簡介
本檔案介紹使用非共用金鑰(PSK)時,Cisco IOS®上的網際網路金鑰交換版本2(IKEv2)偵錯。
必要條件
需求
思科建議您瞭解IKEv2的資料包交換。有關詳細資訊,請參閱IKEv2資料包交換和協定級別調試。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 網際網路金鑰交換版本2(IKEv2)
- Cisco IOS 15.1(1)T或更高版本
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
慣例
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
背景資訊
本文提供如何在組態中轉譯特定偵錯行的資訊。
核心問題
IKEv2中的資料包交換與IKEv1中的資料包交換截然不同。在IKEv1中,有一個明確的階段1交換,由六(6)個資料包組成,之後有一個階段2交換,由三(3)個資料包組成;ikev2交換是可變的。有關差異的詳細資訊以及資料包交換的說明,請再次參閱IKEv2資料包交換和協定級別調試。
路由器配置
本節列出本文檔中使用的配置。
路由器1
interface Loopback0
ip address 192.168.1.1 255.255.255.0
!
interface Tunnel0
ip address 172.16.0.101 255.255.255.0
tunnel source Ethernet0/0
tunnel mode ipsec ipv4
tunnel destination 10.0.0.2
tunnel protection ipsec profile phse2-prof
!
interface Ethernet0/0
ip address 10.0.0.1 255.255.255.0
crypto ikev2 proposal PHASE1-prop
encryption 3des aes-cbc-128
integrity sha1
group 2
!
crypto ikev2 policy site-pol
proposal PHASE1-prop
!
crypto ikev2 keyring KEYRNG
peer peer1
address 10.0.0.2 255.255.255.0
hostname host1
pre-shared-key local cisco
pre-shared-key remote cisco
!
crypto ikev2 profile IKEV2-SETUP
match identity remote address 0.0.0.0
authentication remote pre-share
authentication local pre-share
keyring local KEYRNG
lifetime 120
!
crypto ipsec transform-set TS esp-3des esp-sha-hmac
!
crypto ipsec profile phse2-prof
set transform-set TS
set ikev2-profile IKEV2-SETUP
!
ip route 0.0.0.0 0.0.0.0 10.0.0.2
ip route 192.168.2.1 255.255.255.255 Tunnel0
路由器2
crypto ikev2 proposal PHASE1-prop
encryption 3des aes-cbc-128
integrity sha1
group 2
!
crypto ikev2 keyring KEYRNG
peer peer2
address 10.0.0.1 255.255.255.0
hostname host2
pre-shared-key local cisco
pre-shared-key remote cisco
!
crypto ikev2 profile IKEV2-SETUP
match identity remote address 0.0.0.0
authentication remote pre-share
authentication local pre-share
keyring local KEYRNG
lifetime 120
!
crypto ipsec transform-set TS esp-3des esp-sha-hmac
!
!
crypto ipsec profile phse2-prof
set transform-set TS
set ikev2-profile IKEV2-SETUP
!
interface Loopback0
ip address 192.168.2.1 255.255.255.0
!
interface Ethernet0/0
ip address 10.0.0.2 255.255.255.0
!
interface Tunnel0
ip address 172.16.0.102 255.255.255.0
tunnel source Ethernet0/0
tunnel mode ipsec ipv4
tunnel destination 10.0.0.1
tunnel protection ipsec profile phse2-prof
!
ip route 0.0.0.0 0.0.0.0 10.0.0.1
ip route 192.168.1.1 255.255.255.255 Tunnel0
疑難排解
路由器調試
本檔案中使用了以下debug指令:
deb crypto ikev2 packet
deb crypto ikev2 internal
Router 1(Initiator)消息說明 |
偵錯 |
Router 2(Responder)消息說明 |
路由器1收到與對等ASA 10.0.0.2的加密acl匹配的資料包。啟動SA建立 |
*11月11日20:28:34.003:IKEv2:從排程程式獲取資料包 *11月11日20:28:34.003:IKEv2:處理pak隊列中的專案 *1911年11月11日19:30:34.811:IKEv2:%按地址10.0.0.2獲取預共用金鑰 *1911年11月11日19:30:34.811:IKEv2:將建議PHASE1-prop新增到工具包策略 *1911年11月11日19:30:34.811:IKEv2:(1):選擇IKE配置檔案IKEV2-SETUP *1911年11月11日19:30:34.811:IKEv2:已允許新的ikev2 sa請求 *1911年11月11日19:30:34.811:IKEv2:將傳出協商sa計數增加1
|
|
第一對消息是IKE_SA_INIT交換。這些消息協商加密演算法、交換金鑰並執行Diffie-Hellman交換。
相關配置: crypto ikev2建議PHASE1-prop encryption 3des aes-cbc-128 integrity sha1組2crypto ikev2 keyring KEYRNG peer1 address 10.0.0.2 255.255.255.0 hostname host1 pre-shared-key local cisco pre-shared-key remote cisco
|
*1911年11月11日19:30:34.811:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000(I)MsgID = 00000000 CurState:IDLE事件:EV_INIT_SA *1911年11月11日19:30:34.811:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000(I)MsgID = 00000000 CurState:I_BLD_INIT事件:EV_GET_IKE_POLICY *1911年11月11日19:30:34.811:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000(I)MsgID = 00000000 CurState:I_BLD_INIT事件:EV_SET_POLICY *1911年11月11日19:30:34.811:IKEv2:(SA ID = 1):設定配置的策略 *1911年11月11日19:30:34.811:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000(I)MsgID = 00000000 CurState:I_BLD_INIT事件:EV_CHK_AUTH4PKI *1911年11月11日19:30:34.811:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000(I)MsgID = 00000000 CurState:I_BLD_INIT事件:EV_GEN_DH_KEY *1911年11月11日19:30:34.811:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000(I)MsgID = 00000000 CurState:I_BLD_INIT事件:EV_NO_EVENT *1911年11月11日19:30:34.811:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000(I)MsgID = 00000000 CurState:I_BLD_INIT事件:EV_OK_RECD_DH_PUBKEY_RESP *1911年11月11日19:30:34.811:IKEv2:(SA ID = 1):操作:Action_Null *1911年11月11日19:30:34.811:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000(I)MsgID = 00000000 CurState:I_BLD_INIT事件:EV_GET_CONFIG模式 *1911年11月11日19:30:34.811:IKEv2:IKEv2啟動器 — 沒有要在IKE_SA_INIT exch中傳送的配置資料 *1911年11月11日19:30:34.811:IKEv2:沒有配置資料傳送到工具包: *1911年11月11日19:30:34.811:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000(I)MsgID = 00000000 CurState:I_BLD_INIT事件:EV_BLD_MSG *1911年11月11日19:30:34.811:IKEv2:構建供應商特定負載:DELETE原因 *1911年11月11日19:30:34.811:IKEv2:構建供應商特定負載:(自定義) *1911年11月11日19:30:34.811:IKEv2:構建通知負載:NAT_DETECTION_SOURCE_IP *1911年11月11日19:30:34.811:IKEv2:構建通知負載:NAT_DETECTION_DESTINATION_IP |
|
正在生成IKE_INIT_SA資料包的啟動器。它包含:ISAKMP Header(SPI/version/flags)、SAi1(IKE發起程式支援的加密演算法)、KEi(發起程式的DH公鑰值)和N(發起程式編號)。 |
*11月11日19:30:34.811:IKEv2:(SA ID = 1):下一個負載:SA,版本:2.0 Exchange型別: IKE_SA_INIT,標誌: INITIATOR消息id:0,長度:344 負載內容: SA下一個負載:KE,保留:0x0,長度:56 上次提議:0x0,保留:0x0,長度:52 建議:1,協定id:IKE,SPI大小:0, #trans:5上次轉換:0x3,保留:0x0:長度:8 type:1,保留:0x0,id:3DES 上次轉換:0x3,保留:0x0:長度:12 type:1,保留:0x0,id:AES-CBC 上次轉換:0x3,保留:0x0:長度:8 type:2,保留:0x0,id:SHA1 上次轉換:0x3,保留:0x0:長度:8 type:3,保留:0x0,id:SHA96 上次轉換:0x0,保留:0x0:長度:8 type:4,保留:0x0,id:DH_GROUP_1024_MODP/組2 KE下一個負載:N,保留:0x0,長度:136 DH組:2,保留:0x0 N下一個負載:VID,保留:0x0,長度:24 VID下一負載:VID,保留:0x0,長度:23 VID下一負載:NOTIFY,保留:0x0,長度:21 NOTIFY(NAT_DETECTION_SOURCE_IP)下一個負載:NOTIFY,保留:0x0,長度:28 安全協定ID:IKE,spi大小:0,型別:NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_DESTINATION_IP)下一個負載:無,保留:0x0,長度:28 安全協定ID:IKE,spi大小:0,型別:NAT_DETECTION_DESTINATION_IP |
|
--------------------------------------Initiator sent IKE_INIT_SA -----------------------> |
|
*1911年11月11日19:30:34.814:IKEv2:從排程程式獲取資料包 *1911年11月11日19:30:34.814:IKEv2:處理pak隊列中的專案 *1911年11月11日19:30:34.814:IKEv2:已允許新的ikev2 sa請求 *1911年11月11日19:30:34.814:IKEv2:傳入協商sa計數遞增1
|
響應方接收IKE_INIT_SA。 |
|
*1911年11月11日19:30:34.814:IKEv2:下一個負載:SA,版本:2.0交換型別:IKE_SA_INIT,標誌:啟動器消息ID:0,長度:344 負載內容: SA下一個負載:KE,保留:0x0,長度:56 上次提議:0x0,保留:0x0,長度:52 建議:1,協定id:IKE,SPI大小:0, #trans:5上次轉換:0x3,保留:0x0:長度:8 type:1,保留:0x0,id:3DES 上次轉換:0x3,保留:0x0:長度:12 type:1,保留:0x0,id:AES-CBC 上次轉換:0x3,保留:0x0:長度:8 type:2,保留:0x0,id:SHA1 上次轉換:0x3,保留:0x0:長度:8 type:3,保留:0x0,id:SHA96 上次轉換:0x0,保留:0x0:長度:8 type:4,保留:0x0,id:DH_GROUP_1024_MODP/組2 KE下一個負載:N,保留:0x0,長度:136 DH組:2,保留:0x0 N下一個負載:VID,保留:0x0,長度:24
*1911年11月11日19:30:34.814:IKEv2:分析供應商特定負載:CISCO-DELETE-REASON VID Next負載:VID,保留:0x0,長度:23 *1911年11月11日19:30:34.814:IKEv2:分析供應商特定負載:(自定義)VID下一負載:NOTIFY,保留:0x0,長度:21 *1911年11月11日19:30:34.814:IKEv2:分析通知負載:NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_SOURCE_IP)下一個負載:NOTIFY,保留:0x0,長度:28 安全協定ID:IKE,spi大小:0,型別:NAT_DETECTION_SOURCE_IP *1911年11月11日19:30:34.814:IKEv2:分析通知負載:NAT_DETECTION_DESTINATION_IP NOTIFY(NAT_DETECTION_DESTINATION_IP)下一個負載:無,保留:0x0,長度:28 安全協定ID:IKE,spi大小:0,型別:NAT_DETECTION_DESTINATION_IP
|
響應方啟動該對等體的SA建立。 |
|
*1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:空閒事件:EV_RECV_INIT *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_INIT事件:EV_VERIFY_MSG *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_INIT事件:EV_INSERT_SA *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_INIT事件:EV_GET_IKE_POLICY *1911年11月11日19:30:34.814:IKEv2:將建議預設新增到工具包策略 *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_INIT事件:EV_PROC_MSG *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_INIT事件:EV_DETECT_NAT *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):處理NAT發現通知 *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):處理nat detect src notify *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):遠端地址匹配 *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):處理nat檢測dst通知 *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):匹配的本地地址 *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):未找到NAT *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_INIT事件:EV_CHK_CONFIG_MODE *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_SET_POLICY *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):設定已配置的策略 *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_CHK_AUTH4PKI *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_PKI_SESH_OPEN *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):開啟PKI會話 *1911年11月11日19:30:34.815:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_GEN_DH_KEY *1911年11月11日19:30:34.815:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_NO_EVENT *1911年11月11日19:30:34.815:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_OK_RECD_DH_PUBKEY_RESP *1911年11月11日19:30:34.815:IKEv2:(SA ID = 1):操作:Action_Null *1911年11月11日19:30:34.815:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_GEN_DH_SECRET *1911年11月11日19:30:34.822:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_NO_EVENT *1911年11月11日19:30:34.822:IKEv2:% 按地址10.0.0.1獲取預共用金鑰 *1911年11月11日19:30:34.822:IKEv2:將建議預設新增到工具包策略 *1911年11月11日19:30:34.822:IKEv2:(2):選擇IKE配置檔案IKEV2-SETUP *1911年11月11日19:30:34.822:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_OK_RECD_DH_SECRET_RESP *1911年11月11日19:30:34.822:IKEv2:(SA ID = 1):操作:Action_Null *1911年11月11日19:30:34.822:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_GEN_SKEY ID *1911年11月11日19:30:34.822:IKEv2:(SA ID = 1):生成金鑰ID *1911年11月11日19:30:34.822:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_GET_CONFIG模式 *1911年11月11日19:30:34.822:IKEv2:IKEv2響應器 — 沒有配置資料要在IKE_SA_INIT執行中傳送 *1911年11月11日19:30:34.822:IKEv2:沒有配置資料傳送到工具包: *1911年11月11日19:30:34.822:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_BLD_MSG *1911年11月11日19:30:34.822:IKEv2:構建供應商特定負載:DELETE原因 *1911年11月11日19:30:34.822:IKEv2:構建供應商特定負載:(自定義) *1911年11月11日19:30:34.822:IKEv2:構建通知負載:NAT_DETECTION_SOURCE_IP *1911年11月11日19:30:34.822:IKEv2:構建通知負載:NAT_DETECTION_DESTINATION_IP *1911年11月11日19:30:34.822:IKEv2:構建通知負載:HTTP_CERT_LOOKUP_SUPPORTED
|
響應方驗證並處理IKE_INIT消息:(1)從發起方提供的加密套件中選擇加密套件,(2)計算自己的DH金鑰,以及(3)計算一個skey id值,從中可以匯出此IKE_SA的所有金鑰。後面的所有郵件除標頭外都經過加密和身份驗證。用於加密和完整性保護的金鑰源自SKYID,稱為:SK_e(加密)、SK_a(驗證)、SK_d被匯出並用於匯出CHILD_SA的進一步金鑰材料,並且為每個方向計算單獨的SK_e和SK_a。
相關配置: crypto ikev2建議PHASE1-prop encryption 3des aes-cbc-128 integrity sha1組2 crypto ikev2 keyring KEYRNG peer2 address 10.0.0.1 255.255.0 hostname host2 pre-shared-key local cisco pre-shared-key remote cisco
|
|
*1911年11月11日19:30:34.822:IKEv2:(SA ID = 1):下一個負載:SA,版本:2.0 Exchange型別: IKE_SA_INIT,標誌: RESPONDER MSG-RESPONSE消息id:0,長度:449 負載內容: SA下一個負載:KE,保留:0x0,長度:48 上次提議:0x0,保留:0x0,長度:44 建議:1,協定id:IKE,SPI大小:0, #trans:4上次轉換:0x3,保留:0x0:長度:12 type:1,保留:0x0,id:AES-CBC 上次轉換:0x3,保留:0x0:長度:8 type:2,保留:0x0,id:SHA1 上次轉換:0x3,保留:0x0:長度:8 type:3,保留:0x0,id:SHA96 上次轉換:0x0,保留:0x0:長度:8 type:4,保留:0x0,id:DH_GROUP_1024_MODP/組2 KE下一個負載:N,保留:0x0,長度:136 DH組:2,保留:0x0 N 下一個負載:VID,保留:0x0,長度:24 VID下一負載:VID,保留:0x0,長度:23 VID下一負載:NOTIFY,保留:0x0,長度:21 NOTIFY(NAT_DETECTION_SOURCE_IP)下一個負載:NOTIFY,保留:0x0,長度:28 安全協定ID:IKE,spi大小:0,型別:NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_DESTINATION_IP)下一個負載:CERTREQ,保留:0x0,長度:28 安全協定ID:IKE,spi大小:0,型別:NAT_DETECTION_DESTINATION_IP CERTREQ下一個負載:NOTIFY,保留:0x0,長度:105 證書編碼PKIX的雜湊和URL NOTIFY(HTTP_CERT_LOOKUP_SUPPORTED)下一個負載:無,保留:0x0,長度:8 安全協定ID:IKE,spi大小:0,型別:HTTP_CERT_LOOKUP_SUPPORTED
|
Router 2會為ASA1接收的IKE_SA_INIT交換建立響應方消息。此資料包包含:ISAKMP報頭(SPI/版本/標誌)、SAr1(IKE響應方選擇的加密演算法)、KEr(響應方的DH公鑰值)和Responder Nonce。 |
|
*1911年11月11日19:30:34.822:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:INIT_DONE事件:EV_DONE *1911年11月11日19:30:34.822:IKEv2:(SA ID = 1):已啟用思科DeleteReason Notify *1911年11月11日19:30:34.822:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:INIT_DONE事件:EV_CHK4角色 *1911年11月11日19:30:34.822:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:INIT_DONE事件:EV_START_TMR *1911年11月11日19:30:34.822:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_WAIT_AUTH事件:EV_NO_EVENT *1911年11月11日19:30:34.822:IKEv2:已允許新的ikev2 sa請求 *1911年11月11日19:30:34.822:IKEv2:將傳出協商sa計數遞增1
|
Router2將回應者訊息傳送到Router1。 |
<-------------------------------Responder已傳送IKE_INIT_SA命--------------------------- |
路由器1收到來自路由器2的IKE_SA_INIT響應資料包。 |
*1911年11月11日19:30:34.823:IKEv2:從排程程式獲取資料包
*1911年11月11日19:30:34.823:IKEv2:從排程程式獲取資料包
*1911年11月11日19:30:34.823:IKEv2:處理pak隊列中的專案
|
I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:INIT_DONE事件:EV_START_TMR
|
響應程式啟動身份驗證進程的計時器。 |
Router1驗證並處理回應:(1)計算發起方DH金鑰;(2)生成發起方DH金鑰。 |
*1911年11月11日19:30:34.823:IKEv2:(SA ID = 1):下一個負載:SA,版本:2.0交換型別:IKE_SA_INIT,標誌: RESPONDER MSG-RESPONSE消息id:0,長度:449 負載內容: SA下一個負載:KE,保留:0x0,長度:48 上次提議:0x0,保留:0x0,長度:44 建議:1,協定id:IKE,SPI大小:0, #trans:4上次轉換:0x3,保留:0x0:長度:12 type:1,保留:0x0,id:AES-CBC 上次轉換:0x3,保留:0x0:長度:8 type:2,保留:0x0,id:SHA1 上次轉換:0x3,保留:0x0:長度:8 type:3,保留:0x0,id:SHA96 上次轉換:0x0,保留:0x0:長度:8 type:4,保留:0x0,id:DH_GROUP_1024_MODP/組2 KE下一個負載:N,保留:0x0,長度:136 DH組:2,保留:0x0 N 下一個負載:VID,保留:0x0,長度:24
*1911年11月11日19:30:34.823:IKEv2:分析供應商特定負載:CISCO-DELETE-REASON VID Next負載:VID,保留:0x0,長度:23
*1911年11月11日19:30:34.823:IKEv2:分析供應商特定負載:(自定義)VID下一負載:NOTIFY,保留:0x0,長度:21
*1911年11月11日19:30:34.823:IKEv2:分析通知負載:NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_SOURCE_IP)下一個負載:NOTIFY,保留:0x0,長度:28 安全協定ID:IKE,spi大小:0,型別:NAT_DETECTION_SOURCE_IP
*1911年11月11日19:30:34.824:IKEv2:分析通知負載:NAT_DETECTION_DESTINATION_IP NOTIFY(NAT_DETECTION_DESTINATION_IP)下一個負載:CERTREQ,保留:0x0,長度:28 安全協定ID:IKE,spi大小:0,型別:NAT_DETECTION_DESTINATION_IP CERTREQ下一個負載:NOTIFY,保留:0x0,長度:105 證書編碼PKIX的雜湊和URL
*1911年11月11日19:30:34.824:IKEv2:分析通知負載:HTTP_CERT_LOOKUP_SUPPORTED NOTIFY(HTTP_CERT_LOOKUP_SUPPORTED)下一個負載:無,保留:0x0,長度:8 安全協定ID:IKE,spi大小:0,型別:HTTP_CERT_LOOKUP_SUPPORTED
*1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:I_WAIT_INIT事件:EV_RECV_INIT *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):正在處理IKE_SA_INIT消息 *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:I_PROC_INIT事件:EV_CHK4_NOTIFY *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:I_PROC_INIT事件:EV_VERIFY_MSG *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:I_PROC_INIT事件:EV_PROC_MSG *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:I_PROC_INIT事件:EV_DETECT_NAT *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):處理NAT發現通知 *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):處理nat detect src notify *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):遠端地址匹配 *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):處理nat檢測dst通知 *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):匹配的本地地址 *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):未找到NAT *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:I_PROC_INIT事件:EV_CHK_NAT_T *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:I_PROC_INIT事件:EV_CHK_CONFIG_MODE *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:INIT_DONE事件:EV_GEN_DH_SECRET *1911年11月11日19:30:34.831:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:INIT_DONE事件:EV_NO_EVENT *1911年11月11日19:30:34.831:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:INIT_DONE事件:EV_OK_RECD_DH_SECRET_RESP *1911年11月11日19:30:34.831:IKEv2:(SA ID = 1):操作:Action_Null *1911年11月11日19:30:34.831:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:INIT_DONE事件:EV_GEN_SKEY ID *1911年11月11日19:30:34.831:IKEv2:(SA ID = 1):生成金鑰ID *1911年11月11日19:30:34.831:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:INIT_DONE事件:EV_DONE *1911年11月11日19:30:34.831:IKEv2:(SA ID = 1):已啟用思科DeleteReason Notify *1911年11月11日19:30:34.831:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:INIT_DONE事件:EV_CHK4角色 *1911年11月11日19:30:34.831:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:I_BLD_AUTH事件:EV_GET_CONFIG模式 *1911年11月11日19:30:34.831:IKEv2:將配置資料傳送到工具包 *1911年11月11日19:30:34.831:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:I_BLD_AUTH事件:EV_CHK_EAP
|
|
發起方啟動IKE_AUTH交換並生成身份驗證負載。IKE_AUTH封包包含:ISAKMP報頭(SPI/版本/標誌)、IDi(啟動器標識)、AUTH負載、SAi2(啟動SA — 類似於在IKEv1中進行階段2轉換集交換),以及TSi和TSr(啟動器和響應器流量選擇器)。 它們分別包含用於轉發/接收加密流量的發起方和響應方的源地址和目的地址。地址範圍指定所有進出該範圍的流量都通過隧道傳輸。如果響應方可以接受該建議,它將傳送相同的TS負載作為回應。為與觸發資料包匹配的proxy_ID對建立第一個CHILD_SA。
相關配置: crypto ipsec transform-set TS esp-3des esp-sha-hmac crypto ipsec profile phse2-prof set transform-set TS set ikev2-profile IKEV2-SETUP
|
*1911年11月11日19:30:34.831:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:I_BLD_AUTH事件:EV_GEN_AUTH *1911年11月11日19:30:34.831:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:I_BLD_AUTH事件:EV_CHK_AUTH_TYPE *1911年11月11日19:30:34.831:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:I_BLD_AUTH事件:EV_OK_AUTH_GEN *1911年11月11日19:30:34.831:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:I_BLD_AUTH事件:EV_SEND_AUTH *1911年11月11日19:30:34.831:IKEv2:構建供應商特定負載:思科 — 花崗岩 *1911年11月11日19:30:34.831:IKEv2:構建通知負載:INITIAL_CONTACT *1911年11月11日19:30:34.831:IKEv2:構建通知負載:SET_WINDOWS_SIZE *1911年11月11日19:30:34.831:IKEv2:構建通知負載:ESP_TFC_NO_SUPPORT *1911年11月11日19:30:34.831:IKEv2:構建通知負載:NON_FIRST_FRAGS 負載內容: VID下一負載:IDi,保留:0x0,長度:20 IDi下一個負載:AUTH,保留:0x0,長度:12 Id型別:IPv4地址,保留:0x0 0x0 AUTH Next payload:CFG,保留:0x0,長度:28 身份驗證方法PSK,已保留:0x0,保留0x0 CFG下一個負載:SA,保留:0x0,長度:309 cfg型別:CFG_REQUEST,保留:0x0,保留:0x0
*1911年11月11日19:30:34.831: SA下一個負載:TSi,保留:0x0,長度:40 上次提議:0x0,保留:0x0,長度:36 建議:1,協定id:ESP、SPI大小:4, #trans:3上次轉換:0x3,保留:0x0:長度:8 type:1,保留:0x0,id:3DES 上次轉換:0x3,保留:0x0:長度:8 type:3,保留:0x0,id:SHA96 上次轉換:0x0,保留:0x0:長度:8 type:5,保留:0x0,id:不使用ESN TSi下一個負載:TSr,保留:0x0,長度:24 TS數:1,保留0x0,保留0x0 TS型別:TS_IPV4_ADDR_RANGE,原始ID:0,長度:16 啟動埠:0,終端埠:65535 start addr:0.0.0.0,結束地址:255.255.255.255 TSr下一個負載:NOTIFY,保留:0x0,長度:24 TS數:1,保留0x0,保留0x0 TS型別:TS_IPV4_ADDR_RANGE,原始ID:0,長度:16 啟動埠:0,終端埠:65535 start addr:0.0.0.0,結束地址:255.255.255.255
NOTIFY(INITIAL_CONTACT)下一個負載:NOTIFY,保留:0x0,長度:8 安全協定ID:IKE,spi大小:0,型別:INITIAL_CONTACT NOTIFY(SET_WINDOW_SIZE)下一個負載:NOTIFY,保留:0x0,長度:12 安全協定ID:IKE,spi大小:0,型別:SET_WINDOWS_SIZE NOTIFY(ESP_TFC_NO_SUPPORT)下一個負載:NOTIFY,保留:0x0,長度:8 安全協定ID:IKE,spi大小:0,型別:ESP_TFC_NO_SUPPORT NOTIFY(NON_FIRST_FRAGS)下一負載:無,保留:0x0,長度:8 安全協定ID:IKE,spi大小:0,型別:NON_FIRST_FRAGS
*1911年11月11日19:30:34.832:IKEv2:(SA ID = 1):下一個負載:ENCR,版本:2.0交換型別:IKE_AUTH,標誌:INITIATOR消息ID:1,長度:556 負載內容: ENCR下一個負載:VID,保留:0x0,長度:528
*1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 0000001 CurState:I_WAIT_AUTH事件:EV_NO_EVENT
|
|
-------------------------------------發起程式已傳送IKE_AUTH -----------------------------> |
|
*1911年11月11日19:30:34.832:IKEv2:從排程程式獲取資料包 *1911年11月11日19:30:34.832:IKEv2:處理pak隊列中的專案 *1911年11月11日19:30:34.832:IKEv2:(SA ID = 1):請求具有mess_id 1;預計1到1 *11月11日19:30:34.832:IKEv2:(SA ID = 1):下一個負載:ENCR,版本:2.0交換型別: IKE_AUTH,標誌: INITIATOR消息ID:1,長度:556 負載內容: *1911年11月11日19:30:34.832:IKEv2:分析供應商特定負載:(自定義)VID下一負載:IDi,保留:0x0,長度:20 IDi下一個負載:AUTH,保留:0x0,長度:12 Id型別:IPv4地址,保留:0x0 0x0 AUTH Next payload:CFG,保留:0x0,長度:28 身份驗證方法PSK,已保留:0x0,保留0x0 CFG下一個負載:SA,保留:0x0,長度:309 cfg型別:CFG_REQUEST,保留:0x0,保留:0x0 *1911年11月11日19:30:34.832: 屬性型別:內部IP4 DNS,長度:0 *1911年11月11日19:30:34.832: 屬性型別:內部IP4 DNS,長度:0 *1911年11月11日19:30:34.832: 屬性型別:內部IP4 NBNS,長度:0 *1911年11月11日19:30:34.832: 屬性型別:內部IP4 NBNS,長度:0 *1911年11月11日19:30:34.832: 屬性型別:內部IP4子網,長度:0 *1911年11月11日19:30:34.832: 屬性型別:應用程式版本,長度:257 屬性型別:未知 — 28675,長度:0 *1911年11月11日19:30:34.832: 屬性型別:未知 — 28672,長度:0 *1911年11月11日19:30:34.832: 屬性型別:未知 — 28692,長度:0 *1911年11月11日19:30:34.832: 屬性型別:未知 — 28681,長度:0 *1911年11月11日19:30:34.832: 屬性型別:未知 — 28674,長度:0 *11月11日19:30:34.832:SA下一個負載:TSi,保留:0x0,長度:40 上次提議:0x0,保留:0x0,長度:36 建議:1,協定id:ESP、SPI大小:4, #trans:3上次轉換:0x3,保留:0x0:長度:8 type:1,保留:0x0,id:3DES 上次轉換:0x3,保留:0x0:長度:8 type:3,保留:0x0,id:SHA96 上次轉換:0x0,保留:0x0:長度:8 type:5,保留:0x0,id:不使用ESN TSi下一個負載:TSr,保留:0x0,長度:24 TS數:1,保留0x0,保留0x0 TS型別:TS_IPV4_ADDR_RANGE,原始ID:0,長度:16 啟動埠:0,終端埠:65535 start addr:0.0.0.0,結束地址:255.255.255.255 TSr Next負載:NOTIFY,保留:0x0,長度:24 TS數:1,保留0x0,保留0x0 TS型別:TS_IPV4_ADDR_RANGE,原始ID:0,長度:16 啟動埠:0,終端埠:65535 start addr:0.0.0.0,結束地址:255.255.255.255
|
路由器2接收並驗證從路由器1接收的身份驗證資料。
相關配置:crypto ipsec ikev2 ipsec-proposal AES256 protocol esp encryption aes-256 protocol esp integrity sha-1 md5
|
|
*1911年11月11日19:30:34.832:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件: EV_RECV_AUTH *1911年11月11日19:30:34.832:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:EV_CHK_NAT_T *1911年11月11日19:30:34.832:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:EV_PROC_ID *1911年11月11日19:30:34.832:IKEv2:(SA ID = 1):已收到進程ID中的有效引數 *1911年11月11日19:30:34.832:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:EV_CHK_IF_PEER_CERT_NEEDS_TO_BE_FETCHED_FOR_PROF_SEL *1911年11月11日19:30:34.832:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:EV_GET_POLICY_BY_PEERID *1911年11月11日19:30:34.833:IKEv2:(1):選擇IKE配置檔案IKEV2-SETUP *1911年11月11日19:30:34.833:IKEv2:%按地址10.0.0.1獲取預共用金鑰 *1911年11月11日19:30:34.833:IKEv2:%按地址10.0.0.1獲取預共用金鑰 *1911年11月11日19:30:34.833:IKEv2:將建議預設新增到工具包策略 *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):使用IKEv2配置檔案「IKEV2-SETUP」 *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:EV_SET_POLICY *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):設定配置的策略 *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:EV_VERIFY_POLICY_BY_PEERID *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:EV_CHK_AUTH4EAP *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:EV_CHK_POLREQEAP *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_VERIFY_AUTH事件:EV_CHK_AUTH_TYPE *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_VERIFY_AUTH事件:EV_GET_PRESHR_KEY *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_VERIFY_AUTH事件:EV_VERIFY_AUTH *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_VERIFY_AUTH事件:EV_CHK4_IC *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_VERIFY_AUTH事件:EV_CHK_REDIRECT *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):不需要重定向檢查,將跳過它 *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_VERIFY_AUTH事件:EV_NOTIFY_AUTH_DONE *1911年11月11日19:30:34.833:IKEv2:未配置AAA組授權 *1911年11月11日19:30:34.833:IKEv2:未配置AAA使用者授權 *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_VERIFY_AUTH事件:EV_CHK_CONFIG_MODE *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_VERIFY_AUTH事件:EV_SET_RECD_CONFIG_MODE *1911年11月11日19:30:34.833:IKEv2:從工具包接收配置資料: *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_VERIFY_AUTH事件:EVPROC_SA_TS *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_VERIFY_AUTH事件:EV_GET_CONFIG模式 *1911年11月11日19:30:34.833:IKEv2:構造配置回覆時出錯 *1911年11月11日19:30:34.833:IKEv2:沒有配置資料傳送到工具包: *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_BLD_AUTH事件:EV_MY_AUTH_METHOD *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_BLD_AUTH事件:EV_GET_PRESHR_KEY *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_BLD_AUTH事件:EV_GEN_AUTH *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_BLD_AUTH事件:EV_CHK4符號 *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_BLD_AUTH事件:EV_OK_AUTH_GEN *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_BLD_AUTH事件:EV_SEND_AUTH *1911年11月11日19:30:34.833:IKEv2:構建供應商特定負載:思科 — 花崗岩 *1911年11月11日19:30:34.833:IKEv2:構建通知負載:SET_WINDOWS_SIZE *1911年11月11日19:30:34.833:IKEv2:構建通知負載:ESP_TFC_NO_SUPPORT *1911年11月11日19:30:34.833:IKEv2:構建通知負載:NON_FIRST_FRAGS
|
Router 2建立對它從Router 1接收的IKE_AUTH封包的回應。此回應封包包含:ISAKMP報頭(SPI/版本/標誌)、IDr(響應方標識)、AUTH負載、SAr2(啟動SA — 類似於在IKEv1中進行階段2轉換集交換),以及TSi和TSr(發起方和響應方流量選擇器)。 它們分別包含用於轉發/接收加密流量的發起方和響應方的源地址和目的地址。地址範圍指定所有進出該範圍的流量都通過隧道傳輸。這些引數與從ASA1接收的引數相同。 |
|
*1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):下一個負載:ENCR,版本:2.0交換型別:IKE_AUTH,標誌:RESPONDER MSG-RESPONSE消息ID:1,長度:252 負載內容: ENCR下一個負載:VID,保留:0x0,長度:224 *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:AUTH_DONE事件:EV_OK *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):操作:Action_Null *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:AUTH_DONE事件:EV_PKI_SESH_CLOSE *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):關閉PKI會話 *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:AUTH_DONE事件:EV_UPDATE_CAC_STATS *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:AUTH_DONE事件:EV_INSERT_IKE *1911年11月11日19:30:34.834:IKEv2:儲存mib索引ikev2 1,平台60 *1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:AUTH_DONE事件:EV_GEN_LOAD_IPSEC *1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):排隊的非同步請求 *1911年11月11日19:30:34.834:IKEv2:(SA ID = 1): *1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState: AUTH_DONE事件:EV_NO_EVENT
|
響應方傳送IKE_AUTH的響應。 |
<------------------------------------Responder sent IKE_AUTH---------------------------- |
發起方從響應方接收響應。 |
*1911年11月11日19:30:34.834:IKEv2:從排程程式獲取資料包
*1911年11月11日19:30:34.834:IKEv2:處理pak隊列中的專案
|
*1911年11月11日19:30:34.840:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:AUTH_DONE事件:EV_OK_RECD_LOAD_IPSEC *1911年11月11日19:30:34.840:IKEv2:(SA ID = 1):操作:Action_Null *1911年11月11日19:30:34.840:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:AUTH_DONE事件:EV_START_ACCT *1911年11月11日19:30:34.840:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:AUTH_DONE事件:EV_CHECK_DUPE *1911年11月11日19:30:34.840:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:AUTH_DONE事件:EV_CHK4角色
|
響應方在SAD中插入一個條目。 |
Router 1會驗證並處理此封包中的驗證資料。然後,Router 1將此SA插入其SAD。 |
*1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):下一個負載:ENCR,版本:2.0交換型別: IKE_AUTH,標誌:RESPONDER MSG-RESPONSE消息ID:1,長度:252 負載內容:
*1911年11月11日19:30:34.834:IKEv2:分析供應商特定負載:(自定義)VID下一負載:IDr.,保留:0x0,長度:20 IDr。下一個負載:AUTH,保留:0x0,長度:12 Id型別:IPv4地址,保留:0x0 0x0 AUTH Next payload:SA,保留:0x0,長度:28 身份驗證方法PSK,已保留:0x0,保留0x0 SA下一個負載:TSi,保留:0x0,長度:40 上次提議:0x0,保留:0x0,長度:36 建議:1,協定id:ESP、SPI大小:4, #trans:3上次轉換:0x3,保留:0x0:長度:8 type:1,保留:0x0,id:3DES 上次轉換:0x3,保留:0x0:長度:8 type:3,保留:0x0,id:SHA96 上次轉換:0x0,保留:0x0:長度:8 type:5,保留:0x0,id:不使用ESN TSi下一個負載:TSr,保留:0x0,長度:24 TS數:1,保留0x0,保留0x0 TS型別:TS_IPV4_ADDR_RANGE,原始ID:0,長度:16 啟動埠:0,終端埠:65535 start addr:0.0.0.0,結束地址:255.255.255.255 TSr Next負載:NOTIFY,保留:0x0,長度:24 TS數:1,保留0x0,保留0x0 TS型別:TS_IPV4_ADDR_RANGE,原始ID:0,長度:16 啟動埠:0,終端埠:65535 start addr:0.0.0.0,結束地址:255.255.255.255
*1911年11月11日19:30:34.834:IKEv2:分析通知負載:SET_WINDOW_SIZE NOTIFY(SET_WINDOW_SIZE)下一個負載:NOTIFY,保留:0x0,長度:12 安全協定ID:IKE,spi大小:0,型別:SET_WINDOWS_SIZE
*1911年11月11日19:30:34.834:IKEv2:分析通知負載:ESP_TFC_NO_SUPPORT NOTIFY(ESP_TFC_NO_SUPPORT)下一個負載:NOTIFY,保留:0x0,長度:8 安全協定ID:IKE,spi大小:0,型別:ESP_TFC_NO_SUPPORT
*1911年11月11日19:30:34.834:IKEv2:分析通知負載:NON_FIRST_FRAGS NOTIFY(NON_FIRST_FRAGS)下一負載:無,保留:0x0,長度:8 安全協定ID:IKE,spi大小:0,型別:NON_FIRST_FRAGS
*1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_WAIT_AUTH事件:EV_RECV_AUTH *1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):操作:Action_Null *1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_PROC_AUTH事件:EV_CHK4_NOTIFY *1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_PROC_AUTH事件:EV_PROC_MSG *1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_PROC_AUTH事件:EV_CHK_IF_PEER_CERT_NEEDS_TO_BE_FETCHED_FOR_PROF_SEL *1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_PROC_AUTH事件:EV_GET_POLICY_BY_PEERID *1911年11月11日19:30:34.834:IKEv2:將建議PHASE1-prop新增到工具包策略 *1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):使用IKEv2配置檔案「IKEV2-SETUP」 *1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_PROC_AUTH事件:EV_VERIFY_POLICY_BY_PEERID *1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_PROC_AUTH事件:EV_CHK_AUTH_TYPE *1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_PROC_AUTH事件:EV_GET_PRESHR_KEY *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_PROC_AUTH事件:EV_VERIFY_AUTH *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_PROC_AUTH事件:EV_CHK_EAP *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_PROC_AUTH事件:EV_NOTIFY_AUTH_DONE *1911年11月11日19:30:34.835:IKEv2:未配置AAA組授權 *1911年11月11日19:30:34.835:IKEv2:未配置AAA使用者授權 *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_PROC_AUTH事件:EV_CHK_CONFIG_MODE *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_PROC_AUTH事件:EV_CHK4_IC *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_PROC_AUTH事件:EV_CHK_IKE_ONLY *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_PROC_AUTH事件:EVPROC_SA_TS *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:AUTH_DONE事件:EV_OK *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):操作:Action_Null *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:AUTH_DONE事件:EV_PKI_SESH_CLOSE *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):關閉PKI會話 *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:AUTH_DONE事件:EV_UPDATE_CAC_STATS *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:AUTH_DONE事件:EV_INSERT_IKE *1911年11月11日19:30:34.835:IKEv2:儲存mib索引ikev2 1,平台60 *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:AUTH_DONE事件:EV_GEN_LOAD_IPSEC *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):排隊的非同步請求
*1911年11月11日19:30:34.835:IKEv2:(SA ID = 1): *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:AUTH_DONE事件:EV_NO_EVENT *1911年11月11日19:30:34.835:已使用IKEv2:KMI消息8。未採取任何操作。 *1911年11月11日19:30:34.835:已使用IKEv2:KMI消息12。未採取任何操作。 *1911年11月11日19:30:34.835:IKEv2:在模式配置集中沒有要傳送的資料。 *1911年11月11日19:30:34.841:IKEv2:為會話8新增與SPI 0x9506D414關聯的ident控制代碼0x80000002
*1911年11月11日19:30:34.841:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:AUTH_DONE事件:EV_OK_RECD_LOAD_IPSEC *1911年11月11日19:30:34.841:IKEv2:(SA ID = 1):操作:Action_Null *1911年11月11日19:30:34.841:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:AUTH_DONE事件:EV_START_ACCT *1911年11月11日19:30:34.841:IKEv2:(SA ID = 1):無需記帳 *1911年11月11日19:30:34.841:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:AUTH_DONE事件:EV_CHECK_DUPE *1911年11月11日19:30:34.841:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState: AUTH_DONE事件:EV_CHK4角色
|
|
發起程式上的隧道已啟動,狀態顯示READY。 |
*1911年11月11日19:30:34.841:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState: READYEvent:EV_CHK_IKE_ONLY *1911年11月11日19:30:34.841:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:READY事件:EV_I_OK
|
*11月11日19:30:34.840:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState: READYEvent:EV_R_OK *1911年11月11日19:30:34.840:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:READY事件:EV_NO_EVENT
|
響應器上的隧道已啟動。響應方隧道通常在發起方之前啟動。 |
CHILD_SA調試
此交換由單個請求/響應對組成,在IKEv1中稱為2階段。初始交換完成後,可以由IKE_SA的任一端啟動。
Router 1 CHILD_SA訊息說明 |
偵錯 |
Router 2 CHILD_SA訊息說明 |
路由器1啟動CHILD_SA交換。這是CREATE_CHILD_SA請求。CHILD_SA資料包通常包含:
- SA HDR(version.flags/exchange type)
- Nonce Ni(可選):如果將CHILD_SA建立為初始交換的一部分,則不得傳送第二個KE有效負載和nonce)
- SA負載
- KEi(Key-optional):CREATE_CHILD_SA請求可以選擇包含用於附加DH交換的KE負載,從而為CHILD_SA啟用更強的前向保密保證。如果SA提供包括不同的DH組,則KEi必須是發起方期望響應方接受的組的元素。如果它猜測錯誤,則CREATE_CHILD_SA交換將失敗,並且它可以使用不同的KEi重試
- N(通知負載 — 可選)。 通知負載用於將資訊資料(例如錯誤條件和狀態轉換)傳輸到IKE對等體。通知負載可以出現在響應消息(通常它指定請求被拒絕的原因)、資訊交換(報告不在IKE請求中的錯誤)或任何其他消息中,以指示傳送者功能或修改請求的含義。如果此CREATE_CHILD_SA交換重新生成除IKE_SA之外的現有SA的金鑰,REKEY_SA型別的前N個負載必須標識要重新生成金鑰的SA。如果此CREATE_CHILD_SA交換不對現有SA重新建立金鑰,則必須省略N負載。
|
*1911年11月11日19:31:35.873:IKEv2:從排程程式獲取資料包
*1911年11月11日19:31:35.873:IKEv2:處理pak隊列中的專案
*1911年11月11日19:31:35.873:IKEv2:(SA ID = 2):請求具有mess_id 3;預計3至7
*1911年11月11日19:31:35.873:IKEv2:(SA ID = 2):下一個負載:ENCR,版本:2.0 Exchange型別:CREATE_CHILD_SA,標誌:啟動器消息ID:3,長度:396 負載內容: SA下一個負載:N,保留:0x0,長度:152 上次提議:0x0,保留:0x0,長度:148 建議:1,協定id:IKE,SPI大小:8, #trans:上次轉換15次:0x3,保留:0x0:長度:12 type:1,保留:0x0,id:AES-CBC 上次轉換:0x3,保留:0x0:長度:12 type:1,保留:0x0,id:AES-CBC 上次轉換:0x3,保留:0x0:長度:12 type:1,保留:0x0,id:AES-CBC 上次轉換:0x3,保留:0x0:長度:8 type:2,保留:0x0,id:SHA512 上次轉換:0x3,保留:0x0:長度:8 type:2,保留:0x0,id:SHA384 上次轉換:0x3,保留:0x0:長度:8 type:2,保留:0x0,id:SHA256 上次轉換:0x3,保留:0x0:長度:8 type:2,保留:0x0,id:SHA1 上次轉換:0x3,保留:0x0:長度:8 type:2,保留:0x0,id:MD5 上次轉換:0x3,保留:0x0:長度:8 type:3,保留:0x0,id:SHA512 上次轉換:0x3,保留:0x0:長度:8 type:3,保留:0x0,id:SHA384 上次轉換:0x3,保留:0x0:長度:8 type:3,保留:0x0,id:SHA256 上次轉換:0x3,保留:0x0:長度:8 type:3,保留:0x0,id:SHA96 上次轉換:0x3,保留:0x0:長度:8 type:3,保留:0x0,id:MD596 上次轉換:0x3,保留:0x0:長度:8 type:4,保留:0x0,id:DH_GROUP_1536_MODP/組5 上次轉換:0x0,保留:0x0:長度:8 type:4,保留:0x0,id:DH_GROUP_1024_MODP/組2 N 下一個負載:KE,保留:0x0,長度:24 KE下一個負載:NOTIFY,保留:0x0,長度:136 DH組:2,保留:0x0
*1911年11月11日19:31:35.874:IKEv2:分析通知負載:SET_WINDOW_SIZE NOTIFY(SET_WINDOW_SIZE)下一個負載:無,保留:0x0,長度:12 安全協定ID:IKE,spi大小:0,型別:SET_WINDOWS_SIZE
*1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:就緒事件:EV_RECV_CREATE_CHILD *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):操作:Action_Null *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_INIT事件:EV_RECV_CREATE_CHILD *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):操作:Action_Null *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_INIT事件:EV_VERIFY_MSG *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_INIT事件:EV_CHK_CC_TYPE *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_IKE事件:EV_REKEY_IKESA *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_IKE事件:EV_GET_IKE_POLICY *1911年11月11日19:31:35.874:IKEv2:% 按地址10.0.0.2獲取預共用金鑰 *1911年11月11日19:31:35.874:IKEv2:%按地址10.0.0.2獲取預共用金鑰 *1911年11月11日19:31:35.874:IKEv2:將建議PHASE1-prop新增到工具包策略 *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):使用IKEv2配置檔案「IKEV2-SETUP」 *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_IKE事件:EV_PROC_MSG *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_IKE事件:EV_SET_POLICY *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):設定已配置的策略 *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_BLD_MSG事件:EV_GEN_DH_KEY *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_BLD_MSG事件:EV_NO_EVENT *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_BLD_MSG事件:EV_OK_RECD_DH_PUBKEY_RESP *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):操作:Action_Null *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_BLD_MSG事件:EV_GEN_DH_SECRET *1911年11月11日19:31:35.881:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_BLD_MSG事件:EV_NO_EVENT *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_BLD_MSG事件:EV_OK_RECD_DH_SECRET_RESP *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):操作:Action_Null *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_BLD_MSG事件:EV_BLD_MSG *11月11日19:31:35.882:IKEv2:ConstructNotify負載:SET_WINDOWS_SIZE 負載內容: SA下一個負載:N,保留:0x0,長度:56 上次提議:0x0,保留:0x0,長度:52 建議:1,協定id:IKE,SPI大小:8, #trans:4上次轉換:0x3,保留:0x0:長度:12 type:1,保留:0x0,id:AES-CBC 上次轉換:0x3,保留:0x0:長度:8 type:2,保留:0x0,id:SHA1 上次轉換:0x3,保留:0x0:長度:8 type:3,保留:0x0,id:SHA96 上次轉換:0x0,保留:0x0:長度:8 type:4,保留:0x0,id:DH_GROUP_1024_MODP/組2 N 下一個負載:KE,保留:0x0,長度:24 KE下一個負載:NOTIFY,保留:0x0,長度:136 DH組:2,保留:0x0 NOTIFY(SET_WINDOW_SIZE)下一個負載:無,保留:0x0,長度:12 安全協定ID:IKE,spi大小:0,型別:SET_WINDOWS_SIZE
|
|
|
*1911年11月11日19:31:35.869:IKEv2:(SA ID = 2):下一個負載:ENCR,版本:2.0 Exchange型別:CREATE_CHILD_SA,標誌:INITIATOR消息id:2,長度:460 負載內容: ENCR下一個負載:SA,保留:0x0,長度:432
*1911年11月11日19:31:35.873:IKEv2:構建通知負載:SET_WINDOWS_SIZE 負載內容: SA下一個負載:N,保留:0x0,長度:152 上次提議:0x0,保留:0x0,長度:148 建議:1,協定id:IKE,SPI大小:8, #trans:上次轉換15次:0x3,保留:0x0:長度:12 type:1,保留:0x0,id:AES-CBC 上次轉換:0x3,保留:0x0:長度:12 type:1,保留:0x0,id:AES-CBC 上次轉換:0x3,保留:0x0:長度:12 type:1,保留:0x0,id:AES-CBC 上次轉換:0x3,保留:0x0:長度:8 type:2,保留:0x0,id:SHA512 上次轉換:0x3,保留:0x0:長度:8 type:2,保留:0x0,id:SHA384 上次轉換:0x3,保留:0x0:長度:8 type:2,保留:0x0,id:SHA256 上次轉換:0x3,保留:0x0:長度:8 type:2,保留:0x0,id:SHA1 上次轉換:0x3,保留:0x0:長度:8 type:2,保留:0x0,id:MD5 上次轉換:0x3,保留:0x0:長度:8 type:3,保留:0x0,id:SHA512 上次轉換:0x3,保留:0x0:長度:8 type:3,保留:0x0,id:SHA384 上次轉換:0x3,保留:0x0:長度:8 type:3,保留:0x0,id:SHA256 上次轉換:0x3,保留:0x0:長度:8 type:3,保留:0x0,id:SHA96 上次轉換:0x3,保留:0x0:長度:8 type:3,保留:0x0,id:MD596 上次轉換:0x3,保留:0x0:長度:8 type:4,保留:0x0,id:DH_GROUP_1536_MODP/組5 上次轉換:0x0,保留:0x0:長度:8 type:4,保留:0x0,id:DH_GROUP_1024_MODP/組2 N 下一個負載:KE,保留:0x0,長度:24 KE下一個負載:NOTIFY,保留:0x0,長度:136 DH組:2,保留:0x0 NOTIFY(SET_WINDOW_SIZE)下一個負載:無,保留:0x0,長度:12 安全協定ID:IKE,spi大小:0,型別:SET_WINDOWS_SIZE
|
Router 2會收到此封包。 |
|
*1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):下一個負載:ENCR,版本:2.0 Exchange型別:CREATE_CHILD_SA,標誌:響應方MSG-RESPONSE消息id:3,長度:300 負載內容: SA下一個負載:N,保留:0x0,長度:56 上次提議:0x0,保留:0x0,長度:52 建議:1,協定id:IKE,SPI大小:8, #trans:4上次轉換:0x3,保留:0x0:長度:12 type:1,保留:0x0,id:AES-CBC 上次轉換:0x3,保留:0x0:長度:8 type:2,保留:0x0,id:SHA1 上次轉換:0x3,保留:0x0:長度:8 type:3,保留:0x0,id:SHA96 上次轉換:0x0,保留:0x0:長度:8 type:4,保留:0x0,id:DH_GROUP_1024_MODP/組2 N 下一個負載:KE,保留:0x0,長度:24 KE下一個負載:NOTIFY,保留:0x0,長度:136 DH組:2,保留:0x0
*1911年11月11日19:31:35.882:IKEv2:分析通知負載:SET_WINDOW_SIZE NOTIFY(SET_WINDOW_SIZE)下一個負載:無,保留:0x0,長度:12 安全協定ID:IKE,spi大小:0,型別:SET_WINDOWS_SIZE
*1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState: CHILD_I_WAIT Event: EV_RECV_CREATE_CHILD *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):操作:Action_Null *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState: CHILD_I_PROC事件:EV_CHK4_NOTIFY *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState:CHILD_I_PROC事件:EV_VERIFY_MSG *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState:CHILD_I_PROC事件:EV_PROC_MSG *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState:CHILD_I_PROC事件:EV_CHK4_PFS *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState:CHILD_I_PROC事件:EV_GEN_DH_SECRET *1911年11月11日19:31:35.890:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState:CHILD_I_PROC事件:EV_NO_EVENT *1911年11月11日19:31:35.890:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState:CHILD_I_PROC事件:EV_OK_RECD_DH_SECRET_RESP *1911年11月11日19:31:35.890:IKEv2:(SA ID = 2):操作:Action_Null *1911年11月11日19:31:35.890:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState:CHILD_I_PROC事件:EV_CHK_IKE_REKEY *1911年11月11日19:31:35.890:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState:CHILD_I_PROC事件:EV_GEN_SKYID *1911年11月11日19:31:35.890:IKEv2:(SA ID = 2):生成金鑰ID *1911年11月11日19:31:35.890:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState: CHILD_I_DONE Event: EV_ACTIVATE_NEW_SA *1911年11月11日19:31:35.890:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState:CHILD_I_DONE事件:EV_UPDATE_CAC_STATS *1911年11月11日19:31:35.890:IKEv2:啟用新的ikev2 sa請求 *1911年11月11日19:31:35.890:IKEv2:無法減少傳出協商的計數 *1911年11月11日19:31:35.890:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState:CHILD_I_DONE事件:EV_CHECK_DUPE *1911年11月11日19:31:35.890:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState:CHILD_I_DONE事件:EV_OK *1911年11月11日19:31:35.890:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState:EXIT事件:EV_CHK_PENDING *1911年11月11日19:31:35.890:IKEv2:(SA ID = 2):已處理消息ID為3的響應,請求可以從4至8傳送 *1911年11月11日19:31:35.890:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 0000003 CurState:EXIT事件:EV_NO_EVENT
|
現在,Router 2會為CHILD_SA交換建立應答。這是CREATE_CHILD_SA響應。CHILD_SA資料包通常包含:
- SA HDR(version.flags/exchange type)
- Nonce Ni(可選):如果將CHILD_SA建立為初始交換的一部分,則不得傳送第二個KE負載和子網。
- SA負載
- KEi(Key-optional):CREATE_CHILD_SA請求可以選擇包含用於附加DH交換的KE負載,從而為CHILD_SA啟用更強的前向保密保證。如果SA提供包括不同的DH組,則KEi必須是發起方期望響應方接受的組的元素。如果它猜測錯誤,CREATE_CHILD_SA交換將失敗,並且它必須使用不同的KEi重試。
- N(通知負載 — 可選):通知負載用於將資訊資料(例如錯誤條件和狀態轉換)傳輸到IKE對等體。通知負載可以出現在響應消息(通常它指定請求被拒絕的原因)、資訊交換(報告不在IKE請求中的錯誤)或任何其他消息中,以指示傳送者功能或修改請求的含義。如果此CREATE_CHILD_SA交換正在重新生成除IKE_SA之外的現有SA的金鑰,REKEY_SA型別的前N個負載必須標識正在重新生成金鑰的SA。如果此CREATE_CHILD_SA交換不對現有SA重新建立金鑰,則必須省略N負載。
Router 2將回應發出並完成新子SA的啟用。 |
路由器1收到來自路由器2的響應資料包,並完成啟用CHILD_SA。 |
*1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):下一個負載:ENCR,版本:2.0 Exchange型別: CREATE_CHILD_SA,標誌:RESPONDER MSG-RESPONSE消息id:3,長度:300 負載內容: ENCR下一個負載:SA,保留:0x0,長度:272
*1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_BLD_MSG事件:EV_CHK_IKE_REKEY *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_BLD_MSG事件:EV_GEN_SKYID *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):生成金鑰ID *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_DONE事件:EV_ACTIVATE_NEW_SA *1911年11月11日19:31:35.882:IKEv2:儲存mib索引ikev2 3,平台62 *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_DONE事件:EV_UPDATE_CAC_STATS *1911年11月11日19:31:35.882:IKEv2:啟用新的ikev2 sa請求 *1911年11月11日19:31:35.882:IKEv2:無法減少傳入協商的計數 *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState: CHILD_R_DONE事件:EV_CHECK_DUPE *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_DONE事件:EV_OK *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_DONE事件:EV_START_DEL_NEG_TMR *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):操作:Action_Null *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:EXIT事件:EV_CHK_PENDING *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):已傳送消息ID為3的響應,可以接受範圍從4到8的請求 *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 0000003 CurState:EXIT事件:EV_NO_EVENT
|
|
通道驗證
ISAKMP
指令
show crypto ikev2 sa detailed
Router 1輸出
Router1#show crypto ikev2 sa detailed
IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
1 10.0.0.1/500 10.0.0.2/500 none/none READY
Encr: AES-CBC, keysize: 128,
Hash: SHA96, DH Grp:2,
Auth sign: PSK, Auth verify: PSK
Life/Active Time: 120/10 sec
CE id: 1006, Session-id: 4
Status Description: Negotiation done
Local spi: E58F925107F8B73F Remote spi: AFD098F4147869DA
Local id: 10.0.0.1
Remote id: 10.0.0.2
Local req msg id: 2 Remote req msg id: 0
Local next msg id: 2 Remote next msg id: 0
Local req queued: 2 Remote req queued: 0
Local window: 5 Remote window: 5
DPD configured for 0 seconds, retry 0
NAT-T is not detected
Cisco Trust Security SGT is disabled
Initiator of SA : Yes
路由器2輸出
Router2#show crypto ikev2 sa detailed
IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
2 10.0.0.2/500 10.0.0.1/500 none/none READY
Encr: AES-CBC, keysize: 128, Hash: SHA96,
DH Grp:2, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 120/37 sec
CE id: 1006, Session-id: 4
Status Description: Negotiation done
Local spi: AFD098F4147869DA Remote spi: E58F925107F8B73F
Local id: 10.0.0.2
Remote id: 10.0.0.1
Local req msg id: 0 Remote req msg id: 2
Local next msg id: 0 Remote next msg id: 2
Local req queued: 0 Remote req queued: 2
Local window: 5 Remote window: 5
DPD configured for 0 seconds, retry 0
NAT-T is not detected
Cisco Trust Security SGT is disabled
Initiator of SA : No
IPsec
指令
show crypto ipsec sa
附註:與IKEv1不同,在此輸出中,PFS DH組值顯示為「PFS(Y/N):否,DH組:在第一次通道交涉期間無」,但在重新設定金鑰後,會顯示正確的值。這不是錯誤,即使此行為已在Cisco錯誤ID CSCug67056中說明。(只有已註冊的思科使用者才能存取內部思科工具或資訊。)
IKEv1和IKEv2之間的區別在於,在後一種情況下,子SA是作為身份驗證交換本身的一部分而建立的。在加密對映下配置的DH組僅在重新生成金鑰期間使用。因此,您將看到「PFS(Y/N):否,DH組:直到第一次重新生成金鑰。
使用IKEv1時,您會看到不同的行為,因為子SA建立發生在快速模式期間,而CREATE_CHILD_SA消息具有攜帶金鑰交換有效載荷的設定,該有效載荷指定DH引數以派生新的共用金鑰。
Router 1輸出
Router1#show crypto ipsec sa
interface: Tunnel0
Crypto map tag: Tunnel0-head-0,
local addr 10.0.0.1
protected vrf: (none)
local ident (addr/mask/prot/port):
(0.0.0.0/0.0.0.0/256/0)
remote ident (addr/mask/prot/port):
(0.0.0.0/0.0.0.0/256/0)
current_peer 10.0.0.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 10, #pkts encrypt:
10, #pkts digest: 10
#pkts decaps: 10, #pkts decrypt:
10, #pkts verify: 10
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.0.0.1,
remote crypto endpt.: 10.0.0.2
path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
current outbound spi: 0xF6083ADD(4127734493)
PFS (Y/N): N, DH group: none
inbound esp sas:
spi: 0x6B74CB79(1802816377)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 18, flow_id: SW:18,
sibling_flags 80000040,
crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec):
(4276853/3592)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xF6083ADD(4127734493)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 17, flow_id: SW:17,
sibling_flags 80000040,
crypto map: Tunnel0-head-0
sa timing: remaining key
lifetime (k/sec): (4276853/3592)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
outbound ah sas:
outbound pcp sas:
路由器2輸出
Router2#show crypto ipsec sa
interface: Tunnel0
Crypto map tag: Tunnel0-head-0, local addr 10.0.0.2
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/256/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/256/0)
current_peer 10.0.0.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
#pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.0.0.2,
remote crypto endpt.: 10.0.0.1
path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
current outbound spi: 0x6B74CB79(1802816377)
PFS (Y/N): N, DH group: none
inbound esp sas:
spi: 0xF6083ADD(4127734493)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 17, flow_id: SW:17,
sibling_flags 80000040,
crypto map: Tunnel0-head-0
sa timing: remaining key lifetime
(k/sec): (4347479/3584)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x6B74CB79(1802816377)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 18, flow_id: SW:18,
sibling_flags 80000040,
crypto map: Tunnel0-head-0
sa timing: remaining key
lifetime (k/sec): (4347479/3584)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
outbound ah sas:
outbound pcp sas:
您也可以在兩台路由器上檢查show crypto session命令的輸出;此輸出將隧道會話狀態顯示為UP-ACTIVE。
Router1#show crypto session
Crypto session current status
Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 10.0.0.2 port 500
IKEv2 SA: local 10.0.0.1/500 remote 10.0.0.2/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
Router2#show cry session
Crypto session current status
Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 10.0.0.1 port 500
IKEv2 SA: local 10.0.0.2/500 remote 10.0.0.1/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
相關資訊