Depurações do IOS IKEv2 para VPN Site a Site com PSKs Troubleshooting TechNote

Opções de download

  • PDF     (184.3 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (99.9 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (110.9 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:13 de Março de 2014
ID do documento:115934

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve as depurações do IKEv2 (Internet Key Exchange versão 2) no Cisco IOS® quando uma chave pré-compartilhada (PSK) é usada. Além disso, este documento fornece informações sobre como converter certas linhas de depuração em uma configuração.

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento da troca de pacotes para IKEv2. Para obter mais informações, consulte IKEv2 Packet Exchange and Protocol Level Debugging.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Internet Key Exchange versão 2 (IKEv2)
  • Cisco IOS 15.1(1)T ou posterior

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Problema principal

A troca de pacotes em IKEv2 é radicalmente diferente da troca de pacotes em IKEv1. No IKEv1, havia uma troca de fase1 claramente demarcada, composta por seis (6) pacotes seguidos de uma troca de fase 2, composta por três (3) pacotes; a troca de IKEv2 é variável. Para obter mais informações sobre as diferenças e uma explicação da troca de pacotes, consulte IKEv2 Packet Exchange and Protocol Level Debugging.

Configuração do roteador

Esta seção lista as configurações usadas neste documento.

Roteador 1

interface Loopback0
 ip address 192.168.1.1 255.255.255.0
!
interface Tunnel0
 ip address 172.16.0.101 255.255.255.0
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv4
 tunnel destination 10.0.0.2
 tunnel protection ipsec profile phse2-prof
!
interface Ethernet0/0
 ip address 10.0.0.1 255.255.255.0

crypto ikev2 proposal PHASE1-prop
 encryption 3des aes-cbc-128
 integrity sha1
 group 2
!
crypto ikev2 policy site-pol
 proposal PHASE1-prop
!
crypto ikev2 keyring KEYRNG
 peer peer1
  address 10.0.0.2 255.255.255.0
  hostname host1
  pre-shared-key local cisco
  pre-shared-key remote cisco
 !
crypto ikev2 profile IKEV2-SETUP
 match identity remote address 0.0.0.0
 authentication remote pre-share
 authentication local pre-share
 keyring local KEYRNG
 lifetime 120
!
crypto ipsec transform-set TS esp-3des esp-sha-hmac
!
crypto ipsec profile phse2-prof
 set transform-set TS
 set ikev2-profile IKEV2-SETUP
!
ip route 0.0.0.0 0.0.0.0 10.0.0.2
ip route 192.168.2.1 255.255.255.255 Tunnel0

Roteador 2

crypto ikev2 proposal PHASE1-prop
 encryption 3des aes-cbc-128
 integrity sha1
 group 2
!
crypto ikev2 keyring KEYRNG
 peer peer2
  address 10.0.0.1 255.255.255.0
  hostname host2
  pre-shared-key local cisco
  pre-shared-key remote cisco
 !
crypto ikev2 profile IKEV2-SETUP
 match identity remote address 0.0.0.0
 authentication remote pre-share
 authentication local pre-share
 keyring local KEYRNG
 lifetime 120
!
crypto ipsec transform-set TS esp-3des esp-sha-hmac
!
!
crypto ipsec profile phse2-prof
 set transform-set TS
 set ikev2-profile IKEV2-SETUP
!
interface Loopback0
 ip address 192.168.2.1 255.255.255.0
!
interface Ethernet0/0
 ip address 10.0.0.2 255.255.255.0
!
interface Tunnel0
 ip address 172.16.0.102 255.255.255.0
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv4
 tunnel destination 10.0.0.1
 tunnel protection ipsec profile phse2-prof
!
ip route 0.0.0.0 0.0.0.0 10.0.0.1
ip route 192.168.1.1 255.255.255.255 Tunnel0

Troubleshoot

Depurações de roteador

Estes comandos debug são usados neste documento:

deb crypto ikev2 packet
deb crypto ikev2 internal
Descrição da mensagem do roteador 1 (iniciador) Debugs Descrição da mensagem do roteador 2 (respondedor)
O roteador 1 recebe um pacote que corresponde à ACL de criptografia para o peer ASA 10.0.0.2. Inicia a criação da SA

*11 de novembro 20:28:34.003: IKEv2:Recebeu um pacote do distribuidor
*11 de novembro 20:28:34.003: IKEv2: Processando um item da fila de pacotes
*11 de novembro 19:30:34.811: IKEv2:% Obtendo chave pré-compartilhada pelo endereço 10.0.0.2
*11 de novembro 19:30:34.811: IKEv2:Adicionando proposta PHASE1-prop à política do kit de ferramentas
*11 de novembro 19:30:34.811: IKEv2:(1): Escolhendo o perfil IKE IKEV2-SETUP
*11 de novembro 19:30:34.811: IKEv2:Nova ikev2 como solicitação admitida
*11 de novembro 19:30:34.811: IKEv2:Incrementando a negociação de saída como contagem por um

  

O primeiro par de mensagens é a troca IKE_SA_INIT. Essas mensagens negociam algoritmos criptográficos, trocam nonces e fazem uma troca Diffie-Hellman.

Configuração relevante: crypto ikev2 proposta PHASE1-prop criptografia 3des aes-cbc-128 integridade sha1 grupo 2 crypto ikev2 keyring KEYRNG peer1 endereço 10.0.0.2 255.255.255.0 hostname host1 chave pré-compartilhada local cisco pre-shared-key remote cisco

 *11 de novembro 19:30:34.811: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento IDLE: EV_INIT_SA
*11 de novembro 19:30:34.811: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento I_BLD_INIT: EV_GET_IKE_POLICY
*11 de novembro 19:30:34.811: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento I_BLD_INIT:EV_SET_POLICY
*11 de novembro 19:30:34.811: IKEv2:(SA ID = 1):Definindo políticas configuradas
*11 de novembro 19:30:34.811: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento I_BLD_INIT: EV_CHK_AUTH4PKI
*11 de novembro 19:30:34.811: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento I_BLD_INIT:EV_GEN_DH_KEY
*11 de novembro 19:30:34.811: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento I_BLD_INIT: EV_NO_EVENT
*11 de novembro 19:30:34.811: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento I_BLD_INIT: EV_OK_RECD_DH_PUBKEY_RESP
*11 de novembro 19:30:34.811: IKEv2:(ID SA = 1):Ação: Ação_Nulo
*11 de novembro 19:30:34.811: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento I_BLD_INIT: EV_GET_CONFIG_MODE
*11 de novembro 19:30:34.811: Iniciador IKEv2:IKEv2 - sem dados de configuração para enviar na versão IKE_SA_INIT
*11 de novembro 19:30:34.811: IKEv2:Nenhum dado de configuração para enviar ao kit de ferramentas:
*11 de novembro 19:30:34.811: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: Evento I_BLD_INIT: EV_BLD_MSG
*11 de novembro 19:30:34.811: IKEv2:Criar payload específico do fornecedor: EXCLUIR MOTIVO
*11 de novembro 19:30:34.811: IKEv2:Criar payload específico do fornecedor: (PERSONALIZADO)
*11 de novembro 19:30:34.811: IKEv2:Criar payload de notificação: NAT_DETECTION_SOURCE_IP
*11 de novembro 19:30:34.811: IKEv2:Criar payload de notificação: NAT_DETECTION_DESTINATION_IP		  
Iniciador construindo pacote IKE_INIT_SA. Contém: Cabeçalho ISAKMP (SPI/versão/flags), SAi1 (algoritmo criptográfico suportado pelo iniciador IKE), KEi (DH public Key value of the initiator) e N (Initiator Nonce). *11 de novembro de 19:30:34.811: IKEv2:(SA ID = 1):Próximo payload: SA, versão: 2.0 Tipo de troca: IKE_SA_INIT, flags: INITIATOR ID da mensagem: 0, comprimento: 344 
Conteúdo da carga útil: 
 SA Próximo payload: KE, reservado: 0x0, comprimento: 56
  última proposta: 0x0, reservado: 0x0, comprimento: 52
  Proposta: 1, ID do protocolo: IKE, tamanho SPI: 0, #trans: 5 última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 1, reservado: 0x0, id: 3DES
    última transformação: 0x3, reservado: 0x0: comprimento: 12
    digite: 1, reservado: 0x0, id: AES-CBC
    última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 2, reservado: 0x0, id: SHA1
    última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 3, reservado: 0x0, id: SHA96
    última transformação: 0x0, reservado: 0x0: comprimento: 8
    digite: 4, reservado: 0x0, id: DH_GROUP_1024_MODP/Grupo 2
 KE próximo payload: N, reservado: 0x0, comprimento: 136
    Grupo DH: 2, Reservado: 0x0
 N Próximo payload: VID, reservado: 0x0, comprimento: 24
 VID Próximo payload: VID, reservado: 0x0, comprimento: 23
 VID Próximo payload: NOTIFICAR, reservado: 0x0, comprimento: 21
 NOTIFY(NAT_DETECTION_SOURCE_IP) Próximo payload: NOTIFICAR, reservado: 0x0, comprimento: 28
    ID do protocolo de segurança: IKE, tamanho do spi: 0, tipo: NAT_DETECTION_SOURCE_IP
 NOTIFY(NAT_DETECTION_DESTINATION_IP) Próximo payload: NENHUM, reservado: 0x0, comprimento: 28
    ID do protocolo de segurança: IKE, tamanho do spi: 0, tipo: NAT_DETECTION_DESTINATION_IP		  
—Iniciador enviou IKE_INIT_SA —>
 

*11 de novembro 19:30:34.814: IKEv2:Recebeu um pacote do distribuidor
*11 de novembro 19:30:34.814: IKEv2:Processando um item da fila de pacotes
*11 de novembro 19:30:34.814: IKEv2:Nova ikev2 como solicitação admitida
*11 de novembro 19:30:34.814: IKEv2:Aumentando a contagem como contagem um por um

 O respondedor recebe IKE_INIT_SA.
 

*11 de novembro 19:30:34.814: IKEv2:Próximo payload: SA, versão: 2.0 Tipo de troca: IKE_SA_INIT, flags: ID da mensagem do iniciador: 0, comprimento: 344 
Conteúdo da carga útil: 
 Próximo payload SA: KE, reservado: 0x0, comprimento: 56
  última proposta: 0x0, reservado: 0x0, comprimento: 52
  Proposta: 1, ID do protocolo: IKE, tamanho SPI: 0, #trans: 5 última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 1, reservado: 0x0, id: 3DES
    última transformação: 0x3, reservado: 0x0: comprimento: 12
    digite: 1, reservado: 0x0, id: AES-CBC
    última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 2, reservado: 0x0, id: SHA1
    última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 3, reservado: 0x0, id: SHA96
    última transformação: 0x0, reservado: 0x0: comprimento: 8
    digite: 4, reservado: 0x0, id: DH_GROUP_1024_MODP/Grupo 2
 Próximo payload KE: N, reservado: 0x0, comprimento: 136
    Grupo DH: 2, Reservado: 0x0
 N Próximo payload: VID, reservado: 0x0, comprimento: 24

*11 de novembro 19:30:34.814: IKEv2:Analisar payload específico do fornecedor: VID DO CISCO-DELETE-REASON Próximo payload: VID, reservado: 0x0, comprimento: 23
*11 de novembro 19:30:34.814: IKEv2:Analisar payload específico do fornecedor: (PERSONALIZADO) VID Próximo payload: NOTIFICAR, reservado: 0x0, comprimento: 21
*11 de novembro 19:30:34.814: IKEv2:Analisar payload de notificação: NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_SOURCE_IP) Próximo payload: NOTIFICAR, reservado: 0x0, comprimento: 28
    ID do protocolo de segurança: IKE, tamanho do spi: 0, tipo: NAT_DETECTION_SOURCE_IP
*11 de novembro 19:30:34.814: IKEv2:Analisar payload de notificação: NAT_DETECTION_DESTINATION_IP NOTIFY(NAT_DETECTION_DESTINATION_IP) Próximo payload: NENHUM, reservado: 0x0, comprimento: 28
    ID do protocolo de segurança: IKE, tamanho do spi: 0, tipo: NAT_DETECTION_DESTINATION_IP

 O respondedor inicia a criação de SA para esse peer.
 

*11 de novembro 19:30:34.814: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento IDLE:EV_RECV_INIT
*11 de novembro 19:30:34.814: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento R_INIT:EV_VERIFY_MSG
*11 de novembro 19:30:34.814: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento R_INIT:EV_INSERT_SA
*11 de novembro 19:30:34.814: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento R_INIT:EV_GET_IKE_POLICY
*11 de novembro 19:30:34.814: IKEv2:Adicionando o padrão da proposta à política do kit de ferramentas
*11 de novembro 19:30:34.814: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento R_INIT:EV_PROC_MSG
*11 de novembro 19:30:34.814: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento R_INIT: EV_DETECT_NAT
*11 de novembro 19:30:34.814: IKEv2:(ID SA = 1):Notificação de descoberta de NAT de processo
*11 de novembro 19:30:34.814: IKEv2:(ID SA = 1):Processando notificação src de detecção de nat
*11 de novembro 19:30:34.814: IKEv2:(ID SA = 1):Endereço remoto correspondente
*11 de novembro 19:30:34.814: IKEv2:(ID SA = 1):Processando notificação de dados de detecção de nat
*11 de novembro 19:30:34.814: IKEv2:(SA ID = 1):Endereço local correspondido
*11 de novembro 19:30:34.814: IKEv2:(ID SA = 1):Nenhum NAT encontrado
*11 de novembro 19:30:34.814: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento R_INIT: EV_CHK_CONFIG_MODE
*11 de novembro 19:30:34.814: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento R_BLD_INIT: EV_SET_POLICY
*11 de novembro 19:30:34.814: IKEv2:(SA ID = 1):Definição de políticas configuradas
*11 de novembro 19:30:34.814: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento R_BLD_INIT: EV_CHK_AUTH4PKI
*11 de novembro 19:30:34.814: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento R_BLD_INIT: EV_PKI_SESH_OPEN
*11 de novembro 19:30:34.814: IKEv2:(SA ID = 1):Abrindo uma sessão PKI
*11 de novembro 19:30:34.815: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento R_BLD_INIT:EV_GEN_DH_KEY
*11 de novembro 19:30:34.815: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento R_BLD_INIT: EV_NO_EVENT
*11 de novembro 19:30:34.815: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento R_BLD_INIT:EV_OK_RECD_DH_PUBKEY_RESP
*11 de novembro 19:30:34.815: IKEv2:(ID SA = 1):Ação: Ação_Nulo
*11 de novembro 19:30:34.815: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento R_BLD_INIT:EV_GEN_DH_SECRET
*11 de novembro 19:30:34.822: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento R_BLD_INIT: EV_NO_EVENT
*11 de novembro 19:30:34.822: IKEv2:% Obtendo chave pré-compartilhada pelo endereço 10.0.0.1
*11 de novembro 19:30:34.822: IKEv2:Adicionando o padrão da proposta à política do kit de ferramentas
*11 de novembro 19:30:34.822: IKEv2:(2): Escolhendo o perfil IKE IKEV2-SETUP
*11 de novembro 19:30:34.822: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento R_BLD_INIT: EV_OK_RECD_DH_SECRET_RESP
*11 de novembro 19:30:34.822: IKEv2:(ID SA = 1):Ação: Ação_Nulo
*11 de novembro 19:30:34.822: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento R_BLD_INIT:EV_GEN_SKEYID
*11 de novembro 19:30:34.822: IKEv2:(SA ID = 1):Gerar skeyid
*11 de novembro 19:30:34.822: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento R_BLD_INIT: EV_GET_CONFIG_MODE
*11 de novembro 19:30:34.822: IKEv2:respondente IKEv2 - sem dados de configuração para enviar na versão IKE_SA_INIT
*11 de novembro 19:30:34.822: IKEv2:Nenhum dado de configuração para enviar ao kit de ferramentas:
*11 de novembro 19:30:34.822: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento R_BLD_INIT: EV_BLD_MSG
*11 de novembro 19:30:34.822: IKEv2:Criar payload específico do fornecedor: EXCLUIR MOTIVO
*11 de novembro 19:30:34.822: IKEv2:Criar payload específico do fornecedor: (PERSONALIZADO)
*11 de novembro 19:30:34.822: IKEv2:Criar payload de notificação: NAT_DETECTION_SOURCE_IP
*11 de novembro 19:30:34.822: IKEv2:Criar payload de notificação: NAT_DETECTION_DESTINATION_IP
*11 de novembro 19:30:34.822: IKEv2:Criar payload de notificação: HTTP_CERT_LOOKUP_SUPPORTED

O respondedor verifica e processa a mensagem IKE_INIT: (1) Escolhe o conjunto de criptografia dos oferecidos pelo iniciador, (2) calcula sua própria chave secreta DH e (3) calcula um valor de skeyid, do qual todas as chaves podem ser derivadas para este IKE_SA. Todos, exceto os cabeçalhos de todas as mensagens a seguir, são criptografados e autenticados. As chaves usadas para a proteção de criptografia e integridade são derivadas da SKEYID e conhecidas como: SK_e (criptografia), SK_a (autenticação), SK_d é derivado e usado para derivação de material de chaveamento adicional para CHILD_SAs, e uma SK_e e SK_a separada são computadas para cada direção.

Configuração relevante: crypto ikev2 proposta criptografia PHASE1-prop 3des aes-cbc-128 integridade sha1 grupo 2 crypto ikev2 keyring KEYRNG endereço 10.0.0.1 255.255.255.0 hostname host2 chave pré-compartilhada cisco pre-shared-key local cisco cisco remote
 

*11 de novembro 19:30:34.822: IKEv2:(SA ID = 1):Próximo payload: SA, versão: 2.0 Tipo de troca: IKE_SA_INIT, flags: RESPONDER MSG-RESPONSE ID da mensagem: 0, comprimento: 449 
Conteúdo da carga útil: 
 SA Próximo payload: KE, reservado: 0x0, comprimento: 48
  última proposta: 0x0, reservado: 0x0, comprimento: 44
  Proposta: 1, ID do protocolo: IKE, tamanho SPI: 0, #trans: 4 última transformação: 0x3, reservado: 0x0: comprimento: 12
    digite: 1, reservado: 0x0, id: AES-CBC
    última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 2, reservado: 0x0, id: SHA1
    última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 3, reservado: 0x0, id: SHA96
    última transformação: 0x0, reservado: 0x0: comprimento: 8
    digite: 4, reservado: 0x0, id: DH_GROUP_1024_MODP/Grupo 2
 KE próximo payload: N, reservado: 0x0, comprimento: 136
    Grupo DH: 2, Reservado: 0x0
 N Próximo payload: VID, reservado: 0x0, comprimento: 24
 VID Próximo payload: VID, reservado: 0x0, comprimento: 23
 VID Próximo payload: NOTIFICAR, reservado: 0x0, comprimento: 21
 NOTIFY(NAT_DETECTION_SOURCE_IP) Próximo payload: NOTIFICAR, reservado: 0x0, comprimento: 28
    ID do protocolo de segurança: IKE, tamanho do spi: 0, tipo: NAT_DETECTION_SOURCE_IP
 NOTIFY(NAT_DETECTION_DESTINATION_IP) Próximo payload: CERTREQ, reservado: 0x0, comprimento: 28
    ID do protocolo de segurança: IKE, tamanho do spi: 0, tipo: NAT_DETECTION_DESTINATION_IP
 Carga útil seguinte do CERTREQ: NOTIFICAR, reservado: 0x0, comprimento: 105
    Hash de codificação de certificado e URL do PKIX
 NOTIFY(HTTP_CERT_LOOKUP_SUPPORTED) Próximo payload: NENHUM, reservado: 0x0, comprimento: 8
    ID do protocolo de segurança: IKE, tamanho do spi: 0, tipo: HTTP_CERT_LOOKUP_SUPPORTED

 O roteador 2 cria a mensagem do respondente para o intercâmbio IKE_SA_INIT, que é recebido pelo ASA1. Este pacote contém: Cabeçalho ISAKMP (SPI/versão/flags), SAr1 (algoritmo criptográfico escolhido pelo respondente IKE), KEr (DH valor de chave pública do respondente) e Responder Nonce.
 

*11 de novembro 19:30:34.822: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento INIT_DONE: EV_DONE
*11 de novembro 19:30:34.822: IKEv2:(ID SA = 1):Notificação do Cisco DeleteReason está habilitada
*11 de novembro 19:30:34.822: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento INIT_DONE: EV_CHK4_ROLE
*11 de novembro 19:30:34.822: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento INIT_DONE:EV_START_TMR
*11 de novembro 19:30:34.822: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento R_WAIT_AUTH: EV_NO_EVENT
*11 de novembro 19:30:34.822: IKEv2:Nova ikev2 como solicitação admitida
*11 de novembro 19:30:34.822: IKEv2:Incrementando a negociação de saída como contagem por um

 O Roteador 2 envia a mensagem do respondente ao Roteador 1.
<—Respondente enviou IKE_INIT_SA —
O roteador 1 recebe o pacote de resposta IKE_SA_INIT do roteador 2.

*11 de novembro 19:30:34.823: IKEv2:Recebeu um pacote do distribuidor

*11 de novembro 19:30:34.823: IKEv2:Recebeu um pacote do distribuidor

*11 de novembro 19:30:34.823: IKEv2:Processando um item da fila de pacotes

I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: Evento INIT_DONE:EV_START_TMR

 O respondedor inicia o temporizador para o processo Auth.
O Roteador 1 verifica e processa a resposta: (1) A chave secreta DH do iniciador é computada e (2) a id do skeyid do iniciador também é gerada.

*11 de novembro 19:30:34.823: IKEv2:(SA ID = 1):Próximo payload: SA, versão: 2.0 Tipo de troca: IKE_SA_INIT, flags: RESPONDER MSG-RESPONSE ID da mensagem: 0, comprimento: 449 
Conteúdo da carga útil: 
 SA Próximo payload: KE, reservado: 0x0, comprimento: 48
  última proposta: 0x0, reservado: 0x0, comprimento: 44
  Proposta: 1, ID do protocolo: IKE, tamanho SPI: 0, #trans: 4 última transformação: 0x3, reservado: 0x0: comprimento: 12
    digite: 1, reservado: 0x0, id: AES-CBC
    última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 2, reservado: 0x0, id: SHA1
    última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 3, reservado: 0x0, id: SHA96
    última transformação: 0x0, reservado: 0x0: comprimento: 8
    digite: 4, reservado: 0x0, id: DH_GROUP_1024_MODP/Grupo 2
 KE próximo payload: N, reservado: 0x0, comprimento: 136
    Grupo DH: 2, Reservado: 0x0
 N Próximo payload: VID, reservado: 0x0, comprimento: 24

*11 de novembro 19:30:34.823: IKEv2:Analisar payload específico do fornecedor: VID DO CISCO-DELETE-REASON Próximo payload: VID, reservado: 0x0, comprimento: 23

*11 de novembro 19:30:34.823: IKEv2:Analisar payload específico do fornecedor: (PERSONALIZADO) VID Próximo payload: NOTIFICAR, reservado: 0x0, comprimento: 21

*11 de novembro 19:30:34.823: IKEv2:Analisar payload de notificação: NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_SOURCE_IP) Próximo payload: NOTIFICAR, reservado: 0x0, comprimento: 28
    ID do protocolo de segurança: IKE, tamanho do spi: 0, tipo: NAT_DETECTION_SOURCE_IP

*11 de novembro 19:30:34.824: IKEv2:Analisar payload de notificação: NAT_DETECTION_DESTINATION_IP NOTIFY(NAT_DETECTION_DESTINATION_IP) Próximo payload: CERTREQ, reservado: 0x0, comprimento: 28
    ID do protocolo de segurança: IKE, tamanho do spi: 0, tipo: NAT_DETECTION_DESTINATION_IP
 Carga útil seguinte do CERTREQ: NOTIFICAR, reservado: 0x0, comprimento: 105
    Hash de codificação de certificado e URL do PKIX

*11 de novembro 19:30:34.824: IKEv2:Analisar payload de notificação: HTTP_CERT_LOOKUP_SUPPORTED NOTIFY(HTTP_CERT_LOOKUP_SUPPORTED) Próxima carga: NENHUM, reservado: 0x0, comprimento: 8
    ID do protocolo de segurança: IKE, tamanho do spi: 0, tipo: HTTP_CERT_LOOKUP_SUPPORTED

*11 de novembro 19:30:34.824: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Evento I_WAIT_INIT: EV_RECV_INIT
*11 de novembro 19:30:34.824: IKEv2:(SA ID = 1):Processando mensagem IKE_SA_INIT
*11 de novembro 19:30:34.824: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Evento I_PROC_INIT: EV_CHK4_NOTIFY
*11 de novembro 19:30:34.824: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Evento I_PROC_INIT: EV_VERIFY_MSG
*11 de novembro 19:30:34.824: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Evento I_PROC_INIT: EV_PROC_MSG
*11 de novembro 19:30:34.824: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Evento I_PROC_INIT: EV_DETECT_NAT
*11 de novembro 19:30:34.824: IKEv2:(ID SA = 1):Notificação de descoberta de NAT de processo
*11 de novembro 19:30:34.824: IKEv2:(ID SA = 1):Processando notificação src de detecção de nat
*11 de novembro 19:30:34.824: IKEv2:(ID SA = 1):Endereço remoto correspondente
*11 de novembro 19:30:34.824: IKEv2:(ID SA = 1):Processando notificação de dados de detecção de nat
*11 de novembro 19:30:34.824: IKEv2:(SA ID = 1):Endereço local correspondido
*11 de novembro 19:30:34.824: IKEv2:(ID SA = 1):Nenhum NAT encontrado
*11 de novembro 19:30:34.824: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Evento I_PROC_INIT: EV_CHK_NAT_T
*11 de novembro 19:30:34.824: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Evento I_PROC_INIT: EV_CHK_CONFIG_MODE
*11 de novembro 19:30:34.824: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Evento INIT_DONE:EV_GEN_DH_SECRET
*11 de novembro 19:30:34.831: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Evento INIT_DONE: EV_NO_EVENT
*11 de novembro 19:30:34.831: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Evento INIT_DONE: EV_OK_RECD_DH_SECRET_RESP
*11 de novembro 19:30:34.831: IKEv2:(ID SA = 1):Ação: Ação_Nulo
*11 de novembro 19:30:34.831: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Evento INIT_DONE:EV_GEN_SKEYID
*11 de novembro 19:30:34.831: IKEv2:(SA ID = 1):Gerar skeyid
*11 de novembro 19:30:34.831: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Evento INIT_DONE: EV_DONE
*11 de novembro 19:30:34.831: IKEv2:(ID SA = 1):Notificação do Cisco DeleteReason está habilitada
*11 de novembro 19:30:34.831: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Evento INIT_DONE: EV_CHK4_ROLE
*11 de novembro 19:30:34.831: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Evento I_BLD_AUTH: EV_GET_CONFIG_MODE
*11 de novembro 19:30:34.831: IKEv2:Enviando dados de configuração para o kit de ferramentas
*11 de novembro 19:30:34.831: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Evento I_BLD_AUTH: EV_CHK_EAP

  

O iniciador inicia o intercâmbio IKE_AUTH e gera o payload de autenticação. O pacote IKE_AUTH contém: Cabeçalho ISAKMP (SPI/versão/flags), IDi(identidade do iniciador), payload AUTH, SAi2 (inicia SA-similar à troca de conjunto de transformação da fase 2 em IKEv1) e TSi e TSr (seletores de tráfego do iniciador e do respondedor): Eles contêm o endereço de origem e de destino do iniciador e do respondedor, respectivamente, para encaminhar/receber tráfego criptografado. O intervalo de endereços especifica que todo o tráfego de e para esse intervalo é encapsulado. Se a proposta for aceitável para o respondente, ele enviará cargas úteis de TS idênticas de volta. O primeiro CHILD_SA é criado para o par proxy_ID que corresponde ao pacote de disparo. 

Configuração relevante: crypto ipsec transform-set TS esp-3des esp-sha-hmac crypto ipsec profile phse2-prof set transform-set TS set ikev2-profile IKEV2-SETUP

*11 de novembro 19:30:34.831: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Evento I_BLD_AUTH:EV_GEN_AUTH
*11 de novembro 19:30:34.831: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Evento I_BLD_AUTH: EV_CHK_AUTH_TYPE
*11 de novembro 19:30:34.831: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Evento I_BLD_AUTH: EV_OK_AUTH_GEN
*11 de novembro 19:30:34.831: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: Evento I_BLD_AUTH: EV_SEND_AUTH
*11 de novembro 19:30:34.831: IKEv2:Criar payload específico do fornecedor: CISCO-GRANITE
*11 de novembro 19:30:34.831: IKEv2:Criar payload de notificação: INITIAL_CONTACT
*11 de novembro 19:30:34.831: IKEv2:Criar payload de notificação: SET_WINDOW_SIZE
*11 de novembro 19:30:34.831: IKEv2:Criar payload de notificação: ESP_TFC_NO_SUPPORT
*11 de novembro 19:30:34.831: IKEv2:Criar payload de notificação: NON_FIRST_FRAGS 
Conteúdo da carga útil: 
 VID Próximo payload: IDi, reservada: 0x0, comprimento: 20
 IDi Próximo payload: AUTH, reservado: 0x0, comprimento: 12
    Tipo de ID: Endereço IPv4, Reservado: 0x0 0x0
 AUTH Próximo payload: CFG, reservado: 0x0, comprimento: 28
    Método de autenticação PSK, reservado: 0x0, 0x0 reservado
 CFG Próximo payload: SA, reservado: 0x0, comprimento: 309
    tipo cfg: CFG_REQUEST, reservado: 0x0, reservado: 0x0

*11 de novembro de 19:30:34.831: SA Próxima carga: TSi, reservada: 0x0, comprimento: 40
última proposta: 0x0, reservado: 0x0, comprimento: 36
Proposta: 1, ID do protocolo: ESP, tamanho do SPI: 4, #trans: 3 última transformação: 0x3, reservado: 0x0: comprimento: 8
digite: 1, reservado: 0x0, id: 3DES
última transformação: 0x3, reservado: 0x0: comprimento: 8
digite: 3, reservado: 0x0, id: SHA96
última transformação: 0x0, reservado: 0x0: comprimento: 8
digite: 5, reservado: 0x0, id: Não usar ESN
Próximo payload TSi: TSr, reservado: 0x0, comprimento: 24
Número de TSs: 1, reservado 0x0, reservado 0x0
Tipo de TS: TS_IPV4_ADDR_RANGE, id do proto: 0, comprimento: 16
porta inicial: 0, porta final: 65535
start addr: 0.0.0.0, endereço final: 255.255.255.255
TSr Próximo payload: NOTIFICAR, reservado: 0x0, comprimento: 24
Número de TSs: 1, reservado 0x0, reservado 0x0
Tipo de TS: TS_IPV4_ADDR_RANGE, id do proto: 0, comprimento: 16
porta inicial: 0, porta final: 65535
start addr: 0.0.0.0, endereço final: 255.255.255.255

NOTIFY(INITIAL_CONTACT) Próximo payload: NOTIFICAR, reservado: 0x0, comprimento: 8
ID do protocolo de segurança: IKE, tamanho do spi: 0, tipo: INITIAL_CONTACT
NOTIFY(SET_WINDOW_SIZE) Próximo payload: NOTIFICAR, reservado: 0x0, comprimento: 12
ID do protocolo de segurança: IKE, tamanho do spi: 0, tipo: SET_WINDOW_SIZE
NOTIFY(ESP_TFC_NO_SUPPORT) Próximo payload: NOTIFICAR, reservado: 0x0, comprimento: 8
ID do protocolo de segurança: IKE, tamanho do spi: 0, tipo: ESP_TFC_NO_SUPPORT
NOTIFY(NON_FIRST_FRAGS) Próximo payload: NENHUM, reservado: 0x0, comprimento: 8
ID do protocolo de segurança: IKE, tamanho do spi: 0, tipo: NON_FIRST_FRAGS

*11 de novembro 19:30:34.832: IKEv2:(SA ID = 1):Próximo payload: ENCR, versão: 2.0 Tipo de troca: IKE_AUTH, flags: INITIATOR ID da mensagem: 1, comprimento: 556 
Conteúdo da carga útil: 
Próximo payload ENCR: VID, reservado: 0x0, comprimento: 528

*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_WAIT_AUTH: EV_NO_EVENT

  
—Iniciador enviou IKE_AUTH —>
 

*11 de novembro 19:30:34.832: IKEv2:Recebeu um pacote do distribuidor
*11 de novembro 19:30:34.832: IKEv2:Processando um item da fila de pacotes
*11 de novembro 19:30:34.832: IKEv2:(SA ID = 1):A solicitação tem o bagunça_id 1; esperado de 1 a 1 
*11 de novembro de 19:30:34.832: IKEv2:(SA ID = 1):Próximo payload: ENCR, versão: 2.0 Tipo de troca: IKE_AUTH, flags: INITIATOR ID da mensagem: 1, comprimento: 556 
Conteúdo da carga útil: 
*11 de novembro 19:30:34.832: IKEv2:Analisar payload específico do fornecedor: (PERSONALIZADO) VID Próximo payload: IDi, reservada: 0x0, comprimento: 20
 IDi Próximo payload: AUTH, reservado: 0x0, comprimento: 12
    Tipo de ID: Endereço IPv4, Reservado: 0x0 0x0
 Próximo payload AUTH: CFG, reservado: 0x0, comprimento: 28
    Método de autenticação PSK, reservado: 0x0, 0x0 reservado
 CFG Próximo payload: SA, reservado: 0x0, comprimento: 309
    tipo cfg: CFG_REQUEST, reservado: 0x0, reservado: 0x0
*11 de novembro de 19:30:34.832: tipo de atrito: DNS IP4 interno, comprimento: 0
*11 de novembro de 19:30:34.832: tipo de atrito: DNS IP4 interno, comprimento: 0
*11 de novembro de 19:30:34.832: tipo de atrito: NBNS IP4 interno, comprimento: 0
*11 de novembro de 19:30:34.832: tipo de atrito: NBNS IP4 interno, comprimento: 0
*11 de novembro de 19:30:34.832: tipo de atrito: sub-rede IP4 interna, comprimento: 0
*11 de novembro de 19:30:34.832: tipo de atrito: versão do aplicativo, comprimento: 257
   tipo de attrib: Desconhecido - 28675, comprimento: 0
*11 de novembro de 19:30:34.832: tipo de atrito: Desconhecido - 28672, comprimento: 0
*11 de novembro de 19:30:34.832: tipo de atrito: Desconhecido - 28692, comprimento: 0
*11 de novembro de 19:30:34.832: tipo de atrito: Desconhecido - 28681, comprimento: 0
*11 de novembro de 19:30:34.832: tipo de atrito: Desconhecido - 28674, comprimento: 0
*11 de novembro de 19:30:34.832: SA Próximo payload: TSi, reservado: 0x0, comprimento: 40
  última proposta: 0x0, reservado: 0x0, comprimento: 36
  Proposta: 1, ID do protocolo: ESP, tamanho do SPI: 4, #trans: 3 última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 1, reservado: 0x0, id: 3DES
    última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 3, reservado: 0x0, id: SHA96
    última transformação: 0x0, reservado: 0x0: comprimento: 8
    digite: 5, reservado: 0x0, id: Não usar ESN
 Próximo payload TSi: TSr, reservado: 0x0, comprimento: 24
    Número de TSs: 1, reservado 0x0, reservado 0x0
    Tipo de TS: TS_IPV4_ADDR_RANGE, id do proto: 0, comprimento: 16
    porta inicial: 0, porta final: 65535
    start addr: 0.0.0.0, endereço final: 255.255.255.255
 TSr Próximo payload: NOTIFICAR, reservado: 0x0, comprimento: 24
    Número de TSs: 1, reservado 0x0, reservado 0x0
    Tipo de TS: TS_IPV4_ADDR_RANGE, id do proto: 0, comprimento: 16
    porta inicial: 0, porta final: 65535
    start addr: 0.0.0.0, endereço final: 255.255.255.255

O roteador 2 recebe e verifica os dados de autenticação recebidos do roteador 1.

Configuração relevante: criptografia ipsec ikev2 ipsec proposta AES256 criptografia esp aes-256 protocolo esp integridade sha-1 md5
 

 *11 de novembro 19:30:34.832: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_WAIT_AUTH: EV_RECV_AUTH
*11 de novembro 19:30:34.832: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_WAIT_AUTH: EV_CHK_NAT_T
*11 de novembro 19:30:34.832: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_WAIT_AUTH: EV_PROC_ID
*11 de novembro 19:30:34.832: IKEv2:(SA ID = 1):parâmetros válidos recebidos na id do processo
*11 de novembro 19:30:34.832: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_WAIT_AUTH: EV_CHK_IF_PEER_CERT_NEEDS_TO_BE_FETCHED_FOR_PROF_SEL
*11 de novembro 19:30:34.832: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_WAIT_AUTH: EV_GET_POLICY_BY_PEERID
*11 de novembro 19:30:34.833: IKEv2:(1): Escolhendo o perfil IKE IKEV2-SETUP
*11 de novembro 19:30:34.833: IKEv2:% Obtendo chave pré-compartilhada pelo endereço 10.0.0.1
*11 de novembro 19:30:34.833: IKEv2:% Obtendo chave pré-compartilhada pelo endereço 10.0.0.1
*11 de novembro 19:30:34.833: IKEv2:Adicionando o padrão da proposta à política do kit de ferramentas
*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Usando o perfil IKEv2 'IKEV2-SETUP'
*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_WAIT_AUTH: EV_SET_POLICY
*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Definindo políticas configuradas
*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_WAIT_AUTH: EV_VERIFY_POLICY_BY_PEERID
*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_WAIT_AUTH: EV_CHK_AUTH4EAP
*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_WAIT_AUTH: EV_CHK_POLREQEAP
*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_VERIFY_AUTH: EV_CHK_AUTH_TYPE
*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_VERIFY_AUTH: EV_GET_PRESHR_KEY
*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_VERIFY_AUTH: EV_VERIFY_AUTH
*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_VERIFY_AUTH: EV_CHK4_IC
*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_VERIFY_AUTH: EV_CHK_REDIRECT
*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):A verificação de redirecionamento não é necessária, ignorando-a
*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_VERIFY_AUTH: EV_NOTIFY_AUTH_DONE
*11 de novembro 19:30:34.833: IKEv2:A autorização do grupo AAA não está configurada
*11 de novembro 19:30:34.833: IKEv2:A autorização do usuário AAA não está configurada
*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_VERIFY_AUTH: EV_CHK_CONFIG_MODE
*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_VERIFY_AUTH: EV_SET_RECD_CONFIG_MODE
*11 de novembro 19:30:34.833: IKEv2:Dados de configuração recebidos do kit de ferramentas:
*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_VERIFY_AUTH: EV_PROC_SA_TS
*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_VERIFY_AUTH: EV_GET_CONFIG_MODE
*11 de novembro 19:30:34.833: IKEv2:Erro ao construir resposta de configuração
*11 de novembro 19:30:34.833: IKEv2:Nenhum dado de configuração para enviar ao kit de ferramentas:
*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_BLD_AUTH: EV_MY_AUTH_METOD
*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_BLD_AUTH: EV_GET_PRESHR_KEY
*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_BLD_AUTH: EV_GEN_AUTH
*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_BLD_AUTH: EV_CHK4_SIGN
*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_BLD_AUTH: EV_OK_AUTH_GEN
*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento R_BLD_AUTH: EV_SEND_AUTH
*11 de novembro 19:30:34.833: IKEv2:Criar payload específico do fornecedor: CISCO-GRANITE
*11 de novembro 19:30:34.833: IKEv2:Criar payload de notificação: SET_WINDOW_SIZE
*11 de novembro 19:30:34.833: IKEv2:Criar payload de notificação: ESP_TFC_NO_SUPPORT
                    *11 de novembro 19:30:34.833: IKEv2:Criar payload de notificação: NON_FIRST_FRAGS

 O roteador 2 cria a resposta ao pacote IKE_AUTH que recebeu do roteador 1. Este pacote de resposta contém: Cabeçalho ISAKMP (SPI/versão/flags), IDr (identidade do respondedor), payload AUTH, SAr2 (inicia o SA-similar à troca de conjunto de transformação da fase 2 em IKEv1) e TSi e TSr (seletores de tráfego do iniciador e do respondedor). Eles contêm o endereço de origem e de destino do iniciador e do respondedor, respectivamente, para encaminhar/receber tráfego criptografado. O intervalo de endereços especifica que todo o tráfego de e para esse intervalo é encapsulado. Esses parâmetros são idênticos ao que foi recebido do ASA1.
 

*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Próximo payload: ENCR, versão: 2.0 Tipo de troca: IKE_AUTH, flags: RESPONDER MSG-RESPONSE ID da mensagem: 1, comprimento: 252 
Conteúdo da carga útil: 
 ENCR Próximo payload: VID, reservado: 0x0, comprimento: 224
*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_OK
*11 de novembro 19:30:34.833: IKEv2:(ID SA = 1):Ação: Ação_Nulo
*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_PKI_SESH_CLOSE
*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Fechando a sessão PKI
*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_UPDATE_CAC_STATS
*11 de novembro 19:30:34.833: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE:EV_INSERT_IKE
*11 de novembro 19:30:34.834: IKEv2:Store mib index ikev2 1, plataforma 60
*11 de novembro 19:30:34.834: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_GEN_LOAD_IPSEC
*11 de novembro 19:30:34.834: IKEv2:(ID SA = 1):Solicitação assíncrona na fila
*11 de novembro 19:30:34.834: IKEv2:(ID SA = 1):
*11 de novembro 19:30:34.834: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: AUTH_DONE Evento: EV_NO_EVENT

 O respondedor envia a resposta para IKE_AUTH.
<—Respondente enviou IKE_AUTH—
O iniciador recebe resposta do Respondedor.

*11 de novembro 19:30:34.834: IKEv2:Recebeu um pacote do distribuidor

*11 de novembro 19:30:34.834: IKEv2:Processando um item da fila de pacotes

*11 de novembro 19:30:34.840: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_OK_RECD_LOAD_IPSEC
*11 de novembro 19:30:34.840: IKEv2:(ID SA = 1):Ação: Ação_Nulo
*11 de novembro 19:30:34.840: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_START_ACCT
*11 de novembro 19:30:34.840: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_CHECK_DUPE
*11 de novembro 19:30:34.840: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_CHK4_ROLE

 O respondedor insere uma entrada no SAD.
O roteador 1 verifica e processa os dados de autenticação neste pacote. Em seguida, o roteador 1 insere essa SA em seu SAD.

*11 de novembro 19:30:34.834: IKEv2:(SA ID = 1):Próximo payload: ENCR, versão: 2.0 Tipo de troca: IKE_AUTH, flags: RESPONDER MSG-RESPONSE ID da mensagem: 1, comprimento: 252 
Conteúdo da carga útil: 

*11 de novembro 19:30:34.834: IKEv2:Analisar payload específico do fornecedor: (PERSONALIZADO) VID Próximo payload: IDr., reservada: 0x0, comprimento: 20
 IDr. Próximo payload: AUTH, reservado: 0x0, comprimento: 12
    Tipo de ID: Endereço IPv4, Reservado: 0x0 0x0
 AUTH Próximo payload: SA, reservado: 0x0, comprimento: 28
    Método de autenticação PSK, reservado: 0x0, 0x0 reservado
 SA Próximo payload: TSi, reservado: 0x0, comprimento: 40
  última proposta: 0x0, reservado: 0x0, comprimento: 36
  Proposta: 1, ID do protocolo: ESP, tamanho do SPI: 4, #trans: 3 última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 1, reservado: 0x0, id: 3DES
    última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 3, reservado: 0x0, id: SHA96
    última transformação: 0x0, reservado: 0x0: comprimento: 8
    digite: 5, reservado: 0x0, id: Não usar ESN
 Próximo payload TSi: TSr, reservado: 0x0, comprimento: 24
    Número de TSs: 1, reservado 0x0, reservado 0x0
    Tipo de TS: TS_IPV4_ADDR_RANGE, id do proto: 0, comprimento: 16
    porta inicial: 0, porta final: 65535
    start addr: 0.0.0.0, endereço final: 255.255.255.255
 TSr Próximo payload: NOTIFICAR, reservado: 0x0, comprimento: 24
    Número de TSs: 1, reservado 0x0, reservado 0x0
    Tipo de TS: TS_IPV4_ADDR_RANGE, id do proto: 0, comprimento: 16
    porta inicial: 0, porta final: 65535
    start addr: 0.0.0.0, endereço final: 255.255.255.255

*11 de novembro 19:30:34.834: IKEv2:Analisar payload de notificação: SET_WINDOW_SIZE NOTIFY(SET_WINDOW_SIZE) Próximo payload: NOTIFICAR, reservado: 0x0, comprimento: 12
    ID do protocolo de segurança: IKE, tamanho do spi: 0, tipo: SET_WINDOW_SIZE

*11 de novembro 19:30:34.834: IKEv2:Analisar payload de notificação: ESP_TFC_NO_SUPPORT NOTIFY(ESP_TFC_NO_SUPPORT) Próximo payload: NOTIFICAR, reservado: 0x0, comprimento: 8
    ID do protocolo de segurança: IKE, tamanho do spi: 0, tipo: ESP_TFC_NO_SUPPORT

*11 de novembro 19:30:34.834: IKEv2:Analisar payload de notificação: NON_FIRST_FRAGS NOTIFY(NON_FIRST_FRAGS) Próxima carga: NENHUM, reservado: 0x0, comprimento: 8
    ID do protocolo de segurança: IKE, tamanho do spi: 0, tipo: NON_FIRST_FRAGS

*11 de novembro 19:30:34.834: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_WAIT_AUTH:EV_RECV_AUTH
*11 de novembro 19:30:34.834: IKEv2:(ID SA = 1):Ação: Ação_Nulo
*11 de novembro 19:30:34.834: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_CHK4_NOTIFY
*11 de novembro 19:30:34.834: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH:EV_PROC_MSG
*11 de novembro 19:30:34.834: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_CHK_IF_PEER_CERT_NEEDS_TO_BE_FETCHED_FOR_PROF_SEL
*11 de novembro 19:30:34.834: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_GET_POLICY_BY_PEERID
*11 de novembro 19:30:34.834: IKEv2:Adicionando proposta PHASE1-prop à política do kit de ferramentas
*11 de novembro 19:30:34.834: IKEv2:(SA ID = 1):Usando o perfil IKEv2 'IKEV2-SETUP'
*11 de novembro 19:30:34.834: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_VERIFY_POLICY_BY_PEERID
*11 de novembro 19:30:34.834: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_CHK_AUTH_TYPE
*11 de novembro 19:30:34.834: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_GET_PRESHR_KEY
*11 de novembro 19:30:34.835: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH:EV_VERIFY_AUTH
*11 de novembro 19:30:34.835: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_CHK_EAP
*11 de novembro 19:30:34.835: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH:EV_NOTIFY_AUTH_DONE
*11 de novembro 19:30:34.835: IKEv2:A autorização do grupo AAA não está configurada
*11 de novembro 19:30:34.835: IKEv2:A autorização do usuário AAA não está configurada
*11 de novembro 19:30:34.835: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_CHK_CONFIG_MODE
*11 de novembro 19:30:34.835: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_CHK4_IC
*11 de novembro 19:30:34.835: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_CHK_IKE_ONLY
*11 de novembro 19:30:34.835: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento I_PROC_AUTH: EV_PROC_SA_TS
*11 de novembro 19:30:34.835: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_OK
*11 de novembro 19:30:34.835: IKEv2:(ID SA = 1):Ação: Ação_Nulo
*11 de novembro 19:30:34.835: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_PKI_SESH_CLOSE
*11 de novembro 19:30:34.835: IKEv2:(SA ID = 1):Fechando a sessão PKI
*11 de novembro 19:30:34.835: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_UPDATE_CAC_STATS
*11 de novembro 19:30:34.835: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_INSERT_IKE
*11 de novembro 19:30:34.835: IKEv2:Store mib index ikev2 1, plataforma 60
*11 de novembro 19:30:34.835: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_GEN_LOAD_IPSEC
*11 de novembro 19:30:34.835: IKEv2:(ID SA = 1):Solicitação assíncrona na fila

*11 de novembro 19:30:34.835: IKEv2:(ID SA = 1):
*11 de novembro 19:30:34.835: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_NO_EVENT
*11 de novembro 19:30:34.835: IKEv2:mensagem KMI 8 consumida. Nenhuma ação tomada.
*11 de novembro 19:30:34.835: IKEv2:mensagem KMI 12 consumida. Nenhuma ação tomada.
*11 de novembro 19:30:34.835: IKEv2:Nenhum dado para enviar no modo config set.
*11 de novembro 19:30:34.841: IKEv2:Adicionando identificador de incidente 0x80000002 associado ao SPI 0x9506D414 para a sessão 8

*11 de novembro 19:30:34.841: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_OK_RECD_LOAD_IPSEC
*11 de novembro 19:30:34.841: IKEv2:(ID SA = 1):Ação: Ação_Nulo
*11 de novembro 19:30:34.841: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_START_ACCT
*11 de novembro 19:30:34.841: IKEv2:(ID SA = 1):Contabilidade não necessária
*11 de novembro 19:30:34.841: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento AUTH_DONE: EV_CHECK_DUPE
*11 de novembro 19:30:34.841: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: AUTH_DONE Evento: EV_CHK4_ROLE

  
O túnel está ativo no Iniciador e o status mostraREADY.

*11 de novembro 19:30:34.841: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: READYEvent: EV_CHK_IKE_ONLY
*11 de novembro 19:30:34.841: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState: Evento PRONTO: EV_I_OK

* 11 de novembro de 19:30:34.840: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento PRONTO: EV_R_OK
*11 de novembro 19:30:34.840: IKEv2:(SA ID = 1):Rastreamento SM-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: Evento PRONTO: EV_NO_EVENT

 O túnel está ativo no Respondedor. O túnel do Respondedor geralmente aparece antes do Iniciador.

Depurações CHILD_SA

Essa troca consiste em um único par de solicitação/resposta e foi chamada de troca de fase 2 em IKEv1. Ele pode ser iniciado em qualquer extremidade do IKE_SA depois que as trocas iniciais forem concluídas.

Descrição da mensagem CHILD_SA do roteador 1 Debugs Descrição da mensagem CHILD_SA do roteador 2
O roteador 1 inicia a troca CHILD_SA. Esta é a solicitação CREATE_CHILD_SA. O pacote CHILD_SA normalmente contém:
  • SA HDR (version.flags/exchange type)
  • Nonce Ni (opcional): Se CHILD_SA for criado como parte da troca inicial, um segundo payload KE e nonce não devem ser enviados)
  • Carga útil SA
  • KEi (opcional): A solicitação CREATE_CHILD_SA pode, opcionalmente, conter um payload KE para uma troca DH adicional para permitir garantias mais fortes de sigilo de encaminhamento para CHILD_SA. Se as ofertas SA incluírem diferentes grupos DH, o KEi deve ser um elemento do grupo que o iniciador espera que o respondente aceite. Se ele achar errado, a troca CREATE_CHILD_SA falhará, e terá que tentar novamente com um KEi diferente
  • N(Notifique payload-opcional). O Payload Notify é usado para transmitir dados informativos, como condições de erro e transições de estado, para um peer IKE. Um Payload de Notificações pode aparecer em uma mensagem de resposta (normalmente especificando por que uma solicitação foi rejeitada), em um Intercâmbio INFORMATIVO (para relatar um erro não em uma solicitação IKE) ou em qualquer outra mensagem para indicar os recursos do remetente ou para modificar o significado da solicitação.Se essa troca CREATE_CHILD_SA estiver rechaveando um SA existente diferente do IKE_SA, o payload N líder do tipo REKEY_SA MUST identifica o SA sendo rechaçada. Se essa troca CREATE_CHILD_SA não estiver rechaveando um SA existente, o payload N DEVERÁ ser omitido.

*11 de novembro de 19:31:35.873: IKEv2:Recebeu um pacote do distribuidor

*11 de novembro de 19:31:35.873: IKEv2:Processando um item da fila de pacotes

*11 de novembro de 19:31:35.873: IKEv2:(ID SA = 2):A solicitação tem o id_da_bagunça 3; esperado de 3 a 7 

*11 de novembro de 19:31:35.873: IKEv2:(SA ID = 2):Próximo payload: ENCR, versão: 2.0 Tipo de troca: CREATE_CHILD_SA, flags: INITIATOR ID da mensagem: 3, comprimento: 396 
Conteúdo da carga útil: 
 SA Próximo payload: N, reservado: 0x0, comprimento: 152
  última proposta: 0x0, reservado: 0x0, comprimento: 148
  Proposta: 1, ID do protocolo: IKE, tamanho SPI: 8, #trans: 15 última transformação: 0x3, reservado: 0x0: comprimento: 12
    digite: 1, reservado: 0x0, id: AES-CBC
    última transformação: 0x3, reservado: 0x0: comprimento: 12
    digite: 1, reservado: 0x0, id: AES-CBC
    última transformação: 0x3, reservado: 0x0: comprimento: 12
    digite: 1, reservado: 0x0, id: AES-CBC
    última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 2, reservado: 0x0, id: SHA512
    última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 2, reservado: 0x0, id: SHA384
    última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 2, reservado: 0x0, id: SHA256
    última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 2, reservado: 0x0, id: SHA1
    última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 2, reservado: 0x0, id: MD5
    última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 3, reservado: 0x0, id: SHA512
    última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 3, reservado: 0x0, id: SHA384
    última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 3, reservado: 0x0, id: SHA256
    última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 3, reservado: 0x0, id: SHA96
    última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 3, reservado: 0x0, id: MD596
    última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 4, reservado: 0x0, id: DH_GROUP_1536_MODP/Grupo 5
    última transformação: 0x0, reservado: 0x0: comprimento: 8
    digite: 4, reservado: 0x0, id: DH_GROUP_1024_MODP/Grupo 2
 N Próximo payload: KE, reservado: 0x0, comprimento: 24
 KE Próximo payload: NOTIFICAR, reservado: 0x0, comprimento: 136
    Grupo DH: 2, Reservado: 0x0

*11 de novembro de 19:31:35.874: IKEv2:Analisar payload de notificação: SET_WINDOW_SIZE NOTIFY(SET_WINDOW_SIZE) Próximo payload: NENHUM, reservado: 0x0, comprimento: 12
    ID do protocolo de segurança: IKE, tamanho do spi: 0, tipo: SET_WINDOW_SIZE

*11 de novembro de 19:31:35.874: IKEv2:(SA ID = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento PRONTO: EV_RECV_CREATE_CHILD
*11 de novembro de 19:31:35.874: IKEv2:(ID SA = 2):Ação: Ação_Nulo
*11 de novembro de 19:31:35.874: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_INIT: EV_RECV_CREATE_CHILD
*11 de novembro de 19:31:35.874: IKEv2:(ID SA = 2):Ação: Ação_Nulo
*11 de novembro de 19:31:35.874: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_INIT: EV_VERIFY_MSG
*11 de novembro de 19:31:35.874: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_INIT: EV_CHK_CC_TYPE
*11 de novembro de 19:31:35.874: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_IKE: EV_REKEY_IKESA
*11 de novembro de 19:31:35.874: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_IKE: EV_GET_IKE_POLICY
*11 de novembro de 19:31:35.874: IKEv2:% Obtendo chave pré-compartilhada pelo endereço 10.0.0.2
*11 de novembro de 19:31:35.874: IKEv2:% Obtendo chave pré-compartilhada pelo endereço 10.0.0.2
*11 de novembro de 19:31:35.874: IKEv2:Adicionando proposta PHASE1-prop à política do kit de ferramentas
*11 de novembro de 19:31:35.874: IKEv2:(SA ID = 2):Usando o perfil IKEv2 'IKEV2-SETUP'
*11 de novembro de 19:31:35.874: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_IKE: EV_PROC_MSG
*11 de novembro de 19:31:35.874: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_IKE: EV_SET_POLICY
*11 de novembro de 19:31:35.874: IKEv2:(SA ID = 2):Definição de políticas configuradas
*11 de novembro de 19:31:35.874: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_BLD_MSG: EV_GEN_DH_KEY
*11 de novembro de 19:31:35.874: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_BLD_MSG: EV_NO_EVENT
*11 de novembro de 19:31:35.874: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_BLD_MSG: EV_OK_RECD_DH_PUBKEY_RESP
*11 de novembro de 19:31:35.874: IKEv2:(ID SA = 2):Ação: Ação_Nulo
*11 de novembro de 19:31:35.874: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_BLD_MSG:EV_GEN_DH_SECRET
*11 de novembro de 19:31:35.881: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_BLD_MSG: EV_NO_EVENT
*11 de novembro de 19:31:35.882: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_BLD_MSG: EV_OK_RECD_DH_SECRET_RESP
*11 de novembro de 19:31:35.882: IKEv2:(ID SA = 2):Ação: Ação_Nulo
*11 de novembro de 19:31:35.882: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_BLD_MSG: EV_BLD_MSG
*11 de novembro de 19:31:35.882: IKEv2:Construir Notificar Payload: SET_WINDOW_SIZE 
Conteúdo da carga útil: 
 SA Próximo payload: N, reservado: 0x0, comprimento: 56
  última proposta: 0x0, reservado: 0x0, comprimento: 52
  Proposta: 1, ID do protocolo: IKE, tamanho SPI: 8, #trans: 4 última transformação: 0x3, reservado: 0x0: comprimento: 12
    digite: 1, reservado: 0x0, id: AES-CBC
    última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 2, reservado: 0x0, id: SHA1
    última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 3, reservado: 0x0, id: SHA96
    última transformação: 0x0, reservado: 0x0: comprimento: 8
    digite: 4, reservado: 0x0, id: DH_GROUP_1024_MODP/Grupo 2
 N Próximo payload: KE, reservado: 0x0, comprimento: 24
 KE Próximo payload: NOTIFICAR, reservado: 0x0, comprimento: 136
    Grupo DH: 2, Reservado: 0x0
 NOTIFICAR (SET_WINDOW_SIZE) Próximo payload: NENHUM, reservado: 0x0, comprimento: 12
    ID do protocolo de segurança: IKE, tamanho do spi: 0, tipo: SET_WINDOW_SIZE

  
 

*11 de novembro de 19:31:35.869: IKEv2:(SA ID = 2):Próximo payload: ENCR, versão: 2.0 Tipo de troca: CREATE_CHILD_SA, flags: INITIATOR ID da mensagem: 2, comprimento: 460 
Conteúdo da carga útil: 
Próximo payload ENCR: SA, reservado: 0x0, comprimento: 432

*11 de novembro de 19:31:35.873: IKEv2:Criar payload de notificação: SET_WINDOW_SIZE 
Conteúdo da carga útil: 
SA Próximo payload: N, reservado: 0x0, comprimento: 152
última proposta: 0x0, reservado: 0x0, comprimento: 148
Proposta: 1, ID do protocolo: IKE, tamanho SPI: 8, #trans: 15 última transformação: 0x3, reservado: 0x0: comprimento: 12
digite: 1, reservado: 0x0, id: AES-CBC
última transformação: 0x3, reservado: 0x0: comprimento: 12
digite: 1, reservado: 0x0, id: AES-CBC
última transformação: 0x3, reservado: 0x0: comprimento: 12
digite: 1, reservado: 0x0, id: AES-CBC
última transformação: 0x3, reservado: 0x0: comprimento: 8
digite: 2, reservado: 0x0, id: SHA512
última transformação: 0x3, reservado: 0x0: comprimento: 8
digite: 2, reservado: 0x0, id: SHA384
última transformação: 0x3, reservado: 0x0: comprimento: 8
digite: 2, reservado: 0x0, id: SHA256
última transformação: 0x3, reservado: 0x0: comprimento: 8
digite: 2, reservado: 0x0, id: SHA1
última transformação: 0x3, reservado: 0x0: comprimento: 8
digite: 2, reservado: 0x0, id: MD5
última transformação: 0x3, reservado: 0x0: comprimento: 8
digite: 3, reservado: 0x0, id: SHA512
última transformação: 0x3, reservado: 0x0: comprimento: 8
digite: 3, reservado: 0x0, id: SHA384
última transformação: 0x3, reservado: 0x0: comprimento: 8
digite: 3, reservado: 0x0, id: SHA256
última transformação: 0x3, reservado: 0x0: comprimento: 8
digite: 3, reservado: 0x0, id: SHA96
última transformação: 0x3, reservado: 0x0: comprimento: 8
digite: 3, reservado: 0x0, id: MD596
última transformação: 0x3, reservado: 0x0: comprimento: 8
digite: 4, reservado: 0x0, id: DH_GROUP_1536_MODP/Grupo 5
última transformação: 0x0, reservado: 0x0: comprimento: 8
digite: 4, reservado: 0x0, id: DH_GROUP_1024_MODP/Grupo 2
N Próximo payload: KE, reservado: 0x0, comprimento: 24
KE próximo payload: NOTIFICAR, reservado: 0x0, comprimento: 136
Grupo DH: 2, Reservado: 0x0
NOTIFICAR (SET_WINDOW_SIZE) Próximo payload: NENHUM, reservado: 0x0, comprimento: 12
ID do protocolo de segurança: IKE, tamanho do spi: 0, tipo: SET_WINDOW_SIZE

 Esse pacote é recebido pelo Roteador 2.
 

*11 de novembro de 19:31:35.882: IKEv2:(SA ID = 2):Próximo payload: ENCR, versão: 2.0 Tipo de troca: CREATE_CHILD_SA, flags: RESPONDER MSG-RESPONSE ID da mensagem: 3, comprimento: 300 
Conteúdo da carga útil: 
 SA Próximo payload: N, reservado: 0x0, comprimento: 56
  última proposta: 0x0, reservado: 0x0, comprimento: 52
  Proposta: 1, ID do protocolo: IKE, tamanho SPI: 8, #trans: 4 última transformação: 0x3, reservado: 0x0: comprimento: 12
    digite: 1, reservado: 0x0, id: AES-CBC
    última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 2, reservado: 0x0, id: SHA1
    última transformação: 0x3, reservado: 0x0: comprimento: 8
    digite: 3, reservado: 0x0, id: SHA96
    última transformação: 0x0, reservado: 0x0: comprimento: 8
    digite: 4, reservado: 0x0, id: DH_GROUP_1024_MODP/Grupo 2
 N Próximo payload: KE, reservado: 0x0, comprimento: 24
 KE próximo payload: NOTIFICAR, reservado: 0x0, comprimento: 136
    Grupo DH: 2, Reservado: 0x0

*11 de novembro de 19:31:35.882: IKEv2:Analisar payload de notificação: SET_WINDOW_SIZE NOTIFY(SET_WINDOW_SIZE) Próximo payload: NENHUM, reservado: 0x0, comprimento: 12
    ID do protocolo de segurança: IKE, tamanho do spi: 0, tipo: SET_WINDOW_SIZE

*11 de novembro de 19:31:35.882: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_WAIT Evento: EV_RECV_CREATE_CHILD
*11 de novembro de 19:31:35.882: IKEv2:(ID SA = 2):Ação: Ação_Nulo
*11 de novembro de 19:31:35.882: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_PROC Evento: EV_CHK4_NOTIFY
*11 de novembro de 19:31:35.882: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: Evento CHILD_I_PROC: EV_VERIFY_MSG
*11 de novembro de 19:31:35.882: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: Evento CHILD_I_PROC: EV_PROC_MSG
*11 de novembro de 19:31:35.882: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: Evento CHILD_I_PROC: EV_CHK4_PFS
*11 de novembro de 19:31:35.882: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: Evento CHILD_I_PROC: EV_GEN_DH_SECRET
*11 de novembro de 19:31:35.890: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: Evento CHILD_I_PROC: EV_NO_EVENT
*11 de novembro de 19:31:35.890: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: Evento CHILD_I_PROC: EV_OK_RECD_DH_SECRET_RESP
*11 de novembro de 19:31:35.890: IKEv2:(ID SA = 2):Ação: Ação_Nulo
*11 de novembro de 19:31:35.890: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: Evento CHILD_I_PROC: EV_CHK_IKE_REKEY
*11 de novembro de 19:31:35.890: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: Evento CHILD_I_PROC: EV_GEN_SKEYID
*11 de novembro de 19:31:35.890: IKEv2:(SA ID = 2):Gerar skeyid
*11 de novembro de 19:31:35.890: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: CHILD_I_DONE EV_ATIVATE NEW_SA
*11 de novembro de 19:31:35.890: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: Evento CHILD_I_DONE: EV_UPDATE_CAC_STATS
*11 de novembro de 19:31:35.890: IKEv2:Nova ikev2 como solicitação ativada
*11 de novembro de 19:31:35.890: IKEv2:Falha ao decrementar contagem para negociação de saída
*11 de novembro de 19:31:35.890: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: Evento CHILD_I_DONE: EV_CHECK_DUPE
*11 de novembro de 19:31:35.890: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: Evento CHILD_I_DONE: EV_OK
*11 de novembro de 19:31:35.890: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: Evento de saída: EV_CHK_PENDING
*11 de novembro de 19:31:35.890: IKEv2:(SA ID = 2):Resposta processada com a mensagem id 3, as solicitações podem ser enviadas do intervalo 4 para 8
*11 de novembro de 19:31:35.890: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (I) MsgID = 00000003 CurState: Evento DE SAÍDA: EV_NO_EVENT

 O roteador 2 agora cria a resposta para a troca CHILD_SA. Esta é a resposta CREATE_CHILD_SA. O pacote CHILD_SA normalmente contém:
  • SA HDR (version.flags/exchange type)
  • Nonce Ni (opcional): Se CHILD_SA for criado como parte da troca inicial, um segundo payload KE e nonce não devem ser enviados.
  • Carga útil SA
  • KEi (opcional): A solicitação CREATE_CHILD_SA pode, opcionalmente, conter um payload KE para uma troca DH adicional para permitir garantias mais fortes de sigilo de encaminhamento para CHILD_SA. Se as ofertas SA incluírem diferentes grupos DH, o KEi deve ser um elemento do grupo que o iniciador espera que o respondente aceite. Se ele achar errado, a troca CREATE_CHILD_SA falhará e deverá tentar novamente com um KEi diferente.
  • N (Notificar payload opcional): O Payload de Notificação é usado para transmitir dados informativos, como condições de erro e transições de estado, para um peer IKE. Um Payload de Notificações pode aparecer em uma mensagem de resposta (normalmente especificando por que uma solicitação foi rejeitada), em uma troca de informações (para relatar um erro que não esteja em uma solicitação IKE) ou em qualquer outra mensagem para indicar recursos do remetente ou para modificar o significado da solicitação. Se esse intercâmbio CREATE_CHILD_SA estiver rechaveando um SA existente diferente do IKE_SA, o payload N líder do tipo REKEY_SA deve identificar o SA que está sendo rechaveado. Se essa troca CREATE_CHILD_SA não estiver rechaveando um SA existente, o payload N deverá ser omitido.
O roteador 2 envia a resposta e conclui a ativação do novo SA INFANTIL.
O roteador 1 recebe o pacote de resposta do roteador 2 e conclui a ativação do CHILD_SA.

*11 de novembro de 19:31:35.882: IKEv2:(SA ID = 2):Próximo payload: ENCR, versão: 2.0 Tipo de troca: CREATE_CHILD_SA, flags: RESPONDER MSG-RESPONSE ID da mensagem: 3, comprimento: 300 
Conteúdo da carga útil: 
 Próximo payload ENCR: SA, reservado: 0x0, comprimento: 272

*11 de novembro de 19:31:35.882: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_BLD_MSG:EV_CHK_IKE_REKEY
*11 de novembro de 19:31:35.882: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_BLD_MSG: EV_GEN_SKEYID
*11 de novembro de 19:31:35.882: IKEv2:(SA ID = 2):Gerar skeyid
*11 de novembro de 19:31:35.882: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_DONE:EV_ATIVATE_NEW_SA
*11 de novembro de 19:31:35.882: IKEv2:Store mib index ikev2 3, plataforma 62
*11 de novembro de 19:31:35.882: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_DONE: EV_UPDATE_CAC_STATS
*11 de novembro de 19:31:35.882: IKEv2:Nova ikev2 como solicitação ativada
*11 de novembro de 19:31:35.882: IKEv2:Falha ao decrementar contagem para negociação de entrada
*11 de novembro de 19:31:35.882: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: CHILD_R_DONE Evento: EV_CHECK_DUPE
*11 de novembro de 19:31:35.882: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_DONE: EV_OK
*11 de novembro de 19:31:35.882: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento CHILD_R_DONE: EV_START_DEL_NEG_TMR
*11 de novembro de 19:31:35.882: IKEv2:(ID SA = 2):Ação: Ação_Nulo
*11 de novembro de 19:31:35.882: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento de saída: EV_CHK_PENDING
*11 de novembro de 19:31:35.882: IKEv2:(SA ID = 2):Resposta enviada com a mensagem id 3, Solicitações podem ser aceitas do intervalo 4 a 8
*11 de novembro de 19:31:35.882: IKEv2:(ID SA = 2):Rastreamento SM-> SA: I_SPI=0C33DB40DBAAADE6 R_SPI=F14E2BBA78024DE3 (R) MsgID = 00000003 CurState: Evento DE SAÍDA: EV_NO_EVENT

  

Verificação de túnel

ISAKMP

Comando

show crypto ikev2 sa detailed

Saída do roteador 1

Router1#show crypto ikev2 sa  detailed
 IPv4 Crypto IKEv2  SA

Tunnel-id Local                 Remote             fvrf/ivrf         Status
1         10.0.0.1/500          10.0.0.2/500       none/none         READY
      Encr: AES-CBC, keysize: 128,  
         Hash: SHA96, DH Grp:2,  
         Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 120/10 sec
      CE id: 1006, Session-id: 4
      Status Description: Negotiation done
      Local spi: E58F925107F8B73F     Remote spi: AFD098F4147869DA
      Local id: 10.0.0.1
      Remote id: 10.0.0.2
      Local req msg id:  2       Remote req msg id:  0
      Local next msg id: 2       Remote next msg id: 0
      Local req queued:  2       Remote req queued:  0
      Local window:      5       Remote window:      5
      DPD configured for 0 seconds, retry 0
      NAT-T is not detected
      Cisco Trust Security SGT is disabled
      Initiator of SA : Yes

Saída do roteador 2

Router2#show crypto ikev2 sa detailed
 IPv4 Crypto IKEv2  SA

Tunnel-id Local           Remote              fvrf/ivrf          Status
2         10.0.0.2/500    10.0.0.1/500        none/none          READY
      Encr: AES-CBC, keysize: 128, Hash: SHA96,  
         DH Grp:2, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 120/37 sec
      CE id: 1006, Session-id: 4
      Status Description: Negotiation done
      Local spi: AFD098F4147869DA       Remote spi: E58F925107F8B73F
      Local id: 10.0.0.2
      Remote id: 10.0.0.1
      Local req msg id:  0              Remote req msg id:  2
      Local next msg id: 0              Remote next msg id: 2
      Local req queued:  0              Remote req queued:  2
      Local window:      5              Remote window:      5
      DPD configured for 0 seconds, retry 0
      NAT-T is not detected
      Cisco Trust Security SGT is disabled
      Initiator of SA : No

IPsec

Comando

show crypto ipsec sa

Note: Nesta saída, ao contrário do IKEv1, o valor do grupo PFS DH aparece como "PFS (Y/N): N, grupo DH: none" durante a primeira negociação de túnel, mas, depois que uma chave de rechaveamento ocorre, os valores corretos aparecem. Isso não é um bug, mesmo que o comportamento seja descrito na ID de bug da Cisco CSCug67056

A diferença entre IKEv1 e IKEv2 é que, neste último caso, as SAs Filho são criadas como parte da própria troca AUTH. O Grupo DH configurado sob o mapa de criptografia seria usado somente durante o rechaveamento. Portanto, você verá 'PFS (S/N): N, grupo DH: nenhum até a primeira chave.

Com o IKEv1, você vê um comportamento diferente, porque a criação de SA filho acontece durante o Modo rápido, e a mensagem CREATE_CHILD_SA tem uma provisão para transportar a carga útil do Key Exchange que especifica os parâmetros DH para derivar um novo segredo compartilhado.

Saída do roteador 1

Router1#show crypto ipsec sa

interface: Tunnel0
    Crypto map tag: Tunnel0-head-0,  
         local addr 10.0.0.1

   protected vrf: (none)
   local  ident (addr/mask/prot/port):  
         (0.0.0.0/0.0.0.0/256/0)
   remote ident (addr/mask/prot/port):  
         (0.0.0.0/0.0.0.0/256/0)
   current_peer 10.0.0.2 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 10, #pkts encrypt:  
         10, #pkts digest: 10
    #pkts decaps: 10, #pkts decrypt:  
         10, #pkts verify: 10
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 10.0.0.1,  
         remote crypto endpt.: 10.0.0.2
     path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
     current outbound spi: 0xF6083ADD(4127734493)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0x6B74CB79(1802816377)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 18, flow_id: SW:18, 
         sibling_flags 80000040,  
         crypto map: Tunnel0-head-0
        sa timing: remaining key lifetime (k/sec):  
         (4276853/3592)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xF6083ADD(4127734493)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 17, flow_id: SW:17,  
         sibling_flags 80000040,  
         crypto map: Tunnel0-head-0
        sa timing: remaining key  
         lifetime (k/sec): (4276853/3592)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     outbound ah sas:

     outbound pcp sas:

Saída do roteador 2

Router2#show crypto ipsec sa

interface: Tunnel0
    Crypto map tag: Tunnel0-head-0, local addr 10.0.0.2

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/256/0)
   remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/256/0)
   current_peer 10.0.0.1 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
    #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 10.0.0.2,  
         remote crypto endpt.: 10.0.0.1
     path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
     current outbound spi: 0x6B74CB79(1802816377)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0xF6083ADD(4127734493)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 17, flow_id: SW:17,  
         sibling_flags 80000040,  
         crypto map: Tunnel0-head-0
        sa timing: remaining key lifetime  
         (k/sec): (4347479/3584)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x6B74CB79(1802816377)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 18, flow_id: SW:18,  
         sibling_flags 80000040,  
         crypto map: Tunnel0-head-0
        sa timing: remaining key  
         lifetime (k/sec): (4347479/3584)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     outbound ah sas:

     outbound pcp sas:

Você também pode verificar a saída do comando show crypto session em ambos os roteadores; esta saída mostra o status da sessão do túnel como UP-ATIVE.

Router1#show crypto session
Crypto session current status

Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 10.0.0.2 port 500
  IKEv2 SA: local 10.0.0.1/500 remote 10.0.0.2/500 Active
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map

Router2#show cry session
Crypto session current status

Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 10.0.0.1 port 500
  IKEv2 SA: local 10.0.0.2/500 remote 10.0.0.1/500 Active
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
13-Mar-2014
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Anu M. Chacko and Atri Basu
    Cisco TAC Engineers.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco