:34.82: IKEv2:발신 협상 sa 수를 1씩 증가
|
Router2는 responder 메시지를 Router 1로 전송합니다. |
<-------------------------------Responder가 IKE_INIT_SA 메시지를 --------------------------- |
라우터 1은 라우터 2로부터 IKE_SA_INIT 응답 패킷을 수신합니다. |
*11월 11일 19:30:34.823: IKEv2:디스패처에서 패킷 가져오기
*11월 11일 19:30:34.823: IKEv2:디스패처에서 패킷 가져오기
*11월 11일 19:30:34.823: IKEv2:pak 큐에서 항목 처리
|
I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: INIT_DONE 이벤트:EV_START_TMR
|
응답자가 인증 프로세스에 대한 타이머를 시작합니다. |
Router1은 응답을 확인하고 처리합니다. (1) 개시자 DH 비밀 키가 계산되고 (2) 개시자 skeyid도 생성됩니다. |
*11월 11일 19:30:34.823: IKEv2:(SA ID = 1):다음 페이로드: SA, 버전: 2.0 Exchange 유형: IKE_SA_INIT, 플래그: 응답자 MSG-RESPONSE 메시지 ID: 길이: 449 페이로드 내용: SA 다음 페이로드: KE, 예약: 0x0, 길이: 48 마지막 제안: 0x0, 예약됨: 0x0, 길이: 44 제안: 1, 프로토콜 id: IKE, SPI 크기: 0, #trans: 4 마지막 변환: 0x3, 예약됨: 0x0: 길이: 12 유형: 1, 예약됨: 0x0, id: AES-CBC 마지막 변환: 0x3, 예약됨: 0x0: 길이: 8 유형: 2, 예약됨: 0x0, id: SHA1 마지막 변환: 0x3, 예약됨: 0x0: 길이: 8 유형: 3, 예약됨: 0x0, id: SHA96 마지막 변환: 0x0, 예약됨: 0x0: 길이: 8 유형: 4, 예약됨: 0x0, id: DH_GROUP_1024_MODP/그룹 2 KE 다음 페이로드: N, 예약됨: 0x0, 길이: 136 DH 그룹: 2, 예약됨: 0x0 N 다음 페이로드: VID, 예약됨: 0x0, 길이: 24
*11월 11일 19:30:34.823: IKEv2:공급업체별 페이로드 구문 분석: CISCO-DELETE-REASON VID 다음 페이로드: VID, 예약됨: 0x0, 길이: 23
*11월 11일 19:30:34.823: IKEv2:공급업체별 페이로드 구문 분석: (사용자 지정) VID 다음 페이로드: 알림, 예약됨: 0x0, 길이: 21
*11월 11일 19:30:34.823: IKEv2:구문 분석 알림 페이로드: NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_SOURCE_IP) 다음 페이로드: 알림, 예약됨: 0x0, 길이: 28 보안 프로토콜 id: IKE, spi 크기: 0, 유형: NAT_DETECTION_SOURCE_IP
*11월 11일 19:30:34.824: IKEv2:구문 분석 알림 페이로드: NAT_DETECTION_DESTINATION_IP NOTIFY(NAT_DETECTION_DESTINATION_IP) 다음 페이로드: CERTREQ, 예약: 0x0, 길이: 28 보안 프로토콜 id: IKE, spi 크기: 0, 유형: NAT_DETECTION_DESTINATION_IP CERTREQ 다음 페이로드: 알림, 예약됨: 0x0, 길이: 105 PKIX의 인증서 인코딩 해시 및 URL
*11월 11일 19:30:34.824: IKEv2:구문 분석 알림 페이로드: HTTP_CERT_LOOKUP_SUPPORTED 알림(HTTP_CERT_LOOKUP_SUPPORTED) 다음 페이로드: 없음, 예약됨: 0x0, 길이: 8 보안 프로토콜 id: IKE, spi 크기: 0, 유형: HTTP_CERT_LOOKUP_SUPPORTED
*11월 11일 19:30:34.824: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_WAIT_INIT 이벤트 EV_RECV_INIT *11월 11일 19:30:34.824: IKEv2:(SA ID = 1): IKE_SA_INIT 메시지 처리 *11월 11일 19:30:34.824: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_PROC_INIT 이벤트 EV_CHK4_알림 *11월 11일 19:30:34.824: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_PROC_INIT 이벤트 EV_VERIFY_메시지 *11월 11일 19:30:34.824: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_PROC_INIT 이벤트 EV_PROC_메시지 *11월 11일 19:30:34.824: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_PROC_INIT 이벤트 EV_DETECT_NAT *11월 11일 19:30:34.824: IKEv2:(SA ID = 1):NAT 검색 알림 처리 *11월 11일 19:30:34.824: IKEv2:(SA ID = 1): nat 처리 시 src 알림 감지 *11월 11일 19:30:34.824: IKEv2:(SA ID = 1):일치하는 원격 주소 *11월 11일 19:30:34.824: IKEv2:(SA ID = 1): NAT 탐지 dst notify 처리 *11월 11일 19:30:34.824: IKEv2:(SA ID = 1):로컬 주소 일치 *11월 11일 19:30:34.824: IKEv2:(SA ID = 1):NAT를 찾을 수 없음 *11월 11일 19:30:34.824: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_PROC_INIT 이벤트 EV_CHK_NAT_T *11월 11일 19:30:34.824: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_PROC_INIT 이벤트 EV_CHK_CONFIG_모드 *11월 11일 19:30:34.824: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: INIT_DONE 이벤트:EV_GEN_DH_SECRET *11월 11일 19:30:34.831: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: INIT_DONE 이벤트: 이벤트 없음(_N) *11월 11일 19:30:34.831: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: INIT_DONE 이벤트: EV_OK_RECD_DH_SECRET_RESP *11월 11일 19:30:34.831: IKEv2:(SA ID = 1):작업: Action_Null *11월 11일 19:30:34.831: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: INIT_DONE 이벤트:EV_GEN_SKEYID *11월 11일 19:30:34.831: IKEv2:(SA ID = 1):Generate skeyid *11월 11일 19:30:34.831: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: INIT_DONE 이벤트: 완료(_D) *11월 11일 19:30:34.831: IKEv2:(SA ID = 1):Cisco DeleteReason Notify가 활성화됨 *11월 11일 19:30:34.831: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: INIT_DONE 이벤트: EV_CHK4_ROLE *11월 11일 19:30:34.831: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_BLD_AUTH 이벤트: EV_GET_CONFIG_모드 *11월 11일 19:30:34.831: IKEv2:툴킷에 컨피그레이션 데이터 전송 *11월 11일 19:30:34.831: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_BLD_AUTH 이벤트: EV_CHK_EAP
|
|
Initiator는 IKE_AUTH 교환을 시작하고 인증 페이로드를 생성합니다. IKE_AUTH 패킷에는 다음이 포함됩니다. ISAKMP 헤더(SPI/버전/플래그), IDi(이니시에이터 ID), AUTH 페이로드, SAi2(IKEv1에서 2단계 변환 세트 교환과 유사한 SA를 시작), TSi 및 TSr(이니시에이터 및 응답자 트래픽 선택기) 여기에는 암호화된 트래픽을 전달/수신하기 위한 initiator 및 responder의 소스 및 목적지 주소가 각각 포함됩니다. 주소 범위는 해당 범위를 오가는 모든 트래픽이 터널링되도록 지정합니다. 제안서가 응답자에게 허용 가능한 경우 동일한 TS 페이로드를 다시 전송합니다. 첫 번째 CHILD_SA는 트리거 패킷과 일치하는 proxy_ID 쌍에 대해 생성됩니다.
관련 구성: crypto ipsec transform-set TS esp-3des esp-sha-hmac crypto ipsec profile phase2-prof set transform-set TS set ikev2-profile IKEV2-SETUP
|
*11월 11일 19:30:34.831: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_BLD_AUTH 이벤트:EV_GEN_AUTH *11월 11일 19:30:34.831: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_BLD_AUTH 이벤트: EV_CHK_AUTH_유형 *11월 11일 19:30:34.831: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_BLD_AUTH 이벤트: EV_OK_AUTH_GEN *11월 11일 19:30:34.831: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_BLD_AUTH 이벤트: EV_SEND_AUTH *11월 11일 19:30:34.831: IKEv2:공급업체별 페이로드 구성: CISCO 화강암 *11월 11일 19:30:34.831: IKEv2:알림 페이로드 구성: 초기_연락처 *11월 11일 19:30:34.831: IKEv2:알림 페이로드 구성: SET_WINDOW_SIZE *11월 11일 19:30:34.831: IKEv2:알림 페이로드 구성: ESP_TFC_NO_SUPPORT *11월 11일 19:30:34.831: IKEv2:알림 페이로드 구성: 비_첫번째_단편 페이로드 내용: VID 다음 페이로드: IDi, 예약됨: 0x0, 길이: 20 IDi 다음 페이로드: AUTH, 예약됨: 0x0, 길이: 12 ID 유형: IPv4 주소, 예약됨: 0x0 0x0 AUTH 다음 페이로드: CFG, 예약됨: 0x0, 길이: 28 인증 방법 PSK, 예약됨: 0x0, 예약됨 0x0 다음 페이로드 구성: SA, 예약됨: 0x0, 길이: 309 cfg 유형: CFG_REQUEST, 예약됨: 0x0, 예약됨: 0x0
*11월 11일 19:30:34.831: SA Next 페이로드: TSi, 예약됨: 0x0, 길이: 40 마지막 제안: 0x0, 예약됨: 0x0, 길이: 36 제안: 1, 프로토콜 id: ESP, SPI 크기: #trans: 3 마지막 변환: 0x3, 예약됨: 0x0: 길이: 8 유형: 1, 예약됨: 0x0, id: 3DES 마지막 변환: 0x3, 예약됨: 0x0: 길이: 8 유형: 3, 예약됨: 0x0, id: SHA96 마지막 변환: 0x0, 예약됨: 0x0: 길이: 8 유형: 5, 예약됨: 0x0, id: ESN 사용 안 함 TSi 다음 페이로드: TSr, 예약: 0x0, 길이: 24 TS 수: 1, 예약 0x0, 예약 0x0 TS 유형: TS_IPV4_ADDR_RANGE, 프로토콜 ID: 길이: 16 시작 포트: 0, 엔드 포트: 65535 시작 주소: 0.0.0.0, 끝 주소: 255.255.255.255 TSr 다음 페이로드: 알림, 예약됨: 0x0, 길이: 24 TS 수: 1, 예약 0x0, 예약 0x0 TS 유형: TS_IPV4_ADDR_RANGE, 프로토콜 ID: 길이: 16 시작 포트: 0, 엔드 포트: 65535 시작 주소: 0.0.0.0, 끝 주소: 255.255.255.255
NOTIFY(INITIAL_CONTACT) 다음 페이로드: 알림, 예약됨: 0x0, 길이: 8 보안 프로토콜 id: IKE, spi 크기: 0, 유형: 초기_연락처 NOTIFY(SET_WINDOW_SIZE) 다음 페이로드: 알림, 예약됨: 0x0, 길이: 12 보안 프로토콜 id: IKE, spi 크기: 0, 유형: SET_WINDOW_SIZE NOTIFY(ESP_TFC_NO_SUPPORT) 다음 페이로드: 알림, 예약됨: 0x0, 길이: 8 보안 프로토콜 id: IKE, spi 크기: 0, 유형: ESP_TFC_NO_SUPPORT NOTIFY(NON_FIRST_FRAGS) 다음 페이로드: 없음, 예약됨: 0x0, 길이: 8 보안 프로토콜 id: IKE, spi 크기: 0, 유형: 비_첫번째_단편
*11월 11일 19:30:34.832: IKEv2:(SA ID = 1):다음 페이로드: ENCR, 버전: 2.0 Exchange 유형: IKE_AUTH, 플래그: INITIATOR Message id: 1, 길이: 556 페이로드 내용: ENCR 다음 페이로드: VID, 예약됨: 0x0, 길이: 528
*11월 11일 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000001 CurState: I_WAIT_AUTH 이벤트: 이벤트 없음(_N)
|
|
-------------------------------------Initiator sent IKE_AUTH -----------------------------> |
|
*11월 11일 19:30:34.832: IKEv2:디스패처에서 패킷 가져오기 *11월 11일 19:30:34.832: IKEv2:pak 큐에서 항목 처리 *11월 11일 19:30:34.832: IKEv2:(SA ID = 1):요청에 mess_id 1이 있습니다. 1~1이 필요합니다. *Nov 11 19:30:34.832: IKEv2:(SA ID = 1):다음 페이로드: ENCR, 버전: 2.0 Exchange 유형: IKE_AUTH, 플래그: INITIATOR Message id: 1, 길이: 556 페이로드 내용: *11월 11일 19:30:34.832: IKEv2:공급업체별 페이로드 구문 분석: (사용자 지정) VID 다음 페이로드: IDi, 예약됨: 0x0, 길이: 20 IDi 다음 페이로드: AUTH, 예약됨: 0x0, 길이: 12 ID 유형: IPv4 주소, 예약됨: 0x0 0x0 AUTH 다음 페이로드: CFG, 예약됨: 0x0, 길이: 28 인증 방법 PSK, 예약됨: 0x0, 예약됨 0x0 CFG 다음 페이로드: SA, 예약됨: 0x0, 길이: 309 cfg 유형: CFG_REQUEST, 예약됨: 0x0, 예약됨: 0x0 *11월 11일 19:30:34.832: 특성 유형: 내부 IP4 DNS, 길이: 0 *11월 11일 19:30:34.832: 특성 유형: 내부 IP4 DNS, 길이: 0 *11월 11일 19:30:34.832: 특성 유형: 내부 IP4 NBNS, 길이: 0 *11월 11일 19:30:34.832: 특성 유형: 내부 IP4 NBNS, 길이: 0 *11월 11일 19:30:34.832: 특성 유형: 내부 IP4 서브넷, 길이: 0 *11월 11일 19:30:34.832: 특성 유형: 응용 프로그램 버전, 길이: 257 특성 유형: 알 수 없음 - 28675, 길이: 0 *11월 11일 19:30:34.832: 특성 유형: 알 수 없음 - 28672, 길이: 0 *11월 11일 19:30:34.832: 특성 유형: 알 수 없음 - 28692, 길이: 0 *11월 11일 19:30:34.832: 특성 유형: 알 수 없음 - 28681, 길이: 0 *11월 11일 19:30:34.832: 특성 유형: 알 수 없음 - 28674, 길이: 0 *11월 11일 19:30:34.832: SA Next 페이로드: TSi, 예약: 0x0, 길이: 40 마지막 제안: 0x0, 예약됨: 0x0, 길이: 36 제안: 1, 프로토콜 id: ESP, SPI 크기: #trans: 3 마지막 변환: 0x3, 예약됨: 0x0: 길이: 8 유형: 1, 예약됨: 0x0, id: 3DES 마지막 변환: 0x3, 예약됨: 0x0: 길이: 8 유형: 3, 예약됨: 0x0, id: SHA96 마지막 변환: 0x0, 예약됨: 0x0: 길이: 8 유형: 5, 예약됨: 0x0, id: ESN 사용 안 함 TSi 다음 페이로드: TSr, 예약: 0x0, 길이: 24 TS 수: 1, 예약 0x0, 예약 0x0 TS 유형: TS_IPV4_ADDR_RANGE, 프로토콜 ID: 길이: 16 시작 포트: 0, 엔드 포트: 65535 시작 주소: 0.0.0.0, 끝 주소: 255.255.255.255 TSr 다음 페이로드: 알림, 예약됨: 0x0, 길이: 24 TS 수: 1, 예약 0x0, 예약 0x0 TS 유형: TS_IPV4_ADDR_RANGE, 프로토콜 ID: 길이: 16 시작 포트: 0, 엔드 포트: 65535 시작 주소: 0.0.0.0, 끝 주소: 255.255.255.255
|
라우터 2는 라우터 1로부터 수신한 인증 데이터를 수신하고 확인합니다.
관련 구성: crypto ipsec ikev2 ipsec-proposal AES256 protocol esp encryption aes-256 protocol esp integrity sha-1 md5
|
|
*11월 11일 19:30:34.832: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTH 이벤트: EV_RECV_AUTH *11월 11일 19:30:34.832: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTH 이벤트: EV_CHK_NAT_T *11월 11일 19:30:34.832: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTH 이벤트: EV_PROC_ID *11월 11일 19:30:34.832: IKEv2:(SA ID = 1): 프로세스 ID에서 유효한 매개 변수를 받았습니다. *11월 11일 19:30:34.832: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTH 이벤트: EV_CHK_IF_PEER_CERT_NEEDS_TO_BE_FETCHED_FOR_PROF_SEL *11월 11일 19:30:34.832: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTH 이벤트: EV_GET_POLICY_BY_PEERID *11월 11일 19:30:34.833: IKEv2:(1): IKE 프로필 IKEV2-SETUP 선택 *11월 11일 19:30:34.833: IKEv2:% 주소 10.0.0.1로 사전 공유 키를 가져오는 중 *11월 11일 19:30:34.833: IKEv2:% 주소 10.0.0.1로 사전 공유 키를 가져오는 중 *11월 11일 19:30:34.833: IKEv2:툴킷 정책에 제안 기본값 추가 *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):IKEv2 프로필 'IKEV2-SETUP' 사용 *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTH 이벤트: EV_설정_정책 *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):구성된 정책 설정 *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTH 이벤트: EV_VERIFY_POLICY_BY_PEERID *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTH 이벤트: EV_CHK_AUTH4EAP *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_WAIT_AUTH 이벤트: EV_CHK_POLREQEAP *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH 이벤트: EV_CHK_AUTH_유형 *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH 이벤트: EV_GET_PRESHR_KEY *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH 이벤트: EV_VERIFY_AUTH *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH 이벤트: EV_CHK4_IC *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH 이벤트: EV_CHK_REDIRECT *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):리디렉션 확인이 필요하지 않으므로 건너뜁니다. *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH 이벤트: EV_NOTIFY_AUTH_DONE *11월 11일 19:30:34.833: IKEv2: AAA 그룹 권한 부여가 구성되지 않았습니다. *11월 11일 19:30:34.833: IKEv2: AAA 사용자 권한 부여가 구성되지 않았습니다. *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH 이벤트: EV_CHK_CONFIG_모드 *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH 이벤트: EV_SET_RECD_CONFIG_MODE *11월 11일 19:30:34.833: IKEv2: 툴킷에서 컨피그레이션 데이터 수신: *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH 이벤트: EV_PROC_SA_TS *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_VERIFY_AUTH 이벤트: EV_GET_CONFIG_모드 *11월 11일 19:30:34.833: IKEv2: 구성 응답을 구성하는 동안 오류가 발생했습니다. *11월 11일 19:30:34.833: IKEv2:툴킷에 전송할 컨피그레이션 데이터 없음: *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_BLD_AUTH 이벤트: EV_MY_AUTH_METHOD *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_BLD_AUTH 이벤트: EV_GET_PRESHR_KEY *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_BLD_AUTH 이벤트: EV_GEN_AUTH *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_BLD_AUTH 이벤트: EV_CHK4_SIGN *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_BLD_AUTH 이벤트: EV_OK_AUTH_GEN *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: R_BLD_AUTH 이벤트: EV_SEND_AUTH *11월 11일 19:30:34.833: IKEv2:공급업체별 페이로드 구성: CISCO 화강암 *11월 11일 19:30:34.833: IKEv2:알림 페이로드 구성: SET_WINDOW_SIZE *11월 11일 19:30:34.833: IKEv2:알림 페이로드 구성: ESP_TFC_NO_SUPPORT *11월 11일 19:30:34.833: IKEv2:알림 페이로드 구성: 비_첫번째_단편
|
라우터 2는 라우터 1에서 받은 IKE_AUTH 패킷에 대한 응답을 빌드합니다. 이 응답 패킷에는 다음이 포함됩니다. ISAKMP 헤더(SPI/ 버전/플래그), IDr.(responder identity), AUTH 페이로드, SAr2(IKEv1에서 2단계 변환 세트 교환과 유사한 SA를 시작), TSi 및 TSr(Initiator 및 Responder Traffic selector). 여기에는 암호화된 트래픽을 전달/수신하기 위한 initiator 및 responder의 소스 및 목적지 주소가 각각 포함됩니다. 주소 범위는 해당 범위를 오가는 모든 트래픽이 터널링되도록 지정합니다. 이러한 매개변수는 ASA1에서 수신한 매개변수와 동일합니다. |
|
*11월 11일 19:30:34.833: IKEv2:(SA ID = 1):다음 페이로드: ENCR, 버전: 2.0 Exchange 유형: IKE_AUTH, 플래그: RESPONDER MSG-RESPONSE 메시지 ID: 1, 길이: 252 페이로드 내용: ENCR 다음 페이로드: VID, 예약됨: 0x0, 길이: 224 *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: AUTH_DONE 이벤트 확인(_O) *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):작업: Action_Null *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: AUTH_DONE 이벤트 EV_PKI_SESH_CLOSE *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):PKI 세션 닫기 *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: AUTH_DONE 이벤트 EV_UPDATE_CAC_STATS *11월 11일 19:30:34.833: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: AUTH_DONE 이벤트:EV_INSERT_IKE *11월 11일 19:30:34.834: IKEv2: Store mib index ikev2 1, 플랫폼 60 *11월 11일 19:30:34.834: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: AUTH_DONE 이벤트 EV_GEN_LOAD_IPSEC *11월 11일 19:30:34.834: IKEv2:(SA ID = 1):비동기 요청이 큐에 대기됨 *11월 11일 19:30:34.834: IKEv2:(SA ID = 1): *11월 11일 19:30:34.834: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: AUTH_DONE 이벤트: 이벤트 없음(_N)
|
Responder는 IKE_AUTH에 대한 응답을 보냅니다. |
<------------------------------------응답자가 IKE_AUTH를 전송했습니다---------------------------- |
Initiator가 Responder로부터 응답을 수신합니다. |
*11월 11일 19:30:34.834: IKEv2:디스패처에서 패킷 가져오기
*11월 11일 19:30:34.834: IKEv2:pak 큐에서 항목 처리
|
*11월 11일 19:30:34.840: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: AUTH_DONE 이벤트 EV_OK_RECD_LOAD_IPSEC *11월 11일 19:30:34.840: IKEv2:(SA ID = 1):작업: Action_Null *11월 11일 19:30:34.840: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: AUTH_DONE 이벤트 EV_시작_계정 *11월 11일 19:30:34.840: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: AUTH_DONE 이벤트 EV_CHECK_DUPE *11월 11일 19:30:34.840: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: AUTH_DONE 이벤트 EV_CHK4_ROLE
|
Responder가 SAD에 항목을 삽입합니다. |
라우터 1은 이 패킷의 인증 데이터를 확인하고 처리합니다. 그런 다음 라우터 1은 이 SA를 SAD에 삽입합니다. |
*11월 11일 19:30:34.834: IKEv2:(SA ID = 1):다음 페이로드: ENCR, 버전: 2.0 Exchange 유형: IKE_AUTH, 플래그: RESPONDER MSG-RESPONSE 메시지 ID: 1, 길이: 252 페이로드 내용:
*11월 11일 19:30:34.834: IKEv2:공급업체별 페이로드 구문 분석: (사용자 지정) VID 다음 페이로드: IDr., 예약됨: 0x0, 길이: 20 IDr. 다음 페이로드: AUTH, 예약됨: 0x0, 길이: 12 ID 유형: IPv4 주소, 예약됨: 0x0 0x0 AUTH 다음 페이로드: SA, 예약됨: 0x0, 길이: 28 인증 방법 PSK, 예약됨: 0x0, 예약됨 0x0 SA 다음 페이로드: TSi, 예약: 0x0, 길이: 40 마지막 제안: 0x0, 예약됨: 0x0, 길이: 36 제안: 1, 프로토콜 id: ESP, SPI 크기: #trans: 3 마지막 변환: 0x3, 예약됨: 0x0: 길이: 8 유형: 1, 예약됨: 0x0, id: 3DES 마지막 변환: 0x3, 예약됨: 0x0: 길이: 8 유형: 3, 예약됨: 0x0, id: SHA96 마지막 변환: 0x0, 예약됨: 0x0: 길이: 8 유형: 5, 예약됨: 0x0, id: ESN 사용 안 함 TSi 다음 페이로드: TSr, 예약: 0x0, 길이: 24 TS 수: 1, 예약 0x0, 예약 0x0 TS 유형: TS_IPV4_ADDR_RANGE, 프로토콜 ID: 길이: 16 시작 포트: 0, 엔드 포트: 65535 시작 주소: 0.0.0.0, 끝 주소: 255.255.255.255 TSr 다음 페이로드: 알림, 예약됨: 0x0, 길이: 24 TS 수: 1, 예약 0x0, 예약 0x0 TS 유형: TS_IPV4_ADDR_RANGE, 프로토콜 ID: 길이: 16 시작 포트: 0, 엔드 포트: 65535 시작 주소: 0.0.0.0, 끝 주소: 255.255.255.255
*11월 11일 19:30:34.834: IKEv2:구문 분석 알림 페이로드: SET_WINDOW_SIZE 알림(SET_WINDOW_SIZE) 다음 페이로드: 알림, 예약됨: 0x0, 길이: 12 보안 프로토콜 id: IKE, spi 크기: 0, 유형: SET_WINDOW_SIZE
*11월 11일 19:30:34.834: IKEv2:구문 분석 알림 페이로드: ESP_TFC_NO_SUPPORT NOTIFY(ESP_TFC_NO_SUPPORT) 다음 페이로드: 알림, 예약됨: 0x0, 길이: 8 보안 프로토콜 id: IKE, spi 크기: 0, 유형: ESP_TFC_NO_SUPPORT
*11월 11일 19:30:34.834: IKEv2:구문 분석 알림 페이로드: NON_FIRST_FRAGS NOTIFY(NON_FIRST_FRAGS) 다음 페이로드: 없음, 예약됨: 0x0, 길이: 8 보안 프로토콜 id: IKE, spi 크기: 0, 유형: 비_첫번째_단편
*11월 11일 19:30:34.834: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_WAIT_AUTH 이벤트:EV_RECV_AUTH *11월 11일 19:30:34.834: IKEv2:(SA ID = 1):작업: Action_Null *11월 11일 19:30:34.834: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH 이벤트: EV_CHK4_알림 *11월 11일 19:30:34.834: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH 이벤트:EV_PROC_MSG *11월 11일 19:30:34.834: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH 이벤트: EV_CHK_IF_PEER_CERT_NEEDS_TO_BE_FETCHED_FOR_PROF_SEL *11월 11일 19:30:34.834: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH 이벤트: EV_GET_POLICY_BY_PEERID *11월 11일 19:30:34.834: IKEv2:툴킷 정책에 제안 PHASE1-prop 추가 *11월 11일 19:30:34.834: IKEv2:(SA ID = 1):IKEv2 프로필 'IKEV2-SETUP' 사용 *11월 11일 19:30:34.834: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH 이벤트: EV_VERIFY_POLICY_BY_PEERID *11월 11일 19:30:34.834: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH 이벤트: EV_CHK_AUTH_유형 *11월 11일 19:30:34.834: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH 이벤트: EV_GET_PRESHR_KEY *11월 11일 19:30:34.835: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH 이벤트:EV_VERIFY_AUTH *11월 11일 19:30:34.835: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH 이벤트: EV_CHK_EAP *11월 11일 19:30:34.835: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH 이벤트:EV_NOTIFY_AUTH_DONE *11월 11일 19:30:34.835: IKEv2: AAA 그룹 권한 부여가 구성되지 않았습니다. *11월 11일 19:30:34.835: IKEv2: AAA 사용자 권한 부여가 구성되지 않았습니다. *11월 11일 19:30:34.835: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH 이벤트: EV_CHK_CONFIG_모드 *11월 11일 19:30:34.835: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH 이벤트: EV_CHK4_IC *11월 11일 19:30:34.835: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH 이벤트: EV_CHK_IKE_ONLY *11월 11일 19:30:34.835: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH 이벤트: EV_PROC_SA_TS *11월 11일 19:30:34.835: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: AUTH_DONE 이벤트 확인(_O) *11월 11일 19:30:34.835: IKEv2:(SA ID = 1):작업: Action_Null *11월 11일 19:30:34.835: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: AUTH_DONE 이벤트 EV_PKI_SESH_CLOSE *11월 11일 19:30:34.835: IKEv2:(SA ID = 1):PKI 세션 닫기 *11월 11일 19:30:34.835: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: AUTH_DONE 이벤트 EV_UPDATE_CAC_STATS *11월 11일 19:30:34.835: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: AUTH_DONE 이벤트 EV_INSERT_IKE *11월 11일 19:30:34.835: IKEv2: Store mib index ikev2 1, 플랫폼 60 *11월 11일 19:30:34.835: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: AUTH_DONE 이벤트 EV_GEN_LOAD_IPSEC *11월 11일 19:30:34.835: IKEv2:(SA ID = 1):비동기 요청이 큐에 대기됨
*11월 11일 19:30:34.835: IKEv2:(SA ID = 1): *11월 11일 19:30:34.835: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: AUTH_DONE 이벤트 이벤트 없음(_N) *11월 11일 19:30:34.835: IKEv2:KMI 메시지 8이 사용되었습니다. 수행된 작업이 없습니다. *11월 11일 19:30:34.835: IKEv2:KMI 메시지 12가 사용되었습니다. 수행된 작업이 없습니다. *11월 11일 19:30:34.835: IKEv2: 모드 컨피그레이션 세트에서 전송할 데이터가 없습니다. *11월 11일 19:30:34.841: IKEv2: 세션 8에 대한 SPI 0x9506D414와 연결된 IDENT 핸들 0x80000002 추가
*11월 11일 19:30:34.841: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: AUTH_DONE 이벤트 EV_OK_RECD_LOAD_IPSEC *11월 11일 19:30:34.841: IKEv2:(SA ID = 1):작업: Action_Null *11월 11일 19:30:34.841: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: AUTH_DONE 이벤트 EV_시작_계정 *11월 11일 19:30:34.841: IKEv2:(SA ID = 1):계정 관리가 필요하지 않음 *11월 11일 19:30:34.841: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: AUTH_DONE 이벤트 EV_CHECK_DUPE *11월 11일 19:30:34.841: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: AUTH_DONE 이벤트: EV_CHK4_ROLE
|
|
터널이 Initiator에서 가동 중이고 상태는 READY로 표시됩니다. |
*11월 11일 19:30:34.841: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: READYEvent: EV_CHK_IKE_ONLY *11월 11일 19:30:34.841: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: 준비 이벤트: EV_I_OK
|
*11월 11일 19:30:34.840: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: READY 이벤트: 전자 메일(_R) *11월 11일 19:30:34.840: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: 준비 이벤트: 이벤트 없음(_N)
|
터널이 Responder에서 작동 중입니다. Responder 터널은 일반적으로 Initiator보다 먼저 옵니다. |