本文描述如何了解在思科可适应安全工具(ASA)的调试,当互联网密钥交换版本2 (IKEv2)时与Cisco AnyConnect安全移动客户端一起使用。本文在ASA配置里也提供信息关于怎样翻译某些调试线路。
本文不描述如何通过流量,在VPN通道设立了对ASA后,亦不包括IPSec或IKE基本概念。
思科建议您有信息包交换的知识IKEv2的。欲知更多信息,参考IKEv2信息包交换和协议级调试。
本文档中的信息基于以下软件和硬件版本:
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
Cisco技术支持中心(TAC)经常使用IKE和IPSec调试指令为了了解哪里有与IPSec VPN隧道建立的一问题,但是命令可以隐秘。
debug crypto ikev2 protocol 127
debug crypto ikev2 platform 127
debug aggregate-auth xml 5
此ASA配置严格是基本,没有使用外部服务器。
interface Ethernet0/1
nameif outside
security-level 0
ip address 10.0.0.1 255.255.255.0
ip local pool webvpn1 10.2.2.1-10.2.2.10
crypto ipsec ikev2 ipsec-proposal 3des
protocol esp encryption aes-256 aes 3des des
protocol esp integrity sha-1
crypto dynamic-map dynmap 1000 set ikev2 ipsec-proposal 3des
crypto map crymap 10000 ipsec-isakmp dynamic dynmap
crypto map crymap interface outside
crypto ca trustpoint Anu-ikev2
enrollment self
crl configure
crypto ikev2 policy 10
encryption aes-192
integrity sha
group 2
prf sha
lifetime seconds 86400
crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint Anu-ikev2
ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1
ssl trust-point Anu-ikev2 outside
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-3.0.1047-k9.pkg 1
anyconnect profiles Anyconnect-ikev2 disk0:/anyconnect-ikev2.xml
anyconnect enable
tunnel-group-list enable
group-policy ASA-IKEV2 internal
group-policy ASA-IKEV2 attributes
wins-server none
dns-server none
vpn-tunnel-protocol ikev2
default-domain none
webvpn
anyconnect modules value dart
anyconnect profiles value Anyconnect-ikev2 type user
username Anu password lAuoFgF7KmB3D0WI encrypted privilege 15
tunnel-group ASA-IKEV2 type remote-access
tunnel-group ASA-IKEV2 general-attributes
address-pool webvpn1
default-group-policy ASA-IKEV2
tunnel-group ASA-IKEV2 webvpn-attributes
group-alias ASA-IKEV2 enable
<ServerList>
<HostEntry>
<HostName>Anu-IKEV2</HostName>
<HostAddress>10.0.0.1</HostAddress>
<UserGroup>ASA-IKEV2</UserGroup>
<PrimaryProtocol>IPsec</PrimaryProtocol>
</HostEntry>
</ServerList>
服务器消息说明 |
调试 |
客户端消息消息说明 |
|
伊达市:04/23/2013 **************************************** **************************************** |
客户端发起VPN通道对ASA。 | ||
---------------------------------IKE_SA_INIT Exchange开始------------------------------ | |||
ASA收到从客户端的IKE_SA_INIT消息。 |
IKEv2-PLAT-4 :RECV PKT [IKE_SA_INIT] [192.168.1.1]:25170->[10.0.0.1]:500 InitSPI=0x58aff71141ba436b RespSPI=0x0000000000000000 MID=00000000 IKEv2-PROTO-3 :Rx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id :0x0 |
||
第一个对消息是IKE_SA_INIT交换。这些消息协商加密算法,交换目前,并且执行Diffie-Hellman (DH)交换。 从客户端接收的IKE_SA_INIT消息包含这些字段:
|
IKEv2-PROTO-3 :HDR[i:58AFF71141BA436B - r :0000000000000000] IKEv2-PROTO-4 :IKEV2 HDR ispi :58AFF71141BA436B - rspi :0000000000000000 IKEv2-PROTO-4 :下有效负载:SA,版本:2.0 IKEv2-PROTO-4 :Exchange类型:IKE_SA_INIT,标志:发起者 IKEv2-PROTO-4 :消息ID :0x0,长度:528 SA下有效负载:KE,保留:0x0,长度:168 IKEv2-PROTO-4 : 最后建议:0x0,保留:0x0,长度:164 建议:1,协议ID :IKE, SPI大小:0, #trans :18 IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:12 类型:1,保留:0x0, id :AES-CBC IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:12 类型:1,保留:0x0, id :AES-CBC IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:12 类型:1,保留:0x0, id :AES-CBC IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:8 类型:1,保留:0x0, id :3DES IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:8 类型:1,保留:0x0, id :DES IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:8 类型:2,保留:0x0, id :SHA512 IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:8 类型:2,保留:0x0, id :SHA384 IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:8 类型:2,保留:0x0, id :SHA256 IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:8 类型:2,保留:0x0, id :SHA1 IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:8 类型:2,保留:0x0, id :MD5 IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:8 类型:3,保留:0x0, id :SHA512 IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:8 类型:3,保留:0x0, id :SHA384 IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:8 类型:3,保留:0x0, id :SHA256 IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:8 类型:3,保留:0x0, id :SHA96 IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:8 类型:3,保留:0x0, id :MD596 IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:8 类型:4,保留:0x0, id :DH_GROUP_1536_MODP/Group 5 IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:8 类型:4,保留:0x0, id :DH_GROUP_1024_MODP/Group 2 IKEv2-PROTO-4 : 最后转换:0x0,保留:0x0 :长度:8 类型:4,保留:0x0, id :DH_GROUP_768_MODP/Group 1 KE下有效负载:N,保留:0x0,长度:104 DH组:1,保留:0x0 eb 5e 29 fe钶2e d1 28编辑4a 54 b1 13 7c b8 89 f7 62 13个6b df 95 88 28 b5 97 ba 52个E-F e4 1d 28 加州06 d1 36 b6 67 32个9a c2 dd 4e d8 c7 80 de 20 36 34个c5 b3 3e 1d 83 1a c7 fb 9d b8 c5 f5编辑5f ba ba 4f b6 b2 e2第2 43个4f a0 b6 90 9a 11 3f 7d 0a 21 c3 4d d3 0a d2 1e 33 43个d3 5e cc 4b 38 e0 N下有效负载:VID,保留:0x0,长度:24 20 12个8f 22 7b 16 23 52个e4 29 4d 98 c7 fd a8 77 铈7c 0b b4 IKEv2-PROTO-5 :解析卖方细节有效负载:CISCO-DELETE-REASON VID下有效负载:VID,保留:0x0,长度:23 |
||
ASA验证并且处理
相关配置: crypto ikev2 policy 10 |
解密的数据包:数据:528个字节 IKEv2-PLAT-3 :进程自定义VID有效载荷 IKEv2-PLAT-3 :思科从对等体接收的版权VID IKEv2-PLAT-3 :AnyConnect从对等体接收的EAP VID IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :IDLE事件:EV_RECV_INIT IKEv2-PROTO-3 :(6) :检查NAT发现 IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :IDLE事件:EV_CHK_REDIRECT IKEv2-PROTO-5 :(6) :重定向检查不是需要的,跳过它 IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :IDLE事件:EV_CHK_CAC IKEv2-PLAT-5 :被承认的新的sa ikev2请求 IKEv2-PLAT-5 :增加由一个的流入协商的sa计数 IKEv2-PLAT-5 :无效PSH把柄 IKEv2-PLAT-5 :无效PSH把柄 IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :IDLE事件:EV_CHK_COOKIE IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :IDLE事件:EV_CHK4_COOKIE_NOTIFY IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_INIT事件:EV_VERIFY_MSG IKEv2-PROTO-3 :(6) :验证SA init消息 IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_INIT事件:EV_INSERT_SA IKEv2-PROTO-3 :(6) :SA插入 IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_INIT事件:EV_GET_IKE_POLICY IKEv2-PROTO-3 :(6) :得到配置策略 IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_INIT事件:EV_PROC_MSG IKEv2-PROTO-2 :(6) :处理最初的消息 IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_INIT事件:EV_DETECT_NAT IKEv2-PROTO-3 :(6) :进程NAT发现通知 IKEv2-PROTO-5 :(6) :处理nat检测src通知 IKEv2-PROTO-5 :(6) :没匹配的远程地址 IKEv2-PROTO-5 :(6) :处理nat检测dst通知 IKEv2-PROTO-5 :(6) :匹配的本地地址 IKEv2-PROTO-5 :(6) :主机从外部是查找的NAT IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_INIT事件:EV_CHK_CONFIG_MODE IKEv2-PROTO-3 :(6) :已接收有效配置模式数据 IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_INIT事件:EV_SET_RECD_CONFIG_MODE IKEv2-PROTO-3 :(6) :集已接收配置模式数据 IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_BLD_INIT事件:EV_SET_POLICY IKEv2-PROTO-3 :(6) :设置已配置的策略 IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_BLD_INIT事件:EV_CHK_AUTH4PKI IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_BLD_INIT事件:EV_PKI_SESH_OPEN IKEv2-PROTO-3 :(6) :打开PKI会话 IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_BLD_INIT事件:EV_GEN_DH_KEY IKEv2-PROTO-3 :(6) :计算的DH公共密钥 IKEv2-PROTO-3 :(6) : IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_BLD_INIT事件:EV_NO_EVENT IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_BLD_INIT事件:EV_OK_RECD_DH_PUBKEY_RESP IKEv2-PROTO-5 :(6) :操作:Action_Null IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_BLD_INIT事件:EV_GEN_DH_SECRET IKEv2-PROTO-3 :(6) :计算的DH密钥 IKEv2-PROTO-3 :(6) : IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_BLD_INIT事件:EV_NO_EVENT IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_BLD_INIT事件:EV_OK_RECD_DH_SECRET_RESP IKEv2-PROTO-5 :(6) :操作:Action_Null IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_BLD_INIT事件:EV_GEN_SKEYID IKEv2-PROTO-3 :(6) :生成skeyid IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_BLD_INIT事件:EV_GET_CONFIG_MODE |
||
ASA修建IKE_SA_INIT交换的响应消息。 此数据包包含:
|
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_BLD_INIT事件:EV_BLD_MSG IKEv2-PROTO-2 :(6) :发送最初的消息 IKEv2-PROTO-3 : IKE建议:1, SPI大小:0 (初始协商), 数字。转换:4 AES-CBC SHA1 SHA96 DH_GROUP_768_MODP/Group 1 IKEv2-PROTO-5 :构建卖方细节有效负载:DELETE-REASONIKEv2-PROTO-5 :构建卖方细节有效负载:(CUSTOM)IKEv2-PROTO-5 :构建卖方细节有效负载:(CUSTOM)IKEv2-PROTO-5 :构建通知有效负载:NAT_DETECTION_SOURCE_IPIKEv2-PROTO-5 :构建通知有效负载:NAT_DETECTION_DESTINATION_IPIKEv2-PLAT-2 :失败获取委托签发人切细或可用的无 IKEv2-PROTO-5 :构建卖方细节有效负载:FRAGMENTATIONIKEv2-PROTO-3 :Tx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id :0x0 IKEv2-PROTO-3 :HDR[i:58AFF71141BA436B - r :FC696330E6B94D7F] IKEv2-PROTO-4 :IKEV2 HDR ispi :58AFF71141BA436B - rspi :FC696330E6B94D7F IKEv2-PROTO-4 :下有效负载:SA,版本:2.0 IKEv2-PROTO-4 :Exchange类型:IKE_SA_INIT,标志:响应方MSG-RESPONSE IKEv2-PROTO-4 :消息ID :0x0,长度:386 SA下有效负载:KE,保留:0x0,长度:48 IKEv2-PROTO-4 : 最后建议:0x0,保留:0x0,长度:44 建议:1,协议ID :IKE, SPI大小:0, #trans :4 IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:12 类型:1,保留:0x0, id :AES-CBC IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:8 类型:2,保留:0x0, id :SHA1 IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:8 类型:3,保留:0x0, id :SHA96 IKEv2-PROTO-4 : 最后转换:0x0,保留:0x0 :长度:8 类型:4,保留:0x0, id :DH_GROUP_768_MODP/Group 1 KE下有效负载:N,保留:0x0,长度:104 DH组:1,保留:0x0 c9 30 f9 32 d4 7c d1 a7 5b 71 72 09个6e 7e 91 0c E1铈b4 a4 3c f2 8b 74 4e 20 59个b4 0b a1 ff 65 37 88 cc c4 a4 b6 fa 4a 63 03 93 89 E1 7e bd 6a 64个9a 38 24个e2 a8 40 f5 a3 d6 E-F f7 1a df 33 cc a1 8e fa dc 9c 34 45 79个1a 7c 29 05 87个8a ac 02 98 2e 7d钶41 51个d6 fe fc c7 76 83个1d 03 b0 d7 N下有效负载:VID,保留:0x0,长度:24 c2 28 7f 8c 7d b3 1e 51 fc eb f1 97 EC 97 b8 67 d5 e7 c2 f5 VID下有效负载:VID,保留:0x0,长度:23 |
||
ASA派出IKE_SA_INIT交换的响应消息。IKE_SA_INIT交换当前完成。ASA启动认证过程的计时器。 | IKEv2-PLAT-4 :发送的PKT [IKE_SA_INIT] [10.0.0.1]:500->[192.168.1.1]:25170 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000000 IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :INIT_DONE事件:EV_DONE IKEv2-PROTO-3 :(6) :分段启用 IKEv2-PROTO-3 :(6) :思科DeleteReason Notify启用 IKEv2-PROTO-3 :(6) :完整SA init交换 IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :INIT_DONE事件:EV_CHK4_ROLE IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :INIT_DONE事件:EV_START_TMR IKEv2-PROTO-3 :(6) :开始计时器等待验证消息(30秒) IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000000 CurState :R_WAIT_AUTH事件:EV_NO_EVENT |
**************************************** 伊达市:04/23/2013 时间:16:25:02 类型:信息 来源:acvpnagent 说明:功能:CIPsecProtocol : :initiateTunnel 文件:.。 \ IPsecProtocol.cpp 线路:345 IPSec隧道启动 **************************************** |
客户端显示IPSec隧道作为‘启动’。 |
-----------------------------------IKE_SA_INIT完成--------------------------------- | |||
-------------------------------------IKE_AUTH开始------------------------------------- | |||
**************************************** 伊达市:04/23/2013 时间:16:25:00 类型:信息 来源:acvpnagent 说明:安全网关参数: IP 地址:10.0.0.1 波尔特:443 URL :"10.0.0.1" 验证方法:IKE - EAPAnyConnect IKE标识: **************************************** 伊达市:04/23/2013 时间:16:25:00 类型:信息 来源:acvpnagent 说明:首次Cisco AnyConnect安全移动客户端连接,版本3.0.1047 **************************************** 伊达市:04/23/2013 |
客户端省略从消息3的验证有效负载为了指示希望使用扩展验证。当可扩展的认证协议(EAP)验证指定时或暗示由客户端配置文件和配置文件不包含<IKEIdentity>元素,客户端发送与已修复字符串*$AnyConnectClient$*的一ID_GROUP类型IDi有效负载。客户端首次对ASA的连接在端口4500。 | ||
验证执行与EAP。仅单个EAP验证方法在EAP会话内允许。ASA收到从客户端的IKE_AUTH消息。 |
IKEv2-PLAT-4 :RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1] :4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 IKEv2-PROTO-3 :Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id :0x1 |
||
当客户端包括IDi有效负载 IKE_AUTH发起者数据包包含:
客户端必须提供为的属性 *Relevant配置文件配置: <ServerList> |
IKEv2-PROTO-3 :HDR[i:58AFF71141BA436B - r :FC696330E6B94D7F] IKEv2-PROTO-4 :IKEV2 HDR ispi :58AFF71141BA436B - rspi :FC696330E6B94D7F IKEv2-PROTO-4 :下有效负载:ENCR,版本:2.0 IKEv2-PROTO-4 :Exchange类型:IKE_AUTH,标志:发起者 IKEv2-PROTO-4 :消息ID :0x1,长度:540 IKEv2-PROTO-5 :(6) :请求有mess_id 1;预计1至1 实时解密的数据包:数据:465个字节 IKEv2-PROTO-5 :解析卖方细节有效负载:(自定义) VID下有效负载:IDi,保留:0x0,长度:20 58 af f6 11 52个8d b0 2c b8 da 30 46是91 56 fa IDi下有效负载:CERTREQ,保留:0x0,长度:28 Id类型:组名,保留:0x0 0x0 2a 24 41个6e 79 43个6f 6e 6e 65 63 74 43个6c 69 65 6e 74 24个2a CERTREQ下有效负载:CFG,保留:0x0,长度:25 Cert编码X.509证书-签名 CertReq data:20个字节 CFG下有效负载:SA,保留:0x0,长度:196 cfg类型:CFG_REQUEST,保留:0x0,保留:0x0 attrib类型:内部IP4地址,长度:0 attrib类型:内部IP4网络屏蔽,长度:0 attrib类型:内部IP4 DNS,长度:0 attrib类型:内部IP4 NBNS,长度:0 attrib类型:内部地址终止,长度:0 attrib类型:应用程序版本,长度:27 41个6e 79 43个6f 6e 6e 65 63 74 20 57 69个6e 64 6f 77 73 20 33个2e 30 2e 31 30 34 37 attrib类型:内部IP6地址,长度:0 attrib类型:内部IP4子网,长度:0 attrib类型:未知- 28682,长度:15 77 69个6e 78 70 36 34 74 65个6d 70 6c 61 74 65 attrib类型:未知- 28704,长度:0 attrib类型:未知- 28705,长度:0 attrib类型:未知- 28706,长度:0 attrib类型:未知- 28707,长度:0 attrib类型:未知- 28708,长度:0 attrib类型:未知- 28709,长度:0 attrib类型:未知- 28710,长度:0 attrib类型:未知- 28672,长度:0 attrib类型:未知- 28684,长度:0 attrib类型:未知- 28711,长度:2 05个7e attrib类型:未知- 28674,长度:0 attrib类型:未知- 28712,长度:0 attrib类型:未知- 28675,长度:0 attrib类型:未知- 28679,长度:0 attrib类型:未知- 28683,长度:0 attrib类型:未知- 28717,长度:0 attrib类型:未知- 28718,长度:0 attrib类型:未知- 28719,长度:0 attrib类型:未知- 28720,长度:0 attrib类型:未知- 28721,长度:0 attrib类型:未知- 28722,长度:0 attrib类型:未知- 28723,长度:0 attrib类型:未知- 28724,长度:0 attrib类型:未知- 28725,长度:0 attrib类型:未知- 28726,长度:0 attrib类型:未知- 28727,长度:0 attrib类型:未知- 28729,长度:0 SA下有效负载:TSi,保留:0x0,长度:124 IKEv2-PROTO-4 : 最后建议:0x0,保留:0x0,长度:120 建议:1,协议ID :ESP, SPI大小:4, #trans :12 IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:12 类型:1,保留:0x0, id :AES-CBC IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:12 类型:1,保留:0x0, id :AES-CBC IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:12 类型:1,保留:0x0, id :AES-CBC IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:8 类型:1,保留:0x0, id :3DES IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:8 类型:1,保留:0x0, id :DES IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:8 类型:1,保留:0x0, id :NULL IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:8 类型:3,保留:0x0, id :SHA512 IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:8 类型:3,保留:0x0, id :SHA384 IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:8 类型:3,保留:0x0, id :SHA256 IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:8 类型:3,保留:0x0, id :SHA96 IKEv2-PROTO-4 : 最后转换:0x3,保留:0x0 :长度:8 类型:3,保留:0x0, id :MD596 IKEv2-PROTO-4 : 最后转换:0x0,保留:0x0 :长度:8 类型:5,保留:0x0, id : TSi下有效负载:Tsr,保留:0x0,长度:24 数字时间分配系统:1,保留0x0,保留0x0 TS类型:TS_IPV4_ADDR_RANGE,原始id :0,长度:16 启动端口:0,末端端口:65535 起始地址:0.0.0.0,结尾地址:255.255.255.255 Tsr下有效负载:通知,保留:0x0,长度:24 数字时间分配系统:1,保留0x0,保留0x0 TS类型:TS_IPV4_ADDR_RANGE,原始id :0,长度:16 启动端口:0,末端端口:65535 起始地址:0.0.0.0,结尾地址:255.255.255.255 |
||
ASA产生对IKE_AUTH消息的一答复并且准备验证对客户端。 |
解密的数据包:Data:540个字节 已创建网元名称设置验证值 |
||
ASA发送验证有效负载为了请求从客户端的用户凭证。ASA发送验证方法作为‘RSA’,因此它发送其自己的证书给客户端,因此客户端能验证ASA服务器。 因为ASA是愿意使用扩展验证方法,在消息4安置一EAP有效负载并且延迟发送SAr2、TSi和Tsr,直到发起者验证完成在随后的IKE_AUTH交换。因此,那些三有效载荷不是存在调试。 EAP数据包包含:
|
IDr下有效负载:CERT,保留:0x0,长度:36 Id类型:DER ASN1 DN,保留:0x0 0x0 30个1a 31 18 30 16 06 09个2a 86 48 86个f7 0d 01 09 02 16 09 41 53 41个第2个49个4b 45 56 32 CERT下有效负载:CERT,保留:0x0,长度:436 Cert编码X.509证书-签名 Cert data:431个字节 CERT下有效负载:验证,保留:0x0,长度:436 Cert编码X.509证书-签名 Cert data:431个字节 验证下有效负载:EAP,保留:0x0,长度:136 验证方法RSA,保留:0x0,保留0x0 验证data:128个字节 EAP下有效负载:无,保留:0x0,长度:154 代码:请求:id :1,长度:150 类型:未知- 254 EAP数据:145个字节 IKEv2-PROTO-3 :Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id :0x1 IKEv2-PROTO-3 :HDR[i:58AFF71141BA436B - r :FC696330E6B94D7F] IKEv2-PROTO-4 :IKEV2 HDR ispi :58AFF71141BA436B - rspi :FC696330E6B94D7F IKEv2-PROTO-4 :下有效负载:ENCR,版本:2.0 IKEv2-PROTO-4 :Exchange类型:IKE_AUTH,标志:响应方MSG-RESPONSE IKEv2-PROTO-4 :消息ID :0x1,长度:1292 ENCR下有效负载:VID,保留:0x0,长度:1264 已加密data:1260个字节 |
||
分段能发生,如果证书大或,如果证书链包括。发起者和响应方KE有效载荷能也包括大密钥,能也造成分段。 |
IKEv2-PROTO-5 :(6) :分段的信息包,片段MTU:544,片段编号:3,片段ID :1 IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 |
||
**************************************** |
ASA发送的证书被提交给用户。证书不信任。EAP类型是EAP-ANYCONNECT。 | ||
客户端回答与答复的EAP请求。 EAP数据包包含:
ASA解密此答复,并且客户端说接收在上一个数据包的验证有效负载(与证书)并且接收从ASA的第一EAP请求包。这是什么‘init’ EAP响应数据包包含。 |
IKEv2-PLAT-4 :RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000002 解密的数据包:Data:332个字节 IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000002 CurState :R_PROC_EAP_RESP事件:EV_PROC_MSG 下面已接收XML消息从客户端 IKEv2-PROTO-5 :(6) :操作:Action_Null |
||
这是ASA发送的第二请求对客户端。 EAP数据包包含:
ENCR有效负载: 此有效负载解密,并且其内容解析作为另外的有效载荷。 |
IKEv2-PROTO-2 :(6) :发送EAP请求 下面生成的XML消息 |
**************************************** 伊达市:04/23/2013 时间:16:25:04 类型:信息 来源:acvpnui 说明:功能: SDIMgr : :ProcessPromptData 文件:.。 \ SDIMgr.cpp 线路:281 认证类型不是SDI。 **************************************** 伊达市:04/23/2013 时间:16:25:07 类型:信息 来源:acvpnui 说明:功能:ConnectMgr : :userResponse 文件:.。 \ ConnectMgr.cpp 线路:985 处理用户回应。 **************************************** |
客户端要求用户认证并且发送它对ASA作为在下一个信息包(‘验证回复的’一EAP答复)。 |
客户端传送与EAP有效负载的另一IKE_AUTH发起者信息。 EAP数据包包含:
|
IKEv2-PLAT-4 :RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PROTO-3 :Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id :0x3 IKEv2-PROTO-3 :HDR[i:58AFF71141BA436B - r :FC696330E6B94D7F] IKEv2-PROTO-4 :IKEV2 HDR ispi :58AFF71141BA436B - rspi :FC696330E6B94D7F IKEv2-PROTO-4 :下有效负载:ENCR,版本:2.0 IKEv2-PROTO-4 :Exchange类型:IKE_AUTH,标志:发起者 IKEv2-PROTO-4 :消息ID :0x3,长度:492 IKEv2-PROTO-5 :(6) :请求有mess_id 3;预计3至3 实时解密的数据包:数据:424个字节 EAP下有效负载:无,保留:0x0,长度:424 代码:答复:id :2,长度:420 类型:未知- 254 EAP数据:415个字节 |
||
ASA处理此答复。客户端请求用户回车凭证。此EAP答复有‘验证回复的‘设置验证’类型’。此数据包包含用户输入的凭证。 |
解密的数据包:数据:492个字节 下面已接收XML消息从客户端 |
||
ASA在交换建立第三EAP请求。 EAP数据包包含:
ENCR有效负载: 此有效负载解密,并且其内容解析作为另外的有效载荷。 |
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000003 CurState :R_BLD_EAP_REQ事件:EV_RECV_EAP_REQ 下面生成的XML消息
IKEv2-PROTO-5 :(6) :分段的信息包,片段MTU:544,片段编号:9,片段ID :2 |
||
**************************************** 伊达市:04/23/2013 时间:16:25:07 类型:信息 来源:acvpnagent 说明:当前配置文件:Anyconnect-ikev2.xml 已接收VPN会话配置设置: 保持已安装:已启用 代理设置:请勿修改 代理服务器:无 代理PAC URL :无 代理异常:无 代理扎锁木:已启用 已分解排除:本地LAN访问首选禁用 已分解包括:已禁用 Split DNS:已禁用 本地LAN通配符:本地LAN访问首选禁用 防火墙规则:无 客户端地址:10.2.2.1 客户端掩码:255.0.0.0 客户端IPv6地址:未知 客户端IPv6掩码:未知 MTU:1406 IKE保活:20秒 IKE DPD :30 秒 会话超时:0秒 断开超时:1800 秒 空闲超时:1800 秒 服务器:未知 MUS主机:未知 DAP用户消息:无 检疫状态:已禁用 总是在VPN :不已禁用 租约期限:0秒 默认域:未知 主页:未知 智能卡删除断开:已启用 许可证答复:未知 **************************************** |
ASA发送在的VPN配置设置‘完成’消息给客户端并且定量IP地址给从VPN池的客户端。 | ||
客户端发送有EAP有效负载的发起者数据包。 EAP数据包包含:
|
IKEv2-PLAT-4 :RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000004 IKEv2-PROTO-3 :Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id :0x4 IKEv2-PROTO-3 :HDR[i:58AFF71141BA436B - r :FC696330E6B94D7F] IKEv2-PROTO-4 :IKEV2 HDR ispi :58AFF71141BA436B - rspi :FC696330E6B94D7F IKEv2-PROTO-4 :下有效负载:ENCR,版本:2.0 IKEv2-PROTO-4 :Exchange类型:IKE_AUTH,标志:发起者 IKEv2-PROTO-4 :消息ID :0x4,长度:252 IKEv2-PROTO-5 :(6) :请求有mess_id 4;预计4至4 实时解密的数据包:数据:177个字节 EAP下有效负载:无,保留:0x0,长度:177 代码:答复:id :3,长度:173 类型:未知- 254 EAP数据:168个字节 |
||
ASA处理此数据包。 相关配置: tunnel-group ASA-IKEV2 EAP交换当前是成功的。 EAP数据包包含:
|
解密的packet:Data:252字节 下面已接收XML消息从客户端 IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000004 CurState :R_PROC_EAP_RESP事件:EV_START_TMR |
||
因为EAP交换是成功的,客户端发送有验证有效负载的IKE_AUTH发起者数据包。验证有效负载从共享密钥生成。 | IKEv2-PLAT-4 :RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PROTO-3 :Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id :0x5 IKEv2-PROTO-3 :HDR[i:58AFF71141BA436B - r :FC696330E6B94D7F] IKEv2-PROTO-4 :IKEV2 HDR ispi :58AFF71141BA436B - rspi :FC696330E6B94D7F IKEv2-PROTO-4 :下有效负载:ENCR,版本:2.0 IKEv2-PROTO-4 :Exchange类型:IKE_AUTH,标志:发起者 IKEv2-PROTO-4 :消息ID :0x5,长度:92 IKEv2-PROTO-5 :(6) :请求有mess_id 5;预计5至5 雷亚尔德蒙特罗伊解密packet:Data:28字节 验证下有效负载:无,保留:0x0,长度:28 验证方法PSK,保留:0x0,保留0x0 验证数据:20个字节 |
||
当EAP验证指定或 ASA处理此消息。 相关配置: crypto dynamic-map dynmap 1000 |
解密的数据包:数据:92个字节 IKEv2-PROTO-2 :(6) :处理验证消息 |
||
ASA建立与SA、TSi和Tsr有效载荷的IKE_AUTH响应消息。 IKE_AUTH响应方数据包包含:
ENCR有效负载: 此有效负载解密,并且其内容解析作为另外的有效载荷。 |
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :R_BLD_AUTH事件:EV_MY_AUTH_METHOD IKEv2-PROTO-3 :Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id :0x5 |
||
ASA派出此IKE_AUTH响应消息,被分段到九数据包。IKE_AUTH交换完成。 | IKEv2-PROTO-5 :(6) :分段的信息包,片段MTU:544,片段编号:9,片段ID :3 IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4 :发送的PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :AUTH_DONE事件:EV_OK IKEv2-PROTO-5 :(6) :操作:Action_Null IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :AUTH_DONE事件:EV_PKI_SESH_CLOSE |
||
**************************************** 伊达市:04/23/2013 时间:16:25:07 类型:信息 来源:acvpnagent 说明:功能:ikev2_log 文件:.\ikev2_anyconnect_osal.cpp 线路:2730 IPSec连接被建立了。 **************************************** 伊达市:04/23/2013 时间:16:25:07 类型:信息 来源:acvpnagent 说明:IPSec会话注册: 加密:AES-CBC PRF :SHA1 HMAC :SHA96 本地验证方法:PSK 远程验证方法:PSK 顺序id :0 密钥大小:192 DH组:1 重新生成密钥时间:4294967秒 本地地址:192.168.1.1 远程地址:10.0.0.1 本地端口:4500 远程端口:4500 会话ID :1 **************************************** 伊达市:04/23/2013 时间:16:25:07 类型:信息 来源:acvpnui 说明:在安全网关配置的配置文件是:Anyconnect-ikev2.xml **************************************** 伊达市:04/23/2013 时间:16:25:07 类型:信息 来源:acvpnui 说明:消息类型信息发送对用户: 建立VPN会话… **************************************** |
客户端报告IPSec连接如设立。客户端也检测在ASA的用户配置文件。 | ||
----------------------------IKE_AUTH交换末端----------------------------------- | |||
**************************************** **************************************** |
XML配置文件装载在客户端上。因为客户端当前有从ASA的一个IP地址,客户端继续激活VPN适配器。 | ||
连接被输入到安全关联(SA)数据库,并且状态注册。ASA也执行一些检查类似普通的访问卡(CAC)重复项SAS stats、出现和设置值类似对端死机检测(DPD)等等。 |
IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :AUTH_DONE事件:EV_INSERT_IKE IKEv2-PROTO-2 :(6) :创建的SA;插入SA到数据库里 IKEv2-PLAT-3 : 连接状态:…对等体:192.168.1.1:25171, phase1_id :*$AnyConnectClient$* IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :AUTH_DONE事件:EV_REGISTER_SESSION IKEv2-PLAT-3 :(6)用户名设置对:Anu IKEv2-PLAT-3 : 连接状态:已注册…对等体:192.168.1.1:25171, phase1_id :*$AnyConnectClient$* IKEv2-PROTO-3 :(6) :正在初始化的DPD,配置在10秒 IKEv2-PLAT-3 :(6) mib_index设置对:4501 IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :AUTH_DONE事件:EV_GEN_LOAD_IPSEC IKEv2-PROTO-3 :(6) :负载IPSec密钥材料 IKEv2-PLAT-3 :加密映射:在动态映射dynmap顺序1000的匹配 IKEv2-PLAT-3 :(6) DPD最长时间将是:30 IKEv2-PLAT-3 :(6) DPD最长时间将是:30 IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :AUTH_DONE事件:EV_START_ACCT IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :AUTH_DONE事件:EV_CHECK_DUPE IKEv2-PROTO-3 :(6) :检查SA重复项 IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :AUTH_DONE事件:EV_CHK4_ROLE IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :READY事件:EV_R_UPDATE_CAC_STATS IKEv2-PLAT-5 :激活的新的sa ikev2请求 IKEv2-PLAT-5 :流入协商的减少量计数 IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :READY事件:EV_R_OK IKEv2-PROTO-3 :(6) :开始计时器删除协商上下文 IKEv2-PROTO-5 :(6) :SM SA Trace-> :I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (r) MsgID = 00000005 CurState :READY事件:EV_NO_EVENT IKEv2-PLAT-2 :已接收PFKEY添加SPI的0x77EE5348 SA,错误的错误 IKEv2-PLAT-2 :为SPI 0x30B848A4的已接收PFKEY更新SA,错误的错误 |
||
**************************************** 伊达市:04/23/2013 时间:16:25:08 类型:信息 来源:acvpnagent 说明:VPN连接被建立了并且能当前传递数据。 **************************************** 伊达市:04/23/2013 时间:16:25:08 类型:信息 来源:acvpnui 说明:消息类型信息发送对用户: 设立VPN -配置系统… **************************************** 伊达市:04/23/2013 时间:16:25:08 类型:信息 来源:acvpnui 说明:消息类型信息发送对用户: 设立VPN… **************************************** 伊达市:04/23/2013 时间:16:25:37 类型:信息 来源:acvpnagent 文件:.。 \ IPsecProtocol.cpp 线路:945 IPSec隧道设立 **************************************** |
客户端报告通道作为并且准备通过流量。 |
从显示vpn-sessiondb详细信息anyconnect命令的输出示例:是:
Session Type: AnyConnect Detailed
Username : Anu Index : 2
Assigned IP : 10.2.2.1 Public IP : 192.168.1.1
Protocol : IKEv2 IPsecOverNatT AnyConnect-Parent
License : AnyConnect Premium
Encryption : AES192 AES256 Hashing : none SHA1 SHA1
Bytes Tx : 0 Bytes Rx : 11192
Pkts Tx : 0 Pkts Rx : 171
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : ASA-IKEV2 Tunnel Group : ASA-IKEV2
Login Time : 22:06:24 UTC Mon Apr 22 2013
Duration : 0h:02m:26s
Inactivity : 0h:00m:00s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none
IKEv2 Tunnels: 1
IPsecOverNatT Tunnels: 1
AnyConnect-Parent Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 2.1
Public IP : 192.168.1.1
Encryption : none Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes
Client Type : AnyConnect
Client Ver : 3.0.1047
IKEv2:
Tunnel ID : 2.2
UDP Src Port : 25171 UDP Dst Port : 4500
Rem Auth Mode: userPassword
Loc Auth Mode: rsaCertificate
Encryption : AES192 Hashing : SHA1
Rekey Int (T): 86400 Seconds Rekey Left(T): 86254 Seconds
PRF : SHA1 D/H Group : 1
Filter Name :
Client OS : Windows
IPsecOverNatT:
Tunnel ID : 2.3
Local Addr : 0.0.0.0/0.0.0.0/0/0
Remote Addr : 10.2.2.1/255.255.255.255/0/0
Encryption : AES256 Hashing : SHA1
Encapsulation: Tunnel
Rekey Int (T): 28800 Seconds Rekey Left(T): 28654 Seconds
Rekey Int (D): 4608000 K-Bytes Rekey Left(D): 4607990 K-Bytes
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Bytes Tx : 0 Bytes Rx : 11192
Pkts Tx : 0 Pkts Rx : 171
NAC:
Reval Int (T): 0 Seconds Reval Left(T): 0 Seconds
SQ Int (T) : 0 Seconds EoU Age(T) : 146 Seconds
Hold Left (T): 0 Seconds Posture Token:
Redirect URL :
从显示crypto sa ikev2命令的输出示例:是:
ASA-IKEV2# show crypto ikev2 sa
IKEv2 SAs:
Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id Local Remote Status Role
55182129 10.0.0.1/4500 192.168.1.1/25171 READY RESPONDER
Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
Life/Active Time: 86400/112 sec
Child sa: local selector 0.0.0.0/0 - 255.255.255.255/65535
remote selector 10.2.2.1/0 - 10.2.2.1/65535
ESP spi in/out: 0x30b848a4/0x77ee5348
从detail命令显示crypto的ikev2 sa的输出示例:是:
ASA-IKEV2# show crypto ikev2 sa detail
IKEv2 SAs:
Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id Local Remote Status Role
55182129 10.0.0.1/4500 192.168.1.1/25171 READY RESPONDER
Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
Life/Active Time: 86400/98 sec
Session-id: 2
Status Description: Negotiation done
Local spi: FC696330E6B94D7F Remote spi: 58AFF71141BA436B
Local id: hostname=ASA-IKEV2
Remote id: *$AnyConnectClient$*
Local req mess id: 0 Remote req mess id: 9
Local next mess id: 0 Remote next mess id: 9
Local req queued: 0 Remote req queued: 9 Local window: 1 Remote window: 1
DPD configured for 10 seconds, retry 2
NAT-T is detected outside
Assigned host addr: 10.2.2.1
Child sa: local selector 0.0.0.0/0 - 255.255.255.255/65535
remote selector 10.2.2.1/0 - 10.2.2.1/65535
ESP spi in/out: 0x30b848a4/0x77ee5348
AH spi in/out: 0x0/0x0
CPI in/out: 0x0/0x0
Encr: AES-CBC, keysize: 256, esp_hmac: SHA96
ah_hmac: None, comp: IPCOMP_NONE, mode tunnel
从show crypto ipsec sa命令的输出示例:是:
ASA-IKEV2# show crypto ipsec sa
interface: outside
Crypto map tag: dynmap, seq num: 1000, local addr: 10.0.0.1
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.2.2.1/255.255.255.255/0/0)
current_peer: 192.168.1.1, username: Anu
dynamic allocated peer ip: 10.2.2.1
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 163, #pkts decrypt: 108, #pkts verify: 108
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 55
local crypto endpt.: 10.0.0.1/4500, remote crypto endpt.: 192.168.1.1/25171
path mtu 1488, ipsec overhead 82, media mtu 1500
current outbound spi: 77EE5348
current inbound spi : 30B848A4
inbound esp sas:
spi: 0x30B848A4 (817383588)
transform: esp-aes-256 esp-sha-hmac no compression
in use settings ={RA, Tunnel, NAT-T-Encaps, }
slot: 0, conn_id: 8192, crypto-map: dynmap
sa timing: remaining key lifetime (sec): 28685
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0xFFAD6BED 0x7ABFD5BF
outbound esp sas:
spi: 0x77EE5348 (2012107592)
transform: esp-aes-256 esp-sha-hmac no compression
in use settings ={RA, Tunnel, NAT-T-Encaps, }
slot: 0, conn_id: 8192, crypto-map: dynmap
sa timing: remaining key lifetime (sec): 28685
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001