远程访问VPN故障排除的ASA IKEv2调试

下载选项

PDF (314.8 KB)
在各种设备上使用 Adobe Reader 查看
ePub (85.7 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (115.5 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2013 年 10 月 9 日

文档 ID:116158

关于翻译

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文描述如何了解在思科可适应安全工具(ASA)的调试，当互联网密钥交换版本2 (IKEv2)时与Cisco AnyConnect安全移动客户端一起使用。本文在ASA配置里也提供信息关于怎样翻译某些调试线路。

本文不描述如何通过流量，在VPN通道设立了对ASA后，亦不包括IPSec或IKE基本概念。

先决条件

要求

思科建议您有信息包交换的知识IKEv2的。欲知更多信息，参考IKEv2信息包交换和协议级调试。

使用的组件

本文档中的信息基于以下软件和硬件版本：

互联网密钥交换版本2 (IKEv2)
Cisco可适应安全工具(ASA)版本8.4或以上

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

核心问题

Cisco技术支持中心(TAC)经常使用IKE和IPSec调试指令为了了解哪里有与IPSec VPN隧道建立的一问题，但是命令可以隐秘。

方案

debug 命令

debug crypto ikev2 protocol 127
debug crypto ikev2 platform 127
debug aggregate-auth xml 5

ASA 配置

此ASA配置严格是基本，没有使用外部服务器。

interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 10.0.0.1 255.255.255.0

ip local pool webvpn1 10.2.2.1-10.2.2.10

crypto ipsec ikev2 ipsec-proposal 3des
 protocol esp encryption aes-256 aes 3des des
 protocol esp integrity sha-1
crypto dynamic-map dynmap 1000 set ikev2 ipsec-proposal 3des
crypto map crymap 10000 ipsec-isakmp dynamic dynmap
crypto map crymap interface outside

crypto ca trustpoint Anu-ikev2
 enrollment self
 crl configure

crypto ikev2 policy 10
 encryption aes-192
 integrity sha
 group 2
 prf sha
 lifetime seconds 86400

crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint Anu-ikev2
ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1
ssl trust-point Anu-ikev2 outside

webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-3.0.1047-k9.pkg 1
 anyconnect profiles Anyconnect-ikev2 disk0:/anyconnect-ikev2.xml
 anyconnect enable
 tunnel-group-list enable

group-policy ASA-IKEV2 internal
group-policy ASA-IKEV2 attributes
 wins-server none
 dns-server none
 vpn-tunnel-protocol ikev2 
 default-domain none
 webvpn
  anyconnect modules value dart
  anyconnect profiles value Anyconnect-ikev2 type user

username Anu password lAuoFgF7KmB3D0WI encrypted privilege 15

tunnel-group ASA-IKEV2 type remote-access
tunnel-group ASA-IKEV2 general-attributes
 address-pool webvpn1
 default-group-policy ASA-IKEV2
tunnel-group ASA-IKEV2 webvpn-attributes
 group-alias ASA-IKEV2 enable

XML文件

<ServerList>
        <HostEntry>
                <HostName>Anu-IKEV2</HostName>
                <HostAddress>10.0.0.1</HostAddress>
                <UserGroup>ASA-IKEV2</UserGroup>
                <PrimaryProtocol>IPsec</PrimaryProtocol>
        </HostEntry>
</ServerList>

注意：在XML客户端配置文件的用户组名称必须是相同的象隧道群的名称ASA的。否则，错误消息‘无效主机条目。请重新输入’被看到在AnyConnect客户端。

调试日志和说明

注意：从诊断和报告工具(箭)的日志通常是非常话多，因此某些箭日志在本例中省略由于无价值。

服务器消息说明	调试		客户端消息消息说明
	伊达市：04/23/2013 时间：16:24:55 类型：信息来源：acvpnui 说明：功能：ClientIfcBase ：：连接文件：.。 \ ClientIfcBase.cpp 线路：964 对Anu-IKEV2的一VPN连接由用户请求。 ************************************** 伊达市：04/23/2013 时间：16:24:55 类型：信息来源：acvpnui 说明：消息类型信息发送对用户：联系Anu-IKEV2。 ************************************ 伊达市：04/23/2013 时间：16:24:55 类型：信息来源：acvpnui 说明：功能：ApiCert ：：getCertList 文件：.。 \ ApiCert.cpp 线路：259 找到的证书编号：0 ************************************ 伊达市：04/23/2013 时间：16:25:00 类型：信息来源：acvpnui 说明：首次对安全网关https://10.0.0.1/ASA-IKEV2的VPN连接 ************************************ 伊达市：04/23/2013 时间：16:25:00 类型：信息来源：acvpnagent 说明：GUI客户端发起的通道。 ************************************ 伊达市：04/23/2013 时间：16:25:02 类型：信息来源：acvpnagent 说明：功能：CIPsecProtocol ：：connectTransport 文件：.。 \ IPsecProtocol.cpp 线路：1629 从192.168.1.1:25170的打开的IKE socket到10.0.0.1:500 **************************************		客户端发起VPN通道对ASA。
	---------------------------------IKE_SA_INIT Exchange开始------------------------------
ASA收到从客户端的IKE_SA_INIT消息。	IKEv2-PLAT-4 ：RECV PKT [IKE_SA_INIT] [192.168.1.1]:25170->[10.0.0.1]:500 InitSPI=0x58aff71141ba436b RespSPI=0x0000000000000000 MID=00000000 IKEv2-PROTO-3 ：Rx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id ：0x0
第一个对消息是IKE_SA_INIT交换。这些消息协商加密算法，交换目前，并且执行Diffie-Hellman (DH)交换。从客户端接收的IKE_SA_INIT消息包含这些字段： ISAKMP报头- SPI/version/flags. SAi1 -该的加密算法IKE发起者支持。 KEi - DH发起者的公共密钥值。 N -发起者目前。	IKEv2-PROTO-3 ：HDR[i:58AFF71141BA436B - r ：0000000000000000] IKEv2-PROTO-4 ：IKEV2 HDR ispi ：58AFF71141BA436B - rspi ：0000000000000000 IKEv2-PROTO-4 ：下有效负载：SA，版本：2.0 IKEv2-PROTO-4 ：Exchange类型：IKE_SA_INIT，标志：发起者 IKEv2-PROTO-4 ：消息ID ：0x0，长度：528 SA下有效负载：KE，保留：0x0，长度：168 IKEv2-PROTO-4 ：最后建议：0x0，保留：0x0，长度：164 建议：1，协议ID ：IKE， SPI大小：0， #trans ：18 IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：12 类型：1，保留：0x0， id ：AES-CBC IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：12 类型：1，保留：0x0， id ：AES-CBC IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：12 类型：1，保留：0x0， id ：AES-CBC IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：8 类型：1，保留：0x0， id ：3DES IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：8 类型：1，保留：0x0， id ：DES IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：8 类型：2，保留：0x0， id ：SHA512 IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：8 类型：2，保留：0x0， id ：SHA384 IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：8 类型：2，保留：0x0， id ：SHA256 IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：8 类型：2，保留：0x0， id ：SHA1 IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：8 类型：2，保留：0x0， id ：MD5 IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：8 类型：3，保留：0x0， id ：SHA512 IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：8 类型：3，保留：0x0， id ：SHA384 IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：8 类型：3，保留：0x0， id ：SHA256 IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：8 类型：3，保留：0x0， id ：SHA96 IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：8 类型：3，保留：0x0， id ：MD596 IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：8 类型：4，保留：0x0， id ：DH_GROUP_1536_MODP/Group 5 IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：8 类型：4，保留：0x0， id ：DH_GROUP_1024_MODP/Group 2 IKEv2-PROTO-4 ：最后转换：0x0，保留：0x0 ：长度：8 类型：4，保留：0x0， id ：DH_GROUP_768_MODP/Group 1 KE下有效负载：N，保留：0x0，长度：104 DH组：1，保留：0x0 eb 5e 29 fe钶2e d1 28编辑4a 54 b1 13 7c b8 89 f7 62 13个6b df 95 88 28 b5 97 ba 52个E-F e4 1d 28 加州06 d1 36 b6 67 32个9a c2 dd 4e d8 c7 80 de 20 36 34个c5 b3 3e 1d 83 1a c7 fb 9d b8 c5 f5编辑5f ba ba 4f b6 b2 e2第2 43个4f a0 b6 90 9a 11 3f 7d 0a 21 c3 4d d3 0a d2 1e 33 43个d3 5e cc 4b 38 e0 N下有效负载：VID，保留：0x0，长度：24 20 12个8f 22 7b 16 23 52个e4 29 4d 98 c7 fd a8 77 铈7c 0b b4 IKEv2-PROTO-5 ：解析卖方细节有效负载：CISCO-DELETE-REASON VID下有效负载：VID，保留：0x0，长度：23
ASA验证并且处理 IKE_INIT消息。ASA ：选择crypto套件从发起者提供的那些。计算其自己的DH密钥。计算一个SKEYID值从哪些所有密钥可以派生为此IKE_SA。所有的报头随后的消息是已加密和已验证。用于加密的密钥和完整性保护派生从SKEYID和叫作： SK_e -加密。 SK_a -验证。 SK_d -派生和使用派生更加进一步密钥材料为 CHILD_SAs。分开的SK_e和SK_a是计算为每个方向。相关配置： crypto ikev2 policy 10 encryption aes-192 integrity sha group 2 prf sha lifetime seconds 86400 crypto ikev2 enable outside	解密的数据包：数据：528个字节 IKEv2-PLAT-3 ：进程自定义VID有效载荷 IKEv2-PLAT-3 ：思科从对等体接收的版权VID IKEv2-PLAT-3 ：AnyConnect从对等体接收的EAP VID IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState ：IDLE事件：EV_RECV_INIT IKEv2-PROTO-3 ：(6) ：检查NAT发现 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState ：IDLE事件：EV_CHK_REDIRECT IKEv2-PROTO-5 ：(6) ：重定向检查不是需要的，跳过它 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState ：IDLE事件：EV_CHK_CAC IKEv2-PLAT-5 ：被承认的新的sa ikev2请求 IKEv2-PLAT-5 ：增加由一个的流入协商的sa计数 IKEv2-PLAT-5 ：无效PSH把柄 IKEv2-PLAT-5 ：无效PSH把柄 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState ：IDLE事件：EV_CHK_COOKIE IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState ：IDLE事件：EV_CHK4_COOKIE_NOTIFY IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState ：R_INIT事件：EV_VERIFY_MSG IKEv2-PROTO-3 ：(6) ：验证SA init消息 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState ：R_INIT事件：EV_INSERT_SA IKEv2-PROTO-3 ：(6) ：SA插入 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState ：R_INIT事件：EV_GET_IKE_POLICY IKEv2-PROTO-3 ：(6) ：得到配置策略 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState ：R_INIT事件：EV_PROC_MSG IKEv2-PROTO-2 ：(6) ：处理最初的消息 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState ：R_INIT事件：EV_DETECT_NAT IKEv2-PROTO-3 ：(6) ：进程NAT发现通知 IKEv2-PROTO-5 ：(6) ：处理nat检测src通知 IKEv2-PROTO-5 ：(6) ：没匹配的远程地址 IKEv2-PROTO-5 ：(6) ：处理nat检测dst通知 IKEv2-PROTO-5 ：(6) ：匹配的本地地址 IKEv2-PROTO-5 ：(6) ：主机从外部是查找的NAT IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState ：R_INIT事件：EV_CHK_CONFIG_MODE IKEv2-PROTO-3 ：(6) ：已接收有效配置模式数据 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState ：R_INIT事件：EV_SET_RECD_CONFIG_MODE IKEv2-PROTO-3 ：(6) ：集已接收配置模式数据 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState ：R_BLD_INIT事件：EV_SET_POLICY IKEv2-PROTO-3 ：(6) ：设置已配置的策略 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState ：R_BLD_INIT事件：EV_CHK_AUTH4PKI IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState ：R_BLD_INIT事件：EV_PKI_SESH_OPEN IKEv2-PROTO-3 ：(6) ：打开PKI会话 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState ：R_BLD_INIT事件：EV_GEN_DH_KEY IKEv2-PROTO-3 ：(6) ：计算的DH公共密钥 IKEv2-PROTO-3 ：(6) ： IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState ：R_BLD_INIT事件：EV_NO_EVENT IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState ：R_BLD_INIT事件：EV_OK_RECD_DH_PUBKEY_RESP IKEv2-PROTO-5 ：(6) ：操作：Action_Null IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState ：R_BLD_INIT事件：EV_GEN_DH_SECRET IKEv2-PROTO-3 ：(6) ：计算的DH密钥 IKEv2-PROTO-3 ：(6) ： IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState ：R_BLD_INIT事件：EV_NO_EVENT IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState ：R_BLD_INIT事件：EV_OK_RECD_DH_SECRET_RESP IKEv2-PROTO-5 ：(6) ：操作：Action_Null IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState ：R_BLD_INIT事件：EV_GEN_SKEYID IKEv2-PROTO-3 ：(6) ：生成skeyid IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState ：R_BLD_INIT事件：EV_GET_CONFIG_MODE
ASA修建IKE_SA_INIT交换的响应消息。此数据包包含： ISAKMP报头- SPI/version/flags. SAr1 - IKE响应方选择的加密算法。 KEr - DH响应方的公共密钥值。 N -响应方目前。	IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState ：R_BLD_INIT事件：EV_BLD_MSG IKEv2-PROTO-2 ：(6) ：发送最初的消息 IKEv2-PROTO-3 ： IKE建议：1， SPI大小：0 (初始协商)，数字。转换：4 AES-CBC SHA1 SHA96 DH_GROUP_768_MODP/Group 1 IKEv2-PROTO-5 ：构建卖方细节有效负载：DELETE-REASONIKEv2-PROTO-5 ：构建卖方细节有效负载：(CUSTOM)IKEv2-PROTO-5 ：构建卖方细节有效负载：(CUSTOM)IKEv2-PROTO-5 ：构建通知有效负载：NAT_DETECTION_SOURCE_IPIKEv2-PROTO-5 ：构建通知有效负载：NAT_DETECTION_DESTINATION_IPIKEv2-PLAT-2 ：失败获取委托签发人切细或可用的无 IKEv2-PROTO-5 ：构建卖方细节有效负载：FRAGMENTATIONIKEv2-PROTO-3 ：Tx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id ：0x0 IKEv2-PROTO-3 ：HDR[i:58AFF71141BA436B - r ：FC696330E6B94D7F] IKEv2-PROTO-4 ：IKEV2 HDR ispi ：58AFF71141BA436B - rspi ：FC696330E6B94D7F IKEv2-PROTO-4 ：下有效负载：SA，版本：2.0 IKEv2-PROTO-4 ：Exchange类型：IKE_SA_INIT，标志：响应方MSG-RESPONSE IKEv2-PROTO-4 ：消息ID ：0x0，长度：386 SA下有效负载：KE，保留：0x0，长度：48 IKEv2-PROTO-4 ：最后建议：0x0，保留：0x0，长度：44 建议：1，协议ID ：IKE， SPI大小：0， #trans ：4 IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：12 类型：1，保留：0x0， id ：AES-CBC IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：8 类型：2，保留：0x0， id ：SHA1 IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：8 类型：3，保留：0x0， id ：SHA96 IKEv2-PROTO-4 ：最后转换：0x0，保留：0x0 ：长度：8 类型：4，保留：0x0， id ：DH_GROUP_768_MODP/Group 1 KE下有效负载：N，保留：0x0，长度：104 DH组：1，保留：0x0 c9 30 f9 32 d4 7c d1 a7 5b 71 72 09个6e 7e 91 0c E1铈b4 a4 3c f2 8b 74 4e 20 59个b4 0b a1 ff 65 37 88 cc c4 a4 b6 fa 4a 63 03 93 89 E1 7e bd 6a 64个9a 38 24个e2 a8 40 f5 a3 d6 E-F f7 1a df 33 cc a1 8e fa dc 9c 34 45 79个1a 7c 29 05 87个8a ac 02 98 2e 7d钶41 51个d6 fe fc c7 76 83个1d 03 b0 d7 N下有效负载：VID，保留：0x0，长度：24 c2 28 7f 8c 7d b3 1e 51 fc eb f1 97 EC 97 b8 67 d5 e7 c2 f5 VID下有效负载：VID，保留：0x0，长度：23
ASA派出IKE_SA_INIT交换的响应消息。IKE_SA_INIT交换当前完成。ASA启动认证过程的计时器。	IKEv2-PLAT-4 ：发送的PKT [IKE_SA_INIT] [10.0.0.1]:500->[192.168.1.1]:25170 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000000 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState ：INIT_DONE事件：EV_DONE IKEv2-PROTO-3 ：(6) ：分段启用 IKEv2-PROTO-3 ：(6) ：思科DeleteReason Notify启用 IKEv2-PROTO-3 ：(6) ：完整SA init交换 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState ：INIT_DONE事件：EV_CHK4_ROLE IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState ：INIT_DONE事件：EV_START_TMR IKEv2-PROTO-3 ：(6) ：开始计时器等待验证消息(30秒) IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState ：R_WAIT_AUTH事件：EV_NO_EVENT	************************************** 伊达市：04/23/2013 时间：16:25:02 类型：信息来源：acvpnagent 说明：功能：CIPsecProtocol ：：initiateTunnel 文件：.。 \ IPsecProtocol.cpp 线路：345 IPSec隧道启动 **************************************	客户端显示IPSec隧道作为‘启动’。
	-----------------------------------IKE_SA_INIT完成---------------------------------
	-------------------------------------IKE_AUTH开始-------------------------------------
	************************************** 伊达市：04/23/2013 时间：16:25:00 类型：信息来源：acvpnagent 说明：安全网关参数： IP 地址：10.0.0.1 波尔特：443 URL ："10.0.0.1" 验证方法：IKE - EAPAnyConnect IKE标识： ************************************ 伊达市：04/23/2013 时间：16:25:00 类型：信息来源：acvpnagent 说明：首次Cisco AnyConnect安全移动客户端连接，版本3.0.1047 ************************************ 伊达市：04/23/2013 时间：16:25:02 类型：信息来源：acvpnagent 说明：功能：ikev2_log 文件：.\ikev2_anyconnect_osal.cpp 线路：2730 已接收请求设立IPSec隧道;本地流量选择器=地址范围：0.0.0.0-255.255.255.255协议：0个端口范围：0-65535;远程流量选择器=地址范围：0.0.0.0-255.255.255.255协议：0个端口范围：0-65535 ************************************ 伊达市：04/23/2013 时间：16:25:02 类型：信息来源：acvpnagent 说明：功能：CIPsecProtocol ：：connectTransport 文件：.。 \ IPsecProtocol.cpp 线路：1629 从192.168.1.1:25171的打开的IKE socket到10.0.0.1:4500 **************************************		客户端省略从消息3的验证有效负载为了指示希望使用扩展验证。当可扩展的认证协议(EAP)验证指定时或暗示由客户端配置文件和配置文件不包含<IKEIdentity>元素，客户端发送与已修复字符串$AnyConnectClient$的一ID_GROUP类型IDi有效负载。客户端首次对ASA的连接在端口4500。
验证执行与EAP。仅单个EAP验证方法在EAP会话内允许。ASA收到从客户端的IKE_AUTH消息。	IKEv2-PLAT-4 ：RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1] ：4500个InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 IKEv2-PROTO-3 ：Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id ：0x1
当客户端包括IDi有效负载但是不是验证有效负载，这指示客户端宣称标识，但是有没证明它。在调试，验证有效负载不是存在IKE_AUTH 客户端发送的数据包。客户端在之后发送验证有效负载 EAP交换是成功的。如果ASA 是愿意使用可扩展认证方法，它放置一个EAP 在消息4的有效负载和延迟发送 SAr2、TSi和Tsr直到发起者验证完成在a 随后的IKE_AUTH交换。 IKE_AUTH发起者数据包包含： ISAKMP报头- SPI/version/flags. IDi -组名那客户端希望连接可以由IDi传送类型ID_KEY_ID有效负载最初的消息 IKE_AUTH交换。这当客户端profile是，发生预先配置与组名或者，在一上一个成功以后验证，客户端有在其缓存了组名首选文件。ASA 尝试匹配隧道群名称以IKE的内容 IDi有效负载。在第一以后成功的IPSec VPN是已建立的客户端缓存的组名(组别名) 用户验证。此组名称在IDi传送导航的有效负载尝试为了指示希望的可能的组用户。当EAP验证是指定或暗示由客户端配置文件和配置文件不包含<IKEIdentity> 元素，客户端发送 ID_GROUP类型IDi有效负载使用已修复字符串 $AnyConnectClient$. CERTREQ* -客户端是请求a的ASA 首选的证书。证书请求有效载荷可能包括在交换，当发送方需要获得证书接收方。证书请求有效负载处理由 ‘Cert编码的’检查字段为了确定处理器是否有其中任一此的证书类型。如果那样， ‘证书颁发机构’字段是检查为了确定是否处理器有所有证书那可以验证至一指定的证明权限。这可以是一系列证书。 CFG - CFG_REQUEST/ CFG_REPLY允许IKE 对请求数据的终端从其对等体。如果在的一个属性 CFG_REQUEST配置有效负载不是零长度，它是采取作为那的一建议属性。CFG_REPLY 配置有效负载可能返回该值或新的。它可以也请添加新的属性和没有包括一些请求部分。申请人忽略返回属性他们不识别。在这些调试，客户端请求通道在的配置 CFG_REQUEST.ASA 回复此并且发送通道配置属性在之后 EAP交换是成功的。 SAi2 - SAi2启动SA，哪些类似于第2阶段在IKEv1的转换集合交换。 TSi和Tsr -发起者和响应方流量选择器包含，分别，来源并且目的地址发起者和响应方为了加密的转发和接收流量。地址范围指定所有流量到/从该范围被建立隧道。如果建议是可接受对响应方，它发送相同的TS 有效载荷上一步。客户端必须提供为的属性组验证在存储 AnyConnect配置文件。 *Relevant配置文件配置： <ServerList> <HostEntry> <HostName>Anu-IKEV2 </HostName> <HostAddress>10.0.0.1 </HostAddress> <UserGroup>ASA-IKEV2 </UserGroup> <PrimaryProtocol>IPsec </PrimaryProtocol> </HostEntry> </ServerList>	IKEv2-PROTO-3 ：HDR[i:58AFF71141BA436B - r ：FC696330E6B94D7F] IKEv2-PROTO-4 ：IKEV2 HDR ispi ：58AFF71141BA436B - rspi ：FC696330E6B94D7F IKEv2-PROTO-4 ：下有效负载：ENCR，版本：2.0 IKEv2-PROTO-4 ：Exchange类型：IKE_AUTH，标志：发起者 IKEv2-PROTO-4 ：消息ID ：0x1，长度：540 IKEv2-PROTO-5 ：(6) ：请求有mess_id 1;预计1至1 实时解密的数据包：数据：465个字节 IKEv2-PROTO-5 ：解析卖方细节有效负载：(自定义) VID下有效负载：IDi，保留：0x0，长度：20 58 af f6 11 52个8d b0 2c b8 da 30 46是91 56 fa IDi下有效负载：CERTREQ，保留：0x0，长度：28 Id类型：组名，保留：0x0 0x0 2a 24 41个6e 79 43个6f 6e 6e 65 63 74 43个6c 69 65 6e 74 24个2a CERTREQ下有效负载：CFG，保留：0x0，长度：25 Cert编码X.509证书-签名 CertReq data&colon;20个字节 CFG下有效负载：SA，保留：0x0，长度：196 cfg类型：CFG_REQUEST，保留：0x0，保留：0x0 attrib类型：内部IP4地址，长度：0 attrib类型：内部IP4网络屏蔽，长度：0 attrib类型：内部IP4 DNS，长度：0 attrib类型：内部IP4 NBNS，长度：0 attrib类型：内部地址终止，长度：0 attrib类型：应用程序版本，长度：27 41个6e 79 43个6f 6e 6e 65 63 74 20 57 69个6e 64 6f 77 73 20 33个2e 30 2e 31 30 34 37 attrib类型：内部IP6地址，长度：0 attrib类型：内部IP4子网，长度：0 attrib类型：未知- 28682，长度：15 77 69个6e 78 70 36 34 74 65个6d 70 6c 61 74 65 attrib类型：未知- 28704，长度：0 attrib类型：未知- 28705，长度：0 attrib类型：未知- 28706，长度：0 attrib类型：未知- 28707，长度：0 attrib类型：未知- 28708，长度：0 attrib类型：未知- 28709，长度：0 attrib类型：未知- 28710，长度：0 attrib类型：未知- 28672，长度：0 attrib类型：未知- 28684，长度：0 attrib类型：未知- 28711，长度：2 05个7e attrib类型：未知- 28674，长度：0 attrib类型：未知- 28712，长度：0 attrib类型：未知- 28675，长度：0 attrib类型：未知- 28679，长度：0 attrib类型：未知- 28683，长度：0 attrib类型：未知- 28717，长度：0 attrib类型：未知- 28718，长度：0 attrib类型：未知- 28719，长度：0 attrib类型：未知- 28720，长度：0 attrib类型：未知- 28721，长度：0 attrib类型：未知- 28722，长度：0 attrib类型：未知- 28723，长度：0 attrib类型：未知- 28724，长度：0 attrib类型：未知- 28725，长度：0 attrib类型：未知- 28726，长度：0 attrib类型：未知- 28727，长度：0 attrib类型：未知- 28729，长度：0 SA下有效负载：TSi，保留：0x0，长度：124 IKEv2-PROTO-4 ：最后建议：0x0，保留：0x0，长度：120 建议：1，协议ID ：ESP， SPI大小：4， #trans ：12 IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：12 类型：1，保留：0x0， id ：AES-CBC IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：12 类型：1，保留：0x0， id ：AES-CBC IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：12 类型：1，保留：0x0， id ：AES-CBC IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：8 类型：1，保留：0x0， id ：3DES IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：8 类型：1，保留：0x0， id ：DES IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：8 类型：1，保留：0x0， id ：NULL IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：8 类型：3，保留：0x0， id ：SHA512 IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：8 类型：3，保留：0x0， id ：SHA384 IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：8 类型：3，保留：0x0， id ：SHA256 IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：8 类型：3，保留：0x0， id ：SHA96 IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：8 类型：3，保留：0x0， id ：MD596 IKEv2-PROTO-4 ：最后转换：0x0，保留：0x0 ：长度：8 类型：5，保留：0x0， id ： TSi下有效负载：Tsr，保留：0x0，长度：24 数字时间分配系统：1，保留0x0，保留0x0 TS类型：TS_IPV4_ADDR_RANGE，原始id ：0，长度：16 启动端口：0，末端端口：65535 起始地址：0.0.0.0，结尾地址：255.255.255.255 Tsr下有效负载：通知，保留：0x0，长度：24 数字时间分配系统：1，保留0x0，保留0x0 TS类型：TS_IPV4_ADDR_RANGE，原始id ：0，长度：16 启动端口：0，末端端口：65535 起始地址：0.0.0.0，结尾地址：255.255.255.255
ASA产生对IKE_AUTH消息的一答复并且准备验证对客户端。	解密的数据包：Data&colon;540个字节 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState ：R_WAIT_AUTH事件：EV_RECV_AUTH IKEv2-PROTO-3 ：(6) ：等待验证消息的正在停止的计时器 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState ：R_WAIT_AUTH事件：EV_CHK_NAT_T IKEv2-PROTO-3 ：(6) ：检查NAT发现 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState ：R_WAIT_AUTH事件：EV_CHG_NAT_T_PORT IKEv2-PROTO-2 ：(6) ：NAT对init端口25171的检测的浮点，响应端口4500 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState ：R_WAIT_AUTH事件：EV_PROC_ID IKEv2-PROTO-2 ：(6) ：在进程ID的已接收有效parameteres IKEv2-PLAT-3 ：(6)对等体验证方法设置对：0 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState ：R_WAIT_AUTH事件：EV_CHK_IF_PEER_CERT_NEEDS_TO_BE_FETCHED_FOR_PROF_SEL IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState ：R_WAIT_AUTH事件：EV_GET_POLICY_BY_PEERID IKEv2-PROTO-3 ：(6) ：得到配置策略 IKEv2-PLAT-3 ：根据ID有效负载检测的新的AnyConnect客户端连接 IKEv2-PLAT-3 ：my_auth_method = 1 IKEv2-PLAT-3 ：(6)对等体验证方法设置对：256 IKEv2-PLAT-3 ：supported_peers_auth_method = 16 IKEv2-PLAT-3 ：(6) tp_name设置对：Anu-ikev2 IKEv2-PLAT-3 ：设置的信任点对：Anu-ikev2 IKEv2-PLAT-3 ：P1 ID= 0 IKEv2-PLAT-3 ：翻译IKE_ID_AUTO到= 9 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState ：R_WAIT_AUTH事件：EV_SET_POLICY IKEv2-PROTO-3 ：(6) ：设置已配置的策略 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState ：R_WAIT_AUTH事件：EV_VERIFY_POLICY_BY_PEERID IKEv2-PROTO-3 ：(6) ：验证对等体的策略 IKEv2-PROTO-3 ：(6) ：匹配找到的证书 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState ：R_WAIT_AUTH事件：EV_CHK_CONFIG_MODE IKEv2-PROTO-3 ：(6) ：已接收有效配置模式数据 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState ：R_WAIT_AUTH事件：EV_SET_RECD_CONFIG_MODE IKEv2-PLAT-3 ：(6) DDNS的DHCP主机名设置对：winxp64template IKEv2-PROTO-3 ：(6) ：集已接收配置模式数据 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState ：R_WAIT_AUTH事件：EV_CHK_AUTH4EAP IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState ：R_WAIT_AUTH事件：EV_CHK_EAP IKEv2-PROTO-3 ：(6) ：检查EAP交换 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState ：R_BLD_AUTH事件：EV_GEN_AUTH IKEv2-PROTO-3 ：(6) ：生成我的身份验证数据 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState ：R_BLD_AUTH事件：EV_CHK4_SIGN IKEv2-PROTO-3 ：(6) ：获得我的认证方法 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState ：R_BLD_AUTH事件：EV_SIGN IKEv2-PROTO-3 ：(6) ：符号验证数据 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState ：R_BLD_AUTH事件：EV_OK_AUTH_GEN IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState ：R_BLD_EAP_AUTH_REQ事件：EV_AUTHEN_REQ IKEv2-PROTO-2 ：(6) ：询问验证器发送EAP请求已创建网元名称设置验证值对元素设置验证的已添加属性名称客户端值VPN 对元素设置验证的已添加属性名称类型值Hello 已创建网元名称版本值9.0(2)8 对元素设置验证的已添加网元名称版本值9.0(2)8 重视sg对元素版本的已添加属性名称下面生成的XML消息 < ？xml version="1.0" encoding="UTF-8"?> <config验证client= " VPN” type= " Hello " > <version who="sg">9.0(2)8</version> </config-auth> IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState ：R_BLD_EAP_AUTH_REQ事件：EV_RECV_EAP_AUTH IKEv2-PROTO-5 ：(6) ：操作：Action_Null IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState ：R_BLD_EAP_AUTH_REQ事件：EV_CHK_REDIRECT IKEv2-PROTO-3 ：(6) ：重定向检查用负载平衡的平台 IKEv2-PLAT-3 ：在平台的重定向检查 IKEv2-PLAT-3 ：ikev2_osal_redirect ：10.0.0.1接受的会话 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000001 CurState ：R_BLD_EAP_AUTH_REQ事件：EV_SEND_EAP_AUTH_REQ IKEv2-PROTO-2 ：(6) ：发送EAP请求 IKEv2-PROTO-5 ：构建卖方细节有效负载：CISCO-GRANITEIKEv2-PROTO-3 ：(6) ：构建
ASA发送验证有效负载为了请求从客户端的用户凭证。ASA发送验证方法作为‘RSA’，因此它发送其自己的证书给客户端，因此客户端能验证ASA服务器。因为ASA是愿意使用扩展验证方法，在消息4安置一EAP有效负载并且延迟发送SAr2、TSi和Tsr，直到发起者验证完成在随后的IKE_AUTH交换。因此，那些三有效载荷不是存在调试。 EAP数据包包含：代码：请求-此代码由验证器发送给对等体。 id ：1 - id帮助匹配与请求的EAP答复。在这里值1，指示它是在EAP交换的第一数据包。此EAP请求有‘设置验证’ ‘Hello类型; ’它从ASA发送给客户端为了启动EAP交换。长度：150 - EAP数据包的长度包括代码、id、长度和EAP数据。 EAP数据。	IDr下有效负载：CERT，保留：0x0，长度：36 Id类型：DER ASN1 DN，保留：0x0 0x0 30个1a 31 18 30 16 06 09个2a 86 48 86个f7 0d 01 09 02 16 09 41 53 41个第2个49个4b 45 56 32 CERT下有效负载：CERT，保留：0x0，长度：436 Cert编码X.509证书-签名 Cert data&colon;431个字节 CERT下有效负载：验证，保留：0x0，长度：436 Cert编码X.509证书-签名 Cert data&colon;431个字节验证下有效负载：EAP，保留：0x0，长度：136 验证方法RSA，保留：0x0，保留0x0 验证data&colon;128个字节 EAP下有效负载：无，保留：0x0，长度：154 代码：请求：id ：1，长度：150 类型：未知- 254 EAP数据：145个字节 IKEv2-PROTO-3 ：Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id ：0x1 IKEv2-PROTO-3 ：HDR[i:58AFF71141BA436B - r ：FC696330E6B94D7F] IKEv2-PROTO-4 ：IKEV2 HDR ispi ：58AFF71141BA436B - rspi ：FC696330E6B94D7F IKEv2-PROTO-4 ：下有效负载：ENCR，版本：2.0 IKEv2-PROTO-4 ：Exchange类型：IKE_AUTH，标志：响应方MSG-RESPONSE IKEv2-PROTO-4 ：消息ID ：0x1，长度：1292 ENCR下有效负载：VID，保留：0x0，长度：1264 已加密data&colon;1260个字节
分段能发生，如果证书大或，如果证书链包括。发起者和响应方KE有效载荷能也包括大密钥，能也造成分段。	IKEv2-PROTO-5 ：(6) ：分段的信息包，片段MTU:544，片段编号：3，片段ID ：1 IKEv2-PLAT-4 ：发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 IKEv2-PLAT-4 ：发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 IKEv2-PLAT-4 ：发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001
	************************************** 伊达市：04/23/2013 时间：16:25:02 类型：信息来源：acvpnagent 说明：功能：ikev2_verify_X509_SIG_certs 文件：.\ikev2_anyconnect_osal.cpp 线路：2077年请求从用户的证书接受 ************************************ 伊达市：04/23/2013 时间：16:25:02 类型：错误来源：acvpnui 说明：功能：CCapiCertificate ：：verifyChainPolicy 文件：.。 \证书\ CapiCertificate.cpp 线路：2032 被调用的功能：CertVerifyCertificateChainPolicy 返回码：-2146762487 (0x800B0109) 说明：在没有由信任供应商委托的根证明处理，但是终止的证书链。 ************************************ 伊达市：04/23/2013 时间：16:25:04 类型：信息来源：acvpnagent 说明：功能：CEAPMgr ：：dataRequestCB 文件：.。 \ EAPMgr.cpp 线路：400 EAP报价的类型：EAP-ANYCONNECT **************************************		ASA发送的证书被提交给用户。证书不信任。EAP类型是EAP-ANYCONNECT。
客户端回答与答复的EAP请求。 EAP数据包包含：代码：答复-此代码由对等体发送对验证器以回应EAP请求。 id ：1 - id帮助匹配与请求的EAP答复。在这里值1，表明这是对ASA以前发送的请求的一答复(验证器)。此EAP答复有‘init的’ ‘设置验证’类型;客户端正在初始化EAP交换和等待ASA生成认证请求。长度：252 - EAP数据包的长度包括代码、id、长度和EAP数据。 EAP数据。 ASA解密此答复，并且客户端说接收在上一个数据包的验证有效负载(与证书)并且接收从ASA的第一EAP请求包。这是什么‘init’ EAP响应数据包包含。	IKEv2-PLAT-4 ：RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000002 IKEv2-PROTO-3 ：Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id ：0x2 IKEv2-PROTO-3 ：HDR[i:58AFF71141BA436B - r ：FC696330E6B94D7F] IKEv2-PROTO-4 ：IKEV2 HDR ispi ：58AFF71141BA436B - rspi ：FC696330E6B94D7F IKEv2-PROTO-4 ：下有效负载：ENCR，版本：2.0 IKEv2-PROTO-4 ：Exchange类型：IKE_AUTH，标志：发起者 IKEv2-PROTO-4 ：消息ID ：0x2，长度：332 IKEv2-PROTO-5 ：(6) ：请求有mess_id 2;预计2至2 实时解密的数据包：数据：256个字节 EAP下有效负载：无，保留：0x0，长度：256 代码：答复：id ：1，长度：252 类型：未知- 254 EAP data:247字节解密的数据包：Data&colon;332个字节 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000002 CurState ：R_WAIT_EAP_RESP事件：EV_RECV_AUTH IKEv2-PROTO-3 ：(6) ：等待验证消息的正在停止的计时器 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000002 CurState ：R_WAIT_EAP_RESP事件：EV_RECV_EAP_RESP IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000002 CurState ：R_PROC_EAP_RESP事件：EV_PROC_MSG IKEv2-PROTO-2 ：(6) ：处理EAP答复下面已接收XML消息从客户端 < ？xml version="1.0" encoding="UTF-8"?> <config验证client= " VPN” type= " init " > <device-id>win</device-id> <version who="vpn">3.0.1047</version> <group-select>ASA-IKEV2</group-select> <group-access>ASA-IKEV2</group-access> </config-auth> IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000002 CurState ：R_PROC_EAP_RESP事件：EV_RECV_EAP_AUTH IKEv2-PROTO-5 ：(6) ：操作：Action_Null IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000002 CurState ：R_BLD_EAP_REQ事件：EV_RECV_EAP_REQ
这是ASA发送的第二请求对客户端。 EAP数据包包含：代码：请求-此代码由验证器发送给对等体。 id ：2 - id帮助匹配与请求的EAP答复。在这里值2，指示它是在交换的第二数据包。此请求有‘验证请求的’ ‘设置验证’类型;ASA请求客户端发送用户认证凭证。长度：457 - EAP数据包的长度包括代码、id、长度和EAP数据。 EAP数据。 ENCR有效负载：此有效负载解密，并且其内容解析作为另外的有效载荷。	IKEv2-PROTO-2 ：(6) ：发送EAP请求下面生成的XML消息 < ？xml version="1.0" encoding="UTF-8"?> <config验证client= " VPN” type= "验证请求" > <version who="sg">9.0(2)8</version> <opaque is-for= " sg " > <tunnel-group>ASA-IKEV2</tunnel-group> <config-hash>1367268141499</config-hash> </opaque> <csport>443</csport> <auth id= "主" > <form> <input type= "文本” name= "用户名” label= "用户名：“></input> <input type= "密码” name= "密码” label= "密码：“></input> </form> </auth> </config-auth> IKEv2-PROTO-3 ：(6) ：构件加密的数据包;内容是： EAP下有效负载：无，保留：0x0，长度：461 代码：请求：id ：2，长度：457 类型：未知- 254 EAP数据：452个字节 IKEv2-PROTO-3 ：Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id ：0x2 IKEv2-PROTO-3 ：HDR[i:58AFF71141BA436B - r ：FC696330E6B94D7F] IKEv2-PROTO-4 ：IKEV2 HDR ispi ：58AFF71141BA436B - rspi ：FC696330E6B94D7F IKEv2-PROTO-4 ：下有效负载：ENCR，版本：2.0 IKEv2-PROTO-4 ：Exchange类型：IKE_AUTH，标志：响应方MSG-RESPONSE IKEv2-PROTO-4 ：消息ID ：0x2，长度：524 ENCR下有效负载：EAP，保留：0x0，长度：496 已加密data&colon;492个字节 IKEv2-PLAT-4 ：发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000002 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000002 CurState ：R_BLD_EAP_REQ事件：EV_START_TMR IKEv2-PROTO-3 ：(6) ：开始计时器等待用户验证消息(120秒) IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000002 CurState ：R_WAIT_EAP_RESP事件：EV_NO_EVENT	************************************** 伊达市：04/23/2013 时间：16:25:04 类型：信息来源：acvpnui 说明：功能： SDIMgr ：：ProcessPromptData 文件：.。 \ SDIMgr.cpp 线路：281 认证类型不是SDI。 ************************************ 伊达市：04/23/2013 时间：16:25:07 类型：信息来源：acvpnui 说明：功能：ConnectMgr ：：userResponse 文件：.。 \ ConnectMgr.cpp 线路：985 处理用户回应。 **************************************	客户端要求用户认证并且发送它对ASA作为在下一个信息包(‘验证回复的’一EAP答复)。
客户端传送与EAP有效负载的另一IKE_AUTH发起者信息。 EAP数据包包含：代码：答复-此代码由对等体发送对验证器以回应EAP请求。 id ：2 - id帮助匹配与请求的EAP答复。在这里值2，表明这是对ASA以前发送的请求的一答复(验证器)。长度：420 - EAP数据包的长度包括代码、id、长度和EAP数据。 EAP数据。	IKEv2-PLAT-4 ：RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PROTO-3 ：Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id ：0x3 IKEv2-PROTO-3 ：HDR[i:58AFF71141BA436B - r ：FC696330E6B94D7F] IKEv2-PROTO-4 ：IKEV2 HDR ispi ：58AFF71141BA436B - rspi ：FC696330E6B94D7F IKEv2-PROTO-4 ：下有效负载：ENCR，版本：2.0 IKEv2-PROTO-4 ：Exchange类型：IKE_AUTH，标志：发起者 IKEv2-PROTO-4 ：消息ID ：0x3，长度：492 IKEv2-PROTO-5 ：(6) ：请求有mess_id 3;预计3至3 实时解密的数据包：数据：424个字节 EAP下有效负载：无，保留：0x0，长度：424 代码：答复：id ：2，长度：420 类型：未知- 254 EAP数据：415个字节
ASA处理此答复。客户端请求用户回车凭证。此EAP答复有‘验证回复的‘设置验证’类型’。此数据包包含用户输入的凭证。	解密的数据包：数据：492个字节 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000003 CurState ：R_WAIT_EAP_RESP事件：EV_RECV_AUTH IKEv2-PROTO-3 ：(6) ：等待验证消息的正在停止的计时器 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000003 CurState ：R_WAIT_EAP_RESP事件：EV_RECV_EAP_RESP IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000003 CurState ：R_PROC_EAP_RESP事件：EV_PROC_MSG IKEv2-PROTO-2 ：(6) ：处理EAP答复下面已接收XML消息从客户端 < ？xml version="1.0" encoding="UTF-8"?> <config验证client= " VPN” type= "验证回复" > <device-id>win</device-id> <version who="vpn">3.0.1047</version> <session-token></session-token> <session-id></session-id> <opaque is-for= " sg " > <tunnel-group>ASA-IKEV2</tunnel-group> <config-hash>1367268141499</config-hash></opaque> <auth> <password>cisco123</password> <username>Anu</username></auth> </config-auth> IKEv2-PLAT-1 ：EAP ：启动的用户认证 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000003 CurState ：R_PROC_EAP_RESP事件：EV_NO_EVENT IKEv2-PLAT-5 ：EAP ：在AAA回拨获取的服务器Cert摘要：DACE1C274785F28BA11D64453096BAE294A3172E IKEv2-PLAT-5 ：EAP ：在AAA回拨的成功 IKEv2-PROTO-3 ：从验证器的收到的响应 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000003 CurState ：R_PROC_EAP_RESP事件：EV_RECV_EAP_AUTH IKEv2-PROTO-5 ：(6) ：操作：Action_Null
ASA在交换建立第三EAP请求。 EAP数据包包含：代码：请求-此代码由验证器发送给对等体。 id ：3 - id帮助匹配与请求的EAP答复。在这里值3，指示它是在交换的第三数据包。此数据包安排‘设置验证’类型‘完成’;ASA接收回复，并且EAP交换完成。长度：4235 - EAP数据包的长度包括代码、id、长度和EAP数据。 EAP数据。 ENCR有效负载：此有效负载解密，并且其内容解析作为另外的有效载荷。	IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000003 CurState ：R_BLD_EAP_REQ事件：EV_RECV_EAP_REQ IKEv2-PROTO-2 ：(6) ：发送EAP请求下面生成的XML消息 < ？xml version="1.0" encoding="UTF-8"?> <config验证client= " VPN” type= "完成" > <version who="sg">9.0(2)8</version> <session-id>32768</session-id> <session-token>18wA0TtGmDxPKPQCJywC7fB7EWLCEgz-ZtjYpAyXx2yJH0H3G3H8t5xpBOx3Ixag</session-token> <auth id= "成功" > <message id="0" param1="" param2=""></message> </auth> IKEv2-PROTO-3 ：(6) ：构件加密的数据包;内容是： EAP下有效负载：无，保留：0x0，长度：4239 代码：请求：id ：3，长度：4235 类型：未知- 254 EAP数据：4230个字节 IKEv2-PROTO-3 ：Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id ：0x3 IKEv2-PROTO-3 ：HDR[i:58AFF71141BA436B - r ：FC696330E6B94D7F] IKEv2-PROTO-4 ：IKEV2 HDR ispi ：58AFF71141BA436B - rspi ：FC696330E6B94D7F IKEv2-PROTO-4 ：下有效负载：ENCR，版本：2.0 IKEv2-PROTO-4 ：Exchange类型：IKE_AUTH，标志：响应方MSG-RESPONSE IKEv2-PROTO-4 ：消息ID ：0x3，长度：4300 ENCR下有效负载：EAP，保留：0x0，长度：4272 已加密data&colon;4268字节 IKEv2-PROTO-5 ：(6) ：分段的信息包，片段MTU:544，片段编号：9，片段ID ：2 IKEv2-PLAT-4 ：发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4 ：发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4 ：发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4 ：发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4 ：发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4 ：发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4 ：发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4 ：发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4 ：发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000003 CurState ：R_BLD_EAP_REQ事件：EV_START_TMR IKEv2-PROTO-3 ：(6) ：开始计时器等待用户验证消息(120秒) IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000003 CurState ：R_WAIT_EAP_RESP事件：EV_NO_EVENT
	************************************** 伊达市：04/23/2013 时间：16:25:07 类型：信息来源：acvpnagent 说明：当前配置文件：Anyconnect-ikev2.xml 已接收VPN会话配置设置：保持已安装：已启用代理设置：请勿修改代理服务器：无代理PAC URL ：无代理异常：无代理扎锁木：已启用已分解排除：本地LAN访问首选禁用已分解包括：已禁用 Split DNS:已禁用本地LAN通配符：本地LAN访问首选禁用防火墙规则：无客户端地址：10.2.2.1 客户端掩码：255.0.0.0 客户端IPv6地址：未知客户端IPv6掩码：未知 MTU:1406 IKE保活：20秒 IKE DPD ：30 秒会话超时:0秒断开超时：1800 秒空闲超时:1800 秒服务器：未知 MUS主机：未知 DAP用户消息：无检疫状态：已禁用总是在VPN ：不已禁用租约期限：0秒默认域:未知主页：未知智能卡删除断开：已启用许可证答复：未知 **************************************		ASA发送在的VPN配置设置‘完成’消息给客户端并且定量IP地址给从VPN池的客户端。
客户端发送有EAP有效负载的发起者数据包。 EAP数据包包含：代码：答复-此代码由对等体发送对验证器以回应EAP请求。 id ：3 - id帮助匹配与请求的EAP答复。在这里值3，表明这是对ASA以前发送的请求的一答复(验证器)。ASA当前收到从客户端的响应数据包，有‘ack的’ ‘设置验证’类型;此答复确认EAP ‘由ASA以前完成’发送的消息。长度：173 - EAP数据包的长度包括代码、id、长度和EAP数据。 EAP数据。	IKEv2-PLAT-4 ：RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000004 IKEv2-PROTO-3 ：Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id ：0x4 IKEv2-PROTO-3 ：HDR[i:58AFF71141BA436B - r ：FC696330E6B94D7F] IKEv2-PROTO-4 ：IKEV2 HDR ispi ：58AFF71141BA436B - rspi ：FC696330E6B94D7F IKEv2-PROTO-4 ：下有效负载：ENCR，版本：2.0 IKEv2-PROTO-4 ：Exchange类型：IKE_AUTH，标志：发起者 IKEv2-PROTO-4 ：消息ID ：0x4，长度：252 IKEv2-PROTO-5 ：(6) ：请求有mess_id 4;预计4至4 实时解密的数据包：数据：177个字节 EAP下有效负载：无，保留：0x0，长度：177 代码：答复：id ：3，长度：173 类型：未知- 254 EAP数据：168个字节
ASA处理此数据包。 EAP交换是成功的。ASA 准备派隧道群在下一个信息包的配置，由客户端以前请求 IDi有效负载。ASA接收从客户端的响应数据包，有‘ack的’ ‘设置验证’类型。这答复确认EAP ‘请完成’由传送的信息早先ASA。相关配置： tunnel-group ASA-IKEV2 type remote-access tunnel-group ASA-IKEV2 general-attributes address-pool webvpn1 authorization-server-group LOCAL default-group-policy ASA-IKEV2 tunnel-group ASA-IKEV2 webvpn-attributes group-alias ASA-IKEV2 enable EAP交换当前是成功的。 EAP数据包包含：代码：成功-此代码是发送由验证器对在完成EAP后的对等体认证方法。这表明对等体有顺利地验证对验证器。 id ：3 - id帮助匹配与请求的EAP答复。在这里值3，表明这是一答复以前发送的请求 ASA (验证器)。第三集在交换的数据包是成功和EAP交换是成功的。长度：4 - EAP的长度数据包包括代码， id，长度和EAP数据。 EAP数据。	解密的packet:Data:252字节 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000004 CurState ：R_WAIT_EAP_RESP事件：EV_RECV_AUTH IKEv2-PROTO-3 ：(6) ：等待验证消息的正在停止的计时器 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000004 CurState ：R_WAIT_EAP_RESP事件：EV_RECV_EAP_RESP IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000004 CurState ：R_PROC_EAP_RESP事件：EV_PROC_MSG IKEv2-PROTO-2 ：(6) ：处理EAP答复下面已接收XML消息从客户端 < ？xml version="1.0" encoding="UTF-8"?> <config验证client= " VPN” type= " ack " > <device-id>win</device-id> <version who="vpn">3.0.1047</version> </config-auth> IKEv2-PLAT-3 ：(6) aggrAuthHdl设置为0x2000 IKEv2-PLAT-3 ：(6) tg_name设置对：ASA-IKEV2 IKEv2-PLAT-3 ：(6) tunn GRP类型设置对：RA IKEv2-PLAT-1 ：EAP ：成功的验证 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000004 CurState ：R_PROC_EAP_RESP事件：EV_RECV_EAP_SUCCESS IKEv2-PROTO-2 ：(6) ：发送EAP状态消息 IKEv2-PROTO-3 ：(6) ：构件加密的数据包;内容是： EAP下有效负载：无，保留：0x0，长度：8 代码：成功：id ：3，长度：4 IKEv2-PROTO-3 ：Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id ：0x4 IKEv2-PROTO-3 ：HDR[i:58AFF71141BA436B - r ：FC696330E6B94D7F] IKEv2-PROTO-4 ：IKEV2 HDR ispi ：58AFF71141BA436B - rspi ：FC696330E6B94D7F IKEv2-PROTO-4 ：下有效负载：ENCR，版本：2.0 IKEv2-PROTO-4 ：Exchange类型：IKE_AUTH，标志：响应方MSG-RESPONSE IKEv2-PROTO-4 ：消息ID ：0x4，长度：76 ENCR下有效负载：EAP，保留：0x0，长度：48 已加密data&colon;44字节 IKEv2-PLAT-4 ：发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000004 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000004 CurState ：R_PROC_EAP_RESP事件：EV_START_TMR IKEv2-PROTO-3 ：(6) ：开始计时器等待验证消息(30秒) IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000004 CurState ：R_WAIT_EAP_AUTH_VERIFY事件：EV_NO_EVENT
因为EAP交换是成功的，客户端发送有验证有效负载的IKE_AUTH发起者数据包。验证有效负载从共享密钥生成。	IKEv2-PLAT-4 ：RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PROTO-3 ：Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id ：0x5 IKEv2-PROTO-3 ：HDR[i:58AFF71141BA436B - r ：FC696330E6B94D7F] IKEv2-PROTO-4 ：IKEV2 HDR ispi ：58AFF71141BA436B - rspi ：FC696330E6B94D7F IKEv2-PROTO-4 ：下有效负载：ENCR，版本：2.0 IKEv2-PROTO-4 ：Exchange类型：IKE_AUTH，标志：发起者 IKEv2-PROTO-4 ：消息ID ：0x5，长度：92 IKEv2-PROTO-5 ：(6) ：请求有mess_id 5;预计5至5 雷亚尔德蒙特罗伊解密packet:Data:28字节验证下有效负载：无，保留：0x0，长度：28 验证方法PSK，保留：0x0，保留0x0 验证数据：20个字节
当EAP验证指定或暗示由客户端配置文件和配置文件不包含 <IKEIdentity>元素，客户端发送一ID_GROUP类型IDi有效负载与已修复字符串$AnyConnectClient$。 ASA处理此消息。相关配置： crypto dynamic-map dynmap 1000 set ikev2 ipsec-proposal 3des crypto map crymap 10000 ipsec-isakmp dynamic dynmap crypto map crymap interface outside	解密的数据包：数据：92个字节 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：R_WAIT_EAP_AUTH_VERIFY事件：EV_RECV_AUTH IKEv2-PROTO-3 ：(6) ：等待验证消息的正在停止的计时器 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：R_VERIFY_AUTH事件：EV_GET_EAP_KEY IKEv2-PROTO-2 ：(6) ：发送验证，在EAP交换以后验证对等体 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：R_VERIFY_AUTH事件：EV_VERIFY_AUTH IKEv2-PROTO-3 ：(6) ：验证身份验证数据 IKEv2-PROTO-3 ：(6) ：*请使用预共享密匙id $AnyConnectClient$，关键LEN 20* IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：R_VERIFY_AUTH事件：EV_GET_CONFIG_MODE IKEv2-PLAT-3 ：排队的配置模式回复 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：R_VERIFY_AUTH事件：EV_NO_EVENT IKEv2-PLAT-3 ：PSH ：client=AnyConnect client-version=3.0.1047 client-os=Windows client-os-version= IKEv2-PLAT-3 ：完成的配置模式回复 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：R_VERIFY_AUTH事件：EV_OK_GET_CONFIG IKEv2-PROTO-3 ：(6) ：有发送配置模式的数据 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：R_VERIFY_AUTH事件：EV_CHK4_IC IKEv2-PROTO-3 ：(6) ：处理初始联系 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：R_VERIFY_AUTH事件：EV_CHK_REDIRECT IKEv2-PROTO-5 ：(6) ：重定向检查为此会话已经进行，跳过它 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：R_VERIFY_AUTH事件：EV_PROC_SA_TS IKEv2-PROTO-2 ：(6) ：处理验证消息 IKEv2-PLAT-1 ：加密映射：地图dynmap顺序1000。使用指定IP的调节的选择器 IKEv2-PLAT-3 ：加密映射：在动态映射dynmap顺序1000的匹配 IKEv2-PLAT-3 ：为RA连接禁用的PFS IKEv2-PROTO-3 ：(6) ： IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：R_VERIFY_AUTH事件：EV_NO_EVENT IKEv2-PLAT-2 ：SPI的0x30B848A4已接收PFKEY SPI回拨，错误的错误 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：R_VERIFY_AUTH事件：EV_OK_RECD_IPSEC_RESP IKEv2-PROTO-2 ：(6) ：处理验证消息
ASA建立与SA、TSi和Tsr有效载荷的IKE_AUTH响应消息。 IKE_AUTH响应方数据包包含： ISAKMP报头- SPI/version/flags. 验证有效负载-使用选定的认证方法。 CFG - CFG_REQUEST/CFG_REPLY允许IKE终端对从其对等体的请求数据。如果在CFG_REQUEST配置有效负载的一个属性不是零长度，被采取作为该属性的一建议。CFG_REPLY配置有效负载可能返回该值或新的。它可能也添加新建的属性，并且不包括一些请求部分。申请人忽略他们不认可的返回的属性。对客户端的ASA回复有在CFG_REPLY数据包的隧道配置atrributes的。 SAr2 - SAr2启动SA，类似于在IKEv1的第2阶段转换集合交换。 TSi和Tsr -发起者和响应方流量选择器包含，分别，发起者的源地址和目的地址和响应方为了转发和收到加密流量。地址范围指定到/从该范围的所有流量被以隧道传输。如果建议是可接受对响应方，退还相同的TS有效载荷。 ENCR有效负载：此有效负载解密，并且其内容解析作为另外的有效载荷。	IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：R_BLD_AUTH事件：EV_MY_AUTH_METHOD IKEv2-PROTO-3 ：(6) ：获得我的认证方法 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：R_BLD_AUTH事件：EV_GET_PRESHR_KEY IKEv2-PROTO-3 ：(6) ：*获得$AnyConnectClient$的对等体的预共享密匙* IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：R_BLD_AUTH事件：EV_GEN_AUTH IKEv2-PROTO-3 ：(6) ：生成我的身份验证数据 IKEv2-PROTO-3 ：(6) ：请使用预共享密匙id hostname=ASA-IKEV2，关键LEN 20 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：R_BLD_AUTH事件：EV_CHK4_SIGN IKEv2-PROTO-3 ：(6) ：获得我的认证方法 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：R_BLD_AUTH事件：EV_OK_AUTH_GEN IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：R_BLD_EAP_AUTH_VERIFY事件：EV_GEN_AUTH IKEv2-PROTO-3 ：(6) ：生成我的身份验证数据 IKEv2-PROTO-3 ：(6) ：请使用预共享密匙id hostname=ASA-IKEV2，关键LEN 20 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：R_BLD_EAP_AUTH_VERIFY事件：EV_SEND_AUTH IKEv2-PROTO-2 ：(6) ：发送验证，在EAP交换以后验证对等体 IKEv2-PROTO-3 ： ESP建议：1， SPI大小：4 (IPSec协商)，数字。转换：3 AES-CBC SHA96 IKEv2-PROTO-5 ：构建通知有效负载：ESP_TFC_NO_SUPPORTIKEv2-PROTO-5 ：构建通知有效负载：NON_FIRST_FRAGSIKEv2-PROTO-3 ：(6) ：构件加密的数据包;内容是：验证下有效负载：CFG，保留：0x0，长度：28 验证方法PSK，保留：0x0，保留0x0 验证data&colon;20个字节 CFG下有效负载：SA，保留：0x0，长度：4196 cfg类型：CFG_REPLY，保留：0x0，保留：0x0 attrib类型：内部IP4地址，长度：4 01 01 01 01 attrib类型：内部IP4网络屏蔽，长度：4 00 00 00 00 attrib类型：内部地址终止，长度：4 00 00 00 00 attrib类型：应用程序版本，长度：16 41 53 41 20 31 30 30个2e 37 28 36 29 31 31 36 00 attrib类型：未知- 28704，长度：4 00 00 00 00 attrib类型：未知- 28705，长度：4 00 00 07 08 attrib类型：未知- 28706，长度：4 00 00 07 08 attrib类型：未知- 28707，长度：1 01 attrib类型：未知- 28709，长度：4 00 00 00个1e attrib类型：未知- 28710，长度：4 00 00 00 14 attrib类型：未知- 28684，长度：1 01 attrib类型：未知- 28711，长度：2 05个7e attrib类型：未知- 28679，长度：1 00 attrib类型：未知- 28683，长度：4 80个0b 00 01 attrib类型：未知- 28725，长度：1 00 attrib类型：未知- 28726，长度：1 00 attrib类型：未知- 28727，长度：4056 3c 3f 78 6d 6c 20 76 65 72 73 69个6f 6e 3d 22 31 2e 30 22 20 65个6e 63 6f 64 69个6e 67 3d 22 55 54 46个第2个38 22个3f 3e 3c 63 6f 6e 66 69 67第2 61 75 74 68 20 63个6c 69 65个6e 74 3d 22 76 70个6e 22 20 74 79 70 65个3d 22 63个6f 6d 70 6c 65 74 65 22个3e 3c 76 65 72 73 69个6f 6e 20 77 68个6f 3d 22 73 67 22个3e 31 30 30个2e 37 28 36 29 31 31 36个3c 2f 76 65 72 73 69个6f 6e 3e 3c 73 65 73 73 69个6f 6e第2 69 64个3e 38 31 39 32个3c 2f 73 65 73 73 69个6f 6e <snip> 72个6f 66 69个6c 65第2个6d 61 6e 69 66 65 73 74个3e 3c 2f 63 6f 6e 66 69 67个3e 3c 2f 63 6f 6e 66 69 67个第2个61 75 74 68个3e 00 attrib类型：未知- 28729，长度：1 00 SA下有效负载：TSi，保留：0x0，长度：44 IKEv2-PROTO-4 ：最后建议：0x0，保留：0x0，长度：40 建议：1，协议ID ：ESP， SPI大小：4， #trans ：3 IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：12 类型：1，保留：0x0， id ：AES-CBC IKEv2-PROTO-4 ：最后转换：0x3，保留：0x0 ：长度：8 类型：3，保留：0x0， id ：SHA96 IKEv2-PROTO-4 ：最后转换：0x0，保留：0x0 ：长度：8 类型：5，保留：0x0， id ： TSi下有效负载：Tsr，保留：0x0，长度：24 数字时间分配系统：1，保留0x0，保留0x0 TS类型：TS_IPV4_ADDR_RANGE，原始id ：0，长度：16 启动端口：0，末端端口：65535 起始地址：10.2.2.1，结尾地址：10.2.2.1 Tsr下有效负载：通知，保留：0x0，长度：24 数字时间分配系统：1，保留0x0，保留0x0 TS类型：TS_IPV4_ADDR_RANGE，原始id ：0，长度：16 启动端口：0，末端端口：65535 起始地址：0.0.0.0，结尾地址：255.255.255.255 IKEv2-PROTO-3 ：Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id ：0x5 IKEv2-PROTO-3 ：HDR[i:58AFF71141BA436B - r ：FC696330E6B94D7F] IKEv2-PROTO-4 ：IKEV2 HDR ispi ：58AFF71141BA436B - rspi ：FC696330E6B94D7F IKEv2-PROTO-4 ：下有效负载：ENCR，版本：2.0 IKEv2-PROTO-4 ：Exchange类型：IKE_AUTH，标志：响应方MSG-RESPONSE IKEv2-PROTO-4 ：消息ID ：0x5，长度：4396 ENCR下有效负载：验证，保留：0x0，长度：4368 已加密data&colon;4364个字节
ASA派出此IKE_AUTH响应消息，被分段到九数据包。IKE_AUTH交换完成。	IKEv2-PROTO-5 ：(6) ：分段的信息包，片段MTU:544，片段编号：9，片段ID ：3 IKEv2-PLAT-4 ：发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 ：发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 ：发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 ：发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 ：发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 ：发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 ：发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 ：发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 ：发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：AUTH_DONE事件：EV_OK IKEv2-PROTO-5 ：(6) ：操作：Action_Null IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：AUTH_DONE事件：EV_PKI_SESH_CLOSE
	************************************** 伊达市：04/23/2013 时间：16:25:07 类型：信息来源：acvpnagent 说明：功能：ikev2_log 文件：.\ikev2_anyconnect_osal.cpp 线路：2730 IPSec连接被建立了。 ************************************ 伊达市：04/23/2013 时间：16:25:07 类型：信息来源：acvpnagent 说明：IPSec会话注册：加密：AES-CBC PRF ：SHA1 HMAC ：SHA96 本地验证方法：PSK 远程验证方法：PSK 顺序id ：0 密钥大小：192 DH组：1 重新生成密钥时间：4294967秒本地地址：192.168.1.1 远程地址：10.0.0.1 本地端口：4500 远程端口：4500 会话ID ：1 ************************************ 伊达市：04/23/2013 时间：16:25:07 类型：信息来源：acvpnui 说明：在安全网关配置的配置文件是：Anyconnect-ikev2.xml ************************************ 伊达市：04/23/2013 时间：16:25:07 类型：信息来源：acvpnui 说明：消息类型信息发送对用户：建立VPN会话… **************************************		客户端报告IPSec连接如设立。客户端也检测在ASA的用户配置文件。
	----------------------------IKE_AUTH交换末端-----------------------------------
	************************************** 伊达市：04/23/2013 时间：16:25:07 类型：信息来源：acvpndownloader 说明：功能：ProfileMgr ：：loadProfiles 文件：..\ Api \ ProfileMgr.cpp 线路：148 已加载配置文件： C:\Documents and Settings\All用户\应用程序数据\思科\思科AnyConnect安全移动性Client\Profile\anyconnect-ikev2.xml ************************************ ************************************ 伊达市：04/23/2013 时间：16:25:07 类型：信息来源：acvpndownloader 说明：当前首选设定： ServiceDisable ：错误 CertificateStoreOverride ：错误 CertificateStore ：全部 ShowPreConnectMessage ：错误 AutoConnectOnStart ：错误 MinimizeOnConnect ：真 LocalLanAccess ：错误 AutoReconnect ：真 AutoReconnectBehavior ：DisconnectOnSuspend UseStartBeforeLogon ：错误自动更新：真 RSASecurIDIntegration ：自动 WindowsLogonEnforcement ：SingleLocalLogon WindowsVPNEstablishment ：LocalUsersOnly ProxySettings ：本地 AllowLocalProxyConnections ：真 PPPExclusion ：禁用 PPPExclusionServerIP ： AutomaticVPNPolicy ：错误 TrustedNetworkPolicy ：断开 UntrustedNetworkPolicy ：连接 TrustedDNSDomains ： TrustedDNSServers ： AlwaysOn ：错误 ConnectFailurePolicy ：已关闭 AllowCaptivePortalRemediation ：错误 CaptivePortalRemediationTimeout ：5 ApplyLastVPNLocalResourceRules ：错误 AllowVPNDisconnect ：真 EnableScripting ：错误 TerminateScriptOnNextEvent ：错误 EnablePostSBLOnConnectScript ：真 AutomaticCertSelection ：真 RetainVpnOnLogoff ：错误 UserEnforcement ：SameUserOnly EnableAutomaticServerSelection ：错误 AutoServerSelectionImprovement ：20 AutoServerSelectionSuspendTime ：4 AuthenticationTimeout ：12 SafeWordSofTokenIntegration ：错误 AllowIPsecOverSSL ：错误 ClearSmartcardPin ：真 ************************************ 伊达市：04/23/2013 时间：16:25:07 类型：信息来源：acvpnui 说明：消息类型信息发送对用户：设立VPN -检查的系统… ************************************ 伊达市：04/23/2013 时间：16:25:07 类型：信息来源：acvpnui 说明：消息类型信息发送对用户：设立VPN -激活VPN适配器… ************************************ 伊达市：04/23/2013 时间：16:25:07 类型：信息来源：acvpnagent 说明：功能：CVirtualAdapter ：：DoRegistryRepair 文件：.。 \ WindowsVirtualAdapter.cpp 线路：1869 被找到的VA控制键：SYSTEM\CurrentControlSet\ENUM\ROOT\NET\0000\Control ************************************ 伊达市：04/23/2013 时间：16:25:07 类型：信息来源：acvpnagent 说明：一个新的网络接口检测。 ************************************ 伊达市：04/23/2013 时间：16:25:07 类型：信息来源：acvpnagent 说明：功能：CRouteMgr ：：logInterfaces 文件：.。 \ RouteMgr.cpp 线路：2076年被调用的功能：logInterfaces 返回码：0 (0x00000000) 说明：IP地址接口列表： 10.2.2.1 192.168.1.1 ************************************ 伊达市：04/23/2013 时间：16:25:08 类型：信息来源：acvpnagent 说明：主机配置：公共地址：192.168.1.1 公共掩码：255.255.255.0 专用地址：10.2.2.1 私有掩码：255.0.0.0 私有IPv6地址：不适用私有IPv6掩码：不适用远端对等体：10.0.0.1 (TCP端口443， UDP端口500)， 10.0.0.1 (UDP端口4500) 私有网络：无公共网络：无隧道模式：是 **************************************		XML配置文件装载在客户端上。因为客户端当前有从ASA的一个IP地址，客户端继续激活VPN适配器。
连接被输入到安全关联(SA)数据库，并且状态注册。ASA也执行一些检查类似普通的访问卡(CAC)重复项SAS stats、出现和设置值类似对端死机检测(DPD)等等。	IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：AUTH_DONE事件：EV_INSERT_IKE IKEv2-PROTO-2 ：(6) ：创建的SA;插入SA到数据库里 IKEv2-PLAT-3 ：连接状态：…对等体：192.168.1.1:25171， phase1_id ：$AnyConnectClient$ IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：AUTH_DONE事件：EV_REGISTER_SESSION IKEv2-PLAT-3 ：(6)用户名设置对：Anu IKEv2-PLAT-3 ：连接状态：已注册…对等体：192.168.1.1:25171， phase1_id ：$AnyConnectClient$ IKEv2-PROTO-3 ：(6) ：正在初始化的DPD，配置在10秒 IKEv2-PLAT-3 ：(6) mib_index设置对：4501 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：AUTH_DONE事件：EV_GEN_LOAD_IPSEC IKEv2-PROTO-3 ：(6) ：负载IPSec密钥材料 IKEv2-PLAT-3 ：加密映射：在动态映射dynmap顺序1000的匹配 IKEv2-PLAT-3 ：(6) DPD最长时间将是：30 IKEv2-PLAT-3 ：(6) DPD最长时间将是：30 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：AUTH_DONE事件：EV_START_ACCT IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：AUTH_DONE事件：EV_CHECK_DUPE IKEv2-PROTO-3 ：(6) ：检查SA重复项 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：AUTH_DONE事件：EV_CHK4_ROLE IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：READY事件：EV_R_UPDATE_CAC_STATS IKEv2-PLAT-5 ：激活的新的sa ikev2请求 IKEv2-PLAT-5 ：流入协商的减少量计数 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：READY事件：EV_R_OK IKEv2-PROTO-3 ：(6) ：开始计时器删除协商上下文 IKEv2-PROTO-5 ：(6) ：SM SA Trace-> ：I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState ：READY事件：EV_NO_EVENT IKEv2-PLAT-2 ：已接收PFKEY添加SPI的0x77EE5348 SA，错误的错误 IKEv2-PLAT-2 ：为SPI 0x30B848A4的已接收PFKEY更新SA，错误的错误
	************************************** 伊达市：04/23/2013 时间：16:25:08 类型：信息来源：acvpnagent 说明：VPN连接被建立了并且能当前传递数据。 ************************************ 伊达市：04/23/2013 时间：16:25:08 类型：信息来源：acvpnui 说明：消息类型信息发送对用户：设立VPN -配置系统… ************************************ 伊达市：04/23/2013 时间：16:25:08 类型：信息来源：acvpnui 说明：消息类型信息发送对用户：设立VPN… ************************************ 伊达市：04/23/2013 时间：16:25:37 类型：信息来源：acvpnagent 文件：.。 \ IPsecProtocol.cpp 线路：945 IPSec隧道设立 **************************************		客户端报告通道作为并且准备通过流量。

通道验证

AnyConnect

从显示vpn-sessiondb详细信息anyconnect命令的输出示例:是：

Session Type: AnyConnect Detailed

   Username     : Anu                    Index        : 2
   Assigned IP  : 10.2.2.1                Public IP    : 192.168.1.1
   Protocol     : IKEv2 IPsecOverNatT AnyConnect-Parent
   License      : AnyConnect Premium
   Encryption   : AES192 AES256          Hashing      : none SHA1 SHA1
   Bytes Tx     : 0                      Bytes Rx     : 11192
   Pkts Tx      : 0                      Pkts Rx      : 171
   Pkts Tx Drop : 0                      Pkts Rx Drop : 0
   Group Policy : ASA-IKEV2              Tunnel Group : ASA-IKEV2
   Login Time   : 22:06:24 UTC Mon Apr 22 2013
   Duration     : 0h:02m:26s
   Inactivity   : 0h:00m:00s
   NAC Result   : Unknown
   VLAN Mapping : N/A                    VLAN         : none

   IKEv2 Tunnels: 1
   IPsecOverNatT Tunnels: 1
   AnyConnect-Parent Tunnels: 1 

   AnyConnect-Parent:
     Tunnel ID    : 2.1
     Public IP    : 192.168.1.1
     Encryption   : none                   Auth Mode    : userPassword
   Idle Time Out: 30 Minutes             Idle TO Left : 27 Minutes
   Client Type  : AnyConnect
   Client Ver   : 3.0.1047 
    IKEv2:
     Tunnel ID    : 2.2
     UDP Src Port : 25171                  UDP Dst Port : 4500
     Rem Auth Mode: userPassword
     Loc Auth Mode: rsaCertificate
     Encryption   : AES192                 Hashing      : SHA1
     Rekey Int (T): 86400 Seconds          Rekey Left(T): 86254 Seconds
     PRF          : SHA1                   D/H Group    : 1
     Filter Name  :
     Client OS    : Windows
    IPsecOverNatT:
     Tunnel ID    : 2.3
     Local Addr   : 0.0.0.0/0.0.0.0/0/0
     Remote Addr  : 10.2.2.1/255.255.255.255/0/0
     Encryption   : AES256                 Hashing      : SHA1
   Encapsulation: Tunnel
   Rekey Int (T): 28800 Seconds          Rekey Left(T): 28654 Seconds
   Rekey Int (D): 4608000 K-Bytes        Rekey Left(D): 4607990 K-Bytes
   Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes 
   Bytes Tx     : 0                      Bytes Rx     : 11192
   Pkts Tx      : 0                      Pkts Rx      : 171
    NAC:
     Reval Int (T): 0 Seconds              Reval Left(T): 0 Seconds
     SQ Int (T)   : 0 Seconds              EoU Age(T)   : 146 Seconds
     Hold Left (T): 0 Seconds              Posture Token:    
    Redirect URL :

ISAKMP

从显示crypto sa ikev2命令的输出示例:是：

ASA-IKEV2#  show crypto ikev2 sa

      IKEv2 SAs:

      Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

      Tunnel-id                 Local                Remote     Status         Role
       55182129    10.0.0.1/4500         192.168.1.1/25171      READY    RESPONDER
            Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
            Life/Active Time: 86400/112 sec
      Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535   
                remote selector 10.2.2.1/0 - 10.2.2.1/65535
              ESP spi in/out: 0x30b848a4/0x77ee5348

从detail命令显示crypto的ikev2 sa的输出示例:是：

ASA-IKEV2# show crypto ikev2 sa detail

    IKEv2 SAs:

    Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

    Tunnel-id                 Local                Remote     Status         Role
     55182129    10.0.0.1/4500         192.168.1.1/25171      READY    RESPONDER
       Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
         Life/Active Time: 86400/98 sec
         Session-id: 2
         Status Description: Negotiation done
         Local spi: FC696330E6B94D7F       Remote spi: 58AFF71141BA436B
         Local id: hostname=ASA-IKEV2
         Remote id: *$AnyConnectClient$*
         Local req mess id: 0              Remote req mess id: 9
         Local next mess id: 0             Remote next mess id: 9
         Local req queued: 0               Remote req queued: 9
         Local window: 1                   Remote window: 1
         DPD configured for 10 seconds, retry 2
         NAT-T is detected  outside
         Assigned host addr: 10.2.2.1
   Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535
             remote selector 10.2.2.1/0 - 10.2.2.1/65535
             ESP spi in/out: 0x30b848a4/0x77ee5348
          AH spi in/out: 0x0/0x0
          CPI in/out: 0x0/0x0
            Encr: AES-CBC, keysize: 256, esp_hmac: SHA96
            ah_hmac: None, comp: IPCOMP_NONE, mode tunnel

IPsec

从show crypto ipsec sa命令的输出示例:是：

ASA-IKEV2# show crypto ipsec sa
   interface: outside
       Crypto map tag: dynmap, seq num: 1000, local addr: 10.0.0.1

     local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
        remote ident (addr/mask/prot/port): (10.2.2.1/255.255.255.255/0/0)
        current_peer: 192.168.1.1, username: Anu
        dynamic allocated peer ip: 10.2.2.1

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
         #pkts decaps: 163, #pkts decrypt: 108, #pkts verify: 108
         #pkts compressed: 0, #pkts decompressed: 0
         #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
         #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
         #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
         #send errors: 0, #recv errors: 55

      local crypto endpt.: 10.0.0.1/4500, remote crypto endpt.: 192.168.1.1/25171
         path mtu 1488, ipsec overhead 82, media mtu 1500
         current outbound spi: 77EE5348
         current inbound spi : 30B848A4

     inbound esp sas:
         spi: 0x30B848A4 (817383588)
            transform: esp-aes-256 esp-sha-hmac no compression
            in use settings ={RA, Tunnel,  NAT-T-Encaps, }
            slot: 0, conn_id: 8192, crypto-map: dynmap
            sa timing: remaining key lifetime (sec): 28685
            IV size: 16 bytes
            replay detection support: Y
            Anti replay bitmap:
            0xFFAD6BED 0x7ABFD5BF
       outbound esp sas:
         spi: 0x77EE5348 (2012107592)
            transform: esp-aes-256 esp-sha-hmac no compression
            in use settings ={RA, Tunnel,  NAT-T-Encaps, }
            slot: 0, conn_id: 8192, crypto-map: dynmap
            sa timing: remaining key lifetime (sec): 28685
            IV size: 16 bytes
            replay detection support: Y
            Anti replay bitmap:
           0x00000000 0x00000001

远程访问VPN故障排除的ASA IKEv2调试

下载选项

关于此翻译

目录

简介

先决条件

要求

使用的组件

核心问题

方案

debug 命令

ASA 配置

XML文件

调试日志和说明

通道验证

AnyConnect

ISAKMP

IPsec

相关信息

由思科工程师提供

此文档是否有帮助?

联系我们

本文档适用于以下产品

远程访问VPN故障排除的ASA IKEv2调试

下载选项

关于此翻译

目录

简介

先决条件

要求

使用的组件

核心问题

方案

debug 命令

ASA 配置

XML文件

调试日志和说明

通道验证

AnyConnect

ISAKMP

IPsec

相关信息

由思科工程师提供

此文档是否有帮助?

联系我们

本文档适用于以下产品

分享