Probleemoplossing voor IOS IKEv2-debugs voor site-to-site VPN met PSK’s

Downloadopties

PDF (333.7 KB)
Met Adobe Reader op diverse apparaten bekijken

Bijgewerkt:12 april 2023

Document-id:115934

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Conventies

Achtergrondinformatie

Belangrijkste probleem

Gerelateerde informatie

Inleiding

Dit document beschrijft debuggen van Internet Key Exchange versie 2 (IKEv2) op Cisco IOS^® wanneer een niet-gedeelde sleutel (PSK) wordt gebruikt.

Voorwaarden

Vereisten

Cisco raadt u aan kennis te hebben van de pakketuitwisseling voor IKEv2. Raadpleeg voor meer informatie IKEv2 Packet Exchange en Protocol Level Debugging.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

Internet Key Exchange, versie 2 (IKEv2)
Cisco IOS 15.1(1)T of hoger

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Achtergrondinformatie

Dit document bevat informatie over de manier waarop bepaalde debug-regels in een configuratie moeten worden vertaald.

Belangrijkste probleem

De pakketuitwisseling in IKEv2 verschilt radicaal van pakketuitwisseling in IKEv1. In IKEv1 was er een duidelijk afgebakende fase1-uitwisseling die bestond uit zes (6) pakketten met een fase 2-uitwisseling achteraf die bestond uit drie (3) pakketten; de IKEv2-uitwisseling is variabel. Zie IKEv2 Packet Exchange en Protocol Level Debugging voor meer informatie over de verschillen en een uitleg van de pakketuitwisseling.

Routerconfiguratie

In deze sectie worden de configuraties weergegeven die in dit document worden gebruikt.

Router 1

interface Loopback0
 ip address 192.168.1.1 255.255.255.0
!
interface Tunnel0
 ip address 172.16.0.101 255.255.255.0
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv4
 tunnel destination 10.0.0.2
 tunnel protection ipsec profile phse2-prof
!
interface Ethernet0/0
 ip address 10.0.0.1 255.255.255.0

crypto ikev2 proposal PHASE1-prop
 encryption 3des aes-cbc-128
 integrity sha1
 group 2
!
crypto ikev2 policy site-pol
 proposal PHASE1-prop
!
crypto ikev2 keyring KEYRNG
 peer peer1
  address 10.0.0.2 255.255.255.0
  hostname host1
  pre-shared-key local cisco
  pre-shared-key remote cisco
 !
crypto ikev2 profile IKEV2-SETUP
 match identity remote address 0.0.0.0
 authentication remote pre-share
 authentication local pre-share
 keyring local KEYRNG
 lifetime 120
!
crypto ipsec transform-set TS esp-3des esp-sha-hmac
!
crypto ipsec profile phse2-prof
 set transform-set TS
 set ikev2-profile IKEV2-SETUP
!
ip route 0.0.0.0 0.0.0.0 10.0.0.2
ip route 192.168.2.1 255.255.255.255 Tunnel0

Router 2

crypto ikev2 proposal PHASE1-prop
 encryption 3des aes-cbc-128
 integrity sha1
 group 2
!
crypto ikev2 keyring KEYRNG
 peer peer2
  address 10.0.0.1 255.255.255.0
  hostname host2
  pre-shared-key local cisco
  pre-shared-key remote cisco
 !
crypto ikev2 profile IKEV2-SETUP
 match identity remote address 0.0.0.0
 authentication remote pre-share
 authentication local pre-share
 keyring local KEYRNG
 lifetime 120
!
crypto ipsec transform-set TS esp-3des esp-sha-hmac
!
!
crypto ipsec profile phse2-prof
 set transform-set TS
 set ikev2-profile IKEV2-SETUP
!
interface Loopback0
 ip address 192.168.2.1 255.255.255.0
!
interface Ethernet0/0
 ip address 10.0.0.2 255.255.255.0
!
interface Tunnel0
 ip address 172.16.0.102 255.255.255.0
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv4
 tunnel destination 10.0.0.1
 tunnel protection ipsec profile phse2-prof
!
ip route 0.0.0.0 0.0.0.0 10.0.0.1
ip route 192.168.1.1 255.255.255.255 Tunnel0

Problemen oplossen

Routerdebugs

Deze debug-opdrachten worden in dit document gebruikt:

deb crypto ikev2 packet
deb crypto ikev2 internal

Router 1 (Initiator) Berichtbeschrijving	Debugs		Router 2 (Responder) - berichtbeschrijving
Router 1 ontvangt een pakket dat overeenkomt met de crypto-oproep voor peer ASA 10.0.0.2. Initieert SA-conversie	11 nov. 20.28.34.03: IKEv2:Krijg een pakket van verzender 11 nov. 20.28.34.03: IKEv2:Een item in de wachtrij verwerken 11 nov. 19.30:34.811: IKEv2:% krijgen preshared sleutel op adres 10.0.0.2 11 nov. 19.30:34.811: IKEv2:Voorstel voor PHASE1-prop toevoegen aan toolkit-beleid 11 nov. 19.30:34.811: IKEv2:(1): IKE-profiel kiezen IKEV2-SETUP 11 nov. 19.30:34.811: IKEv2:Nieuwe ikev2 als verzoek aanvaard *11 nov. 19.30:34.811: IKEv2: Uitgaande onderhandelingen verhogen als aantal
Het eerste paar berichten is de IKE_SA_INIT uitwisseling. Deze berichten onderhandelen met cryptografische algoritmen, ruilen nonces uit en doen een Diffie-Hellman-uitwisseling. Relevante configuratie: `crypto ikev2 voorstel PHASE1-prop encryptie 3des aes-cbc-128 integriteit sha1 groep 2crypto ikev2 keyring KEYRING peer1-adres 10.0.0.2 255.255.255.0 hostname host1 pre-shared-key lokale Cisco pre-shared-key externe cisco`	11 nov. 19.30:34.811: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Inactiviteitsevenement: EV_INIT_SA 11 nov. 19.30:34.811: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evenement: EV_GET_IKE_POLICY 11 nov. 19.30:34.811: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Gebeurtenis:EV_SET_POLICY* 11 nov. 19.30:34.811: IKEv2:(SA-id = 1):geconfigureerd beleid instellen 11 nov. 19.30:34.811: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evenement: EV_CHK_AUTH4PKI 11 nov. 19.30:34.811: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Event:EV_GEN_DH_KEY* 11 nov. 19.30:34.811: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evenement: EV_NO_EVENT 11 nov. 19.30:34.811: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evenement: EV_OK_RECD_DH_PUBKEY_RESP 11 nov. 19.30:34.811: IKEv2:(SA-ID = 1):Handeling: Action_Null 11 nov. 19.30:34.811: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evenement: EV_GET_CONFIG_MODE 11 nov. 19.30:34.811: IKEv2:IKEv2 initiator - geen configuratiegegevens om IKE_SA_INIT exch in te sturen 11 nov. 19.30:34.811: IKEv2:Geen configuratiegegevens om naar toolkit te verzenden: 11 nov. 19.30:34.811: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Evenement: EV_BLD_MNG 11 nov. 19.30:34.811: IKEv2:specifieke payload-encryptie voor constructieleveranciers: REDEN VAN VERWIJDERING 11 nov. 19.30:34.811: IKEv2:specifieke payload-encryptie voor constructieleveranciers: (AANGEPAST) 11 nov. 19.30:34.811: IKEv2:Construct Melden payload: NAT_DETECTIE_BRON_IP *11 nov. 19.30:34.811: IKEv2:Construct Melden payload: NAT_DETECTIE_BESTEMMING_IP
Initiator bouwt IKE_INIT_SA pakket. Het bevat: ISAKMP-header (SPI/versie/vlaggen), SAi1 (cryptografisch algoritme dat IKE-initiator ondersteunt), KEi (DH publieke toetswaarde van de initiator) en N (Initiator Nonce).	11 nov 19:30:34.811: IKEv2:(SA ID = 1):Volgende lading: SA, versie: 2.0 Exchange type: IKE_SA_INIT,* flags: INITIATOR Message ID: 0, lengte: 344 Inhoud payload: SA Volgende payload: KE, gereserveerd: 0x0, lengte: 56 laatste voorstel: 0x0, gereserveerd: 0x0, lengte: 52 Voorstel: 1, Protocol-id: IKE, SPI-grootte: 0 #trans: 5 laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 1, gereserveerd: 0x0, id: 3DES laatste transformatie: 0x3, gereserveerd: 0x0: length: 12 type: 1, gereserveerd: 0x0, id: AES-CBC laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 2, voorbehouden: 0x0, id: SHA1 laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 3, voorbehouden: 0x0, id: SHA96 laatste transformatie: 0x0, gereserveerd: 0x0: length: 8 type: 4, voorbehouden: 0x0, id: DH_GROEP_1024_MODP/groep 2 KE volgende payload: N, gereserveerd: 0x0, lengte: 136 DH-groep: 2, Voorbehouden: 0 x 0 N Volgende lading: VID, gereserveerd: 0x0, lengte: 24 VID volgende payload: VID, gereserveerd: 0x0, lengte: 23 VID volgende payload: MELDEN, gereserveerd: 0x0, lengte: 21 MELDEN (NAT_DETECTION_SOURCE_IP) Volgende payload: MELDEN, gereserveerd: 0x0, lengte: 28 Beveiligingsprotocol-id: IKE, spi-grootte: 0, type: NAT_DETECTIE_BRON_IP MELDEN (NAT_DETECTION_DESTINY_IP) Volgende payload: GEEN, gereserveerd: 0x0, lengte: 28 Beveiligingsprotocol-id: IKE, spi-grootte: 0, type: NAT_DETECTIE_BESTEMMING_IP
--------------------------------------Initiator verzonden IKE_INIT_SA ----------------------->
	11 nov. 19.30:34.814: IKEv2:Krijg een pakket van verzender 11 nov. 19.30:34.814: IKEv2:Een item in de wachtrij verwerken 11 nov. 19.30:34.814: IKEv2:Nieuwe ikev2 als verzoek aanvaard 11 nov. 19.30:34.814: IKEv2:inkomende onderhandelingen verhogen als aantal		Responder ontvangt IKE_INIT_SA.
	11 nov. 19.30:34.814: IKEv2:Volgende payload: SA, versie: 2.0 Type uitwisseling: IKE_SA_INIT, vlaggen: Initiator Bericht-id: 0, lengte: 344 Inhoud payload: SA Volgende payload: KE, gereserveerd: 0x0, lengte: 56 laatste voorstel: 0x0, gereserveerd: 0x0, lengte: 52 Voorstel: 1, Protocol-id: IKE, SPI-grootte: 0 #trans: 5 laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 1, gereserveerd: 0x0, id: 3DES laatste transformatie: 0x3, gereserveerd: 0x0: length: 12 type: 1, gereserveerd: 0x0, id: AES-CBC laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 2, voorbehouden: 0x0, id: SHA1 laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 3, voorbehouden: 0x0, id: SHA96 laatste transformatie: 0x0, gereserveerd: 0x0: length: 8 type: 4, voorbehouden: 0x0, id: DH_GROEP_1024_MODP/groep 2 KE volgende payload: N, gereserveerd: 0x0, lengte: 136 DH-groep: 2, Voorbehouden: 0 x 0 N Volgende lading: VID, gereserveerd: 0x0, lengte: 24 11 nov. 19.30:34.814: IKEv2:Parse leverancierspecifieke payload: CISCO-DELETE-REDE VID Volgende payload: VID, gereserveerd: 0x0, lengte: 23 11 nov. 19.30:34.814: IKEv2:Parse leverancierspecifieke payload: (AANGEPAST) VID Volgende payload: MELDEN, gereserveerd: 0x0, lengte: 21 11 nov. 19.30:34.814: IKEv2:Ontleed de payload-melding: NAT_DETECTION_SOURCE_IP MELDEN(NAT_DETECTION_SOURCE_IP) Volgende payload: MELDEN, gereserveerd: 0x0, lengte: 28 Beveiligingsprotocol-id: IKE, spi-grootte: 0, type: NAT_DETECTIE_BRON_IP *11 nov. 19.30:34.814: IKEv2:Ontleed de payload-melding: NAT_DETECTION_TARGET_IP MELDEN(NAT_DETECTION_IDENTIFICATION_IP) Volgende payload: GEEN, gereserveerd: 0x0, lengte: 28 Beveiligingsprotocol-id: IKE, spi-grootte: 0, type: NAT_DETECTIE_BESTEMMING_IP		Responder initieert SA creatie voor die peer.
	11 nov. 19.30:34.814: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: IDLE Event:EV_RECV_INIT* 11 nov. 19.30:34.814: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_INIT Event:EV_VERIFY_MSG* 11 nov. 19.30:34.814: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_INIT Event:EV_INSERT_SA* 11 nov. 19.30:34.814: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_INIT Event:EV_GET_IKE_POLICY* 11 nov. 19.30:34.814: IKEv2:De standaardinstelling van het voorstel aan toolkit-beleid toevoegen 11 nov. 19.30:34.814: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_INIT Event:EV_PROC_MSG 11 nov. 19.30:34.814: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_INIT-gebeurtenis: EV_DETECTIE_NAT 11 nov. 19.30:34.814: IKEv2:(SA-id = 1):Kennisgeving van detectie van proces-NAT 11 nov. 19.30:34.814: IKEv2:(SA-id = 1):Verwerking Nat Detect src details 11 nov. 19.30:34.814: IKEv2:(SA-id = 1):Afstandsadres gekoppeld 11 nov. 19.30:34.814: IKEv2:(SA-id = 1):Verwerking Nat Detectie dst notification 11 nov. 19.30:34.814: IKEv2:(SA-id = 1):Lokaal aangepast adres 11 nov. 19.30:34.814: IKEv2:(SA-id = 1):Geen NAT gevonden 11 nov. 19.30:34.814: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_INIT-gebeurtenis: EV_CHK_CONFIG_MODE 11 nov. 19.30:34.814: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Gebeurtenis R_BLD_INIT: EV_SET_POLICY 11 nov. 19.30:34.814: IKEv2:(SA-id = 1):Instellen van geconfigureerd beleid 11 nov. 19.30:34.814: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Gebeurtenis R_BLD_INIT: EV_CHK_AUTH4PKI 11 nov. 19.30:34.814: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Gebeurtenis R_BLD_INIT: EV_PKI_SESH_OPEN 11 nov. 19.30:34.814: IKEv2:(SA-id = 1):Een PKI-sessie openen 11 nov. 19.30:34.815: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT Event:EV_GEN_DH_KEY 11 nov. 19.30:34.815: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Gebeurtenis R_BLD_INIT: EV_NO_EVENT 11 nov. 19.30:34.815: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT Event:EV_OK_RECD_DH_PUBKEY_RESP 11 nov. 19.30:34.815: IKEv2:(SA-ID = 1):Handeling: Action_Null 11 nov. 19.30:34.815: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT Gebeurtenis:EV_GEN_DH_SECRET 11 nov. 19.30:34.822: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Gebeurtenis R_BLD_INIT: EV_NO_EVENT 11 nov. 19.30:34.822: IKEv2:% vooraf gedeelde sleutel per adres verkrijgen 10.0.0.1 11 nov. 19.30:34.822: IKEv2:De standaardinstelling van het voorstel aan toolkit-beleid toevoegen 11 nov. 19.30:34.822: IKEv2:(2): IKE-profiel kiezen IKEV2-SETUP 11 nov. 19.30:34.822: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Gebeurtenis R_BLD_INIT: EV_OK_RECD_DH_SECRET_RESP 11 nov. 19.30:34.822: IKEv2:(SA-ID = 1):Handeling: Action_Null 11 nov. 19.30:34.822: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: R_BLD_INIT Event:EV_GEN_SKEYID* 11 nov. 19.30:34.822: IKEv2:(SA-id = 1):Generate skeyid* 11 nov. 19.30:34.822: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Gebeurtenis R_BLD_INIT: EV_GET_CONFIG_MODE 11 nov. 19.30:34.822: IKEv2:IKEv2-responder - geen configuratiegegevens om IKE_SA_INIT te verzenden 11 nov. 19.30:34.822: IKEv2:Geen configuratiegegevens om naar toolkit te verzenden: 11 nov. 19.30:34.822: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Gebeurtenis R_BLD_INIT: EV_BLD_MNG 11 nov. 19.30:34.822: IKEv2:specifieke payload-encryptie voor constructieleveranciers: REDEN VAN VERWIJDERING 11 nov. 19.30:34.822: IKEv2:specifieke payload-encryptie voor constructieleveranciers: (AANGEPAST) 11 nov. 19.30:34.822: IKEv2:Construct Melden payload: NAT_DETECTIE_BRON_IP 11 nov. 19.30:34.822: IKEv2:Construct Melden payload: NAT_DETECTIE_BESTEMMING_IP *11 nov. 19.30:34.822: IKEv2:Construct Melden payload: HTTP_CERT_LOOKUP_SUPPORT		Responder verifieert en verwerkt het IKE_INIT bericht: (1) kiest crypto suite uit die aangeboden door de initiator, (2) berekent zijn eigen DH geheime sleutel, en (3) het berekent een keyid waarde, waaruit alle sleutels kunnen worden afgeleid voor deze IKE_SA. Alle behalve de kopregels van alle berichten die volgen worden versleuteld en geverifieerd. De toetsen die gebruikt worden voor de codering en integriteitsbescherming zijn afgeleid van SKEYID en staan bekend als: SK_e (encryptie), SK_a (authenticatie), SK_d wordt afgeleid en gebruikt voor de afleiding van verder sleutelmateriaal voor CHILD_SA’s, en voor elke richting wordt een afzonderlijke SK_e en SK_a berekend. Relevante configuratie: `crypto ikev2 voorstel PHASE1-prop encryptie 3des aes-cbc-128 integriteit sha1 groep 2 crypto ikev2 sleutelring KEYRING peer2 adres 10.0.0.1 25.255.255.0 hostname host2 pre-shared-key local cisco pre-shared-key remote cisco`
	11 nov. 19.30:34.822: IKEv2:(SA-id = 1):Volgende lading: SA, versie: 2.0 Exchange type: IKE_SA_INIT,* flags: RESPONDER MSG-RESPONSE Message ID: 0, lengte: 449 Inhoud payload: SA Volgende payload: KE, gereserveerd: 0x0, lengte: 48 laatste voorstel: 0x0, gereserveerd: 0x0, lengte: 44 Voorstel: 1, Protocol-id: IKE, SPI-grootte: 0 #trans: 4 laatste transformatie: 0x3, gereserveerd: 0x0: length: 12 type: 1, gereserveerd: 0x0, id: AES-CBC laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 2, voorbehouden: 0x0, id: SHA1 laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 3, voorbehouden: 0x0, id: SHA96 laatste transformatie: 0x0, gereserveerd: 0x0: length: 8 type: 4, voorbehouden: 0x0, id: DH_GROEP_1024_MODP/groep 2 KE volgende payload: N, gereserveerd: 0x0, lengte: 136 DH-groep: 2, Voorbehouden: 0 x 0 N Volgende lading: VID, gereserveerd: 0x0, lengte: 24 VID volgende payload: VID, gereserveerd: 0x0, lengte: 23 VID volgende payload: MELDEN, gereserveerd: 0x0, lengte: 21 MELDEN (NAT_DETECTION_SOURCE_IP) Volgende payload: MELDEN, gereserveerd: 0x0, lengte: 28 Beveiligingsprotocol-id: IKE, spi-grootte: 0, type: NAT_DETECTIE_BRON_IP MELDEN (NAT_DETECTION_DESTINY_IP) Volgende payload: CERTREQ, gereserveerd: 0x0, lengte: 28 Beveiligingsprotocol-id: IKE, spi-grootte: 0, type: NAT_DETECTIE_BESTEMMING_IP CERTREQ Volgende payload: MELDEN, gereserveerd: 0x0, lengte: 105 Snelcodering Hash en URL van PKIX MELDEN (HTTP_CERT_LOOKUP_SUPPORT) Volgende payload: GEEN, gereserveerd: 0x0, lengte: 8 Beveiligingsprotocol-id: IKE, spi-grootte: 0, type: HTTP_CERT_LOOKUP_SUPPORT		Router 2 bouwt het antwoordbericht voor IKE_SA_INIT uitwisseling, dat door ASA1 wordt ontvangen. Dit pakket bevat: ISAKMP-header (SPI/versie/vlaggen), SAr1 (cryptografisch algoritme dat door IKE-responder wordt gekozen), KEr (DH openbare toetswaarde van de responder) en Responder-naam.
	11 nov. 19.30:34.822: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Init_done Event: EV_GEDAAN 11 nov. 19.30:34.822: IKEv2:(SA-id = 1):Cisco DeleteReason Notify is ingeschakeld 11 nov. 19.30:34.822: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Init_done Event: EV_CHK4_ROL 11 nov. 19.30:34.822: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Init_done Event:EV_START_TMR 11 nov. 19.30:34.822: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Gebeurtenis R_wait_AUTH: EV_NO_EVENT 11 nov. 19.30:34.822: IKEv2:Nieuwe ikev2 als verzoek aanvaard 11 nov. 19.30:34.822: IKEv2: Uitgaande onderhandelingen verhogen als aantal*		Router2 stuurt het antwoordbericht naar router 1.
<-------------------------------Responder verstuurd door IKE_INIT_SA ---------------------------
Router 1 ontvangt het IKE_SA_INIT reactiepakket van router 2.	11 nov. 19.30:34.823: IKEv2:Krijg een pakket van verzender 11 nov. 19.30:34.823: IKEv2:Krijg een pakket van verzender *11 nov. 19.30:34.823: IKEv2:Een item in de wachtrij verwerken	I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Init_done Event:EV_START_TMR	Responder start timer voor autorisatieproces.
Router1 verifieert en verwerkt de reactie: (1) De initiator DH geheime sleutel wordt berekend, en (2) de initiatorskeyid wordt ook geproduceerd.	11 nov. 19.30:34.823: IKEv2:(SA-id = 1):Volgende lading: SA, versie: 2.0 Type uitwisseling: IKE_SA_INIT, vlaggen: RESPONDER MSG-RESPONSE* Berichtnummer: 0, lengte: 449 Inhoud payload: SA Volgende payload: KE, gereserveerd: 0x0, lengte: 48 laatste voorstel: 0x0, gereserveerd: 0x0, lengte: 44 Voorstel: 1, Protocol-id: IKE, SPI-grootte: 0 #trans: 4 laatste transformatie: 0x3, gereserveerd: 0x0: length: 12 type: 1, gereserveerd: 0x0, id: AES-CBC laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 2, voorbehouden: 0x0, id: SHA1 laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 3, voorbehouden: 0x0, id: SHA96 laatste transformatie: 0x0, gereserveerd: 0x0: length: 8 type: 4, voorbehouden: 0x0, id: DH_GROEP_1024_MODP/groep 2 KE volgende payload: N, gereserveerd: 0x0, lengte: 136 DH-groep: 2, Voorbehouden: 0 x 0 N Volgende lading: VID, gereserveerd: 0x0, lengte: 24 11 nov. 19.30:34.823: IKEv2:Parse leverancierspecifieke payload: CISCO-DELETE-REDE VID Volgende payload: VID, gereserveerd: 0x0, lengte: 23 11 nov. 19.30:34.823: IKEv2:Parse leverancierspecifieke payload: (AANGEPAST) VID Volgende payload: MELDEN, gereserveerd: 0x0, lengte: 21 11 nov. 19.30:34.823: IKEv2:Ontleed de payload-melding: NAT_DETECTION_SOURCE_IP MELDEN(NAT_DETECTION_SOURCE_IP) Volgende payload: MELDEN, gereserveerd: 0x0, lengte: 28 Beveiligingsprotocol-id: IKE, spi-grootte: 0, type: NAT_DETECTIE_BRON_IP 11 nov. 19.30:34.824: IKEv2:Ontleed de payload-melding: NAT_DETECTION_TARGET_IP MELDEN(NAT_DETECTION_IDENTIFICATION_IP) Volgende payload: CERTREQ, gereserveerd: 0x0, lengte: 28 Beveiligingsprotocol-id: IKE, spi-grootte: 0, type: NAT_DETECTIE_BESTEMMING_IP CERTREQ Volgende payload: MELDEN, gereserveerd: 0x0, lengte: 105 Snelcodering Hash en URL van PKIX 11 nov. 19.30:34.824: IKEv2:Ontleed de payload-melding: HTTP_CERT_LOOKUP_SUPPORT MELDEN(HTTP_CERT_LOOKUP_SUPPORT) Volgende payload: GEEN, gereserveerd: 0x0, lengte: 8 Beveiligingsprotocol-id: IKE, spi-grootte: 0, type: HTTP_CERT_LOOKUP_SUPPORT 11 nov. 19.30:34.824: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_wait_INIT Event: EV_RECV_INIT 11 nov. 19.30:34.824: IKEv2:(SA-id = 1):Verwerking van IKE_SA_INIT-bericht 11 nov. 19.30:34.824: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_PROC_INIT Evenement: EV_CHK4_NOTIFICEREN 11 nov. 19.30:34.824: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_PROC_INIT Evenement: EV_VERIFY_MSG 11 nov. 19.30:34.824: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_PROC_INIT Evenement: EV_PROC_MSG 11 nov. 19.30:34.824: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_PROC_INIT Evenement: EV_DETECTIE_NAT 11 nov. 19.30:34.824: IKEv2:(SA-id = 1):Kennisgeving van detectie van proces-NAT 11 nov. 19.30:34.824: IKEv2:(SA-id = 1):Verwerking Nat Detect src details 11 nov. 19.30:34.824: IKEv2:(SA-id = 1):Afstandsadres gekoppeld 11 nov. 19.30:34.824: IKEv2:(SA-id = 1):Verwerking Nat Detectie dst notification 11 nov. 19.30:34.824: IKEv2:(SA-id = 1):Lokaal aangepast adres 11 nov. 19.30:34.824: IKEv2:(SA-id = 1):Geen NAT gevonden 11 nov. 19.30:34.824: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_PROC_INIT Evenement: CHK_NAT_T 11 nov. 19.30:34.824: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_PROC_INIT Evenement: EV_CHK_CONFIG_MODE 11 nov. 19.30:34.824: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Init_done Event:EV_GEN_DH_SECRET 11 nov. 19.30:34.831: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Init_done Event: EV_NO_EVENT 11 nov. 19.30:34.831: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Init_done Event: EV_OK_RECD_DH_SECRET_RESP 11 nov. 19.30:34.831: IKEv2:(SA-ID = 1):Handeling: Action_Null 11 nov. 19.30:34.831: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Init_done Event:EV_GEN_SKEYID 11 nov. 19.30:34.831: IKEv2:(SA-id = 1):Generate skeyid* 11 nov. 19.30:34.831: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Init_done Event: EV_GEDAAN 11 nov. 19.30:34.831: IKEv2:(SA-id = 1):Cisco DeleteReason Notify is ingeschakeld 11 nov. 19.30:34.831: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Init_done Event: EV_CHK4_ROL 11 nov. 19.30:34.831: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_BLD_AUTH Evenement: EV_GET_CONFIG_MODE 11 nov. 19.30:34.831: IKEv2:Config-gegevens naar toolkit verzenden 11 nov. 19.30:34.831: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_BLD_AUTH Evenement: EV_CHK_EAP
Initiator start IKE_AUTH-uitwisseling en genereert de payload van de authenticatie. Het IKE_AUTH-pakket bevat: ISAKMP-header (SPI/versie/vlaggen), IDi (initiator-identiteit), AUTH-payload, SAi2 (initieert de SA-soortgelijk aan de fase 2-transformatie-set-uitwisseling in IKEv1), en TSi en TSr (initiator en Responder Traffic selectors). Ze bevatten het bron- en doeladres van de initiator en de responder voor respectievelijk het doorsturen en ontvangen van versleuteld verkeer. Het adresbereik specificeert dat al het verkeer naar en van dat bereik wordt getunneld. Als het voorstel acceptabel is voor de respondent, stuurt het identieke TS-payloads terug. Het eerste CHILD_SA wordt aangemaakt voor het proxy_ID-paar dat overeenkomt met het trigger-pakket. Relevante configuratie: `crypto ipsec transformatie-set TS esp-3des esp-sha-hmac crypto ipsec profiel phse2-prof set transformatie-set TS set ikev2-profiel IKEV2-SETUP`	11 nov. 19.30:34.831: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_BLD_AUTH Gebeurtenis:EV_GEN_AUTH* 11 nov. 19.30:34.831: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_BLD_AUTH Evenement: EV_CHK_AUTH_TYPE 11 nov. 19.30:34.831: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_BLD_AUTH Evenement: EV_OK_AUTH_GEN 11 nov. 19.30:34.831: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_BLD_AUTH Evenement: EV_SEND_AUTH 11 nov. 19.30:34.831: IKEv2:specifieke payload-encryptie voor constructieleveranciers: CISCO-GRANIET 11 nov. 19.30:34.831: IKEv2:Construct Melden payload: INITIËLE_CONTACTGEGEVENS 11 nov. 19.30:34.831: IKEv2:Construct Melden payload: SET_VENSTER_GROOTTE 11 nov. 19.30:34.831: IKEv2:Construct Melden payload: ESP_TFC_NO_SUPPORT 11 nov. 19.30:34.831: IKEv2:Construct Melden payload: NON_FIRST_FRAGS Inhoud payload: VID volgende payload: IDi, gereserveerd: 0x0, lengte: 20 IDi Volgende payload: AUTH, gereserveerd: 0x0, lengte: 12 Type identificatiecode: IPv4-adres, gereserveerd: 0x0 0x0 AUTH volgende payload: CFG, gereserveerd: 0x0, lengte: 28 Autorisatiemethode PSK, gereserveerd: 0x0, gereserveerd 0x0 CFG volgende payload: SA, voorbehouden: 0x0, lengte: 309 cfg-type: CFG_REQUEST, gereserveerd: 0x0, gereserveerd: 0 x 0 11 nov. 19.30:34.831: SA Volgende lading: TSi, gereserveerd: 0x0, lengte: 40 laatste voorstel: 0x0, gereserveerd: 0x0, lengte: 36 Voorstel: 1, Protocol-id: ESP-, SPI-grootte: 4 #trans: 3 laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 1, gereserveerd: 0x0, id: 3DES laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 3, voorbehouden: 0x0, id: SHA96 laatste transformatie: 0x0, gereserveerd: 0x0: length: 8 type: 5, voorbehouden: 0x0, id: Niet gebruiken TSi* Volgende payload: TSr, gereserveerd: 0x0, lengte: 24 Aantal TS’en: 1, gereserveerd 0x0, gereserveerd 0x0 TS-type: TS_IPV4_ADDR_RANGE, proto-id: 0, lengte: 16 beginpoort: 0, eindpoort: 65535 beginpunt: 0.0.0.0, eindpunt: 255.255.255.255 TSr volgende payload: MELDEN, gereserveerd: 0x0, lengte: 24 Aantal TS’en: 1, gereserveerd 0x0, gereserveerd 0x0 TS-type: TS_IPV4_ADDR_RANGE, proto-id: 0, lengte: 16 beginpoort: 0, eindpoort: 65535 beginpunt: 0.0.0.0, eindpunt: 255.255.255.255 MELDEN (INITIAL_CONTACT) Volgende payload: MELDEN, gereserveerd: 0x0, lengte: 8 Beveiligingsprotocol-id: IKE, spi-grootte: 0, type: INITIËLE_CONTACTGEGEVENS MELDEN(SET_VENSTER_SIZE) Volgende payload: MELDEN, gereserveerd: 0x0, lengte: 12 Beveiligingsprotocol-id: IKE, spi-grootte: 0, type: SET_VENSTER_GROOTTE MELDEN(ESP_TFC_NO_SUPPORT) Volgende payload: MELDEN, gereserveerd: 0x0, lengte: 8 Beveiligingsprotocol-id: IKE, spi-grootte: 0, type: ESP_TFC_NO_SUPPORT MELDEN(NON_FIRST_FRAGS) Volgende payload: GEEN, gereserveerd: 0x0, lengte: 8 Beveiligingsprotocol-id: IKE, spi-grootte: 0, type: NON_FIRST_FRAGS 11 nov. 19.30:34.832: IKEv2:(SA-id = 1):Volgende lading: ENCR, versie: 2.0 Exchange type: IKE_AUTH, flags: INITIATOR* Message ID: 1, lengte: 556 Inhoud payload: Volgende payload: VID, gereserveerd: 0x0, lengte: 528 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 0000001 CurStaat:* I_wait_AUTH Event: EV_NO_EVENT
-------------------------------------Initiator verzonden IKE_AUTH ----------------------------->
	11 nov. 19.30:34.832: IKEv2:Krijg een pakket van verzender 11 nov. 19.30:34.832: IKEv2:Een item in de wachtrij verwerken 11 nov. 19.30:34.832: IKEv2:(SA ID = 1):Verzoek heeft mess_id 1; verwacht 1 tot 1 11 nov 19:30:34.832: IKEv2:(SA ID = 1):Volgende lading: ENCR, versie: 2.0 Exchange type: IKE_AUTH, flags: INITIATOR Message ID: 1, lengte: 556 Inhoud payload: 11 nov. 19.30:34.832: IKEv2:Parse leverancierspecifieke payload: (AANGEPAST) VID Volgende payload: IDi, gereserveerd: 0x0, lengte: 20 IDi* Volgende payload: AUTH, gereserveerd: 0x0, lengte: 12 Type identificatiecode: IPv4-adres, gereserveerd: 0x0 0x0 AUTH Volgende payload: CFG, gereserveerd: 0x0, lengte: 28 Autorisatiemethode PSK, gereserveerd: 0x0, gereserveerd 0x0 CFG volgende payload: SA, voorbehouden: 0x0, lengte: 309 cfg-type: CFG_REQUEST, gereserveerd: 0x0, gereserveerd: 0 x 0 11 nov. 19.30:34.832: Type patroon: interne IP4 DNS, lengte: 0 11 nov. 19.30:34.832: Type patroon: interne IP4 DNS, lengte: 0 11 nov. 19.30:34.832: Type patroon: interne IP4 NBNS, lengte: 0 11 nov. 19.30:34.832: Type patroon: interne IP4 NBNS, lengte: 0 11 nov. 19.30:34.832: Type patroon: interne IP4-subnetserver, lengte: 0 11 nov. 19.30:34.832: Type patroon: toepassingsversie, lengte: 257 Type patroon: Onbekend - 28675, lengte: 0 11 nov. 19.30:34.832: Type patroon: Onbekend - 28672, lengte: 0 11 nov. 19.30:34.832: Type patroon: Onbekend - 28692, lengte: 0 11 nov. 19.30:34.832: Type patroon: Onbekend - 28681, lengte: 0 11 nov. 19.30:34.832: Type patroon: Onbekend - 28674, lengte: 0 nov 11 19:30:34.832: SA Volgende payload: TSi, gereserveerd: 0x0, lengte: 40 laatste voorstel: 0x0, gereserveerd: 0x0, lengte: 36 Voorstel: 1, Protocol-id: ESP-, SPI-grootte: 4 #trans: 3 laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 1, gereserveerd: 0x0, id: 3DES laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 3, voorbehouden: 0x0, id: SHA96 laatste transformatie: 0x0, gereserveerd: 0x0: length: 8 type: 5, voorbehouden: 0x0, id: Niet gebruiken TSi* Volgende payload: TSr, gereserveerd: 0x0, lengte: 24 Aantal TS’en: 1, gereserveerd 0x0, gereserveerd 0x0 TS-type: TS_IPV4_ADDR_RANGE, proto-id: 0, lengte: 16 beginpoort: 0, eindpoort: 65535 beginpunt: 0.0.0.0, eindpunt: 255.255.255.255 TSr volgende payload: MELDEN, gereserveerd: 0x0, lengte: 24 Aantal TS’en: 1, gereserveerd 0x0, gereserveerd 0x0 TS-type: TS_IPV4_ADDR_RANGE, proto-id: 0, lengte: 16 beginpoort: 0, eindpoort: 65535 beginpunt: 0.0.0.0, eindpunt: 255.255.255.255		Router 2 ontvangt en verifieert de authentificatiegegevens die van router 1 worden ontvangen. Relevante configuratie: `crypto ipsec ikev2 ipsec-voorstel AES256 protocol esp-encryptie aes-256 protocol esp-integriteit sha-1 md5`
	11 nov. 19.30:34.832: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis R_wait_AUTH: EV_RECV_AUTH 11 nov. 19.30:34.832: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis R_wait_AUTH: CHK_NAT_T 11 nov. 19.30:34.832: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis R_wait_AUTH: EV_PROC_ID 11 nov. 19.30:34.832: IKEv2:(SA-id = 1):Ontvangen geldige parameters in proces-id 11 nov. 19.30:34.832: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis R_wait_AUTH: EV_CHK_IF_PEER_CERT_needs_TO_BE_FETCHED_FOR_PROF_SEL 11 nov. 19.30:34.832: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis R_wait_AUTH: EV_GET_POLICY_BY_PEERID 11 nov 19.30 uur 34.833: IKEv2:(1): IKE-profiel kiezen IKEV2-SETUP 11 nov 19.30 uur 34.833: IKEv2:% krijgen preshared sleutel op adres 10.0.0.1 11 nov 19.30 uur 34.833: IKEv2:% krijgen preshared sleutel op adres 10.0.0.1 11 nov 19.30 uur 34.833: IKEv2:De standaardinstelling van het voorstel aan toolkit-beleid toevoegen 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):Gebruik van het IKEv2-profiel 'IKEV2-SETUP' 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis R_wait_AUTH: EV_SET_POLICY 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):geconfigureerd beleid instellen 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis R_wait_AUTH: EV_VERIFY_POLICY_BY_PEERID 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis R_wait_AUTH: EV_CHK_AUTH4EAP 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis R_wait_AUTH: EV_CHK_POLREQEAP 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis R_VERIFY_AUTH: EV_CHK_AUTH_TYPE 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis R_VERIFY_AUTH: EV_GET_PRESHR_KEY 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis R_VERIFY_AUTH: EV_VERIFY_AUTH 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis R_VERIFY_AUTH: EV_CHK4_IC 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis R_VERIFY_AUTH: EV_CHK_OMLEIDING 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):Redirect-controle is niet nodig, overslaan 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis R_VERIFY_AUTH: EV_MELDING_AUTH_DON 11 nov 19.30 uur 34.833: IKEv2:AAA-groepsautorisatie is niet geconfigureerd 11 nov 19.30 uur 34.833: IKEv2:AAA-gebruikersautorisatie is niet geconfigureerd 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis R_VERIFY_AUTH: EV_CHK_CONFIG_MODE 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis R_VERIFY_AUTH: EV_SET_RECD_CONFIG_MODE 11 nov 19.30 uur 34.833: IKEv2:Ontvangen configuratiegegevens van toolkit: 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis R_VERIFY_AUTH: EV_PROC_SA_TS 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis R_VERIFY_AUTH: EV_GET_CONFIG_MODE 11 nov 19.30 uur 34.833: IKEv2:Fout bij construeren van configuratieantwoord 11 nov 19.30 uur 34.833: IKEv2:Geen configuratiegegevens om naar toolkit te verzenden: 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis R_BLD_AUTH: EV_MY_AUTH_METHODE 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis R_BLD_AUTH: EV_GET_PRESHR_KEY 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis R_BLD_AUTH: EV_GEN_AUTH 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis R_BLD_AUTH: EV_CHK4_TEKEN 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis R_BLD_AUTH: EV_OK_AUTH_GEN 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis R_BLD_AUTH: EV_SEND_AUTH 11 nov 19.30 uur 34.833: IKEv2:specifieke payload-encryptie voor constructieleveranciers: CISCO-GRANIET 11 nov 19.30 uur 34.833: IKEv2:Construct Melden payload: SET_VENSTER_GROOTTE 11 nov 19.30 uur 34.833: IKEv2:Construct Melden payload: ESP_TFC_NO_SUPPORT 11 nov 19.30 uur 34.833: IKEv2:Construct Melden payload: NON_FIRST_FRAGS		Router 2 bouwt het antwoord op pakket IKE_AUTH dat het van router 1 ontving. Dit reactiepakket bevat: ISAKMP-header (SPI/versie/vlaggen), IDr. (responder-identiteit), AUTH-payload, SAr2 (initieert de SA-soortgelijk aan de fase 2-transformatieset-uitwisseling in IKEv1), en TSi en TSr (Initiator en Responder Traffic Selectors). Ze bevatten het bron- en doeladres van de initiator en de responder voor respectievelijk het doorsturen en ontvangen van versleuteld verkeer. Het adresbereik specificeert dat al het verkeer naar en van dat bereik wordt getunneld. Deze parameters zijn identiek aan de parameters die van ASA1 werden ontvangen.
	11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):Volgende lading: ENCR, versie: 2.0 Exchange type: IKE_AUTH, flags: RESPONDER MSG-RESPONSE* Message ID: 1, lengte: 252 Inhoud payload: volgende payload-encryptie: VID, gereserveerd: 0x0, lengte: 224 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis AUTH_DON: EV_OK 11 nov 19.30 uur 34.833: IKEv2:(SA-ID = 1):Handeling: Action_Null 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis AUTH_DON: EV_PKI_SESH_CLOSE 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):De PKI-sessie sluiten 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis AUTH_DON: EV_UPDATE_CAC_STATUS 11 nov 19.30 uur 34.833: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: AUTH_DON Event:EV_INSERT_IKE 11 nov 19.30 uur 34.834 uur: IKEv2:Store mib index ikev2 1, platform 60 11 nov 19.30 uur 34.834 uur: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis AUTH_DON: EV_GEN_LOAD_IPSEC 11 nov 19.30 uur 34.834 uur: IKEv2:(SA-id = 1):Asynchrone aanvraagwachtrij 11 nov 19.30 uur 34.834 uur: IKEv2:(SA-ID = 1): 11 nov 19.30 uur 34.834 uur: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: AUTH_DON* Gebeurtenis: EV_NO_EVENT		Responder verzendt de reactie voor IKE_AUTH.
<------------------------------------Responder verstuurd door IKE_AUTH----------------------------
Initiator ontvangt antwoord van Responder.	11 nov 19.30 uur 34.834 uur: IKEv2:Krijg een pakket van verzender 11 nov 19.30 uur 34.834 uur: IKEv2:Een item in de wachtrij verwerken	11 nov 19.30 uur 34.840 uur: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis AUTH_DON: EV_OK_RECD_LOAD_IPSEC 11 nov 19.30 uur 34.840 uur: IKEv2:(SA-ID = 1):Handeling: Action_Null 11 nov 19.30 uur 34.840 uur: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis AUTH_DON: EV_START_ACCT 11 nov 19.30 uur 34.840 uur: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis AUTH_DON: EV_CHECK_DUPE *11 nov 19.30 uur 34.840 uur: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Gebeurtenis AUTH_DON: EV_CHK4_ROL	De respondent voert een vermelding in het ED in.
Router 1 verifieert en verwerkt de verificatiegegevens in dit pakket. Router 1 voegt vervolgens deze SA in in zijn SAD.	11 nov 19.30 uur 34.834 uur: IKEv2:(SA-id = 1):Volgende lading: ENCR, versie: 2.0 Exchange type: IKE_AUTH, flags: RESPONDER MSG-RESPONSE* Message ID: 1, lengte: 252 Inhoud payload: 11 nov 19.30 uur 34.834 uur: IKEv2:Parse leverancierspecifieke payload: (AANGEPAST) VID Volgende payload: IDr., gereserveerd: 0x0, lengte: 20 IDr.* Volgende lading: AUTH, gereserveerd: 0x0, lengte: 12 Type identificatiecode: IPv4-adres, gereserveerd: 0x0 0x0 AUTH volgende payload: SA, voorbehouden: 0x0, lengte: 28 Autorisatiemethode PSK, gereserveerd: 0x0, gereserveerd 0x0 SA Volgende payload: TSi, gereserveerd: 0x0, lengte: 40 laatste voorstel: 0x0, gereserveerd: 0x0, lengte: 36 Voorstel: 1, Protocol-id: ESP-, SPI-grootte: 4 #trans: 3 laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 1, gereserveerd: 0x0, id: 3DES laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 3, voorbehouden: 0x0, id: SHA96 laatste transformatie: 0x0, gereserveerd: 0x0: length: 8 type: 5, voorbehouden: 0x0, id: Niet gebruiken TSi Volgende payload: TSr, gereserveerd: 0x0, lengte: 24 Aantal TS’en: 1, gereserveerd 0x0, gereserveerd 0x0 TS-type: TS_IPV4_ADDR_RANGE, proto-id: 0, lengte: 16 beginpoort: 0, eindpoort: 65535 beginpunt: 0.0.0.0, eindpunt: 255.255.255.255 TSr volgende payload: MELDEN, gereserveerd: 0x0, lengte: 24 Aantal TS’en: 1, gereserveerd 0x0, gereserveerd 0x0 TS-type: TS_IPV4_ADDR_RANGE, proto-id: 0, lengte: 16 beginpoort: 0, eindpoort: 65535 beginpunt: 0.0.0.0, eindpunt: 255.255.255.255 11 nov 19.30 uur 34.834 uur: IKEv2:Ontleed de payload-melding: SET_VENSTER_SIZE MELDEN(SET_VENSTER_SIZE) Volgende payload: MELDEN, gereserveerd: 0x0, lengte: 12 Beveiligingsprotocol-id: IKE, spi-grootte: 0, type: SET_VENSTER_GROOTTE 11 nov 19.30 uur 34.834 uur: IKEv2:Ontleed de payload-melding: ESP_TFC_NO_SUPPORT MELDEN(ESP_TFC_NO_SUPPORT) Volgende payload: MELDEN, gereserveerd: 0x0, lengte: 8 Beveiligingsprotocol-id: IKE, spi-grootte: 0, type: ESP_TFC_NO_SUPPORT 11 nov 19.30 uur 34.834 uur: IKEv2:Ontleed de payload-melding: NON_FIRST_FRAGS MELDEN(NON_FIRST_FRAGS) Volgende payload: GEEN, gereserveerd: 0x0, lengte: 8 Beveiligingsprotocol-id: IKE, spi-grootte: 0, type: NON_FIRST_FRAGS 11 nov 19.30 uur 34.834 uur: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_wait_AUTH Gebeurtenis:EV_RECV_AUTH 11 nov 19.30 uur 34.834 uur: IKEv2:(SA-ID = 1):Handeling: Action_Null 11 nov 19.30 uur 34.834 uur: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH Evenement: EV_CHK4_NOTIFICEREN 11 nov 19.30 uur 34.834 uur: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH Gebeurtenis:EV_PROC_MSG* 11 nov 19.30 uur 34.834 uur: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH Evenement: EV_CHK_IF_PEER_CERT_needs_TO_BE_FETCHED_FOR_PROF_SEL 11 nov 19.30 uur 34.834 uur: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH Evenement: EV_GET_POLICY_BY_PEERID 11 nov 19.30 uur 34.834 uur: IKEv2:Voorstel voor PHASE1-prop toevoegen aan toolkit-beleid 11 nov 19.30 uur 34.834 uur: IKEv2:(SA-id = 1):Gebruik van het IKEv2-profiel 'IKEV2-SETUP' 11 nov 19.30 uur 34.834 uur: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH Evenement: EV_VERIFY_POLICY_BY_PEERID 11 nov 19.30 uur 34.834 uur: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH Evenement: EV_CHK_AUTH_TYPE 11 nov 19.30 uur 34.834 uur: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH Evenement: EV_GET_PRESHR_KEY 11 nov. 19.30:34.835: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH Gebeurtenis:EV_VERIFY_AUTH 11 nov. 19.30:34.835: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH Evenement: EV_CHK_EAP 11 nov. 19.30:34.835: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH Event:EV_NOTIFY_AUTH_DON 11 nov. 19.30:34.835: IKEv2:AAA-groepsautorisatie is niet geconfigureerd 11 nov. 19.30:34.835: IKEv2:AAA-gebruikersautorisatie is niet geconfigureerd 11 nov. 19.30:34.835: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH Evenement: EV_CHK_CONFIG_MODE 11 nov. 19.30:34.835: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH Evenement: EV_CHK4_IC 11 nov. 19.30:34.835: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH Evenement: ALLEEN EV_CHK_IKE_NL 11 nov. 19.30:34.835: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: I_PROC_AUTH Evenement: EV_PROC_SA_TS 11 nov. 19.30:34.835: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Gebeurtenis AUTH_DON: EV_OK 11 nov. 19.30:34.835: IKEv2:(SA-ID = 1):Handeling: Action_Null 11 nov. 19.30:34.835: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Gebeurtenis AUTH_DON: EV_PKI_SESH_CLOSE 11 nov. 19.30:34.835: IKEv2:(SA-id = 1):De PKI-sessie sluiten 11 nov. 19.30:34.835: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Gebeurtenis AUTH_DON: EV_UPDATE_CAC_STATUS 11 nov. 19.30:34.835: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Gebeurtenis AUTH_DON: EV_INSERT_IKE 11 nov. 19.30:34.835: IKEv2:Store mib index ikev2 1, platform 60 11 nov. 19.30:34.835: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Gebeurtenis AUTH_DON: EV_GEN_LOAD_IPSEC 11 nov. 19.30:34.835: IKEv2:(SA-id = 1):Asynchrone aanvraagwachtrij 11 nov. 19.30:34.835: IKEv2:(SA-ID = 1): 11 nov. 19.30:34.835: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Gebeurtenis AUTH_DON: EV_NO_EVENT 11 nov. 19.30:34.835: IKEv2:KMI-bericht 8 verbruikt. Geen actie ondernomen. 11 nov. 19.30:34.835: IKEv2:KMI-bericht 12 verbruikt. Geen actie ondernomen. 11 nov. 19.30:34.835: IKEv2:Geen gegevens om in mode-configuratieset te verzenden. 11 nov. 19.30:34.841: IKEv2: IKEv2: toevoegen van ident handle 0x80000002 geassocieerd met SPI 0x9506D414 voor sessie 8 11 nov. 19.30:34.841: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Gebeurtenis AUTH_DON: EV_OK_RECD_LOAD_IPSEC 11 nov. 19.30:34.841: IKEv2:(SA-ID = 1):Handeling: Action_Null 11 nov. 19.30:34.841: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Gebeurtenis AUTH_DON: EV_START_ACCT 11 nov. 19.30:34.841: IKEv2:(SA-id = 1):geen accounting vereist 11 nov. 19.30:34.841: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Gebeurtenis AUTH_DON: EV_CHECK_DUPE 11 nov. 19.30:34.841: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: AUTH_DON* Gebeurtenis: EV_CHK4_ROL
Tunnel is omhoog op de Initiator en de status toontBEREID.	11 nov. 19.30:34.841: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: READYEvent: ALLEEN EV_CHK_IKE_NL 11 nov. 19.30:34.841: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: VOORBEREIDENDE gebeurtenis: EV_I_OK	* 11 nov. 19.30 uur 34.840 uur: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Ready Event: EV_R_OK *11 nov 19.30 uur 34.840 uur: IKEv2:(SA-id = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: VOORBEREIDENDE gebeurtenis: EV_NO_EVENT	Tunnel is omhoog op de Responder. De Responder tunnel komt gewoonlijk vóór de Initiator omhoog.

CHILD_SA-debugs

Deze uitwisseling bestaat uit één verzoek/antwoordpaar en werd in IKEv1 een fase 2-uitwisseling genoemd. Het kan worden geïnitieerd tegen elk einde van de IKE_SA nadat de eerste uitwisselingen zijn voltooid.

Router 1 CHILD_SA Berichtbeschrijving	Debugs	Router 2 CHILD_SA Berichtbeschrijving
Router 1 initieert de CHILD_SA exchange. Dit is het CREATE_CHILD_SA verzoek. Het CHILD_SA-pakket bevat doorgaans: SA HDR (version.flags/exchange type) Nonce Ni (facultatief): Als de CHILD_SA wordt gecreëerd als deel van de initiële uitwisseling, mag er geen tweede KE-payload en nonce worden verstuurd) SA-payload KEi (sleutel-optioneel): Het CREATE_CHILD_SA verzoek kan optioneel een KE payload bevatten voor een extra DH-uitwisseling om sterkere garanties van voorwaartse geheimhouding voor de CHILD_SA mogelijk te maken. Als de SA-aanbiedingen verschillende DH-groepen bevatten, moet KEi een onderdeel van de groep zijn waarvan de initiatiefnemer verwacht dat de responder dit accepteert. Als het fout gist, mislukt de CREATE_CHILD_SA uitwisseling, en kan het opnieuw proberen met een andere KEi N (Melden payload-optioneel). De Notify payload, wordt gebruikt om informatieve gegevens, zoals foutcondities en toestandsovergangen, naar een IKE-peer te verzenden. Een Notify payload kan verschijnen in een antwoordbericht (meestal geeft het aan waarom een verzoek is afgewezen), in een INFORMATION Exchange (om een fout te melden niet in een IKE-verzoek), of in een ander bericht om de mogelijkheden van de afzender aan te geven of om de betekenis van het verzoek te wijzigen.Als deze CREATE_CHILD_SA-uitwisseling een bestaande SA anders dan IKE_SA rekeying is, MOET de leidende N-payload van het type REKEY_SA de SA identificeren die wordt gerekeyed. Als deze CREATE_CHILD_SA uitwisseling een bestaande SA niet opnieuw bevestigt, MOET de N payload worden weggelaten.	11 nov 19.31.35.873: IKEv2:Krijg een pakket van verzender 11 nov 19.31.35.873: IKEv2:Een item in de wachtrij verwerken 11 nov 19.31.35.873: IKEv2:(SA-id = 2):Verzoek heeft mess_id 3; verwacht 3 tot en met 7 11 nov 19.31.35.873: IKEv2:(SA-id = 2):Volgende lading: ENCR, versie: 2.0 Type uitwisseling: CREATE_CHILD_SA, vlaggen: INITIATOR Bericht-id: 3, lengte: 396 Inhoud payload: SA Volgende payload: N, gereserveerd: 0x0, lengte: 152 laatste voorstel: 0x0, gereserveerd: 0x0, lengte: 148 Voorstel: 1, Protocol-id: IKE, SPI-grootte: 8 #trans: 15 laatste transformatie: 0x3, gereserveerd: 0x0: length: 12 type: 1, gereserveerd: 0x0, id: AES-CBC laatste transformatie: 0x3, gereserveerd: 0x0: length: 12 type: 1, gereserveerd: 0x0, id: AES-CBC laatste transformatie: 0x3, gereserveerd: 0x0: length: 12 type: 1, gereserveerd: 0x0, id: AES-CBC laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 2, voorbehouden: 0x0, id: SHA512-software laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 2, voorbehouden: 0x0, id: SHA384-software laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 2, voorbehouden: 0x0, id: SHA256-software laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 2, voorbehouden: 0x0, id: SHA1 laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 2, voorbehouden: 0x0, id: MD5 laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 3, voorbehouden: 0x0, id: SHA512-software laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 3, voorbehouden: 0x0, id: SHA384-software laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 3, voorbehouden: 0x0, id: SHA256-software laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 3, voorbehouden: 0x0, id: SHA96 laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 3, voorbehouden: 0x0, id: MD596-sensor laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 4, voorbehouden: 0x0, id: DH_GROEP_1536_MODP/groep 5 laatste transformatie: 0x0, gereserveerd: 0x0: length: 8 type: 4, voorbehouden: 0x0, id: DH_GROEP_1024_MODP/groep 2 N Volgende lading: KE, gereserveerd: 0x0, lengte: 24 KE volgende payload: MELDEN, gereserveerd: 0x0, lengte: 136 DH-groep: 2, Voorbehouden: 0 x 0 11 nov 19.31.35.874: IKEv2:Ontleed de payload-melding: SET_VENSTER_SIZE MELDEN(SET_VENSTER_SIZE) Volgende payload: GEEN, gereserveerd: 0x0, lengte: 12 Beveiligingsprotocol-id: IKE, spi-grootte: 0, type: SET_VENSTER_GROOTTE 11 nov 19.31.35.874: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Ready Event: EV_RECV_CREATE_CHILD 11 nov 19.31.35.874: IKEv2:(SA-ID = 2):Handeling: Action_Null 11 nov 19.31.35.874: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_INIT event: EV_RECV_CREATE_CHILD 11 nov 19.31.35.874: IKEv2:(SA-ID = 2):Handeling: Action_Null 11 nov 19.31.35.874: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_INIT event: EV_VERIFY_MSG 11 nov 19.31.35.874: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_INIT event: EV_CHK_CC_TYPE 11 nov 19.31.35.874: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_IKE Gebeurtenis: EV_REKEY_IKESA 11 nov 19.31.35.874: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_IKE Gebeurtenis: EV_GET_IKE_POLICY 11 nov 19.31.35.874: IKEv2:% vooraf gedeelde sleutel per adres verkrijgen 10.0.0.2 11 nov 19.31.35.874: IKEv2:% krijgen preshared sleutel op adres 10.0.0.2 11 nov 19.31.35.874: IKEv2:Voorstel voor PHASE1-prop toevoegen aan toolkit-beleid 11 nov 19.31.35.874: IKEv2:(SA-id = 2):Gebruik van het IKEv2-profiel 'IKEV2-SETUP' 11 nov 19.31.35.874: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_IKE Gebeurtenis: EV_PROC_MSG 11 nov 19.31.35.874: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_IKE Gebeurtenis: EV_SET_POLICY 11 nov 19.31.35.874: IKEv2:(SA-id = 2):Instellen van geconfigureerd beleid 11 nov 19.31.35.874: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_BLD_MSG Event: EV_GEN_DH_KEY 11 nov 19.31.35.874: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_BLD_MSG Event: EV_NO_EVENT 11 nov 19.31.35.874: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_BLD_MSG Event: EV_OK_RECD_DH_PUBKEY_RESP 11 nov 19.31.35.874: IKEv2:(SA-ID = 2):Handeling: Action_Null 11 nov 19.31.35.874: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_BLD_MSG Gebeurtenis:EV_GEN_DH_SECRET* 11 nov 19.31.35.881: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_BLD_MSG Event: EV_NO_EVENT 11 nov 19.31.35.882: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_BLD_MSG Event: EV_OK_RECD_DH_SECRET_RESP 11 nov 19.31.35.882: IKEv2:(SA-ID = 2):Handeling: Action_Null 11 nov 19.31.35.882: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_BLD_MSG Event: EV_BLD_MNG nov 11 19:31:35.882: IKEv2:ConstructNotify payload: SET_VENSTER_GROOTTE Inhoud payload: SA Volgende payload: N, gereserveerd: 0x0, lengte: 56 laatste voorstel: 0x0, gereserveerd: 0x0, lengte: 52 Voorstel: 1, Protocol-id: IKE, SPI-grootte: 8 #trans: 4 laatste transformatie: 0x3, gereserveerd: 0x0: length: 12 type: 1, gereserveerd: 0x0, id: AES-CBC laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 2, voorbehouden: 0x0, id: SHA1 laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 3, voorbehouden: 0x0, id: SHA96 laatste transformatie: 0x0, gereserveerd: 0x0: length: 8 type: 4, voorbehouden: 0x0, id: DH_GROEP_1024_MODP/groep 2 N Volgende lading: KE, gereserveerd: 0x0, lengte: 24 KE volgende payload: MELDEN, gereserveerd: 0x0, lengte: 136 DH-groep: 2, Voorbehouden: 0 x 0 MELDEN* (SET_VENSTER_SIZE) Volgende payload: GEEN, gereserveerd: 0x0, lengte: 12 Beveiligingsprotocol-id: IKE, spi-grootte: 0, type: SET_VENSTER_GROOTTE
	11 nov 19.31.35.869: IKEv2:(SA-id = 2):Volgende lading: ENCR, versie: 2.0 Exchange type: CREATE_CHILD_SA, vlaggen: INITIATOR* Message id: 2, lengte: 460 Inhoud payload: Volgende payload: SA, voorbehouden: 0x0, lengte: 432 11 nov 19.31.35.873: IKEv2:Construct Melden payload: SET_VENSTER_GROOTTE Inhoud payload: SA Volgende payload: N, gereserveerd: 0x0, lengte: 152 laatste voorstel: 0x0, gereserveerd: 0x0, lengte: 148 Voorstel: 1, Protocol-id: IKE, SPI-grootte: 8 #trans: 15 laatste transformatie: 0x3, gereserveerd: 0x0: length: 12 type: 1, gereserveerd: 0x0, id: AES-CBC laatste transformatie: 0x3, gereserveerd: 0x0: length: 12 type: 1, gereserveerd: 0x0, id: AES-CBC laatste transformatie: 0x3, gereserveerd: 0x0: length: 12 type: 1, gereserveerd: 0x0, id: AES-CBC laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 2, voorbehouden: 0x0, id: SHA512-software laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 2, voorbehouden: 0x0, id: SHA384-software laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 2, voorbehouden: 0x0, id: SHA256-software laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 2, voorbehouden: 0x0, id: SHA1 laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 2, voorbehouden: 0x0, id: MD5 laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 3, voorbehouden: 0x0, id: SHA512-software laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 3, voorbehouden: 0x0, id: SHA384-software laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 3, voorbehouden: 0x0, id: SHA256-software laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 3, voorbehouden: 0x0, id: SHA96 laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 3, voorbehouden: 0x0, id: MD596-sensor laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 4, voorbehouden: 0x0, id: DH_GROEP_1536_MODP/groep 5 laatste transformatie: 0x0, gereserveerd: 0x0: length: 8 type: 4, voorbehouden: 0x0, id: DH_GROEP_1024_MODP/groep 2 N Volgende lading: KE, gereserveerd: 0x0, lengte: 24 KE volgende payload: MELDEN, gereserveerd: 0x0, lengte: 136 DH-groep: 2, Voorbehouden: 0 x 0 MELDEN* (SET_VENSTER_SIZE) Volgende payload: GEEN, gereserveerd: 0x0, lengte: 12 Beveiligingsprotocol-id: IKE, spi-grootte: 0, type: SET_VENSTER_GROOTTE	Dit pakket wordt ontvangen door router 2.
	11 nov 19.31.35.882: IKEv2:(SA-id = 2):Volgende lading: ENCR, versie: 2.0 Exchange type: CREATE_CHILD_SA,* vlaggen: RESPONDER MSG-RESPONSE Bericht-id: 3, lengte: 300 Inhoud payload: SA Volgende payload: N, gereserveerd: 0x0, lengte: 56 laatste voorstel: 0x0, gereserveerd: 0x0, lengte: 52 Voorstel: 1, Protocol-id: IKE, SPI-grootte: 8 #trans: 4 laatste transformatie: 0x3, gereserveerd: 0x0: length: 12 type: 1, gereserveerd: 0x0, id: AES-CBC laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 2, voorbehouden: 0x0, id: SHA1 laatste transformatie: 0x3, gereserveerd: 0x0: length: 8 type: 3, voorbehouden: 0x0, id: SHA96 laatste transformatie: 0x0, gereserveerd: 0x0: length: 8 type: 4, voorbehouden: 0x0, id: DH_GROEP_1024_MODP/groep 2 N Volgende lading: KE, gereserveerd: 0x0, lengte: 24 KE volgende payload: MELDEN, gereserveerd: 0x0, lengte: 136 DH-groep: 2, Voorbehouden: 0 x 0 11 nov 19.31.35.882: IKEv2:Ontleed de payload-melding: SET_VENSTER_SIZE MELDEN(SET_VENSTER_SIZE) Volgende payload: GEEN, gereserveerd: 0x0, lengte: 12 Beveiligingsprotocol-id: IKE, spi-grootte: 0, type: SET_VENSTER_GROOTTE 11 nov 19.31.35.882: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_wait Event: EV_RECV_CREATE_CHILD 11 nov 19.31.35.882: IKEv2:(SA-ID = 2):Handeling: Action_Null 11 nov 19.31.35.882: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_PROC Gebeurtenis: EV_CHK4_NOTIFICEREN 11 nov 19.31.35.882: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_PROC Gebeurtenis: EV_VERIFY_MSG* 11 nov 19.31.35.882: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_PROC Event: EV_PROC_MSG 11 nov 19.31.35.882: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_PROC Event: EV_CHK4_PFS 11 nov 19.31.35.882: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_PROC Event: EV_GEN_DH_SECRET 11 nov 19.31.35.890: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_PROC Event: EV_NO_EVENT 11 nov 19.31.35.890: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_PROC Event: EV_OK_RECD_DH_SECRET_RESP 11 nov 19.31.35.890: IKEv2:(SA-ID = 2):Handeling: Action_Null 11 nov 19.31.35.890: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_PROC Event: EV_CHK_IKE_REKEY 11 nov 19.31.35.890: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_PROC Event: EV_GEN_SKEYID 11 nov 19.31.35.890: IKEv2:(SA-id = 2):vaste id genereren 11 nov 19.31.35.890: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_DON Event: EV_ACTIVATE_NEW_SA 11 nov 19.31.35.890: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_DON Gebeurtenis: EV_UPDATE_CAC_STATUS 11 nov 19.31.35.890: IKEv2:Nieuw ikev2 als verzoek geactiveerd 11 nov 19.31.35.890: IKEv2:De telling van uitgaande onderhandelingen is niet verlaagd 11 nov 19.31.35.890: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_DON Gebeurtenis: EV_CHECK_DUPE 11 nov 19.31.35.890: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_DON Gebeurtenis: EV_OK 11 nov 19.31.35.890: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: Gebeurtenis BIJ AFSLUITEN: EV_CHK_IN BEHANDELING 11 nov 19.31.35.890: IKEv2:(SA ID = 2):Verwerkte respons met bericht id 3, Aanvragen kunnen worden verzonden van bereik 4 tot 8 11 nov 19.31.35.890: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurStaat: Gebeurtenis AFSLUITEN: EV_NO_EVENT	Router 2 bouwt nu het antwoord voor de uitwisseling CHILD_SA. Dit is het CREATE_CHILD_SA antwoord. Het CHILD_SA-pakket bevat doorgaans: SA HDR (version.flags/exchange type) Nonce Ni (optioneel): Als de CHILD_SA wordt gecreëerd als deel van de initiële uitwisseling, mag er geen tweede KE-payload en nonce worden verstuurd. SA-payload KEi (sleutel-optioneel): Het CREATE_CHILD_SA verzoek kan optioneel een KE payload bevatten voor een extra DH-uitwisseling om sterkere garanties van voorwaartse geheimhouding voor de CHILD_SA mogelijk te maken. Als de SA-aanbiedingen verschillende DH-groepen bevatten, moet KEi een onderdeel van de groep zijn waarvan de initiatiefnemer verwacht dat de responder dit accepteert. Als het fout raadt, mislukt de CREATE_CHILD_SA uitwisseling, en moet het opnieuw proberen met een andere KEi. N (informeer payload-optioneel): De Notify payload wordt gebruikt om informatieve gegevens, zoals foutcondities en toestandsovergangen, naar een IKE-peer te verzenden. Een Notify payload kan verschijnen in een antwoordbericht (meestal geeft het aan waarom een verzoek is afgewezen), in een informatie-uitwisseling (om een fout te melden niet in een IKE-verzoek), of in een ander bericht om de mogelijkheden van de afzender aan te geven of om de betekenis van het verzoek te wijzigen. Als deze CREATE_CHILD_SA uitwisseling een bestaand SA anders dan de IKE_SA rekeying uitvoert, moet de leidende N payload van type REKEY_SA identificeren die worden gerekeyed. Als deze CREATE_CHILD_SA uitwisseling een bestaande SA niet opnieuw rekeying, moet de N payload worden weggelaten. Router 2 verstuurt de reactie en voltooit de activering van het nieuwe KIND SA.
Router 1 ontvangt het reactiepakket van router 2 en voltooit de activering van CHILD_SA.	11 nov 19.31.35.882: IKEv2:(SA-id = 2):Volgende lading: ENCR, versie: 2.0 Exchange type: CREATE_CHILD_SA, vlaggen: RESPONDER MSG-RESPONSE* Bericht-id: 3, lengte: 300 Inhoud payload: Volgende payload: SA, voorbehouden: 0x0, lengte: 272 11 nov 19.31.35.882: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_BLD_MSG Gebeurtenis:EV_CHK_IKE_REKEY* 11 nov 19.31.35.882: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_BLD_MSG Event: EV_GEN_SKEYID 11 nov 19.31.35.882: IKEv2:(SA-id = 2):Generate skeyid 11 nov 19.31.35.882: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_DON Gebeurtenis:EV_ACTIVATE_NEW_SA* 11 nov 19.31.35.882: IKEv2:Store mib index ikev2 3, platform 62 11 nov 19.31.35.882: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_DID-gebeurtenis: EV_UPDATE_CAC_STATUS 11 nov 19.31.35.882: IKEv2:Nieuw ikev2 als verzoek geactiveerd 11 nov 19.31.35.882: IKEv2:De telling van inkomende onderhandelingen is mislukt 11 nov 19.31.35.882: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_DON* Gebeurtenis: EV_CHECK_DUPE 11 nov 19.31.35.882: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_DID-gebeurtenis: EV_OK 11 nov 19.31.35.882: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_DID-gebeurtenis: EV_START_DEL_NEG_TMR 11 nov 19.31.35.882: IKEv2:(SA-ID = 2):Handeling: Action_Null 11 nov 19.31.35.882: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Gebeurtenis BIJ AFSLUITEN: EV_CHK_IN BEHANDELING 11 nov 19.31.35.882: IKEv2:(SA ID = 2):Verzonden antwoord met bericht id 3, Aanvragen kunnen worden geaccepteerd van bereik 4 tot 8 11 nov 19.31.35.882: IKEv2:(SA-id = 2):SM Trace-> SA: I_SPI=0C33DB40GBASE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurStaat: Gebeurtenis AFSLUITEN: EV_NO_EVENT

Tunnelverificatie

ISAKMP

Opdracht

show crypto ikev2 sa detailed

Router 1-uitgang

Router1#show crypto ikev2 sa  detailed
 IPv4 Crypto IKEv2  SA

Tunnel-id Local                 Remote             fvrf/ivrf         Status
1         10.0.0.1/500          10.0.0.2/500       none/none         READY
      Encr: AES-CBC, keysize: 128,  
         Hash: SHA96, DH Grp:2,  
         Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 120/10 sec
      CE id: 1006, Session-id: 4
      Status Description: Negotiation done
      Local spi: E58F925107F8B73F     Remote spi: AFD098F4147869DA
      Local id: 10.0.0.1
      Remote id: 10.0.0.2
      Local req msg id:  2       Remote req msg id:  0
      Local next msg id: 2       Remote next msg id: 0
      Local req queued:  2       Remote req queued:  0
      Local window:      5       Remote window:      5
      DPD configured for 0 seconds, retry 0
      NAT-T is not detected
      Cisco Trust Security SGT is disabled
      Initiator of SA : Yes

Router 2-uitgang

Router2#show crypto ikev2 sa detailed
 IPv4 Crypto IKEv2  SA

Tunnel-id Local           Remote              fvrf/ivrf          Status
2         10.0.0.2/500    10.0.0.1/500        none/none          READY
      Encr: AES-CBC, keysize: 128, Hash: SHA96,  
         DH Grp:2, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 120/37 sec
      CE id: 1006, Session-id: 4
      Status Description: Negotiation done
      Local spi: AFD098F4147869DA       Remote spi: E58F925107F8B73F
      Local id: 10.0.0.2
      Remote id: 10.0.0.1
      Local req msg id:  0              Remote req msg id:  2
      Local next msg id: 0              Remote next msg id: 2
      Local req queued:  0              Remote req queued:  2
      Local window:      5              Remote window:      5
      DPD configured for 0 seconds, retry 0
      NAT-T is not detected
      Cisco Trust Security SGT is disabled
      Initiator of SA : No

IPSEC

Opdracht

show crypto ipsec sa

Opmerking: In deze uitvoer wordt, anders dan in IKEv1, de waarde van de PFS DH-groep weergegeven als "PFS (Y/N): N, DH group: geen" tijdens de eerste tunnelonderhandeling, maar nadat een rekey optreedt, verschijnen de juiste waarden. Dit is geen bug, hoewel het gedrag is beschreven in Cisco bug-id CSC67056. (Alleen geregistreerde Cisco-gebruikers kunnen toegang krijgen tot interne Cisco-tools of -informatie.)
Het verschil tussen IKEv1 en IKEv2 is dat in het laatste geval de Child SA’s worden gecreëerd als onderdeel van de AUTH-uitwisseling zelf. De DH Group geconfigureerd onder de crypto kaart zou alleen worden gebruikt tijdens rekey. Vandaar 'PFS (Y/N)': N, DH group: none' totdat de eerste rekey plaatsvindt.
Met IKEv1, ziet u een ander gedrag, omdat Child SA creatie gebeurt tijdens Quick Mode, en het CREATE_CHILD_SA bericht heeft een voorziening om de Key Exchange payload te dragen die de DH parameters specificeert om een nieuw gedeeld geheim af te leiden.

Router 1-uitgang

Router1#show crypto ipsec sa

interface: Tunnel0
    Crypto map tag: Tunnel0-head-0,  
         local addr 10.0.0.1

   protected vrf: (none)
   local  ident (addr/mask/prot/port):  
         (0.0.0.0/0.0.0.0/256/0)
   remote ident (addr/mask/prot/port):  
         (0.0.0.0/0.0.0.0/256/0)
   current_peer 10.0.0.2 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 10, #pkts encrypt:  
         10, #pkts digest: 10
    #pkts decaps: 10, #pkts decrypt:  
         10, #pkts verify: 10
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 10.0.0.1,  
         remote crypto endpt.: 10.0.0.2
     path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
     current outbound spi: 0xF6083ADD(4127734493)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0x6B74CB79(1802816377)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 18, flow_id: SW:18, 
         sibling_flags 80000040,  
         crypto map: Tunnel0-head-0
        sa timing: remaining key lifetime (k/sec):  
         (4276853/3592)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xF6083ADD(4127734493)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 17, flow_id: SW:17,  
         sibling_flags 80000040,  
         crypto map: Tunnel0-head-0
        sa timing: remaining key  
         lifetime (k/sec): (4276853/3592)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     outbound ah sas:

     outbound pcp sas:

Router 2-uitgang

Router2#show crypto ipsec sa

interface: Tunnel0
    Crypto map tag: Tunnel0-head-0, local addr 10.0.0.2

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/256/0)
   remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/256/0)
   current_peer 10.0.0.1 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
    #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 10.0.0.2,  
         remote crypto endpt.: 10.0.0.1
     path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
     current outbound spi: 0x6B74CB79(1802816377)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0xF6083ADD(4127734493)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 17, flow_id: SW:17,  
         sibling_flags 80000040,  
         crypto map: Tunnel0-head-0
        sa timing: remaining key lifetime  
         (k/sec): (4347479/3584)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x6B74CB79(1802816377)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 18, flow_id: SW:18,  
         sibling_flags 80000040,  
         crypto map: Tunnel0-head-0
        sa timing: remaining key  
         lifetime (k/sec): (4347479/3584)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     outbound ah sas:

     outbound pcp sas:

U kunt ook de uitvoer van de opdracht show crypto sessie op beide routers controleren; deze uitvoer toont de status van de tunnelsessie als UP-ACTIVE.

Router1#show crypto session
Crypto session current status

Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 10.0.0.2 port 500
  IKEv2 SA: local 10.0.0.1/500 remote 10.0.0.2/500 Active
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map

Router2#show cry session
Crypto session current status

Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 10.0.0.1 port 500
  IKEv2 SA: local 10.0.0.2/500 remote 10.0.0.1/500 Active
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map

Gerelateerde informatie

Revisiegeschiedenis

Revisie	Publicatiedatum	Opmerkingen
2.0	12-Apr-2023	Opmaak bijwerken. Hercertificering.
1.0	28-Jan-2013	Eerste vrijgave

Bijgedragen door Cisco-engineers

Anu M Chacko
Cisco Technical Marketing Leader

Was dit document nuttig?

Feedback

Contact Cisco

Een ondersteuningscase openen
(Vereist een Cisco-servicecontract)