使用PSK的站點到站點VPN的IOS IKEv2調試故障排除

下載選項

  • PDF     (556.2 KB)
    在多種裝置上使用 Adobe Reader 檢視
已更新: 2023 年 4 月 12 日
文件 ID:115934

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本檔案介紹使用非共用金鑰(PSK)時,Cisco IOS®上的網際網路金鑰交換版本2(IKEv2)偵錯。

    必要條件

    需求

    思科建議您瞭解IKEv2的資料包交換。有關詳細資訊,請參閱IKEv2資料包交換和協定級別調試

    採用元件

    本文中的資訊係根據以下軟體和硬體版本:

    • 網際網路金鑰交換版本2(IKEv2)
    • Cisco IOS 15.1(1)T或更高版本

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    慣例

    如需文件慣例的詳細資訊,請參閱思科技術提示慣例。

    背景資訊

    本文提供如何在組態中轉譯特定偵錯行的資訊。

    核心問題

    IKEv2中的資料包交換與IKEv1中的資料包交換截然不同。在IKEv1中,有一個明確的階段1交換,由六(6)個資料包組成,之後有一個階段2交換,由三(3)個資料包組成;ikev2交換是可變的。有關差異的詳細資訊以及資料包交換的說明,請再次參閱IKEv2資料包交換和協定級別調試

    路由器配置

    本節列出本文檔中使用的配置。

    路由器1

    interface Loopback0
     ip address 192.168.1.1 255.255.255.0
    !
    interface Tunnel0
     ip address 172.16.0.101 255.255.255.0
     tunnel source Ethernet0/0
     tunnel mode ipsec ipv4
     tunnel destination 10.0.0.2
     tunnel protection ipsec profile phse2-prof
    !
    interface Ethernet0/0
     ip address 10.0.0.1 255.255.255.0

    crypto ikev2 proposal PHASE1-prop
     encryption 3des aes-cbc-128
     integrity sha1
     group 2
    !
    crypto ikev2 policy site-pol
     proposal PHASE1-prop
    !
    crypto ikev2 keyring KEYRNG
     peer peer1
      address 10.0.0.2 255.255.255.0
      hostname host1
      pre-shared-key local cisco
      pre-shared-key remote cisco
     !
    crypto ikev2 profile IKEV2-SETUP
     match identity remote address 0.0.0.0
     authentication remote pre-share
     authentication local pre-share
     keyring local KEYRNG
     lifetime 120
    !
    crypto ipsec transform-set TS esp-3des esp-sha-hmac
    !
    crypto ipsec profile phse2-prof
     set transform-set TS
     set ikev2-profile IKEV2-SETUP
    !
    ip route 0.0.0.0 0.0.0.0 10.0.0.2
    ip route 192.168.2.1 255.255.255.255 Tunnel0

    路由器2

    crypto ikev2 proposal PHASE1-prop
     encryption 3des aes-cbc-128
     integrity sha1
     group 2
    !
    crypto ikev2 keyring KEYRNG
     peer peer2
      address 10.0.0.1 255.255.255.0
      hostname host2
      pre-shared-key local cisco
      pre-shared-key remote cisco
     !
    crypto ikev2 profile IKEV2-SETUP
     match identity remote address 0.0.0.0
     authentication remote pre-share
     authentication local pre-share
     keyring local KEYRNG
     lifetime 120
    !
    crypto ipsec transform-set TS esp-3des esp-sha-hmac
    !
    !
    crypto ipsec profile phse2-prof
     set transform-set TS
     set ikev2-profile IKEV2-SETUP
    !
    interface Loopback0
     ip address 192.168.2.1 255.255.255.0
    !
    interface Ethernet0/0
     ip address 10.0.0.2 255.255.255.0
    !
    interface Tunnel0
     ip address 172.16.0.102 255.255.255.0
     tunnel source Ethernet0/0
     tunnel mode ipsec ipv4
     tunnel destination 10.0.0.1
     tunnel protection ipsec profile phse2-prof
    !
    ip route 0.0.0.0 0.0.0.0 10.0.0.1
    ip route 192.168.1.1 255.255.255.255 Tunnel0

    疑難排解

    路由器調試

    本檔案中使用了以下debug指令:

    deb crypto ikev2 packet
    deb crypto ikev2 internal
    Router 1(Initiator)消息說明 偵錯 Router 2(Responder)消息說明
    路由器1收到與對等ASA 10.0.0.2的加密acl匹配的資料包。啟動SA建立

    *11月11日20:28:34.003:IKEv2:從排程程式獲取資料包
    *11月11日20:28:34.003:IKEv2:處理pak隊列中的專案
    *1911年11月11日19:30:34.811:IKEv2:%按地址10.0.0.2獲取預共用金鑰
    *1911年11月11日19:30:34.811:IKEv2:將建議PHASE1-prop新增到工具包策略
    *1911年11月11日19:30:34.811:IKEv2:(1):選擇IKE配置檔案IKEV2-SETUP
    *1911年11月11日19:30:34.811:IKEv2:已允許新的ikev2 sa請求
    *1911年11月11日19:30:34.811:IKEv2:將傳出協商sa計數增加1

    第一對消息是IKE_SA_INIT交換。這些消息協商加密演算法、交換金鑰並執行Diffie-Hellman交換。

    相關配置: crypto ikev2建議PHASE1-prop encryption 3des aes-cbc-128 integrity sha1組2crypto ikev2 keyring KEYRNG peer1 address 10.0.0.2 255.255.255.0 hostname host1 pre-shared-key local cisco pre-shared-key remote cisco

    		 *1911年11月11日19:30:34.811:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000(I)MsgID = 00000000 CurState:IDLE事件:EV_INIT_SA
    *1911年11月11日19:30:34.811:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000(I)MsgID = 00000000 CurState:I_BLD_INIT事件:EV_GET_IKE_POLICY
    *1911年11月11日19:30:34.811:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000(I)MsgID = 00000000 CurState:I_BLD_INIT事件:EV_SET_POLICY
    *1911年11月11日19:30:34.811:IKEv2:(SA ID = 1):設定配置的策略
    *1911年11月11日19:30:34.811:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000(I)MsgID = 00000000 CurState:I_BLD_INIT事件:EV_CHK_AUTH4PKI
    *1911年11月11日19:30:34.811:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000(I)MsgID = 00000000 CurState:I_BLD_INIT事件:EV_GEN_DH_KEY
    *1911年11月11日19:30:34.811:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000(I)MsgID = 00000000 CurState:I_BLD_INIT事件:EV_NO_EVENT
    *1911年11月11日19:30:34.811:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000(I)MsgID = 00000000 CurState:I_BLD_INIT事件:EV_OK_RECD_DH_PUBKEY_RESP
    *1911年11月11日19:30:34.811:IKEv2:(SA ID = 1):操作:Action_Null
    *1911年11月11日19:30:34.811:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000(I)MsgID = 00000000 CurState:I_BLD_INIT事件:EV_GET_CONFIG模式
    *1911年11月11日19:30:34.811:IKEv2:IKEv2啟動器 — 沒有要在IKE_SA_INIT exch中傳送的配置資料
    *1911年11月11日19:30:34.811:IKEv2:沒有配置資料傳送到工具包:
    *1911年11月11日19:30:34.811:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000(I)MsgID = 00000000 CurState:I_BLD_INIT事件:EV_BLD_MSG
    *1911年11月11日19:30:34.811:IKEv2:構建供應商特定負載:DELETE原因
    *1911年11月11日19:30:34.811:IKEv2:構建供應商特定負載:(自定義)
    *1911年11月11日19:30:34.811:IKEv2:構建通知負載:NAT_DETECTION_SOURCE_IP
    *1911年11月11日19:30:34.811:IKEv2:構建通知負載:NAT_DETECTION_DESTINATION_IP
    正在生成IKE_INIT_SA資料包的啟動器。它包含:ISAKMP Header(SPI/version/flags)、SAi1(IKE發起程式支援的加密演算法)、KEi(發起程式的DH公鑰值)和N(發起程式編號)。 *11月11日19:30:34.811:IKEv2:(SA ID = 1):下一個負載:SA,版本:2.0 Exchange型別: IKE_SA_INIT,標誌: INITIATOR消息id:0,長度:344 
    負載內容: 
    SA下一個負載:KE,保留:0x0,長度:56
      上次提議:0x0,保留:0x0,長度:52
      建議:1,協定id:IKE,SPI大小:0, #trans:5上次轉換:0x3,保留:0x0:長度:8
        type:1,保留:0x0,id:3DES
        上次轉換:0x3,保留:0x0:長度:12
        type:1,保留:0x0,id:AES-CBC
        上次轉換:0x3,保留:0x0:長度:8
        type:2,保留:0x0,id:SHA1
        上次轉換:0x3,保留:0x0:長度:8
        type:3,保留:0x0,id:SHA96
        上次轉換:0x0,保留:0x0:長度:8
        type:4,保留:0x0,id:DH_GROUP_1024_MODP/組2
    KE下一個負載:N,保留:0x0,長度:136
        DH組:2,保留:0x0
     N下一個負載:VID,保留:0x0,長度:24
     VID下一負載:VID,保留:0x0,長度:23
     VID下一負載:NOTIFY,保留:0x0,長度:21
     NOTIFY(NAT_DETECTION_SOURCE_IP)下一個負載:NOTIFY,保留:0x0,長度:28
        安全協定ID:IKE,spi大小:0,型別:NAT_DETECTION_SOURCE_IP
     NOTIFY(NAT_DETECTION_DESTINATION_IP)下一個負載:無,保留:0x0,長度:28
        安全協定ID:IKE,spi大小:0,型別:NAT_DETECTION_DESTINATION_IP
    --------------------------------------Initiator sent IKE_INIT_SA ----------------------->

    *1911年11月11日19:30:34.814:IKEv2:從排程程式獲取資料包
    *1911年11月11日19:30:34.814:IKEv2:處理pak隊列中的專案
    *1911年11月11日19:30:34.814:IKEv2:已允許新的ikev2 sa請求
    *1911年11月11日19:30:34.814:IKEv2:傳入協商sa計數遞增1

    		 響應方接收IKE_INIT_SA。

    *1911年11月11日19:30:34.814:IKEv2:下一個負載:SA,版本:2.0交換型別:IKE_SA_INIT,標誌:啟動器消息ID:0,長度:344 
    負載內容: 
     SA下一個負載:KE,保留:0x0,長度:56
      上次提議:0x0,保留:0x0,長度:52
      建議:1,協定id:IKE,SPI大小:0, #trans:5上次轉換:0x3,保留:0x0:長度:8
        type:1,保留:0x0,id:3DES
        上次轉換:0x3,保留:0x0:長度:12
        type:1,保留:0x0,id:AES-CBC
        上次轉換:0x3,保留:0x0:長度:8
        type:2,保留:0x0,id:SHA1
        上次轉換:0x3,保留:0x0:長度:8
        type:3,保留:0x0,id:SHA96
        上次轉換:0x0,保留:0x0:長度:8
        type:4,保留:0x0,id:DH_GROUP_1024_MODP/組2
     KE下一個負載:N,保留:0x0,長度:136
        DH組:2,保留:0x0
     N下一個負載:VID,保留:0x0,長度:24

    *1911年11月11日19:30:34.814:IKEv2:分析供應商特定負載:CISCO-DELETE-REASON VID Next負載:VID,保留:0x0,長度:23
    *1911年11月11日19:30:34.814:IKEv2:分析供應商特定負載:(自定義)VID下一負載:NOTIFY,保留:0x0,長度:21
    *1911年11月11日19:30:34.814:IKEv2:分析通知負載:NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_SOURCE_IP)下一個負載:NOTIFY,保留:0x0,長度:28
        安全協定ID:IKE,spi大小:0,型別:NAT_DETECTION_SOURCE_IP
    *1911年11月11日19:30:34.814:IKEv2:分析通知負載:NAT_DETECTION_DESTINATION_IP NOTIFY(NAT_DETECTION_DESTINATION_IP)下一個負載:無,保留:0x0,長度:28
        安全協定ID:IKE,spi大小:0,型別:NAT_DETECTION_DESTINATION_IP

    		 響應方啟動該對等體的SA建立。

    *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:空閒事件:EV_RECV_INIT
    *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_INIT事件:EV_VERIFY_MSG
    *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_INIT事件:EV_INSERT_SA
    *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_INIT事件:EV_GET_IKE_POLICY
    *1911年11月11日19:30:34.814:IKEv2:將建議預設新增到工具包策略
    *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_INIT事件:EV_PROC_MSG
    *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_INIT事件:EV_DETECT_NAT
    *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):處理NAT發現通知
    *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):處理nat detect src notify
    *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):遠端地址匹配
    *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):處理nat檢測dst通知
    *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):匹配的本地地址
    *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):未找到NAT
    *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_INIT事件:EV_CHK_CONFIG_MODE
    *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_SET_POLICY
    *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):設定已配置的策略
    *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_CHK_AUTH4PKI
    *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_PKI_SESH_OPEN
    *1911年11月11日19:30:34.814:IKEv2:(SA ID = 1):開啟PKI會話
    *1911年11月11日19:30:34.815:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_GEN_DH_KEY
    *1911年11月11日19:30:34.815:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_NO_EVENT
    *1911年11月11日19:30:34.815:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_OK_RECD_DH_PUBKEY_RESP
    *1911年11月11日19:30:34.815:IKEv2:(SA ID = 1):操作:Action_Null
    *1911年11月11日19:30:34.815:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_GEN_DH_SECRET
    *1911年11月11日19:30:34.822:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_NO_EVENT
    *1911年11月11日19:30:34.822:IKEv2:% 按地址10.0.0.1獲取預共用金鑰
    *1911年11月11日19:30:34.822:IKEv2:將建議預設新增到工具包策略
    *1911年11月11日19:30:34.822:IKEv2:(2):選擇IKE配置檔案IKEV2-SETUP
    *1911年11月11日19:30:34.822:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_OK_RECD_DH_SECRET_RESP
    *1911年11月11日19:30:34.822:IKEv2:(SA ID = 1):操作:Action_Null
    *1911年11月11日19:30:34.822:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_GEN_SKEY ID
    *1911年11月11日19:30:34.822:IKEv2:(SA ID = 1):生成金鑰ID
    *1911年11月11日19:30:34.822:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_GET_CONFIG模式
    *1911年11月11日19:30:34.822:IKEv2:IKEv2響應器 — 沒有配置資料要在IKE_SA_INIT執行中傳送
    *1911年11月11日19:30:34.822:IKEv2:沒有配置資料傳送到工具包:
    *1911年11月11日19:30:34.822:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_BLD_MSG
    *1911年11月11日19:30:34.822:IKEv2:構建供應商特定負載:DELETE原因
    *1911年11月11日19:30:34.822:IKEv2:構建供應商特定負載:(自定義)
    *1911年11月11日19:30:34.822:IKEv2:構建通知負載:NAT_DETECTION_SOURCE_IP
    *1911年11月11日19:30:34.822:IKEv2:構建通知負載:NAT_DETECTION_DESTINATION_IP
    *1911年11月11日19:30:34.822:IKEv2:構建通知負載:HTTP_CERT_LOOKUP_SUPPORTED

    響應方驗證並處理IKE_INIT消息:(1)從發起方提供的加密套件中選擇加密套件,(2)計算自己的DH金鑰,以及(3)計算一個skey id值,從中可以匯出此IKE_SA的所有金鑰。後面的所有郵件除標頭外都經過加密和身份驗證。用於加密和完整性保護的金鑰源自SKYID,稱為:SK_e(加密)、SK_a(驗證)、SK_d被匯出並用於匯出CHILD_SA的進一步金鑰材料,並且為每個方向計算單獨的SK_e和SK_a。

    相關配置: crypto ikev2建議PHASE1-prop encryption 3des aes-cbc-128 integrity sha1組2 crypto ikev2 keyring KEYRNG peer2 address 10.0.0.1 255.255.0 hostname host2 pre-shared-key local cisco pre-shared-key remote cisco

    *1911年11月11日19:30:34.822:IKEv2:(SA ID = 1):下一個負載:SA,版本:2.0 Exchange型別: IKE_SA_INIT,標誌: RESPONDER MSG-RESPONSE消息id:0,長度:449 
    負載內容: 
     SA下一個負載:KE,保留:0x0,長度:48
      上次提議:0x0,保留:0x0,長度:44
      建議:1,協定id:IKE,SPI大小:0, #trans:4上次轉換:0x3,保留:0x0:長度:12
        type:1,保留:0x0,id:AES-CBC
        上次轉換:0x3,保留:0x0:長度:8
        type:2,保留:0x0,id:SHA1
        上次轉換:0x3,保留:0x0:長度:8
        type:3,保留:0x0,id:SHA96
        上次轉換:0x0,保留:0x0:長度:8
        type:4,保留:0x0,id:DH_GROUP_1024_MODP/組2
    KE下一個負載:N,保留:0x0,長度:136
        DH組:2,保留:0x0
     N 下一個負載:VID,保留:0x0,長度:24
     VID下一負載:VID,保留:0x0,長度:23
     VID下一負載:NOTIFY,保留:0x0,長度:21
     NOTIFY(NAT_DETECTION_SOURCE_IP)下一個負載:NOTIFY,保留:0x0,長度:28
        安全協定ID:IKE,spi大小:0,型別:NAT_DETECTION_SOURCE_IP
     NOTIFY(NAT_DETECTION_DESTINATION_IP)下一個負載:CERTREQ,保留:0x0,長度:28
        安全協定ID:IKE,spi大小:0,型別:NAT_DETECTION_DESTINATION_IP
     CERTREQ下一個負載:NOTIFY,保留:0x0,長度:105
        證書編碼PKIX的雜湊和URL
     NOTIFY(HTTP_CERT_LOOKUP_SUPPORTED)下一個負載:無,保留:0x0,長度:8
        安全協定ID:IKE,spi大小:0,型別:HTTP_CERT_LOOKUP_SUPPORTED

    		 Router 2會為ASA1接收的IKE_SA_INIT交換建立響應方消息。此資料包包含:ISAKMP報頭(SPI/版本/標誌)、SAr1(IKE響應方選擇的加密演算法)、KEr(響應方的DH公鑰值)和Responder Nonce。

    *1911年11月11日19:30:34.822:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:INIT_DONE事件:EV_DONE
    *1911年11月11日19:30:34.822:IKEv2:(SA ID = 1):已啟用思科DeleteReason Notify
    *1911年11月11日19:30:34.822:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:INIT_DONE事件:EV_CHK4角色
    *1911年11月11日19:30:34.822:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:INIT_DONE事件:EV_START_TMR
    *1911年11月11日19:30:34.822:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:R_WAIT_AUTH事件:EV_NO_EVENT
    *1911年11月11日19:30:34.822:IKEv2:已允許新的ikev2 sa請求
    *1911年11月11日19:30:34.822:IKEv2:將傳出協商sa計數遞增1

    		 Router2將回應者訊息傳送到Router1。
    <-------------------------------Responder已傳送IKE_INIT_SA命---------------------------
    路由器1收到來自路由器2的IKE_SA_INIT響應資料包。

    *1911年11月11日19:30:34.823:IKEv2:從排程程式獲取資料包

    *1911年11月11日19:30:34.823:IKEv2:從排程程式獲取資料包

    *1911年11月11日19:30:34.823:IKEv2:處理pak隊列中的專案

    I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000000 CurState:INIT_DONE事件:EV_START_TMR

    		 響應程式啟動身份驗證進程的計時器。
    Router1驗證並處理回應:(1)計算發起方DH金鑰;(2)生成發起方DH金鑰。

    *1911年11月11日19:30:34.823:IKEv2:(SA ID = 1):下一個負載:SA,版本:2.0交換型別:IKE_SA_INIT,標誌: RESPONDER MSG-RESPONSE消息id:0,長度:449 
    負載內容: 
     SA下一個負載:KE,保留:0x0,長度:48
      上次提議:0x0,保留:0x0,長度:44
      建議:1,協定id:IKE,SPI大小:0, #trans:4上次轉換:0x3,保留:0x0:長度:12
        type:1,保留:0x0,id:AES-CBC
        上次轉換:0x3,保留:0x0:長度:8
        type:2,保留:0x0,id:SHA1
        上次轉換:0x3,保留:0x0:長度:8
        type:3,保留:0x0,id:SHA96
        上次轉換:0x0,保留:0x0:長度:8
        type:4,保留:0x0,id:DH_GROUP_1024_MODP/組2
     KE下一個負載:N,保留:0x0,長度:136
        DH組:2,保留:0x0
    N 下一個負載:VID,保留:0x0,長度:24

    *1911年11月11日19:30:34.823:IKEv2:分析供應商特定負載:CISCO-DELETE-REASON VID Next負載:VID,保留:0x0,長度:23

    *1911年11月11日19:30:34.823:IKEv2:分析供應商特定負載:(自定義)VID下一負載:NOTIFY,保留:0x0,長度:21

    *1911年11月11日19:30:34.823:IKEv2:分析通知負載:NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_SOURCE_IP)下一個負載:NOTIFY,保留:0x0,長度:28
        安全協定ID:IKE,spi大小:0,型別:NAT_DETECTION_SOURCE_IP

    *1911年11月11日19:30:34.824:IKEv2:分析通知負載:NAT_DETECTION_DESTINATION_IP NOTIFY(NAT_DETECTION_DESTINATION_IP)下一個負載:CERTREQ,保留:0x0,長度:28
        安全協定ID:IKE,spi大小:0,型別:NAT_DETECTION_DESTINATION_IP
     CERTREQ下一個負載:NOTIFY,保留:0x0,長度:105
        證書編碼PKIX的雜湊和URL

    *1911年11月11日19:30:34.824:IKEv2:分析通知負載:HTTP_CERT_LOOKUP_SUPPORTED NOTIFY(HTTP_CERT_LOOKUP_SUPPORTED)下一個負載:無,保留:0x0,長度:8
        安全協定ID:IKE,spi大小:0,型別:HTTP_CERT_LOOKUP_SUPPORTED

    *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:I_WAIT_INIT事件:EV_RECV_INIT
    *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):正在處理IKE_SA_INIT消息
    *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:I_PROC_INIT事件:EV_CHK4_NOTIFY
    *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:I_PROC_INIT事件:EV_VERIFY_MSG
    *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:I_PROC_INIT事件:EV_PROC_MSG
    *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:I_PROC_INIT事件:EV_DETECT_NAT
    *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):處理NAT發現通知
    *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):處理nat detect src notify
    *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):遠端地址匹配
    *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):處理nat檢測dst通知
    *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):匹配的本地地址
    *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):未找到NAT
    *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:I_PROC_INIT事件:EV_CHK_NAT_T
    *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:I_PROC_INIT事件:EV_CHK_CONFIG_MODE
    *1911年11月11日19:30:34.824:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:INIT_DONE事件:EV_GEN_DH_SECRET
    *1911年11月11日19:30:34.831:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:INIT_DONE事件:EV_NO_EVENT
    *1911年11月11日19:30:34.831:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:INIT_DONE事件:EV_OK_RECD_DH_SECRET_RESP
    *1911年11月11日19:30:34.831:IKEv2:(SA ID = 1):操作:Action_Null
    *1911年11月11日19:30:34.831:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:INIT_DONE事件:EV_GEN_SKEY ID
    *1911年11月11日19:30:34.831:IKEv2:(SA ID = 1):生成金鑰ID
    *1911年11月11日19:30:34.831:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:INIT_DONE事件:EV_DONE
    *1911年11月11日19:30:34.831:IKEv2:(SA ID = 1):已啟用思科DeleteReason Notify
    *1911年11月11日19:30:34.831:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:INIT_DONE事件:EV_CHK4角色
    *1911年11月11日19:30:34.831:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:I_BLD_AUTH事件:EV_GET_CONFIG模式
    *1911年11月11日19:30:34.831:IKEv2:將配置資料傳送到工具包
    *1911年11月11日19:30:34.831:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:I_BLD_AUTH事件:EV_CHK_EAP

    發起方啟動IKE_AUTH交換並生成身份驗證負載。IKE_AUTH封包包含:ISAKMP報頭(SPI/版本/標誌)、IDi(啟動器標識)、AUTH負載、SAi2(啟動SA — 類似於在IKEv1中進行階段2轉換集交換),以及TSi和TSr(啟動器和響應器流量選擇器)。 它們分別包含用於轉發/接收加密流量的發起方和響應方的源地址和目的地址。地址範圍指定所有進出該範圍的流量都通過隧道傳輸。如果響應方可以接受該建議,它將傳送相同的TS負載作為回應。為與觸發資料包匹配的proxy_ID對建立第一個CHILD_SA。 

    相關配置: crypto ipsec transform-set TS esp-3des esp-sha-hmac crypto ipsec profile phse2-prof set transform-set TS set ikev2-profile IKEV2-SETUP

    *1911年11月11日19:30:34.831:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:I_BLD_AUTH事件:EV_GEN_AUTH
    *1911年11月11日19:30:34.831:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:I_BLD_AUTH事件:EV_CHK_AUTH_TYPE
    *1911年11月11日19:30:34.831:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:I_BLD_AUTH事件:EV_OK_AUTH_GEN
    *1911年11月11日19:30:34.831:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000000 CurState:I_BLD_AUTH事件:EV_SEND_AUTH
    *1911年11月11日19:30:34.831:IKEv2:構建供應商特定負載:思科 — 花崗岩
    *1911年11月11日19:30:34.831:IKEv2:構建通知負載:INITIAL_CONTACT
    *1911年11月11日19:30:34.831:IKEv2:構建通知負載:SET_WINDOWS_SIZE
    *1911年11月11日19:30:34.831:IKEv2:構建通知負載:ESP_TFC_NO_SUPPORT
    *1911年11月11日19:30:34.831:IKEv2:構建通知負載:NON_FIRST_FRAGS 
    負載內容:
     VID下一負載:IDi,保留:0x0,長度:20
     IDi下一個負載:AUTH,保留:0x0,長度:12
        Id型別:IPv4地址,保留:0x0 0x0
    AUTH Next payload:CFG,保留:0x0,長度:28
        身份驗證方法PSK,已保留:0x0,保留0x0
    CFG下一個負載:SA,保留:0x0,長度:309
        cfg型別:CFG_REQUEST,保留:0x0,保留:0x0

    *1911年11月11日19:30:34.831:  SA下一個負載:TSi,保留:0x0,長度:40
    上次提議:0x0,保留:0x0,長度:36
    建議:1,協定id:ESP、SPI大小:4, #trans:3上次轉換:0x3,保留:0x0:長度:8
    type:1,保留:0x0,id:3DES
    上次轉換:0x3,保留:0x0:長度:8
    type:3,保留:0x0,id:SHA96
    上次轉換:0x0,保留:0x0:長度:8
    type:5,保留:0x0,id:不使用ESN
    TSi下一個負載:TSr,保留:0x0,長度:24
    TS數:1,保留0x0,保留0x0
    TS型別:TS_IPV4_ADDR_RANGE,原始ID:0,長度:16
    啟動埠:0,終端埠:65535
    start addr:0.0.0.0,結束地址:255.255.255.255
    TSr下一個負載:NOTIFY,保留:0x0,長度:24
    TS數:1,保留0x0,保留0x0
    TS型別:TS_IPV4_ADDR_RANGE,原始ID:0,長度:16
    啟動埠:0,終端埠:65535
    start addr:0.0.0.0,結束地址:255.255.255.255

    NOTIFY(INITIAL_CONTACT)下一個負載:NOTIFY,保留:0x0,長度:8
    安全協定ID:IKE,spi大小:0,型別:INITIAL_CONTACT
    NOTIFY(SET_WINDOW_SIZE)下一個負載:NOTIFY,保留:0x0,長度:12
    安全協定ID:IKE,spi大小:0,型別:SET_WINDOWS_SIZE
    NOTIFY(ESP_TFC_NO_SUPPORT)下一個負載:NOTIFY,保留:0x0,長度:8
    安全協定ID:IKE,spi大小:0,型別:ESP_TFC_NO_SUPPORT
    NOTIFY(NON_FIRST_FRAGS)下一負載:無,保留:0x0,長度:8
    安全協定ID:IKE,spi大小:0,型別:NON_FIRST_FRAGS

    *1911年11月11日19:30:34.832:IKEv2:(SA ID = 1):下一個負載:ENCR,版本:2.0交換型別:IKE_AUTH,標誌:INITIATOR息ID:1,長度:556 
    負載內容: 
    ENCR下一個負載:VID,保留:0x0,長度:528

    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 0000001 CurState:I_WAIT_AUTH事件:EV_NO_EVENT
    -------------------------------------發起程式已傳送IKE_AUTH ----------------------------->

    *1911年11月11日19:30:34.832:IKEv2:從排程程式獲取資料包
    *1911年11月11日19:30:34.832:IKEv2:處理pak隊列中的專案
    *1911年11月11日19:30:34.832:IKEv2:(SA ID = 1):請求具有mess_id 1;預計1到1 
    *11月11日19:30:34.832:IKEv2:(SA ID = 1):下一個負載:ENCR,版本:2.0交換型別: IKE_AUTH,標誌: INITIATOR消息ID:1,長度:556 
    負載內容: 
    *1911年11月11日19:30:34.832:IKEv2:分析供應商特定負載:(自定義)VID下一負載:IDi,保留:0x0,長度:20
    IDi下一個負載:AUTH,保留:0x0,長度:12
        Id型別:IPv4地址,保留:0x0 0x0
    AUTH Next payload:CFG,保留:0x0,長度:28
        身份驗證方法PSK,已保留:0x0,保留0x0
     CFG下一個負載:SA,保留:0x0,長度:309
        cfg型別:CFG_REQUEST,保留:0x0,保留:0x0
    *1911年11月11日19:30:34.832:    屬性型別:內部IP4 DNS,長度:0
    *1911年11月11日19:30:34.832:    屬性型別:內部IP4 DNS,長度:0
    *1911年11月11日19:30:34.832:    屬性型別:內部IP4 NBNS,長度:0
    *1911年11月11日19:30:34.832:    屬性型別:內部IP4 NBNS,長度:0
    *1911年11月11日19:30:34.832:    屬性型別:內部IP4子網,長度:0
    *1911年11月11日19:30:34.832:    屬性型別:應用程式版本,長度:257
       屬性型別:未知 — 28675,長度:0
    *1911年11月11日19:30:34.832:    屬性型別:未知 — 28672,長度:0
    *1911年11月11日19:30:34.832:    屬性型別:未知 — 28692,長度:0
    *1911年11月11日19:30:34.832:    屬性型別:未知 — 28681,長度:0
    *1911年11月11日19:30:34.832:    屬性型別:未知 — 28674,長度:0
    *11月11日19:30:34.832:SA下一個負載:TSi,保留:0x0,長度:40
      上次提議:0x0,保留:0x0,長度:36
      建議:1,協定id:ESP、SPI大小:4, #trans:3上次轉換:0x3,保留:0x0:長度:8
        type:1,保留:0x0,id:3DES
        上次轉換:0x3,保留:0x0:長度:8
        type:3,保留:0x0,id:SHA96
        上次轉換:0x0,保留:0x0:長度:8
        type:5,保留:0x0,id:不使用ESN
    TSi下一個負載:TSr,保留:0x0,長度:24
        TS數:1,保留0x0,保留0x0
        TS型別:TS_IPV4_ADDR_RANGE,原始ID:0,長度:16
        啟動埠:0,終端埠:65535
        start addr:0.0.0.0,結束地址:255.255.255.255
    TSr Next負載:NOTIFY,保留:0x0,長度:24
        TS數:1,保留0x0,保留0x0
        TS型別:TS_IPV4_ADDR_RANGE,原始ID:0,長度:16
        啟動埠:0,終端埠:65535
        start addr:0.0.0.0,結束地址:255.255.255.255

    路由器2接收並驗證從路由器1接收的身份驗證資料。

    相關配置:crypto ipsec ikev2 ipsec-proposal AES256 protocol esp encryption aes-256 protocol esp integrity sha-1 md5

    *1911年11月11日19:30:34.832:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:  EV_RECV_AUTH
    *1911年11月11日19:30:34.832:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:EV_CHK_NAT_T
    *1911年11月11日19:30:34.832:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:EV_PROC_ID
    *1911年11月11日19:30:34.832:IKEv2:(SA ID = 1):已收到進程ID中的有效引數
    *1911年11月11日19:30:34.832:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:EV_CHK_IF_PEER_CERT_NEEDS_TO_BE_FETCHED_FOR_PROF_SEL
    *1911年11月11日19:30:34.832:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:EV_GET_POLICY_BY_PEERID
    *1911年11月11日19:30:34.833:IKEv2:(1):選擇IKE配置檔案IKEV2-SETUP
    *1911年11月11日19:30:34.833:IKEv2:%按地址10.0.0.1獲取預共用金鑰
    *1911年11月11日19:30:34.833:IKEv2:%按地址10.0.0.1獲取預共用金鑰
    *1911年11月11日19:30:34.833:IKEv2:將建議預設新增到工具包策略
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):使用IKEv2配置檔案「IKEV2-SETUP」
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:EV_SET_POLICY
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):設定配置的策略
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:EV_VERIFY_POLICY_BY_PEERID
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:EV_CHK_AUTH4EAP
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:EV_CHK_POLREQEAP
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_VERIFY_AUTH事件:EV_CHK_AUTH_TYPE
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_VERIFY_AUTH事件:EV_GET_PRESHR_KEY
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_VERIFY_AUTH事件:EV_VERIFY_AUTH
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_VERIFY_AUTH事件:EV_CHK4_IC
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_VERIFY_AUTH事件:EV_CHK_REDIRECT
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):不需要重定向檢查,將跳過它
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_VERIFY_AUTH事件:EV_NOTIFY_AUTH_DONE
    *1911年11月11日19:30:34.833:IKEv2:未配置AAA組授權
    *1911年11月11日19:30:34.833:IKEv2:未配置AAA使用者授權
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_VERIFY_AUTH事件:EV_CHK_CONFIG_MODE
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_VERIFY_AUTH事件:EV_SET_RECD_CONFIG_MODE
    *1911年11月11日19:30:34.833:IKEv2:從工具包接收配置資料:
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_VERIFY_AUTH事件:EVPROC_SA_TS
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_VERIFY_AUTH事件:EV_GET_CONFIG模式
    *1911年11月11日19:30:34.833:IKEv2:構造配置回覆時出錯
    *1911年11月11日19:30:34.833:IKEv2:沒有配置資料傳送到工具包:
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_BLD_AUTH事件:EV_MY_AUTH_METHOD
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_BLD_AUTH事件:EV_GET_PRESHR_KEY
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_BLD_AUTH事件:EV_GEN_AUTH
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_BLD_AUTH事件:EV_CHK4符號
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_BLD_AUTH事件:EV_OK_AUTH_GEN
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:R_BLD_AUTH事件:EV_SEND_AUTH
    *1911年11月11日19:30:34.833:IKEv2:構建供應商特定負載:思科 — 花崗岩
    *1911年11月11日19:30:34.833:IKEv2:構建通知負載:SET_WINDOWS_SIZE
    *1911年11月11日19:30:34.833:IKEv2:構建通知負載:ESP_TFC_NO_SUPPORT
                        *1911年11月11日19:30:34.833:IKEv2:構建通知負載:NON_FIRST_FRAGS

    		 Router 2建立對它從Router 1接收的IKE_AUTH封包的回應。此回應封包包含:ISAKMP報頭(SPI/版本/標誌)、IDr(響應方標識)、AUTH負載、SAr2(啟動SA — 類似於在IKEv1中進行階段2轉換集交換),以及TSi和TSr(發起方和響應方流量選擇器)。 它們分別包含用於轉發/接收加密流量的發起方和響應方的源地址和目的地址。地址範圍指定所有進出該範圍的流量都通過隧道傳輸。這些引數與從ASA1接收的引數相同。

    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):下一個負載:ENCR,版本:2.0交換型別:IKE_AUTH,標誌:RESPONDER MSG-RESPONSE消息ID:1,長度:252 
    負載內容: 
    ENCR下一個負載:VID,保留:0x0,長度:224
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:AUTH_DONE事件:EV_OK
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):操作:Action_Null
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:AUTH_DONE事件:EV_PKI_SESH_CLOSE
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):關閉PKI會話
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:AUTH_DONE事件:EV_UPDATE_CAC_STATS
    *1911年11月11日19:30:34.833:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:AUTH_DONE事件:EV_INSERT_IKE
    *1911年11月11日19:30:34.834:IKEv2:儲存mib索引ikev2 1,平台60
    *1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:AUTH_DONE事件:EV_GEN_LOAD_IPSEC
    *1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):排隊的非同步請求
    *1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):
    *1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState: AUTH_DONE事件:EV_NO_EVENT

    		 響應方傳送IKE_AUTH的響應。
    <------------------------------------Responder sent IKE_AUTH----------------------------
    發起方從響應方接收響應。

    *1911年11月11日19:30:34.834:IKEv2:從排程程式獲取資料包

    *1911年11月11日19:30:34.834:IKEv2:處理pak隊列中的專案

    *1911年11月11日19:30:34.840:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:AUTH_DONE事件:EV_OK_RECD_LOAD_IPSEC
    *1911年11月11日19:30:34.840:IKEv2:(SA ID = 1):操作:Action_Null
    *1911年11月11日19:30:34.840:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:AUTH_DONE事件:EV_START_ACCT
    *1911年11月11日19:30:34.840:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:AUTH_DONE事件:EV_CHECK_DUPE
    *1911年11月11日19:30:34.840:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:AUTH_DONE事件:EV_CHK4角色

    		 響應方在SAD中插入一個條目。
    Router 1會驗證並處理此封包中的驗證資料。然後,Router 1將此SA插入其SAD。

    *1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):下一個負載:ENCR,版本:2.0交換型別: IKE_AUTH,標誌:RESPONDER MSG-RESPONSE消息ID:1,長度:252 
    負載內容:

    *1911年11月11日19:30:34.834:IKEv2:分析供應商特定負載:(自定義)VID下一負載:IDr.,保留:0x0,長度:20
     IDr。下一個負載:AUTH,保留:0x0,長度:12
        Id型別:IPv4地址,保留:0x0 0x0
    AUTH Next payload:SA,保留:0x0,長度:28
        身份驗證方法PSK,已保留:0x0,保留0x0
     SA下一個負載:TSi,保留:0x0,長度:40
      上次提議:0x0,保留:0x0,長度:36
      建議:1,協定id:ESP、SPI大小:4, #trans:3上次轉換:0x3,保留:0x0:長度:8
        type:1,保留:0x0,id:3DES
        上次轉換:0x3,保留:0x0:長度:8
        type:3,保留:0x0,id:SHA96
        上次轉換:0x0,保留:0x0:長度:8
        type:5,保留:0x0,id:不使用ESN
     TSi下一個負載:TSr,保留:0x0,長度:24
        TS數:1,保留0x0,保留0x0
        TS型別:TS_IPV4_ADDR_RANGE,原始ID:0,長度:16
        啟動埠:0,終端埠:65535
        start addr:0.0.0.0,結束地址:255.255.255.255
     TSr Next負載:NOTIFY,保留:0x0,長度:24
        TS數:1,保留0x0,保留0x0
        TS型別:TS_IPV4_ADDR_RANGE,原始ID:0,長度:16
        啟動埠:0,終端埠:65535
        start addr:0.0.0.0,結束地址:255.255.255.255

    *1911年11月11日19:30:34.834:IKEv2:分析通知負載:SET_WINDOW_SIZE NOTIFY(SET_WINDOW_SIZE)下一個負載:NOTIFY,保留:0x0,長度:12
        安全協定ID:IKE,spi大小:0,型別:SET_WINDOWS_SIZE

    *1911年11月11日19:30:34.834:IKEv2:分析通知負載:ESP_TFC_NO_SUPPORT NOTIFY(ESP_TFC_NO_SUPPORT)下一個負載:NOTIFY,保留:0x0,長度:8
        安全協定ID:IKE,spi大小:0,型別:ESP_TFC_NO_SUPPORT

    *1911年11月11日19:30:34.834:IKEv2:分析通知負載:NON_FIRST_FRAGS NOTIFY(NON_FIRST_FRAGS)下一負載:無,保留:0x0,長度:8
        安全協定ID:IKE,spi大小:0,型別:NON_FIRST_FRAGS

    *1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_WAIT_AUTH事件:EV_RECV_AUTH
    *1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):操作:Action_Null
    *1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_PROC_AUTH事件:EV_CHK4_NOTIFY
    *1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_PROC_AUTH事件:EV_PROC_MSG
    *1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_PROC_AUTH事件:EV_CHK_IF_PEER_CERT_NEEDS_TO_BE_FETCHED_FOR_PROF_SEL
    *1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_PROC_AUTH事件:EV_GET_POLICY_BY_PEERID
    *1911年11月11日19:30:34.834:IKEv2:將建議PHASE1-prop新增到工具包策略
    *1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):使用IKEv2配置檔案「IKEV2-SETUP」
    *1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_PROC_AUTH事件:EV_VERIFY_POLICY_BY_PEERID
    *1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_PROC_AUTH事件:EV_CHK_AUTH_TYPE
    *1911年11月11日19:30:34.834:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_PROC_AUTH事件:EV_GET_PRESHR_KEY
    *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_PROC_AUTH事件:EV_VERIFY_AUTH
    *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_PROC_AUTH事件:EV_CHK_EAP
    *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_PROC_AUTH事件:EV_NOTIFY_AUTH_DONE
    *1911年11月11日19:30:34.835:IKEv2:未配置AAA組授權
    *1911年11月11日19:30:34.835:IKEv2:未配置AAA使用者授權
    *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_PROC_AUTH事件:EV_CHK_CONFIG_MODE
    *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_PROC_AUTH事件:EV_CHK4_IC
    *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_PROC_AUTH事件:EV_CHK_IKE_ONLY
    *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:I_PROC_AUTH事件:EVPROC_SA_TS
    *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:AUTH_DONE事件:EV_OK
    *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):操作:Action_Null
    *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:AUTH_DONE事件:EV_PKI_SESH_CLOSE
    *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):關閉PKI會話
    *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:AUTH_DONE事件:EV_UPDATE_CAC_STATS
    *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:AUTH_DONE事件:EV_INSERT_IKE
    *1911年11月11日19:30:34.835:IKEv2:儲存mib索引ikev2 1,平台60
    *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:AUTH_DONE事件:EV_GEN_LOAD_IPSEC
    *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):排隊的非同步請求

    *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):
    *1911年11月11日19:30:34.835:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:AUTH_DONE事件:EV_NO_EVENT
    *1911年11月11日19:30:34.835:已使用IKEv2:KMI消息8。未採取任何操作。
    *1911年11月11日19:30:34.835:已使用IKEv2:KMI消息12。未採取任何操作。
    *1911年11月11日19:30:34.835:IKEv2:在模式配置集中沒有要傳送的資料。
    *1911年11月11日19:30:34.841:IKEv2:為會話8新增與SPI 0x9506D414關聯的ident控制代碼0x80000002

    *1911年11月11日19:30:34.841:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:AUTH_DONE事件:EV_OK_RECD_LOAD_IPSEC
    *1911年11月11日19:30:34.841:IKEv2:(SA ID = 1):操作:Action_Null
    *1911年11月11日19:30:34.841:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:AUTH_DONE事件:EV_START_ACCT
    *1911年11月11日19:30:34.841:IKEv2:(SA ID = 1):無需記帳
    *1911年11月11日19:30:34.841:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:AUTH_DONE事件:EV_CHECK_DUPE
    *1911年11月11日19:30:34.841:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState: AUTH_DONE事件:EV_CHK4角色
    發起程式上的隧道已啟動,狀態顯示READY

    *1911年11月11日19:30:34.841:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState: READYEvent:EV_CHK_IKE_ONLY
    *1911年11月11日19:30:34.841:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(I)MsgID = 00000001 CurState:READY事件:EV_I_OK

    *11月11日19:30:34.840:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState: READYEvent:EV_R_OK
    *1911年11月11日19:30:34.840:IKEv2:(SA ID = 1):SM跟蹤 — > SA:I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4(R)MsgID = 00000001 CurState:READY事件:EV_NO_EVENT

    		 響應器上的隧道已啟動。響應方隧道通常在發起方之前啟動。

    CHILD_SA調試

    此交換由單個請求/響應對組成,在IKEv1中稱為2階段。初始交換完成後,可以由IKE_SA的任一端啟動。

    Router 1 CHILD_SA訊息說明 偵錯 Router 2 CHILD_SA訊息說明
    路由器1啟動CHILD_SA交換。這是CREATE_CHILD_SA請求。CHILD_SA資料包通常包含:
    • SA HDR(version.flags/exchange type)
    • Nonce Ni(可選):如果將CHILD_SA建立為初始交換的一部分,則不得傳送第二個KE有效負載和nonce)
    • SA負載
    • KEi(Key-optional):CREATE_CHILD_SA請求可以選擇包含用於附加DH交換的KE負載,從而為CHILD_SA啟用更強的前向保密保證。如果SA提供包括不同的DH組,則KEi必須是發起方期望響應方接受的組的元素。如果它猜測錯誤,則CREATE_CHILD_SA交換將失敗,並且它可以使用不同的KEi重試
    • N(通知負載 — 可選)。 通知負載用於將資訊資料(例如錯誤條件和狀態轉換)傳輸到IKE對等體。通知負載可以出現在響應消息(通常它指定請求被拒絕的原因)、資訊交換(報告不在IKE請求中的錯誤)或任何其他消息中,以指示傳送者功能或修改請求的含義。如果此CREATE_CHILD_SA交換重新生成除IKE_SA之外的現有SA的金鑰,REKEY_SA型別的前N個負載必須標識要重新生成金鑰的SA。如果此CREATE_CHILD_SA交換不對現有SA重新建立金鑰,則必須省略N負載。

    *1911年11月11日19:31:35.873:IKEv2:從排程程式獲取資料包

    *1911年11月11日19:31:35.873:IKEv2:處理pak隊列中的專案

    *1911年11月11日19:31:35.873:IKEv2:(SA ID = 2):請求具有mess_id 3;預計3至7 

    *1911年11月11日19:31:35.873:IKEv2:(SA ID = 2):下一個負載:ENCR,版本:2.0 Exchange型別:CREATE_CHILD_SA,標誌:啟動器息ID:3,長度:396 
    負載內容: 
     SA下一個負載:N,保留:0x0,長度:152
      上次提議:0x0,保留:0x0,長度:148
      建議:1,協定id:IKE,SPI大小:8, #trans:上次轉換15次:0x3,保留:0x0:長度:12
        type:1,保留:0x0,id:AES-CBC
        上次轉換:0x3,保留:0x0:長度:12
        type:1,保留:0x0,id:AES-CBC
        上次轉換:0x3,保留:0x0:長度:12
        type:1,保留:0x0,id:AES-CBC
        上次轉換:0x3,保留:0x0:長度:8
        type:2,保留:0x0,id:SHA512
        上次轉換:0x3,保留:0x0:長度:8
        type:2,保留:0x0,id:SHA384
        上次轉換:0x3,保留:0x0:長度:8
        type:2,保留:0x0,id:SHA256
        上次轉換:0x3,保留:0x0:長度:8
        type:2,保留:0x0,id:SHA1
        上次轉換:0x3,保留:0x0:長度:8
        type:2,保留:0x0,id:MD5
        上次轉換:0x3,保留:0x0:長度:8
        type:3,保留:0x0,id:SHA512
        上次轉換:0x3,保留:0x0:長度:8
        type:3,保留:0x0,id:SHA384
        上次轉換:0x3,保留:0x0:長度:8
        type:3,保留:0x0,id:SHA256
        上次轉換:0x3,保留:0x0:長度:8
        type:3,保留:0x0,id:SHA96
        上次轉換:0x3,保留:0x0:長度:8
        type:3,保留:0x0,id:MD596
        上次轉換:0x3,保留:0x0:長度:8
        type:4,保留:0x0,id:DH_GROUP_1536_MODP/組5
        上次轉換:0x0,保留:0x0:長度:8
        type:4,保留:0x0,id:DH_GROUP_1024_MODP/組2
    N 下一個負載:KE,保留:0x0,長度:24
    KE下一個負載:NOTIFY,保留:0x0,長度:136
        DH組:2,保留:0x0

    *1911年11月11日19:31:35.874:IKEv2:分析通知負載:SET_WINDOW_SIZE NOTIFY(SET_WINDOW_SIZE)下一個負載:無,保留:0x0,長度:12
        安全協定ID:IKE,spi大小:0,型別:SET_WINDOWS_SIZE

    *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:就緒事件:EV_RECV_CREATE_CHILD
    *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):操作:Action_Null
    *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_INIT事件:EV_RECV_CREATE_CHILD
    *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):操作:Action_Null
    *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_INIT事件:EV_VERIFY_MSG
    *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_INIT事件:EV_CHK_CC_TYPE
    *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_IKE事件:EV_REKEY_IKESA
    *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_IKE事件:EV_GET_IKE_POLICY
    *1911年11月11日19:31:35.874:IKEv2:% 按地址10.0.0.2獲取預共用金鑰
    *1911年11月11日19:31:35.874:IKEv2:%按地址10.0.0.2獲取預共用金鑰
    *1911年11月11日19:31:35.874:IKEv2:將建議PHASE1-prop新增到工具包策略
    *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):使用IKEv2配置檔案「IKEV2-SETUP」
    *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_IKE事件:EV_PROC_MSG
    *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_IKE事件:EV_SET_POLICY
    *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):設定已配置的策略
    *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_BLD_MSG事件:EV_GEN_DH_KEY
    *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_BLD_MSG事件:EV_NO_EVENT
    *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_BLD_MSG事件:EV_OK_RECD_DH_PUBKEY_RESP
    *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):操作:Action_Null
    *1911年11月11日19:31:35.874:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_BLD_MSG事件:EV_GEN_DH_SECRET
    *1911年11月11日19:31:35.881:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_BLD_MSG事件:EV_NO_EVENT
    *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_BLD_MSG事件:EV_OK_RECD_DH_SECRET_RESP
    *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):操作:Action_Null
    *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_BLD_MSG事件:EV_BLD_MSG
    *11月11日19:31:35.882:IKEv2:ConstructNotify負載:SET_WINDOWS_SIZE 
    負載內容: 
    SA下一個負載:N,保留:0x0,長度:56
      上次提議:0x0,保留:0x0,長度:52
      建議:1,協定id:IKE,SPI大小:8, #trans:4上次轉換:0x3,保留:0x0:長度:12
        type:1,保留:0x0,id:AES-CBC
        上次轉換:0x3,保留:0x0:長度:8
        type:2,保留:0x0,id:SHA1
        上次轉換:0x3,保留:0x0:長度:8
        type:3,保留:0x0,id:SHA96
        上次轉換:0x0,保留:0x0:長度:8
        type:4,保留:0x0,id:DH_GROUP_1024_MODP/組2
     N 下一個負載:KE,保留:0x0,長度:24
    KE下一個負載:NOTIFY,保留:0x0,長度:136
        DH組:2,保留:0x0
     NOTIFY(SET_WINDOW_SIZE)下一個負載:無,保留:0x0,長度:12
        安全協定ID:IKE,spi大小:0,型別:SET_WINDOWS_SIZE

    *1911年11月11日19:31:35.869:IKEv2:(SA ID = 2):下一個負載:ENCR,版本:2.0 Exchange型別:CREATE_CHILD_SA,標誌:INITIATOR息id:2,長度:460 
    負載內容: 
    ENCR下一個負載:SA,保留:0x0,長度:432

    *1911年11月11日19:31:35.873:IKEv2:構建通知負載:SET_WINDOWS_SIZE 
    負載內容: 
    SA下一個負載:N,保留:0x0,長度:152
    上次提議:0x0,保留:0x0,長度:148
    建議:1,協定id:IKE,SPI大小:8, #trans:上次轉換15次:0x3,保留:0x0:長度:12
    type:1,保留:0x0,id:AES-CBC
    上次轉換:0x3,保留:0x0:長度:12
    type:1,保留:0x0,id:AES-CBC
    上次轉換:0x3,保留:0x0:長度:12
    type:1,保留:0x0,id:AES-CBC
    上次轉換:0x3,保留:0x0:長度:8
    type:2,保留:0x0,id:SHA512
    上次轉換:0x3,保留:0x0:長度:8
    type:2,保留:0x0,id:SHA384
    上次轉換:0x3,保留:0x0:長度:8
    type:2,保留:0x0,id:SHA256
    上次轉換:0x3,保留:0x0:長度:8
    type:2,保留:0x0,id:SHA1
    上次轉換:0x3,保留:0x0:長度:8
    type:2,保留:0x0,id:MD5
    上次轉換:0x3,保留:0x0:長度:8
    type:3,保留:0x0,id:SHA512
    上次轉換:0x3,保留:0x0:長度:8
    type:3,保留:0x0,id:SHA384
    上次轉換:0x3,保留:0x0:長度:8
    type:3,保留:0x0,id:SHA256
    上次轉換:0x3,保留:0x0:長度:8
    type:3,保留:0x0,id:SHA96
    上次轉換:0x3,保留:0x0:長度:8
    type:3,保留:0x0,id:MD596
    上次轉換:0x3,保留:0x0:長度:8
    type:4,保留:0x0,id:DH_GROUP_1536_MODP/組5
    上次轉換:0x0,保留:0x0:長度:8
    type:4,保留:0x0,id:DH_GROUP_1024_MODP/組2
    N 下一個負載:KE,保留:0x0,長度:24
    KE下一個負載:NOTIFY,保留:0x0,長度:136
    DH組:2,保留:0x0
    NOTIFY(SET_WINDOW_SIZE)下一個負載:無,保留:0x0,長度:12
    安全協定ID:IKE,spi大小:0,型別:SET_WINDOWS_SIZE

    		 Router 2會收到此封包。

    *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):下一個負載:ENCR,版本:2.0 Exchange型別:CREATE_CHILD_SA,標誌:響應方MSG-RESPONSE消息id:3,長度:300 
    負載內容: 
     SA下一個負載:N,保留:0x0,長度:56
      上次提議:0x0,保留:0x0,長度:52
      建議:1,協定id:IKE,SPI大小:8, #trans:4上次轉換:0x3,保留:0x0:長度:12
        type:1,保留:0x0,id:AES-CBC
        上次轉換:0x3,保留:0x0:長度:8
        type:2,保留:0x0,id:SHA1
        上次轉換:0x3,保留:0x0:長度:8
        type:3,保留:0x0,id:SHA96
        上次轉換:0x0,保留:0x0:長度:8
        type:4,保留:0x0,id:DH_GROUP_1024_MODP/組2
    N 下一個負載:KE,保留:0x0,長度:24
     KE下一個負載:NOTIFY,保留:0x0,長度:136
        DH組:2,保留:0x0

    *1911年11月11日19:31:35.882:IKEv2:分析通知負載:SET_WINDOW_SIZE NOTIFY(SET_WINDOW_SIZE)下一個負載:無,保留:0x0,長度:12
        安全協定ID:IKE,spi大小:0,型別:SET_WINDOWS_SIZE

    *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState: CHILD_I_WAIT Event: EV_RECV_CREATE_CHILD
    *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):操作:Action_Null
    *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState: CHILD_I_PROC事件:EV_CHK4_NOTIFY
    *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState:CHILD_I_PROC事件:EV_VERIFY_MSG
    *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState:CHILD_I_PROC事件:EV_PROC_MSG
    *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState:CHILD_I_PROC事件:EV_CHK4_PFS
    *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState:CHILD_I_PROC事件:EV_GEN_DH_SECRET
    *1911年11月11日19:31:35.890:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState:CHILD_I_PROC事件:EV_NO_EVENT
    *1911年11月11日19:31:35.890:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState:CHILD_I_PROC事件:EV_OK_RECD_DH_SECRET_RESP
    *1911年11月11日19:31:35.890:IKEv2:(SA ID = 2):操作:Action_Null
    *1911年11月11日19:31:35.890:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState:CHILD_I_PROC事件:EV_CHK_IKE_REKEY
    *1911年11月11日19:31:35.890:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState:CHILD_I_PROC事件:EV_GEN_SKYID
    *1911年11月11日19:31:35.890:IKEv2:(SA ID = 2):生成金鑰ID
    *1911年11月11日19:31:35.890:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState: CHILD_I_DONE Event: EV_ACTIVATE_NEW_SA
    *1911年11月11日19:31:35.890:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState:CHILD_I_DONE事件:EV_UPDATE_CAC_STATS
    *1911年11月11日19:31:35.890:IKEv2:啟用新的ikev2 sa請求
    *1911年11月11日19:31:35.890:IKEv2:無法減少傳出協商的計數
    *1911年11月11日19:31:35.890:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState:CHILD_I_DONE事件:EV_CHECK_DUPE
    *1911年11月11日19:31:35.890:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState:CHILD_I_DONE事件:EV_OK
    *1911年11月11日19:31:35.890:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 00000003 CurState:EXIT事件:EV_CHK_PENDING
    *1911年11月11日19:31:35.890:IKEv2:(SA ID = 2):已處理消息ID為3的響應,請求可以從4至8傳送
    *1911年11月11日19:31:35.890:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(I)MsgID = 0000003 CurState:EXIT事件:EV_NO_EVENT

    		 現在,Router 2會為CHILD_SA交換建立應答。這是CREATE_CHILD_SA響應。CHILD_SA資料包通常包含:
    • SA HDR(version.flags/exchange type)
    • Nonce Ni(可選):如果將CHILD_SA建立為初始交換的一部分,則不得傳送第二個KE負載和子網。
    • SA負載
    • KEi(Key-optional):CREATE_CHILD_SA請求可以選擇包含用於附加DH交換的KE負載,從而為CHILD_SA啟用更強的前向保密保證。如果SA提供包括不同的DH組,則KEi必須是發起方期望響應方接受的組的元素。如果它猜測錯誤,CREATE_CHILD_SA交換將失敗,並且它必須使用不同的KEi重試。
    • N(通知負載 — 可選):通知負載用於將資訊資料(例如錯誤條件和狀態轉換)傳輸到IKE對等體。通知負載可以出現在響應消息(通常它指定請求被拒絕的原因)、資訊交換(報告不在IKE請求中的錯誤)或任何其他消息中,以指示傳送者功能或修改請求的含義。如果此CREATE_CHILD_SA交換正在重新生成除IKE_SA之外的現有SA的金鑰,REKEY_SA型別的前N個負載必須標識正在重新生成金鑰的SA。如果此CREATE_CHILD_SA交換不對現有SA重新建立金鑰,則必須省略N負載。
    Router 2將回應發出並完成新子SA的啟用。
    路由器1收到來自路由器2的響應資料包,並完成啟用CHILD_SA。

    *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):下一個負載:ENCR,版本:2.0 Exchange型別: CREATE_CHILD_SA,標誌:RESPONDER MSG-RESPONSE消息id:3,長度:300 
    負載內容: 
     ENCR下一個負載:SA,保留:0x0,長度:272

    *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_BLD_MSG事件:EV_CHK_IKE_REKEY
    *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_BLD_MSG事件:EV_GEN_SKYID
    *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):生成金鑰ID
    *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_DONE事件:EV_ACTIVATE_NEW_SA
    *1911年11月11日19:31:35.882:IKEv2:儲存mib索引ikev2 3,平台62
    *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_DONE事件:EV_UPDATE_CAC_STATS
    *1911年11月11日19:31:35.882:IKEv2:啟用新的ikev2 sa請求
    *1911年11月11日19:31:35.882:IKEv2:無法減少傳入協商的計數
    *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState: CHILD_R_DONE事件:EV_CHECK_DUPE
    *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_DONE事件:EV_OK
    *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:CHILD_R_DONE事件:EV_START_DEL_NEG_TMR
    *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):操作:Action_Null
    *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 00000003 CurState:EXIT事件:EV_CHK_PENDING
    *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):已傳送消息ID為3的響應,可以接受範圍從4到8的請求
    *1911年11月11日19:31:35.882:IKEv2:(SA ID = 2):SM跟蹤 — > SA:I_SPI=0C33DB40DBAADE6 R_SPI=F14E2BBA78024DE3(R)MsgID = 0000003 CurState:EXIT事件:EV_NO_EVENT

    通道驗證

    ISAKMP

    指令

    show crypto ikev2 sa detailed

    Router 1輸出

    Router1#show crypto ikev2 sa  detailed
     IPv4 Crypto IKEv2  SA

    Tunnel-id Local                 Remote             fvrf/ivrf         Status
    1         10.0.0.1/500          10.0.0.2/500       none/none         READY
          Encr: AES-CBC, keysize: 128,  
             Hash: SHA96, DH Grp:2,  
             Auth sign: PSK, Auth verify: PSK
          Life/Active Time: 120/10 sec
          CE id: 1006, Session-id: 4
          Status Description: Negotiation done
          Local spi: E58F925107F8B73F     Remote spi: AFD098F4147869DA
          Local id: 10.0.0.1
          Remote id: 10.0.0.2
          Local req msg id:  2       Remote req msg id:  0
          Local next msg id: 2       Remote next msg id: 0
          Local req queued:  2       Remote req queued:  0
          Local window:      5       Remote window:      5
          DPD configured for 0 seconds, retry 0
          NAT-T is not detected
          Cisco Trust Security SGT is disabled
          Initiator of SA : Yes

    路由器2輸出

    Router2#show crypto ikev2 sa detailed
     IPv4 Crypto IKEv2  SA

    Tunnel-id Local           Remote              fvrf/ivrf          Status
    2         10.0.0.2/500    10.0.0.1/500        none/none          READY
          Encr: AES-CBC, keysize: 128, Hash: SHA96,  
             DH Grp:2, Auth sign: PSK, Auth verify: PSK
          Life/Active Time: 120/37 sec
          CE id: 1006, Session-id: 4
          Status Description: Negotiation done
          Local spi: AFD098F4147869DA       Remote spi: E58F925107F8B73F
          Local id: 10.0.0.2
          Remote id: 10.0.0.1
          Local req msg id:  0              Remote req msg id:  2
          Local next msg id: 0              Remote next msg id: 2
          Local req queued:  0              Remote req queued:  2
          Local window:      5              Remote window:      5
          DPD configured for 0 seconds, retry 0
          NAT-T is not detected
          Cisco Trust Security SGT is disabled
          Initiator of SA : No

    IPsec

    指令

    show crypto ipsec sa

    附註:與IKEv1不同,在此輸出中,PFS DH組值顯示為「PFS(Y/N):否,DH組:在第一次通道交涉期間無」,但在重新設定金鑰後,會顯示正確的值。這不是錯誤,即使此行為已在Cisco錯誤ID CSCug67056中說明。(只有已註冊的思科使用者才能存取內部思科工具或資訊。)
    IKEv1和IKEv2之間的區別在於,在後一種情況下,子SA是作為身份驗證交換本身的一部分而建立的。在加密對映下配置的DH組僅在重新生成金鑰期間使用。因此,您將看到「PFS(Y/N):否,DH組:直到第一次重新生成金鑰。
    使用IKEv1時,您會看到不同的行為,因為子SA建立發生在快速模式期間,而CREATE_CHILD_SA消息具有攜帶金鑰交換有效載荷的設定,該有效載荷指定DH引數以派生新的共用金鑰。

    Router 1輸出

    Router1#show crypto ipsec sa

    interface: Tunnel0
        Crypto map tag: Tunnel0-head-0,  
             local addr 10.0.0.1

       protected vrf: (none)
       local  ident (addr/mask/prot/port):  
             (0.0.0.0/0.0.0.0/256/0)
       remote ident (addr/mask/prot/port):  
             (0.0.0.0/0.0.0.0/256/0)
       current_peer 10.0.0.2 port 500
         PERMIT, flags={origin_is_acl,}
        #pkts encaps: 10, #pkts encrypt:  
             10, #pkts digest: 10
        #pkts decaps: 10, #pkts decrypt:  
             10, #pkts verify: 10
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr. failed: 0
        #pkts not decompressed: 0, #pkts decompress failed: 0
        #send errors 0, #recv errors 0

         local crypto endpt.: 10.0.0.1,  
             remote crypto endpt.: 10.0.0.2
         path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
         current outbound spi: 0xF6083ADD(4127734493)
         PFS (Y/N): N, DH group: none

         inbound esp sas:
          spi: 0x6B74CB79(1802816377)
            transform: esp-3des esp-sha-hmac ,
            in use settings ={Tunnel, }
            conn id: 18, flow_id: SW:18, 
             sibling_flags 80000040,  
             crypto map: Tunnel0-head-0
            sa timing: remaining key lifetime (k/sec):  
             (4276853/3592)
            IV size: 8 bytes
            replay detection support: Y
            Status: ACTIVE(ACTIVE)

         inbound ah sas:

         inbound pcp sas:

         outbound esp sas:
          spi: 0xF6083ADD(4127734493)
            transform: esp-3des esp-sha-hmac ,
            in use settings ={Tunnel, }
            conn id: 17, flow_id: SW:17,  
             sibling_flags 80000040,  
             crypto map: Tunnel0-head-0
            sa timing: remaining key  
             lifetime (k/sec): (4276853/3592)
            IV size: 8 bytes
            replay detection support: Y
            Status: ACTIVE(ACTIVE)

         outbound ah sas:

         outbound pcp sas:

    路由器2輸出

    Router2#show crypto ipsec sa

    interface: Tunnel0
        Crypto map tag: Tunnel0-head-0, local addr 10.0.0.2

       protected vrf: (none)
       local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/256/0)
       remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/256/0)
       current_peer 10.0.0.1 port 500
         PERMIT, flags={origin_is_acl,}
        #pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
        #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr. failed: 0
        #pkts not decompressed: 0, #pkts decompress failed: 0
        #send errors 0, #recv errors 0

         local crypto endpt.: 10.0.0.2,  
             remote crypto endpt.: 10.0.0.1
         path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
         current outbound spi: 0x6B74CB79(1802816377)
         PFS (Y/N): N, DH group: none

         inbound esp sas:
          spi: 0xF6083ADD(4127734493)
            transform: esp-3des esp-sha-hmac ,
            in use settings ={Tunnel, }
            conn id: 17, flow_id: SW:17,  
             sibling_flags 80000040,  
             crypto map: Tunnel0-head-0
            sa timing: remaining key lifetime  
             (k/sec): (4347479/3584)
            IV size: 8 bytes
            replay detection support: Y
            Status: ACTIVE(ACTIVE)

         inbound ah sas:

         inbound pcp sas:

         outbound esp sas:
          spi: 0x6B74CB79(1802816377)
            transform: esp-3des esp-sha-hmac ,
            in use settings ={Tunnel, }
            conn id: 18, flow_id: SW:18,  
             sibling_flags 80000040,  
             crypto map: Tunnel0-head-0
            sa timing: remaining key  
             lifetime (k/sec): (4347479/3584)
            IV size: 8 bytes
            replay detection support: Y
            Status: ACTIVE(ACTIVE)

         outbound ah sas:

         outbound pcp sas:

    您也可以在兩台路由器上檢查show crypto session命令的輸出;此輸出將隧道會話狀態顯示為UP-ACTIVE。

    Router1#show crypto session
    Crypto session current status

    Interface: Tunnel0
    Session status: UP-ACTIVE
    Peer: 10.0.0.2 port 500
      IKEv2 SA: local 10.0.0.1/500 remote 10.0.0.2/500 Active
      IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
            Active SAs: 2, origin: crypto map

    Router2#show cry session
    Crypto session current status

    Interface: Tunnel0
    Session status: UP-ACTIVE
    Peer: 10.0.0.1 port 500
      IKEv2 SA: local 10.0.0.2/500 remote 10.0.0.1/500 Active
      IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
            Active SAs: 2, origin: crypto map

    相關資訊

    修訂記錄

    修訂 發佈日期 意見
    2.0
    12-Apr-2023
    更新格式。重新認證。
    1.0
    28-Jan-2013
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Anu M Chacko
      Cisco Technical Marketing Leader

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您