ASA에서 ASDM 또는 CLI를 사용하여 IKEv1 IPsec Site-to-Site 터널 구성

다운로드 옵션

PDF (679.1 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (380.6 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (388.1 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2018년 4월 13일 (금)

문서 ID:119141

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 소프트웨어 버전 9.2.x를 실행하는 Cisco 5515-X Series ASA(Adaptive Security Appliance)와 소프트웨어 버전 8.2.x를 실행하는 Cisco 5510 Series ASA 간에 IKEv1(Internet Key Exchange version 1) IPsec 사이트 대 사이트 터널을 구성하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

엔드 투 엔드 IP 연결이 설정되어야 합니다.
다음 프로토콜을 허용해야 합니다.
1. IPsec 컨트롤 플레인의 UDP(User Datagram Protocol) 500 및 4500
2. IPsec 데이터 플레인용 ESP(Encapsulating Security Payload) IP Protocol 50

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

소프트웨어 버전 8.2를 실행하는 Cisco 5510 Series ASA
소프트웨어 버전 9.2를 실행하는 Cisco 5515-X ASA

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

구성

이 섹션에서는 ASDM(Adaptive Security Device Manager) VPN 마법사 또는 CLI를 통해 사이트 대 사이트 VPN 터널을 구성하는 방법에 대해 설명합니다.

네트워크 다이어그램

이 토폴로지는 이 문서 전반의 예에 사용됩니다.

Network Diagram

ASDM VPN 마법사를 통해 구성

ASDM 마법사를 통해 사이트 대 사이트 VPN 터널을 설정하려면 다음 단계를 완료하십시오.

ASDM을 열고 Wizards > VPN Wizards > Site-to-site VPN Wizard.
클릭 Next 마법사 홈 페이지가 나타납니다.

참고: 최신 ASDM 버전에서는 이 컨피그레이션을 설명하는 비디오에 대한 링크를 제공합니다.
피어 IP 주소를 구성합니다. 이 예에서는 사이트 B에서 피어 IP 주소가 192.168.1.1로 설정됩니다. 사이트 A에서 피어 IP 주소를 구성하는 경우 172.16.1.1로 변경해야 합니다. 원격단에 도달할 수 있는 인터페이스도 지정됩니다. 클릭 Next 완료됩니다.
로컬 및 원격 네트워크(트래픽 소스 및 대상)를 구성합니다. 이 그림에서는 사이트 B에 대한 컨피그레이션을 보여줍니다(사이트 A에는 반대 방향이 적용됨).
Security(보안) 페이지에서 사전 공유 키를 구성합니다(양쪽 끝에서 일치해야 함). 클릭 Next 완료됩니다.
ASA에서 트래픽에 대한 소스 인터페이스를 구성합니다. ASDM은 ASA 버전을 기반으로 NAT(Network Address Translation) 규칙을 자동으로 생성하고 마지막 단계에서 나머지 컨피그레이션과 함께 푸시합니다.
참고: 이 문서에서 사용되는 예제의 경우 'inside'는 트래픽의 소스입니다.
이제 마법사에서 ASA로 푸시되는 컨피그레이션의 요약을 제공합니다. 컨피그레이션 설정을 검토 및 확인한 다음 Finish.

CLI를 통해 구성

이 섹션에서는 CLI를 통해 IKEv1 IPsec Site-to-Site 터널을 구성하는 방법에 대해 설명합니다.

ASA 버전 8.4 이상에 대해 사이트 B 구성

ASA 버전 8.4 이상에서는 IKEv1 및 IKEv2(Internet Key Exchange version 2)에 대한 지원이 도입되었습니다.

팁: 두 버전 간의 차이점에 대한 자세한 내용은 ASA 8.4 코드 Cisco 문서의 IKEv1에서 IKEv2 L2L 터널로의 Swift Migration of IKEv1(IKEv2로 마이그레이션하는 이유) 섹션을 참조하십시오.

팁: ASA의 IKEv2 컨피그레이션 예제를 보려면 ASA와 라우터 컨피그레이션 예 Cisco 문서 사이의 Site-to-Site IKEv2 터널을 살펴보십시오.

1단계(IKEv1)

1단계 컨피그레이션에 대해 다음 단계를 완료합니다.

외부 인터페이스에서 IKEv1을 활성화하려면 CLI에 다음 명령을 입력합니다.
```
crypto ikev1 enable outside
```

해싱, 인증, Diffie-Hellman 그룹, 수명 및 암호화에 사용할 알고리즘/방법을 정의하는 IKEv1 정책을 생성합니다.

crypto ikev1 policy 1
!The 1 in the above command refers to the Policy suite priority
 (1 highest, 65535 lowest)
  authentication pre-share
  encryption aes
  hash sha
  group 2
  lifetime 86400

IPsec 특성 아래에 터널 그룹을 만들고 피어 IP 주소 및 터널 사전 공유 키를 구성합니다.

tunnel-group 192.168.1.1 type ipsec-l2l
tunnel-group 192.168.1.1 ipsec-attributes
 ikev1 pre-shared-key cisco
 ! Note the IKEv1 keyword at the beginning of the pre-shared-key command.

2단계(IPsec)

2단계 컨피그레이션에 대해 다음 단계를 완료합니다.

암호화 및 터널링할 트래픽을 정의하는 액세스 목록을 만듭니다. 이 예에서 관심 트래픽은 10.2.2.0 서브넷에서 10.1.1.0으로 소스가 되는 터널의 트래픽입니다. 사이트 간에 여러 서브넷이 포함된 경우 여러 항목을 포함할 수 있습니다.

버전 8.4 이상에서는 네트워크, 서브넷, 호스트 IP 주소 또는 여러 개체의 컨테이너 역할을 하는 개체 또는 개체 그룹을 만들 수 있습니다. 로컬 및 원격 서브넷이 있는 두 객체를 생성하여 암호화 ACL(Access Control List) 및 NAT 문 모두에 사용합니다.
```
object network 10.2.2.0_24
 subnet 10.2.2.0 255.255.255.0
object network 10.1.1.0_24
 subnet 10.1.1.0 255.255.255.0

access-list 100 extended permit ip object 10.2.2.0_24 object 10.1.1.0_24
```
TS(Transform Set)를 구성합니다. 이 설정에는 키워드가 포함되어야 합니다. IKEv1. 원격 엔드에도 동일한 TS를 생성해야 합니다.
```
crypto ipsec ikev1 transform-set myset esp-aes esp-sha-hmac
```
다음 구성 요소가 포함된 암호화 맵을 구성합니다.
- 피어 IP 주소
- 관심 트래픽을 포함하는 정의된 액세스 목록
- TS
- 선택 사항인 PFS(Perfect Forward Secrecy) 설정 - 데이터를 보호하기 위해 사용되는 새로운 Diffie-Hellman 키 쌍을 생성합니다(2단계가 시작되기 전에 양쪽이 PFS를 활성화해야 함).

외부 인터페이스에 암호화 맵을 적용합니다.

crypto map outside_map 20 match address 100
crypto map outside_map 20 set peer 192.168.1.1
crypto map outside_map 20 set ikev1 transform-set myset
crypto map outside_map 20 set pfs
crypto map outside_map interface outside

NAT 예외

VPN 트래픽에 다른 NAT 규칙이 적용되지 않는지 확인합니다. 다음은 사용되는 NAT 규칙입니다.

nat (inside,outside) 1 source static 10.2.2.0_24 10.2.2.0_24 destination static
 10.1.1.0_24 10.1.1.0_24 no-proxy-arp route-lookup

참고: 여러 서브넷을 사용하는 경우 모든 소스 및 대상 서브넷을 포함하는 개체 그룹을 생성하여 NAT 규칙에서 사용해야 합니다.

object-group  network 10.x.x.x_SOURCE
 network-object  10.4.4.0 255.255.255.0
 network-object  10.2.2.0 255.255.255.0

object network 10.x.x.x_DESTINATION
 network-object  10.3.3.0 255.255.255.0
 network-object  10.1.1.0 255.255.255.0

nat (inside,outside) 1 source static 10.x.x.x_SOURCE 10.x.x.x_SOURCE destination
 static 10.x.x.x_DESTINATION  10.x.x.x_DESTINATION no-proxy-arp route-lookup

샘플 구성 완료

사이트 B의 전체 구성은 다음과 같습니다.

crypto ikev1 enable outside

crypto ikev1 policy 10
 authentication pre-share
 encryption aes
 hash sha
 group 2
 lifetime 86400

tunnel-group 192.168.1.1 type ipsec-l2l
tunnel-group 192.168.1.1 ipsec-attributes
 ikev1 pre-shared-key cisco
 !Note the IKEv1 keyword at the beginning of the pre-shared-key command.

object network 10.2.2.0_24 
 subnet 10.2.2.0 255.255.255.0 
object network 10.1.1.0_24 
 subnet 10.1.1.0 255.255.255.0

access-list 100 extended permit ip object 10.2.2.0_24 object 10.1.1.0_24

crypto ipsec ikev1 transform-set myset esp-aes esp-sha-hmac

crypto map outside_map 20 match address 100
crypto map outside_map 20 set peer 192.168.1.1
crypto map outside_map 20 set ikev1 transform-set myset
crypto map outside_map 20 set pfs
crypto map outside_map interface outside

nat (inside,outside) 1 source static 10.2.2.0_24 10.2.2.0_24 destination static
 10.1.1.0_24 10.1.1.0_24 no-proxy-arp route-lookup

ASA 버전 8.2 이하에 대한 사이트 A 구성

이 섹션에서는 ASA 버전 8.2 이하에 대해 사이트 A를 구성하는 방법에 대해 설명합니다.

1단계(ISAKMP)

1단계 컨피그레이션에 대해 다음 단계를 완료합니다.

외부 인터페이스에서 ISAKMP(Internet Security Association and Key Management Protocol)를 활성화하려면 CLI에 다음 명령을 입력합니다.
```
crypto isakmp enable outside
```
참고: 여러 버전의 IKE(IKEv1 및 IKEv2)는 더 이상 지원되지 않으므로 1단계를 참조하기 위해 ISAKMP가 사용됩니다.
1단계를 빌드하는 데 사용할 알고리즘/메서드를 정의하는 ISAKMP 정책을 만듭니다.

참고: 이 예제 컨피그레이션에서는 IKEv1 버전 9.x에서 다음으로 대체됨 ISAKMP.
```
crypto isakmp policy 1
  authentication pre-share
  encryption aes
  hash sha
  group 2
  lifetime 86400
```
사전 공유 키를 사용하여 피어 IP 주소(외부 IP 주소 5515)에 대한 터널 그룹을 생성합니다.
```
 tunnel-group 172.16.1.1 type ipsec-l2l
 tunnel-group 172.16.1.1 ipsec-attributes 
  pre-shared-key cisco
```

2단계(IPsec)

2단계 컨피그레이션에 대해 다음 단계를 완료합니다.

버전 9.x의 컨피그레이션과 마찬가지로, 원하는 트래픽을 정의하려면 확장 액세스 목록을 생성해야 합니다.
```
access-list 100 extended permit ip 10.1.1.0 255.255.255.0
 10.2.2.0 255.255.255.0
```
사용 가능한 모든 암호화 및 해싱 알고리즘이 포함된 TS를 정의합니다(제공된 문제에는 물음표가 있음). 다른 쪽에 구성된 것과 동일한지 확인합니다.
```
crypto ipsec transform-set myset esp-aes esp-sha-hmac
```
다음 구성 요소를 포함하는 암호화 맵을 구성합니다.
- 피어 IP 주소
- 관심 트래픽을 포함하는 정의된 액세스 목록
- TS
- 데이터를 보호하기 위해 사용되는 새 Diffie-Hellman 키 쌍을 생성하는 PFS 설정(선택 사항). Phase 2가 시작되려면 양쪽이 PFS를 활성화해야 합니다.

외부 인터페이스에 암호화 맵을 적용합니다.

crypto map outside_map 20 set peer 172.16.1.1
crypto map outside_map 20 match address 100
crypto map outside_map 20 set transform-set myset
crypto map outside_map 20 set pfs
crypto map outside_map interface outside

NAT 예외

NAT 검사에서 제외할 트래픽을 정의하는 액세스 목록을 생성합니다. 이 버전에서는 해당 트래픽에 대해 정의한 액세스 목록과 비슷하게 표시됩니다.

access-list nonat line 1 extended permit ip 10.1.1.0 255.255.255.0
 10.2.2.0  255.255.255.0

여러 서브넷을 사용하는 경우 동일한 액세스 목록에 다른 행을 추가합니다.

access-list nonat line 1 extended permit ip 10.3.3.0 255.255.255.0 
 10.4.4.0 255.255.255.0

액세스 목록은 다음과 같이 NAT와 함께 사용됩니다.

nat (inside) 0 access-list nonat

참고: 여기서 'inside'는 ASA가 액세스 목록과 일치하는 트래픽을 수신하는 내부 인터페이스의 이름을 나타냅니다.

샘플 구성 완료

사이트 A의 전체 구성은 다음과 같습니다.

crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption aes
 hash sha
 group 2
 lifetime 86400

tunnel-group 172.16.1.1 type ipsec-l2l
tunnel-group 172.16.1.1 ipsec-attributes
 pre-shared-key cisco

access-list 100 extended permit ip 10.1.1.0 255.255.255.0
 10.2.2.0 255.255.255.0
crypto ipsec transform-set myset esp-aes esp-sha-hmac

crypto map outside_map 20 set peer
crypto map outside_map 20 match address 100
crypto map outside_map 20 set transform-set myset
crypto map outside_map 20 set pfs
crypto map outside_map interface outside

access-list nonat line 1 extended permit ip 10.1.1.0 255.255.255.0
 10.2.2.0  255.255.255.0

nat (inside) 0 access-list nonat

그룹 정책

그룹 정책은 터널에 적용되는 특정 설정을 정의하는 데 사용됩니다. 이러한 정책은 터널 그룹과 함께 사용됩니다.

그룹 정책은 ASA에 정의된 특성에서 가져오는 internal 또는 외부 서버에서 쿼리하는 external로 정의할 수 있습니다. 그룹 정책을 정의하기 위해 사용되는 명령입니다.

group-policy SITE_A internal

참고: 그룹 정책에서 여러 특성을 정의할 수 있습니다. 가능한 모든 특성 목록은 Cisco ASA 5500 Series 버전 5.2의 Selected ASDM VPN Configuration Procedures의 Configuring Group Policies 섹션을 참조하십시오.

그룹 정책 선택적 특성

이 vpn-tunnel-protocol 특성은 이러한 설정을 적용해야 하는 터널 유형을 결정합니다. 이 예에서는 IPsec이 사용됩니다.

vpn-tunnel-protocol ?
  group-policy mode commands/options:
  IPSec       IP Security Protocol
  l2tp-ipsec  L2TP using IPSec for security
  svc         SSL VPN Client
  webvpn      WebVPN

vpn-tunnel-protocol ipsec - Versions 8.2 and prior
vpn-tunnel-protocol ikev1 - Version 8.4 and later

터널을 구성하여 유휴 상태(트래픽 없음)를 유지하고 다운되지 않도록 할 수 있습니다. 이 옵션을 구성하려면 vpn-idle-timeout 특성 값은 분을 사용해야 합니다. 그렇지 않으면 값을 none즉 터널이 절대 다운되지 않습니다.

예를 들면 다음과 같습니다.

group-policy SITE_A attributes
 vpn-idle-timeout ?
 group-policy mode commands/options:
 <1-35791394>  Number of minutes
 none   IPsec VPN: Disable timeout and allow an unlimited idle period;

이 default-group-policy tunnel group의 general attributes 아래에 있는 명령은 설정된 터널에 대한 특정 정책 설정을 푸시하기 위해 사용되는 그룹 정책을 정의합니다. 그룹 정책에서 정의하지 않은 옵션에 대한 기본 설정은 전역 기본 그룹 정책에서 가져옵니다.

tunnel-group 172.16.1.1 general-attributes
 default-group-policy SITE_A

다음을 확인합니다.

컨피그레이션이 제대로 작동하는지 확인하려면 이 섹션에 제공된 정보를 사용합니다.

ASDM

ASDM에서 터널 상태를 보려면 Monitoring > VPN. 제공되는 정보는 다음과 같습니다.

피어 IP 주소
터널을 구축하기 위해 사용되는 프로토콜
사용되는 암호화 알고리즘
터널이 가동된 시간과 가동 시간
수신 및 전송된 패킷 수입니다

팁: Refresh 최신 값을 보려면 데이터가 실시간으로 업데이트되지 않으므로

Tunnel Status from the ASDM

CLI

이 섹션에서는 CLI를 통해 컨피그레이션을 확인하는 방법에 대해 설명합니다.

1단계

사이트 B(5515) 측에서 1단계 컨피그레이션을 확인하려면 다음 명령을 CLI에 입력합니다.

show crypto ikev1 sa

Active SA: 1
   Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 192.168.1.1
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE

사이트 A(5510) 측에서 1단계 컨피그레이션을 확인하려면 다음 명령을 CLI에 입력합니다.

show crypto isakmp sa

Active SA: 1
   Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 172.16.1.1
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE

2단계

이 show crypto ipsec sa 명령은 피어 간에 구축된 IPsec SA를 표시합니다. 암호화된 터널은 네트워크 10.1.1.0과 10.2.2.0 간에 흐르는 트래픽에 대해 IP 주소 192.168.1.1과 172.16.1.1 사이에 구축됩니다. 인바운드 및 아웃바운드 트래픽을 위해 구축된 2개의 ESP SA를 확인할 수 있습니다. AH(Authentication Header)는 AH SA가 없으므로 사용되지 않습니다.

사이트 B(5515) 측에서 2단계 컨피그레이션을 확인하려면 다음 명령을 CLI에 입력합니다.

interface: FastEthernet0
Crypto map tag: outside_map, local addr. 172.16.1.1
 local ident (addr/mask/prot/port): (10.2.2.0/255.255.255.0/0/0)
 remote ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
 current_peer: 192.168.1.1
   PERMIT, flags={origin_is_acl,}
  #pkts encaps: 20, #pkts encrypt: 20, #pkts digest 20
  #pkts decaps: 20, #pkts decrypt: 20, #pkts verify 20
  #pkts compressed: 0, #pkts decompressed: 0
  #pkts not compressed: 0, #pkts compr. failed: 0, 
  #pkts decompress failed: 0, #send errors 0, #recv errors 0
   local crypto endpt.: 172.16.1.1, remote crypto endpt.: 172.16.1.1
   path mtu 1500, media mtu 1500
   current outbound spi: 3D3
   inbound esp sas:
    spi: 0x136A010F(325714191)
      transform: esp-aes esp-sha-hmac ,
      in use settings ={Tunnel, }
      slot: 0, conn id: 3442, flow_id: 1443, crypto map: outside_map
      sa timing: remaining key lifetime (k/sec): (4608000/52)
      IV size: 8 bytes
      replay detection support: Y
   inbound ah sas:
   inbound pcp sas:
   inbound pcp sas:
   outbound esp sas:
    spi: 0x3D3(979)
      transform: esp-aes esp-sha-hmac ,
      in use settings ={Tunnel, }
      slot: 0, conn id: 3443, flow_id: 1444, crypto map: outside_map
      sa timing: remaining key lifetime (k/sec): (4608000/52)
      IV size: 8 bytes
      replay detection support: Y
   outbound ah sas:
   outbound pcp sas

사이트 A(5510) 측에서 2단계 컨피그레이션을 확인하려면 다음 명령을 CLI에 입력합니다.

interface: FastEthernet0
   Crypto map tag: outside_map, local addr. 192.168.1.1
  local ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
  remote ident (addr/mask/prot/port): (10.2.2.0/255.255.255.0/0/0)
  current_peer: 172.16.1.1
    PERMIT, flags={origin_is_acl,}
   #pkts encaps: 20, #pkts encrypt: 20, #pkts digest 20
   #pkts decaps: 20, #pkts decrypt: 20, #pkts verify 20
   #pkts compressed: 0, #pkts decompressed: 0
   #pkts not compressed: 0, #pkts compr. failed: 0,
   #pkts decompress failed: 0, #send errors 0, #recv errors 0
    local crypto endpt.: 192.168.1.1, remote crypto endpt.: 172.16.1.1
    path mtu 1500, media mtu 1500
    current outbound spi: 3D3
    inbound esp sas:
     spi: 0x136A010F(325714191)
       transform: esp-aes esp-sha-hmac ,
       in use settings ={Tunnel, }
       slot: 0, conn id: 3442, flow_id: 1443, crypto map: outside_map
       sa timing: remaining key lifetime (k/sec): (4608000/52)
       IV size: 8 bytes
       replay detection support: Y
    inbound ah sas:
    inbound pcp sas:
    inbound pcp sas:
    outbound esp sas:
     spi: 0x3D3(979)
       transform: esp-aes esp-sha-hmac ,
       in use settings ={Tunnel, }
       slot: 0, conn id: 3443, flow_id: 1444, crypto map: outside_map
       sa timing: remaining key lifetime (k/sec): (4608000/52)
       IV size: 8 bytes
       replay detection support: Y
    outbound ah sas:
    outbound pcp sas

문제 해결

컨피그레이션 문제를 트러블슈팅하려면 이 섹션에 제공된 정보를 사용하십시오.

ASA 버전 8.4 이상

터널 실패의 위치를 확인하려면 다음 debug 명령을 입력합니다.

debug crypto ikev1 127 (1단계)
debug crypto ipsec 127 (2단계)

다음은 디버그 출력의 전체 예입니다.

IPSEC(crypto_map_check)-3: Looking for crypto map matching 5-tuple: Prot=1,
 saddr=10.2.2.1, sport=19038, daddr=10.1.1.1, dport=19038
IPSEC(crypto_map_check)-3: Checking crypto map outside_map 20: matched.
Feb 13 23:48:56 [IKEv1 DEBUG]Pitcher: received a key acquire message, spi 0x0
IPSEC(crypto_map_check)-3: Looking for crypto map matching 5-tuple: Prot=1,
 saddr=10.2.2.1, sport=19038, daddr=10.1.1.1, dport=19038
IPSEC(crypto_map_check)-3: Checking crypto map outside_map 20: matched.
Feb 13 23:48:56 [IKEv1]IP = 192.168.1.1, IKE Initiator: New Phase 1, Intf NP
 Identity Ifc, IKE Peer 192.168.1.1  local Proxy Address 10.2.2.0, remote Proxy
 Address 10.1.1.0,  Crypto map (outside_map) Feb 13 23:48:56 [IKEv1 DEBUG]IP =
 192.168.1.1, constructing ISAKMP SA payload Feb 13 23:48:56 [IKEv1 DEBUG]IP =
 192.168.1.1, constructing NAT-Traversal VID ver 02 payload
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, constructing NAT-Traversal VID
 ver 03 payload
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, constructing NAT-Traversal VID
 ver RFC payload
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, constructing Fragmentation VID +
 extended capabilities payload
Feb 13 23:48:56 [IKEv1]IP = 192.168.1.1, IKE_DECODE SENDING Message (msgid=0)
 with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR
 (13) + NONE (0) total length : 172
Feb 13 23:48:56 [IKEv1]IKE Receiver: Packet received on 172.16.1.1:500
 from 192.168.1.1:500
Feb 13 23:48:56 [IKEv1]IP = 192.168.1.1, IKE_DECODE RECEIVED Message (msgid=0)
 with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + NONE (0) total
 length : 132
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, processing SA payload
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, Oakley proposal is acceptable
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, processing VID payload
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, Received NAT-Traversal ver 02 VID
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, processing VID payload
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, Received Fragmentation VID
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, IKE Peer included IKE
 fragmentation capability flags:  Main Mode: True  Aggressive Mode:  True
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, constructing ke payload
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, constructing nonce payload
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, constructing Cisco Unity
 VID payload
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, constructing xauth V6
 VID payload
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, Send IOS VID
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, Constructing ASA spoofing IOS
 Vendor ID payload (version: 1.0.0, capabilities: 20000001)
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, constructing VID payload
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, Send Altiga/Cisco VPN3000/Cisco
 ASA GW VID
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, constructing NAT-Discovery payload
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, computing NAT Discovery hash
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, constructing NAT-Discovery payload
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, computing NAT Discovery hash
Feb 13 23:48:56 [IKEv1]IP = 192.168.1.1, IKE_DECODE SENDING Message (msgid=0)
 with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR
 (13) + VENDOR (13) + NAT-D (130) + NAT-D (130) + NONE (0) total length : 304
Feb 13 23:48:56 [IKEv1]IKE Receiver: Packet received on 172.16.1.1:500
 from 192.168.1.1:500
Feb 13 23:48:56 [IKEv1]IP = 192.168.1.1, IKE_DECODE RECEIVED Message (msgid=0)
 with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR
 (13) + VENDOR (13) + NAT-D (130) + NAT-D (130) + NONE (0) total length : 304
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, processing ke payload
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, processing ISA_KE payload
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, processing nonce payload
Feb 13 23:48:56 [IKEv1 DEBUG]?IP = 192.168.1.1, processing VID payload
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, Received Cisco Unity client VID
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, processing VID payload
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, Received xauth V6 VID
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, processing VID payload
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, Processing VPN3000/ASA spoofing
 IOS Vendor ID payload (version: 1.0.0, capabilities: 20000001)
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, processing VID payload
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, Received Altiga/Cisco
 VPN3000/Cisco ASA GW VID
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, processing NAT-Discovery payload
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, computing NAT Discovery hash
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, processing NAT-Discovery payload
!
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, computing NAT Discovery hash
Feb 13 23:48:56 [IKEv1]IP = 192.168.1.1, Connection landed on tunnel_group
 192.168.1.1
Feb 13 23:48:56 [IKEv1 DEBUG]!Group = 192.168.1.1, IP = 192.168.1.1, Generating
 keys for Initiator...
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1, constructing
 ID payload
Feb 13 23:48:56 [IKEv1 DEBUG]!Group = 192.168.1.1, IP = 192.168.1.1, constructing
 hash payload
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1, Computing
 hash for ISAKMP
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, Constructing IOS keep alive
 payload: proposal=32767/32767 sec.
!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/3/10 ms
ciscoasa# Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1,
 constructing dpd vid payload
Feb 13 23:48:56 [IKEv1]IP = 192.168.1.1, IKE_DECODE SENDING Message (msgid=0)
 with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) + VENDOR (13) +
 NONE (0) total length : 96
Feb 13 23:48:56 [IKEv1]Group = 192.168.1.1, IP = 192.168.1.1, Automatic NAT
 Detection Status: Remote end is NOT behind a NAT device This end is NOT behind
 a NAT device
Feb 13 23:48:56 [IKEv1]IKE Receiver: Packet received on 172.16.1.1:500
 from 192.168.1.1:500
Feb 13 23:48:56 [IKEv1]IP = 192.168.1.1, IKE_DECODE RECEIVED Message (msgid=0)
 with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) + VENDOR (13) +
 NONE (0) total length : 96
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1, processing
 ID payload
Feb 13 23:48:56 [IKEv1 DECODE]Group = 192.168.1.1, IP = 192.168.1.1,
 ID_IPV4_ADDR ID received 192.168.1.1
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1,
 processing hash payload
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1, Computing
 hash for ISAKMP
Feb 13 23:48:56 [IKEv1 DEBUG]IP = 192.168.1.1, Processing IOS keep alive payload:
 proposal=32767/32767 sec.
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1, processing
 VID payload
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1, Received
 DPD VID
Feb 13 23:48:56 [IKEv1]IP = 192.168.1.1, Connection landed on tunnel_group
 192.168.1.1
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1, Oakley
 begin quick mode
Feb 13 23:48:56 [IKEv1 DECODE]Group = 192.168.1.1, IP = 192.168.1.1, IKE
 Initiator starting QM: msg id = 4c073b21
Feb 13 23:48:56 [IKEv1]Group = 192.168.1.1, IP = 192.168.1.1, PHASE 1 COMPLETED
Feb 13 23:48:56 [IKEv1]IP = 192.168.1.1, Keep-alive type for this connection: DPD
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1, Starting P1
 rekey timer: 73440 seconds.
IPSEC: New embryonic SA created @ 0x75298588,
   SCB: 0x75C34F18,
   Direction: inbound
   SPI      : 0x03FC9DB7
   Session ID: 0x00004000
   VPIF num  : 0x00000002
   Tunnel type: l2l
   Protocol   : esp
   Lifetime   : 240 seconds
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1,
 IKE got SPI from key engine: SPI = 0x03fc9db7
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1,
 oakley constucting quick mode
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1,
 constructing blank hash payload
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1,
 constructing IPSec SA payload
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1,
 constructing IPSec nonce payload
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1,
 constructing proxy ID
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1,
 Transmitting Proxy Id:
   Local subnet:  10.2.2.0  mask 255.255.255.0 Protocol 0  Port 0
   Remote subnet: 10.1.1.0  Mask 255.255.255.0 Protocol 0  Port 0
Feb 13 23:48:56 [IKEv1 DECODE]Group = 192.168.1.1, IP = 192.168.1.1,
 IKE Initiator sending Initial Contact
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1,
 IP = 192.168.1.1, constructing qm hash payload
Feb 13 23:48:56 [IKEv1 DECODE]Group = 192.168.1.1,
 IP = 192.168.1.1, IKE Initiator sending 1st QM pkt: msg id = 4c073b21
Feb 13 23:48:56 [IKEv1]IP = 192.168.1.1, IKE_DECODE SENDING Message (msgid=4c073b21)
 with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) +
 NOTIFY (11) + NONE (0) total length : 200
Feb 13 23:48:56 [IKEv1]IKE Receiver: Packet received on 172.16.1.1:500
 from 192.168.1.1:500
Feb 13 23:48:56 [IKEv1]IP = 192.168.1.1, IKE_DECODE RECEIVED Message (msgid=4c073b21)
 with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0)
 total length : 172
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1,
 processing hash payload
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1,
 processing SA payload
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1,
 processing nonce payload
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1,
 processing ID payload
Feb 13 23:48:56 [IKEv1 DECODE]Group = 192.168.1.1, IP = 192.168.1.1,
 ID_IPV4_ADDR_SUBNET ID received--10.2.2.0--255.255.255.0
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1,
 processing ID payload
Feb 13 23:48:56 [IKEv1 DECODE]Group = 192.168.1.1, IP = 192.168.1.1,
 ID_IPV4_ADDR_SUBNET ID received--10.1.1.0--255.255.255.0
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1,
 loading all IPSEC SAs
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1,
 Generating Quick Mode Key!
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1,
 NP encrypt rule look up for crypto map outside_map 20 matching ACL
 100: returned cs_id=6ef246d0; encrypt_rule=752972d0;
 tunnelFlow_rule=75ac8020
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1,
 Generating Quick Mode Key!
IPSEC: New embryonic SA created @ 0x6f0e03f0,
   SCB: 0x75B6DD00,
   Direction: outbound
   SPI      : 0x1BA0C55C
   Session ID: 0x00004000
   VPIF num  : 0x00000002
   Tunnel type: l2l
   Protocol   : esp
   Lifetime   : 240 seconds
IPSEC: Completed host OBSA update, SPI 0x1BA0C55C
IPSEC: Creating outbound VPN context, SPI 0x1BA0C55C
   Flags: 0x00000005
   SA   : 0x6f0e03f0
   SPI  : 0x1BA0C55C
   MTU  : 1500 bytes
   VCID : 0x00000000
   Peer : 0x00000000
   SCB  : 0x0B47D387
   Channel: 0x6ef0a5c0
IPSEC: Completed outbound VPN context, SPI 0x1BA0C55C
   VPN handle: 0x0000f614
IPSEC: New outbound encrypt rule, SPI 0x1BA0C55C
   Src addr: 10.2.2.0
   Src mask: 255.255.255.0
   Dst addr: 10.1.1.0
   Dst mask: 255.255.255.0
   Src ports
     Upper: 0
     Lower: 0
     Op   : ignore
   Dst ports
     Upper: 0
     Lower: 0
     Op   : ignore
   Protocol: 0
   Use protocol: false
   SPI: 0x00000000
   Use SPI: false
IPSEC: Completed outbound encrypt rule, SPI 0x1BA0C55C
   Rule ID: 0x74e1c558
IPSEC: New outbound permit rule, SPI 0x1BA0C55C
   Src addr: 172.16.1.1
   Src mask: 255.255.255.255
   Dst addr: 192.168.1.1
   Dst mask: 255.255.255.255
   Src ports
     Upper: 0
     Lower: 0
     Op   : ignore
   Dst ports
     Upper: 0
     Lower: 0
     Op   : ignore
   Protocol: 50
   Use protocol: true
   SPI: 0x1BA0C55C
   Use SPI: true
IPSEC: Completed outbound permit rule, SPI 0x1BA0C55C
   Rule ID: 0x6f0dec80
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1, NP encrypt rule
 look up for crypto map outside_map 20 matching ACL 100: returned cs_id=6ef246d0;
 encrypt_rule=752972d0; tunnelFlow_rule=75ac8020
Feb 13 23:48:56 [IKEv1]Group = 192.168.1.1, IP = 192.168.1.1, Security negotiation
 complete for LAN-to-LAN Group (192.168.1.1)  Initiator, Inbound SPI = 0x03fc9db7,
 Outbound SPI = 0x1ba0c55c
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1, oakley
 constructing final quick mode
Feb 13 23:48:56 [IKEv1 DECODE]Group = 192.168.1.1, IP = 192.168.1.1, IKE Initiator
 sending 3rd QM pkt: msg id = 4c073b21
Feb 13 23:48:56 [IKEv1]IP = 192.168.1.1, IKE_DECODE SENDING Message (msgid=4c073b21)
 with payloads : HDR + HASH (8) + NONE (0) total length : 76
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1, IKE got a KEY_ADD
 msg for SA: SPI = 0x1ba0c55c
IPSEC: New embryonic SA created @ 0x75298588,
   SCB: 0x75C34F18,
   Direction: inbound
   SPI      : 0x03FC9DB7
   Session ID: 0x00004000
   VPIF num  : 0x00000002
   Tunnel type: l2l
   Protocol   : esp
   Lifetime   : 240 seconds
IPSEC: Completed host IBSA update, SPI 0x03FC9DB7
IPSEC: Creating inbound VPN context, SPI 0x03FC9DB7
   Flags: 0x00000006
   SA   : 0x75298588
   SPI  : 0x03FC9DB7
   MTU  : 0 bytes
   VCID : 0x00000000
   Peer : 0x0000F614
   SCB  : 0x0B4707C7
   Channel: 0x6ef0a5c0
IPSEC: Completed inbound VPN context, SPI 0x03FC9DB7
   VPN handle: 0x00011f6c
IPSEC: Updating outbound VPN context 0x0000F614, SPI 0x1BA0C55C
   Flags: 0x00000005
   SA   : 0x6f0e03f0
   SPI  : 0x1BA0C55C
   MTU  : 1500 bytes
   VCID : 0x00000000
   Peer : 0x00011F6C
   SCB  : 0x0B47D387
   Channel: 0x6ef0a5c0
IPSEC: Completed outbound VPN context, SPI 0x1BA0C55C
   VPN handle: 0x0000f614
IPSEC: Completed outbound inner rule, SPI 0x1BA0C55C
   Rule ID: 0x74e1c558
IPSEC: Completed outbound outer SPD rule, SPI 0x1BA0C55C
   Rule ID: 0x6f0dec80
IPSEC: New inbound tunnel flow rule, SPI 0x03FC9DB7
   Src addr: 10.1.1.0
   Src mask: 255.255.255.0
   Dst addr: 10.2.2.0
   Dst mask: 255.255.255.0
   Src ports
     Upper: 0
     Lower: 0
     Op   : ignore
   Dst ports
     Upper: 0
     Lower: 0
     Op   : ignore
   Protocol: 0
   Use protocol: false
   SPI: 0x00000000
   Use SPI: false
IPSEC: Completed inbound tunnel flow rule, SPI 0x03FC9DB7
   Rule ID: 0x74e1b4a0
IPSEC: New inbound decrypt rule, SPI 0x03FC9DB7
   Src addr: 192.168.1.1
   Src mask: 255.255.255.255
   Dst addr: 172.16.1.1
   Dst mask: 255.255.255.255
   Src ports
     Upper: 0
     Lower: 0
     Op   : ignore
   Dst ports
     Upper: 0
     Lower: 0
     Op   : ignore
   Protocol: 50
   Use protocol: true
   SPI: 0x03FC9DB7
   Use SPI: true
IPSEC: Completed inbound decrypt rule, SPI 0x03FC9DB7
   Rule ID: 0x6f0de830
IPSEC: New inbound permit rule, SPI 0x03FC9DB7
   Src addr: 192.168.1.1
   Src mask: 255.255.255.255
   Dst addr: 172.16.1.1
   Dst mask: 255.255.255.255
   Src ports
     Upper: 0
     Lower: 0
     Op   : ignore
   Dst ports
     Upper: 0
     Lower: 0
     Op   : ignore
   Protocol: 50
   Use protocol: true
   SPI: 0x03FC9DB7
   Use SPI: true
IPSEC: Completed inbound permit rule, SPI 0x03FC9DB7
   Rule ID: 0x6f0de8d8
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1, Pitcher:
 received KEY_UPDATE, spi 0x3fc9db7
Feb 13 23:48:56 [IKEv1 DEBUG]Group = 192.168.1.1, IP = 192.168.1.1, Starting
 P2 rekey timer: 24480 seconds.
Feb 13 23:48:56 [IKEv1]Group = 192.168.1.1, IP = 192.168.1.1, PHASE 2
 COMPLETED (msgid=4c073b21)

ASA 버전 8.3 이전