De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft debuggen van Internet Key Exchange versie 2 (IKEv2) op Cisco IOS® wanneer een niet-gedeelde sleutel (PSK) wordt gebruikt.
Cisco raadt u aan kennis te hebben van de pakketuitwisseling voor IKEv2. Raadpleeg voor meer informatie IKEv2 Packet Exchange en Protocol Level Debugging.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Dit document bevat informatie over de manier waarop bepaalde debug-regels in een configuratie moeten worden vertaald.
De pakketuitwisseling in IKEv2 verschilt radicaal van pakketuitwisseling in IKEv1. In IKEv1 was er een duidelijk afgebakende fase1-uitwisseling die bestond uit zes (6) pakketten met een fase 2-uitwisseling achteraf die bestond uit drie (3) pakketten; de IKEv2-uitwisseling is variabel. Zie IKEv2 Packet Exchange en Protocol Level Debugging voor meer informatie over de verschillen en een uitleg van de pakketuitwisseling.
In deze sectie worden de configuraties weergegeven die in dit document worden gebruikt.
Router 1
interface Loopback0
ip address 192.168.1.1 255.255.255.0
!
interface Tunnel0
ip address 172.16.0.101 255.255.255.0
tunnel source Ethernet0/0
tunnel mode ipsec ipv4
tunnel destination 10.0.0.2
tunnel protection ipsec profile phse2-prof
!
interface Ethernet0/0
ip address 10.0.0.1 255.255.255.0
crypto ikev2 proposal PHASE1-prop
encryption 3des aes-cbc-128
integrity sha1
group 2
!
crypto ikev2 policy site-pol
proposal PHASE1-prop
!
crypto ikev2 keyring KEYRNG
peer peer1
address 10.0.0.2 255.255.255.0
hostname host1
pre-shared-key local cisco
pre-shared-key remote cisco
!
crypto ikev2 profile IKEV2-SETUP
match identity remote address 0.0.0.0
authentication remote pre-share
authentication local pre-share
keyring local KEYRNG
lifetime 120
!
crypto ipsec transform-set TS esp-3des esp-sha-hmac
!
crypto ipsec profile phse2-prof
set transform-set TS
set ikev2-profile IKEV2-SETUP
!
ip route 0.0.0.0 0.0.0.0 10.0.0.2
ip route 192.168.2.1 255.255.255.255 Tunnel0
Router 2
crypto ikev2 proposal PHASE1-prop
encryption 3des aes-cbc-128
integrity sha1
group 2
!
crypto ikev2 keyring KEYRNG
peer peer2
address 10.0.0.1 255.255.255.0
hostname host2
pre-shared-key local cisco
pre-shared-key remote cisco
!
crypto ikev2 profile IKEV2-SETUP
match identity remote address 0.0.0.0
authentication remote pre-share
authentication local pre-share
keyring local KEYRNG
lifetime 120
!
crypto ipsec transform-set TS esp-3des esp-sha-hmac
!
!
crypto ipsec profile phse2-prof
set transform-set TS
set ikev2-profile IKEV2-SETUP
!
interface Loopback0
ip address 192.168.2.1 255.255.255.0
!
interface Ethernet0/0
ip address 10.0.0.2 255.255.255.0
!
interface Tunnel0
ip address 172.16.0.102 255.255.255.0
tunnel source Ethernet0/0
tunnel mode ipsec ipv4
tunnel destination 10.0.0.1
tunnel protection ipsec profile phse2-prof
!
ip route 0.0.0.0 0.0.0.0 10.0.0.1
ip route 192.168.1.1 255.255.255.255 Tunnel0
Deze debug-opdrachten worden in dit document gebruikt:
deb crypto ikev2 packet
deb crypto ikev2 internal
Router 1 (Initiator) Berichtbeschrijving | Debugs | Router 2 (Responder) - berichtbeschrijving | |
---|---|---|---|
Router 1 ontvangt een pakket dat overeenkomt met de crypto-oproep voor peer ASA 10.0.0.2. Initieert SA-conversie |
*11 nov. 20.28.34.03: IKEv2:Krijg een pakket van verzender |
||
Het eerste paar berichten is de IKE_SA_INIT uitwisseling. Deze berichten onderhandelen met cryptografische algoritmen, ruilen nonces uit en doen een Diffie-Hellman-uitwisseling. Relevante configuratie: crypto ikev2 voorstel PHASE1-prop encryptie 3des aes-cbc-128 integriteit sha1 groep 2crypto ikev2 keyring KEYRING peer1-adres 10.0.0.2 255.255.255.0 hostname host1 pre-shared-key lokale Cisco pre-shared-key externe cisco |
*11 nov. 19.30:34.811: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Inactiviteitsevenement: EV_INIT_SA *11 nov. 19.30:34.811: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evenement: EV_GET_IKE_POLICY *11 nov. 19.30:34.811: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Gebeurtenis:EV_SET_POLICY *11 nov. 19.30:34.811: IKEv2:(SA-id = 1):geconfigureerd beleid instellen *11 nov. 19.30:34.811: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evenement: EV_CHK_AUTH4PKI *11 nov. 19.30:34.811: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Event:EV_GEN_DH_KEY *11 nov. 19.30:34.811: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evenement: EV_NO_EVENT *11 nov. 19.30:34.811: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evenement: EV_OK_RECD_DH_PUBKEY_RESP *11 nov. 19.30:34.811: IKEv2:(SA-ID = 1):Handeling: Action_Null *11 nov. 19.30:34.811: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evenement: EV_GET_CONFIG_MODE *11 nov. 19.30:34.811: IKEv2:IKEv2 initiator - geen configuratiegegevens om IKE_SA_INIT exch in te sturen *11 nov. 19.30:34.811: IKEv2:Geen configuratiegegevens om naar toolkit te verzenden: *11 nov. 19.30:34.811: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evenement: EV_BLD_MNG *11 nov. 19.30:34.811: IKEv2:specifieke payload-encryptie voor constructieleveranciers: REDEN VAN VERWIJDERING *11 nov. 19.30:34.811: IKEv2:specifieke payload-encryptie voor constructieleveranciers: (AANGEPAST) *11 nov. 19.30:34.811: IKEv2:Construct Melden payload: NAT_DETECTIE_BRON_IP *11 nov. 19.30:34.811: IKEv2:Construct Melden payload: NAT_DETECTIE_BESTEMMING_IP |
||
Initiator bouwt IKE_INIT_SA pakket. Het bevat: ISAKMP-header (SPI/versie/vlaggen), SAi1 (cryptografisch algoritme dat IKE-initiator ondersteunt), KEi (DH publieke toetswaarde van de initiator) en N (Initiator Nonce). | *11 nov 19:30:34.811: IKEv2:(SA ID = 1):Volgende lading: SA, versie: 2.0 Exchange type: IKE_SA_INIT, flags: INITIATOR Message ID: 0, lengte: 344 Inhoud payload: SA Volgende payload: KE, gereserveerd: 0x0, lengte: 56 laatste voorstel: 0x0, gereserveerd: 0x0, lengte: 52 Voorstel: 1, Protocol-id: IKE, SPI-grootte: 0 #trans: 5 laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 1, gereserveerd: 0x0, id: 3DES laatste transformatie: 0x3, gereserveerd: 0x0: length: 12 type: 1, gereserveerd: 0x0, id: AES-CBC laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 2, voorbehouden: 0x0, id: SHA1 laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 3, voorbehouden: 0x0, id: SHA96 laatste transformatie: 0x0, gereserveerd: 0x0: length: 8 type: 4, voorbehouden: 0x0, id: DH_GROEP_1024_MODP/groep 2 KE volgende payload: N, gereserveerd: 0x0, lengte: 136 DH-groep: 2, Voorbehouden: 0 x 0 N Volgende lading: VID, gereserveerd: 0x0, lengte: 24 VID volgende payload: VID, gereserveerd: 0x0, lengte: 23 VID volgende payload: MELDEN, gereserveerd: 0x0, lengte: 21 MELDEN (NAT_DETECTION_SOURCE_IP) Volgende payload: MELDEN, gereserveerd: 0x0, lengte: 28 Beveiligingsprotocol-id: IKE, spi-grootte: 0, type: NAT_DETECTIE_BRON_IP MELDEN (NAT_DETECTION_DESTINY_IP) Volgende payload: GEEN, gereserveerd: 0x0, lengte: 28 Beveiligingsprotocol-id: IKE, spi-grootte: 0, type: NAT_DETECTIE_BESTEMMING_IP |
||
*11 nov. 19.30:34.814: IKEv2:Krijg een pakket van verzender |
Responder ontvangt IKE_INIT_SA. | ||
*11 nov. 19.30:34.814: IKEv2:Volgende payload: SA, versie: 2.0 Type uitwisseling: IKE_SA_INIT, vlaggen: Initiator Bericht-id: 0, lengte: 344 |
Responder initieert SA creatie voor die peer. | ||
*11 nov. 19.30:34.814: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: IDLE Event:EV_RECV_INIT |
Responder verifieert en verwerkt het IKE_INIT bericht: (1) kiest crypto suite uit die aangeboden door de initiator, (2) berekent zijn eigen DH geheime sleutel, en (3) het berekent een keyid waarde, waaruit alle sleutels kunnen worden afgeleid voor deze IKE_SA. Alle behalve de kopregels van alle berichten die volgen worden versleuteld en geverifieerd. De toetsen die gebruikt worden voor de codering en integriteitsbescherming zijn afgeleid van SKEYID en staan bekend als: SK_e (encryptie), SK_a (authenticatie), SK_d wordt afgeleid en gebruikt voor de afleiding van verder sleutelmateriaal voor CHILD_SA’s, en voor elke richting wordt een afzonderlijke SK_e en SK_a berekend. Relevante configuratie: crypto ikev2 voorstel PHASE1-prop encryptie 3des aes-cbc-128 integriteit sha1 groep 2 crypto ikev2 sleutelring KEYRING peer2 adres 10.0.0.1 25.255.255.0 hostname host2 pre-shared-key local cisco pre-shared-key remote cisco |
||
*11 nov. 19.30:34.822: IKEv2:(SA-id = 1):Volgende lading: SA, versie: 2.0 Exchange type: IKE_SA_INIT, flags: RESPONDER MSG-RESPONSE Message ID: 0, lengte: 449 |
Router 2 bouwt het antwoordbericht voor IKE_SA_INIT uitwisseling, dat door ASA1 wordt ontvangen. Dit pakket bevat: ISAKMP-header (SPI/versie/vlaggen), SAr1 (cryptografisch algoritme dat door IKE-responder wordt gekozen), KEr (DH openbare toetswaarde van de responder) en Responder-naam. | ||
*11 nov. 19.30:34.822: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Init_done Event: EV_GEDAAN |
Router2 stuurt het antwoordbericht naar router 1. | ||
Router 1 ontvangt het IKE_SA_INIT reactiepakket van router 2. |
*11 nov. 19.30:34.823: IKEv2:Krijg een pakket van verzender |
I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Init_done Event:EV_START_TMR |
Responder start timer voor autorisatieproces. |
Router1 verifieert en verwerkt de reactie: (1) De initiator DH geheime sleutel wordt berekend, en (2) de initiatorskeyid wordt ook geproduceerd. |
*11 nov. 19.30:34.823: IKEv2:(SA-id = 1):Volgende lading: SA, versie: 2.0 Type uitwisseling: IKE_SA_INIT, vlaggen: RESPONDER MSG-RESPONSE Berichtnummer: 0, lengte: 449 *11 nov. 19.30:34.824: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_wait_INIT Event: EV_RECV_INIT |
||
Initiator start IKE_AUTH-uitwisseling en genereert de payload van de authenticatie. Het IKE_AUTH-pakket bevat: ISAKMP-header (SPI/versie/vlaggen), IDi (initiator-identiteit), AUTH-payload, SAi2 (initieert de SA-soortgelijk aan de fase 2-transformatie-set-uitwisseling in IKEv1), en TSi en TSr (initiator en Responder Traffic selectors). Ze bevatten het bron- en doeladres van de initiator en de responder voor respectievelijk het doorsturen en ontvangen van versleuteld verkeer. Het adresbereik specificeert dat al het verkeer naar en van dat bereik wordt getunneld. Als het voorstel acceptabel is voor de respondent, stuurt het identieke TS-payloads terug. Het eerste CHILD_SA wordt aangemaakt voor het proxy_ID-paar dat overeenkomt met het trigger-pakket. Relevante configuratie: crypto ipsec transformatie-set TS esp-3des esp-sha-hmac crypto ipsec profiel phse2-prof set transformatie-set TS set ikev2-profiel IKEV2-SETUP |
*11 nov. 19.30:34.831: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_BLD_AUTH Gebeurtenis:EV_GEN_AUTH *11 nov. 19.30:34.831: SA Volgende lading: TSi, gereserveerd: 0x0, lengte: 40 MELDEN (INITIAL_CONTACT) Volgende payload: MELDEN, gereserveerd: 0x0, lengte: 8 |
||
*11 nov. 19.30:34.832: IKEv2:Krijg een pakket van verzender |
Router 2 ontvangt en verifieert de authentificatiegegevens die van router 1 worden ontvangen. Relevante configuratie: crypto ipsec ikev2 ipsec-voorstel AES256 protocol esp-encryptie aes-256 protocol esp-integriteit sha-1 md5 |
||
*11 nov. 19.30:34.832: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis R_wait_AUTH: EV_RECV_AUTH |
Router 2 bouwt het antwoord op pakket IKE_AUTH dat het van router 1 ontving. Dit reactiepakket bevat: ISAKMP-header (SPI/versie/vlaggen), IDr. (responder-identiteit), AUTH-payload, SAr2 (initieert de SA-soortgelijk aan de fase 2-transformatieset-uitwisseling in IKEv1), en TSi en TSr (Initiator en Responder Traffic Selectors). Ze bevatten het bron- en doeladres van de initiator en de responder voor respectievelijk het doorsturen en ontvangen van versleuteld verkeer. Het adresbereik specificeert dat al het verkeer naar en van dat bereik wordt getunneld. Deze parameters zijn identiek aan de parameters die van ASA1 werden ontvangen. | ||
*11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):Volgende lading: ENCR, versie: 2.0 Exchange type: IKE_AUTH, flags: RESPONDER MSG-RESPONSE Message ID: 1, lengte: 252 |
Responder verzendt de reactie voor IKE_AUTH. | ||
Initiator ontvangt antwoord van Responder. |
*11 nov 19.30 uur 34.834 uur: IKEv2:Krijg een pakket van verzender |
*11 nov 19.30 uur 34.840 uur: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis AUTH_DON: EV_OK_RECD_LOAD_IPSEC |
De respondent voert een vermelding in het ED in. |
Router 1 verifieert en verwerkt de verificatiegegevens in dit pakket. Router 1 voegt vervolgens deze SA in in zijn SAD. |
*11 nov 19.30 uur 34.834 uur: IKEv2:(SA-id = 1):Volgende lading: ENCR, versie: 2.0 Exchange type: IKE_AUTH, flags: RESPONDER MSG-RESPONSE Message ID: 1, lengte: 252 |
||
Tunnel is omhoog op de Initiator en de status toontBEREID. |
*11 nov. 19.30:34.841: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: READYEvent: ALLEEN EV_CHK_IKE_NL |
* 11 nov. 19.30 uur 34.840 uur: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Ready Event: EV_R_OK |
Tunnel is omhoog op de Responder. De Responder tunnel komt gewoonlijk vóór de Initiator omhoog. |
Deze uitwisseling bestaat uit één verzoek/antwoordpaar en werd in IKEv1 een fase 2-uitwisseling genoemd. Het kan worden geïnitieerd tegen elk einde van de IKE_SA nadat de eerste uitwisselingen zijn voltooid.
Router 1 CHILD_SA Berichtbeschrijving | Debugs | Router 2 CHILD_SA Berichtbeschrijving |
---|---|---|
Router 1 initieert de CHILD_SA exchange. Dit is het CREATE_CHILD_SA verzoek. Het CHILD_SA-pakket bevat doorgaans:
|
*11 nov 19.31.35.873: IKEv2:Krijg een pakket van verzender |
|
*11 nov 19.31.35.869: IKEv2:(SA-id = 2):Volgende lading: ENCR, versie: 2.0 Exchange type: CREATE_CHILD_SA, vlaggen: INITIATOR Message id: 2, lengte: 460 *11 nov 19.31.35.873: IKEv2:Construct Melden payload: SET_VENSTER_GROOTTE |
Dit pakket wordt ontvangen door router 2. | |
*11 nov 19.31.35.882: IKEv2:(SA-id = 2):Volgende lading: ENCR, versie: 2.0 Exchange type: CREATE_CHILD_SA, vlaggen: RESPONDER MSG-RESPONSE Bericht-id: 3, lengte: 300 |
Router 2 bouwt nu het antwoord voor de uitwisseling CHILD_SA. Dit is het CREATE_CHILD_SA antwoord. Het CHILD_SA-pakket bevat doorgaans:
|
|
Router 1 ontvangt het reactiepakket van router 2 en voltooit de activering van CHILD_SA. |
*11 nov 19.31.35.882: IKEv2:(SA-id = 2):Volgende lading: ENCR, versie: 2.0 Exchange type: CREATE_CHILD_SA, vlaggen: RESPONDER MSG-RESPONSE Bericht-id: 3, lengte: 300 |
Opdracht
show crypto ikev2 sa detailed
Router 1-uitgang
Router1#show crypto ikev2 sa detailed
IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
1 10.0.0.1/500 10.0.0.2/500 none/none READY
Encr: AES-CBC, keysize: 128,
Hash: SHA96, DH Grp:2,
Auth sign: PSK, Auth verify: PSK
Life/Active Time: 120/10 sec
CE id: 1006, Session-id: 4
Status Description: Negotiation done
Local spi: E58F925107F8B73F Remote spi: AFD098F4147869DA
Local id: 10.0.0.1
Remote id: 10.0.0.2
Local req msg id: 2 Remote req msg id: 0
Local next msg id: 2 Remote next msg id: 0
Local req queued: 2 Remote req queued: 0
Local window: 5 Remote window: 5
DPD configured for 0 seconds, retry 0
NAT-T is not detected
Cisco Trust Security SGT is disabled
Initiator of SA : Yes
Router 2-uitgang
Router2#show crypto ikev2 sa detailed
IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
2 10.0.0.2/500 10.0.0.1/500 none/none READY
Encr: AES-CBC, keysize: 128, Hash: SHA96,
DH Grp:2, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 120/37 sec
CE id: 1006, Session-id: 4
Status Description: Negotiation done
Local spi: AFD098F4147869DA Remote spi: E58F925107F8B73F
Local id: 10.0.0.2
Remote id: 10.0.0.1
Local req msg id: 0 Remote req msg id: 2
Local next msg id: 0 Remote next msg id: 2
Local req queued: 0 Remote req queued: 2
Local window: 5 Remote window: 5
DPD configured for 0 seconds, retry 0
NAT-T is not detected
Cisco Trust Security SGT is disabled
Initiator of SA : No
Opdracht
show crypto ipsec sa
Opmerking: In deze uitvoer wordt, anders dan in IKEv1, de waarde van de PFS DH-groep weergegeven als "PFS (Y/N): N, DH group: geen" tijdens de eerste tunnelonderhandeling, maar nadat een rekey optreedt, verschijnen de juiste waarden. Dit is geen bug, hoewel het gedrag is beschreven in Cisco bug-id CSC67056. (Alleen geregistreerde Cisco-gebruikers kunnen toegang krijgen tot interne Cisco-tools of -informatie.)
Het verschil tussen IKEv1 en IKEv2 is dat in het laatste geval de Child SA’s worden gecreëerd als onderdeel van de AUTH-uitwisseling zelf. De DH Group geconfigureerd onder de crypto kaart zou alleen worden gebruikt tijdens rekey. Vandaar 'PFS (Y/N)': N, DH group: none' totdat de eerste rekey plaatsvindt.
Met IKEv1, ziet u een ander gedrag, omdat Child SA creatie gebeurt tijdens Quick Mode, en het CREATE_CHILD_SA bericht heeft een voorziening om de Key Exchange payload te dragen die de DH parameters specificeert om een nieuw gedeeld geheim af te leiden.
Router 1-uitgang
Router1#show crypto ipsec sa
interface: Tunnel0
Crypto map tag: Tunnel0-head-0,
local addr 10.0.0.1
protected vrf: (none)
local ident (addr/mask/prot/port):
(0.0.0.0/0.0.0.0/256/0)
remote ident (addr/mask/prot/port):
(0.0.0.0/0.0.0.0/256/0)
current_peer 10.0.0.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 10, #pkts encrypt:
10, #pkts digest: 10
#pkts decaps: 10, #pkts decrypt:
10, #pkts verify: 10
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.0.0.1,
remote crypto endpt.: 10.0.0.2
path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
current outbound spi: 0xF6083ADD(4127734493)
PFS (Y/N): N, DH group: none
inbound esp sas:
spi: 0x6B74CB79(1802816377)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 18, flow_id: SW:18,
sibling_flags 80000040,
crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec):
(4276853/3592)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xF6083ADD(4127734493)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 17, flow_id: SW:17,
sibling_flags 80000040,
crypto map: Tunnel0-head-0
sa timing: remaining key
lifetime (k/sec): (4276853/3592)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
outbound ah sas:
outbound pcp sas:
Router 2-uitgang
Router2#show crypto ipsec sa
interface: Tunnel0
Crypto map tag: Tunnel0-head-0, local addr 10.0.0.2
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/256/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/256/0)
current_peer 10.0.0.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
#pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.0.0.2,
remote crypto endpt.: 10.0.0.1
path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
current outbound spi: 0x6B74CB79(1802816377)
PFS (Y/N): N, DH group: none
inbound esp sas:
spi: 0xF6083ADD(4127734493)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 17, flow_id: SW:17,
sibling_flags 80000040,
crypto map: Tunnel0-head-0
sa timing: remaining key lifetime
(k/sec): (4347479/3584)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x6B74CB79(1802816377)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 18, flow_id: SW:18,
sibling_flags 80000040,
crypto map: Tunnel0-head-0
sa timing: remaining key
lifetime (k/sec): (4347479/3584)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
outbound ah sas:
outbound pcp sas:
U kunt ook de uitvoer van de opdracht show crypto sessie op beide routers controleren; deze uitvoer toont de status van de tunnelsessie als UP-ACTIVE.
Router1#show crypto session
Crypto session current status
Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 10.0.0.2 port 500
IKEv2 SA: local 10.0.0.1/500 remote 10.0.0.2/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
Router2#show cry session
Crypto session current status
Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 10.0.0.1 port 500
IKEv2 SA: local 10.0.0.2/500 remote 10.0.0.1/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
2.0 |
12-Apr-2023 |
Opmaak bijwerken. Hercertificering. |
1.0 |
28-Jan-2013 |
Eerste vrijgave |