適用於遠端訪問VPN的ASA IKEv2調試故障排除

下載選項

  • PDF     (363.5 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (101.1 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (114.7 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2013 年 10 月 9 日
文件 ID:116158

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本文檔介紹當網際網路金鑰交換版本2(IKEv2)與Cisco AnyConnect安全移動客戶端一起使用時,如何理解思科自適應安全裝置(ASA)上的調試。本文檔還提供了有關如何在ASA配置中轉換特定調試行的資訊。

本文檔不介紹在建立VPN隧道後如何向ASA傳遞流量,也不包括IPSec或IKE的基本概念。

必要條件

需求

思科建議您瞭解IKEv2的資料包交換。有關詳細資訊,請參閱IKEv2資料包交換和協定級別調試

採用元件

本文中的資訊係根據以下軟體和硬體版本:

  • 網際網路金鑰交換版本2(IKEv2)
  • Cisco Adaptive Security Appliance(ASA)版本8.4或更高版本

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。

核心問題

Cisco技術援助中心(TAC)通常使用IKE和IPSec debug命令來瞭解IPSec VPN隧道建立存在問題的位置,但這些命令可能是隱性的。

案例

Debug指令

debug crypto ikev2 protocol 127
debug crypto ikev2 platform 127
debug aggregate-auth xml 5

ASA配置

此ASA配置是嚴格意義上的基本配置,不使用外部伺服器。

interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 10.0.0.1 255.255.255.0

ip local pool webvpn1 10.2.2.1-10.2.2.10

crypto ipsec ikev2 ipsec-proposal 3des
 protocol esp encryption aes-256 aes 3des des
 protocol esp integrity sha-1
crypto dynamic-map dynmap 1000 set ikev2 ipsec-proposal 3des
crypto map crymap 10000 ipsec-isakmp dynamic dynmap
crypto map crymap interface outside

crypto ca trustpoint Anu-ikev2
 enrollment self
 crl configure

crypto ikev2 policy 10
 encryption aes-192
 integrity sha
 group 2
 prf sha
 lifetime seconds 86400

crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint Anu-ikev2
ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1
ssl trust-point Anu-ikev2 outside

webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-3.0.1047-k9.pkg 1
 anyconnect profiles Anyconnect-ikev2 disk0:/anyconnect-ikev2.xml
 anyconnect enable
 tunnel-group-list enable

group-policy ASA-IKEV2 internal
group-policy ASA-IKEV2 attributes
 wins-server none
 dns-server none
 vpn-tunnel-protocol ikev2 
 default-domain none
 webvpn
  anyconnect modules value dart
  anyconnect profiles value Anyconnect-ikev2 type user

username Anu password lAuoFgF7KmB3D0WI encrypted privilege 15

tunnel-group ASA-IKEV2 type remote-access
tunnel-group ASA-IKEV2 general-attributes
 address-pool webvpn1
 default-group-policy ASA-IKEV2
tunnel-group ASA-IKEV2 webvpn-attributes
 group-alias ASA-IKEV2 enable

XML檔案

<ServerList>
        <HostEntry>
                <HostName>Anu-IKEV2</HostName>
                <HostAddress>10.0.0.1</HostAddress>
                <UserGroup>ASA-IKEV2</UserGroup>
                <PrimaryProtocol>IPsec</PrimaryProtocol>
        </HostEntry>
</ServerList>

附註:XML客戶端配置檔案中的UserGroup名稱必須與ASA上隧道組的名稱相同。否則,錯誤消息'Invalid Host Entry.在AnyConnect客戶端上顯示「請重新輸入」。

調試日誌和說明

附註:診斷和報告工具(DART)中的日誌通常非常簡潔,因此本示例中由於無關緊要而省略了某些DART日誌。

伺服器消息說明

調試

客戶端消息描述
 

日期:04/23/2013
時間:16:24:55
Type:資訊
來源:acvpnui

說明:功能:ClientIfcBase::connect
檔案:.\ClientIfcBase.cpp
線路:964
使用者已請求到Anu-IKEV2的VPN連線。

****************************************
日期:04/23/2013
時間:16:24:55
Type:資訊
來源:acvpnui

說明:傳送給使用者的消息型別資訊:
正在聯絡Anu-IKEV2。
****************************************
日期:04/23/2013
時間:16:24:55
Type:資訊
來源:acvpnui

說明:功能:ApiCert::getCertList
檔案:.\ApiCert.cpp
線路:259
找到的證書數:0
****************************************
日期:04/23/2013
時間:16:25:00
Type:資訊
來源:acvpnui

說明:正在啟動與安全網關的VPN連線https://10.0.0.1/ASA-IKEV2
****************************************
日期:04/23/2013
時間:16:25:00
Type:資訊
來源:acvpnagent

說明:GUI客戶端發起的隧道。

****************************************

日期:04/23/2013
時間:16:25:02
Type:資訊
來源:acvpnagent

說明:功能:CIPsecProtocol::connectTransport
檔案:.\IPsecProtocol.cpp
線路:1629
已開啟IKE套接字從192.168.1.1:25170到10.0.0.1:500
****************************************

 客戶端發起到ASA的VPN隧道。
  ---------------------------------IKE_SA_INIT Exchange啟動------------------------------  

ASA從客戶端接收IKE_SA_INIT消息。

IKEv2-PLAT-4:RECV PKT [IKE_SA_INIT] [192.168.1.1]:25170->[10.0.0.1]:500 InitSPI=0x58aff71141ba436b RespSPI=0x0000000000000000 MID=00000000

IKEv2-PROTO-3:Rx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id:0x0

  

第一對消息是IKE_SA_INIT交換。這些消息協商加密演算法、交換金鑰並執行Diffie-hellman(DH)交換。

從客戶端收到的IKE_SA_INIT消息包含以下欄位:

  1. ISAKMP報頭- SPI/版本/標誌。
  2. SAi1 - IKE啟動器支援的加密演算法。
  3. KEi — 發起方的DH公鑰值。
  4. N — 發起程式編號
 IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:0000000000000000]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B -spi:0000000000000000
IKEv2-PROTO-4:下一個負載:SA,版本:2.0
IKEv2-PROTO-4:Exchange型別:IKE_SA_INIT,標志:啟動器
IKEv2-PROTO-4:消息ID:0x0,長度:528

 SA下一個負載:KE,保留:0x0,長度:168
IKEv2-PROTO-4:   上次提議:0x0,保留:0x0,長度:164
  建議:1,協定id:IKE,SPI大小:0, #trans:18
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:12
    type:1,保留:0x0,id:AES-CBC
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:12
    type:1,保留:0x0,id:AES-CBC
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:12
    type:1,保留:0x0,id:AES-CBC
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:8
    type:1,保留:0x0,id:3DES
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:8
    type:1,保留:0x0,id:DES
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:8
    type:2,保留:0x0,id:SHA512
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:8
    type:2,保留:0x0,id:SHA384
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:8
    type:2,保留:0x0,id:SHA256
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:8
    type:2,保留:0x0,id:SHA1
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:8
    type:2,保留:0x0,id:MD5
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:8
    type:3,保留:0x0,id:SHA512
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:8
    type:3,保留:0x0,id:SHA384
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:8
    type:3,保留:0x0,id:SHA256
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:8
    type:3,保留:0x0,id:SHA96
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:8
    type:3,保留:0x0,id:MD596
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:8
    type:4,保留:0x0,id:DH_GROUP_1536_MODP/組5
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:8
    type:4,保留:0x0,id:DH_GROUP_1024_MODP/組2
IKEv2-PROTO-4:     上次轉換:0x0,保留:0x0:長度:8
    type:4,保留:0x0,id:DH_GROUP_768_MODP/組1

 KE下一個負載:否,保留:0x0,長度:104
    DH組:1,保留:0x0

     eb 5e 29 fe cb 2e d1 28 ed 4a 54 b1 13 7c b8 89
     f7 62 13 6b df 95 88 28 b5 97 ba 52 ef e4 1d 28
     ca 06 d1 36 b6 67 32 9a c2 dd 4e d8 c7 80 de 20
     36 34 c5 b3 3e 1d 83 1a c7 fb 9d b8 c5 f5 ed 5f
     ba 4f b6 b2 e2 2d 43 4f a0 b6 90 9a 11 3f 7d
     0a 21 c3 4d d3 0a d2 1e 33 43 d3 5e cc 4b 38 e0
 N 下一個負載:VID,保留:0x0,長度:24

     20 12 8f 22 7b 16 23 52 e4 29 4d 98 c7 fd a8 77
     ce 7c 0b4
IKEv2-PROTO-5:分析供應商特定負載:CISCO-DELETE-REASON VID Next負載:VID,保留:0x0,長度:23		  

ASA驗證並處理
IKE_INIT消息。ASA:

  1. 從中選擇加密套件
    由發起人提供的。
  2. 計算自己的DH金鑰。
  3. 計算SKYID值
    所有鍵都可以派生
    此IKE_SA。所有專案的標頭
    後續消息是
    已加密且經過身份驗證。其
    用於加密和
    完整性保護已派生
    ,稱為:

    1. SK_e -加密。
    2. SK_a -身份驗證。
    3. SK_d -派生和使用
      用於進一步推導
      金鑰材料
      CHILD_SA。
    單獨的SK_e和SK_a是
    每個方向計算。

相關配置:

crypto ikev2 policy 10
 encryption aes-192 integrity 
 sha group 2  prf sha lifetime 
 seconds 86400
crypto ikev2 enable outside
 解密資料包:資料:528 位元組
IKEv2-PLAT-3:處理自定義VID負載
IKEv2-PLAT-3:從對等體接收的Cisco版權VID
IKEv2-PLAT-3:從對等點接收的AnyConnect EAP VID
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000000 CurState:空閒事件:EV_RECV_INIT
IKEv2-PROTO-3:(6):檢查NAT發現
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000000 CurState:空閒事件:EV_CHK_REDIRECT
IKEv2-PROTO-5:(6):不需要重定向檢查,正在跳過它
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000000 CurState:空閒事件:EV_CHK_CAC
IKEv2-PLAT-5:已允許新的ikev2 sa請求
IKEv2-PLAT-5:將傳入協商sa計數遞增1
IKEv2-PLAT-5:無效的PSH控制代碼
IKEv2-PLAT-5:無效的PSH控制代碼
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000000 CurState:空閒事件:EV_CHK_COOKIE
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000000 CurState:空閒事件:EV_CHK4_COOKIE_NOTIFY
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000000 CurState:R_INIT事件:EV_VERIFY_MSG
IKEv2-PROTO-3:(6):驗證SA初始化消息
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000000 CurState:R_INIT事件:EV_INSERT_SA
IKEv2-PROTO-3:(6):插入SA
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000000 CurState:R_INIT事件:EV_GET_IKE_POLICY
IKEv2-PROTO-3:(6):獲取已配置的策略
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000000 CurState:R_INIT事件:EV_PROC_MSG
IKEv2-PROTO-2:(6):處理初始消息
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000000 CurState:R_INIT事件:EV_DETECT_NAT
IKEv2-PROTO-3:(6):處理NAT發現通知
IKEv2-PROTO-5:(6):正在處理nat detect src notify
IKEv2-PROTO-5:(6):遠端地址不匹配
IKEv2-PROTO-5:(6):處理nat detect dst notify
IKEv2-PROTO-5:(6):匹配的本地地址
IKEv2-PROTO-5:(6):主機位於NAT外部
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000000 CurState:R_INIT事件:EV_CHK_CONFIG_MODE
IKEv2-PROTO-3:(6):收到有效的配置模式資料
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000000 CurState:R_INIT事件:EV_SET_RECD_CONFIG_MODE
IKEv2-PROTO-3:(6):設定接收的配置模式資料
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_SET_POLICY
IKEv2-PROTO-3:(6):設定配置的策略
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_CHK_AUTH4PKI
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_PKI_SESH_OPEN
IKEv2-PROTO-3:(6):開啟PKI會話
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_GEN_DH_KEY
IKEv2-PROTO-3:(6):計算DH公鑰
IKEv2-PROTO-3:(6):
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_NO_EVENT
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_OK_RECD_DH_PUBKEY_RESP
IKEv2-PROTO-5:(6):Action:Action_Null
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_GEN_DH_SECRET
IKEv2-PROTO-3:(6):計算DH金鑰
IKEv2-PROTO-3:(6):
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_NO_EVENT
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_OK_RECD_DH_SECRET_RESP
IKEv2-PROTO-5:(6):Action:Action_Null
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_GEN_SKYID
IKEv2-PROTO-3:(6):生成skyid
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_GET_CONFIG_MODE		  

ASA為IKE_SA_INIT交換構建響應消息。

此資料包包含:

  1. ISAKMP報頭- SPI/版本/標誌。
  2. SAr1 - IKE響應程式選擇的加密演算法。
  3. KEr — 響應方的DH公鑰值。
  4. N — 響應程式無。
 IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000000 CurState:R_BLD_INIT事件:EV_BLD_MSG
IKEv2-PROTO-2:(6):傳送初始消息
IKEv2-PROTO-3:   IKE建議:1,SPI大小:0(初始協商),
編號轉換:4
   AES-CBC SHA1 SHA96 DH_GROUP_768_MODP/Group 1
IKEv2-PROTO-5:構建供應商特定負載:DELETE-REASONIKEv2-PROTO-5:構建供應商特定負載:(自定義)IKEv2-PROTO-5:構建供應商特定負載:(自定義)IKEv2-PROTO-5:構建通知負載:NAT_DETECTION_SOURCE_IPIKEv2-PROTO-5:構建通知負載:NAT_DETECTION_DESTINATION_IPIKEv2-PLAT-2:無法檢索受信任的發行者雜湊,或者沒有可用的雜湊
IKEv2-PROTO-5:構建供應商特定負載:分段IKEv2-PROTO-3:Tx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id:0x0
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B -spi:FC696330E6B94D7F
IKEv2-PROTO-4:下一個負載:SA,版本:2.0
IKEv2-PROTO-4:Exchange型別:IKE_SA_INIT,標志:響應方消息 — 響應
IKEv2-PROTO-4:消息ID:0x0,長度:386
 SA下一個負載:KE,保留:0x0,長度:48
IKEv2-PROTO-4:   上次提議:0x0,保留:0x0,長度:44
  建議:1,協定id:IKE,SPI大小:0, #trans:4
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:12
    type:1,保留:0x0,id:AES-CBC
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:8
    type:2,保留:0x0,id:SHA1
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:8
    type:3,保留:0x0,id:SHA96
IKEv2-PROTO-4:     上次轉換:0x0,保留:0x0:長度:8
    type:4,保留:0x0,id:DH_GROUP_768_MODP/組1

 KE下一個負載:否,保留:0x0,長度:104
    DH組:1,保留:0x0

     c9 30 f9 32 d4 7c d1 a7 5b 71 72 09 6e 7e 91 0c
     e1 ce b4 a4 3c f2 8b 74 4e 20 59 b4 0b a1 ff 65
     37 88 cc c4 a4 b6 fa 4a 63 03 93 89 e1 7e bd 6a
     64 9a 38 24 e2 a8 40 f5 a3 d6 ef f7 1a df 33cc
     a1 8e fa dc 9c 34 45 79 1a 7c 29 05 87 8a ac 02
     98 2e 7d cb 41 51 d6 fe fc c7 76 83 1d 03 b0 d7
 N下一個負載:VID,保留:0x0,長度:24

     c2 28 7f 8c 7d b3 1e 51 fc eb f1 97 ec 97 b8 67
     d5 e7 c2 f5
 VID下一負載:VID,保留:0x0,長度:23		  
ASA傳送IKE_SA_INIT交換的響應消息。IKE_SA_INIT交換現在已完成。ASA啟動身份驗證過程的計時器。  IKEv2-PLAT-4:已傳送資料包[IKE_SA_INIT] [10.0.0.1]:500->[192.168.1.1]:25170 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000000
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000000 CurState:INIT_DONE事件:EV_DONE
IKEv2-PROTO-3:(6):分段已啟用
IKEv2-PROTO-3:(6):已啟用Cisco DeleteReason Notify
IKEv2-PROTO-3:(6):完成SA初始化交換
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000000 CurState:INIT_DONE事件:EV_CHK4_ROLE
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000000 CurState:INIT_DONE事件:EV_START_TMR
IKEv2-PROTO-3:(6):正在啟動計時器以等待身份驗證消息(30秒)
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000000 CurState:R_WAIT_AUTH事件:EV_NO_EVENT    

 ****************************************
日期:04/23/2013
時間:16:25:02
Type:資訊
來源:acvpnagent

說明:功能:CIPsecProtocol::initiateTunnel
檔案:.\IPsecProtocol.cpp
線路:345
IPsec隧道正在啟動
****************************************

客戶端將IPSec隧道顯示為「正在啟動」。
   -----------------------------------IKE_SA_INIT完成---------------------------------  
  -------------------------------------_AUTH開始-------------------------------------  
  ****************************************
日期:04/23/2013
時間:16:25:00
Type:資訊
來源:acvpnagent

說明:安全網關引數:
 IP 位址:10.0.0.1
 連接埠:443
 URL:"10.0.0.1 "
 身份驗證方法:IKE - EAP-AnyConnect
 IKE標識:
****************************************
日期:04/23/2013
時間:16:25:00
Type:資訊
來源:acvpnagent

說明:啟動Cisco AnyConnect安全移動客戶端連線,版本3.0.1047
****************************************

日期:04/23/2013
時間:16:25:02
Type:資訊
來源:acvpnagent

說明:功能:ikev2_log
檔案:.\ikev2_anyconnect_osal.cpp
線路:2730
已收到建立IPsec隧道的請求;本地流量選擇器=地址範圍:0.0.0.0-255.255.255.255協定:0埠範圍:0-65535 ;遠端流量選擇器=地址範圍:0.0.0.0-255.255.255.255協定:0埠範圍:0-65535
****************************************
日期:04/23/2013
時間:16:25:02
Type:資訊
來源:acvpnagent

說明:功能:CIPsecProtocol::connectTransport
檔案:.\IPsecProtocol.cpp
線路:1629
已開啟IKE套接字從192.168.1.1:25171到10.0.0.1:4500
****************************************

 使用者端會捨棄訊息3的AUTH負載,以表示希望使用可擴充驗證。當客戶端配置檔案指定或隱含可擴展身份驗證協定(EAP)身份驗證,且配置檔案不包含<IKEIdentity>元素時,客戶端傳送帶有固定字串*$AnyConnectClient$*的ID_GROUP型別IDi負載。客戶端在埠4500上發起與ASA的連線。

身份驗證使用EAP完成。在EAP會話中只允許使用一個EAP身份驗證方法。ASA從客戶端接收IKE_AUTH消息。

IKEv2-PLAT-4:RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001

IKEv2-PROTO-3:Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id:0x1

  

客戶端包含IDi負載時
但不是AUTH負載,這表示
客戶端已宣告身份,但
沒有證明。在偵錯中,AUTH
ike_AUTH中不存在負載
客戶端傳送的資料包。使用者端
僅在
EAP交換成功。如果ASA
願意使用
身份驗證方法,它放置一個EAP
消息4中的負載並推遲傳送
SAr2、TSi和TSr,直到啟動器
身份驗證在
後續的IKE_AUTH交換。

IKE_AUTH發起程式資料包包含:

  1. ISAKMP報頭-
    SPI/版本/標誌。
  2. IDi — 隧道組名稱,該隧道組名稱
    客戶端希望連線到
    可以通過IDi傳送
    型別ID_KEY_ID的負載
    的初始消息
    IKE_AUTH交換。此
    在客戶端配置檔案*為
    使用組名稱預配置
    或者,在上次成功後
    驗證,使用者端具有
    在其中
    首選項檔案。ASA
    嘗試匹配隧道組
    包含IKE內容的名稱
    IDi負載。在第一個之後
    成功的IPSec VPN是
    已建立,客戶端快取
    組名稱(組別名)
    使用者已驗證。此組
    名稱在IDi中提供
    下一個連線的負載
    嘗試指示
    可能的目標組
    使用者。當EAP身份驗證為
    由客戶端指定或暗示
    配置檔案和
    包含<IKEIdentity>
    元素,客戶端傳送
    ID_GROUP型別IDi負載
    使用固定字串
    *$AnyConnectClient$*。
  3. CERTREQ — 客戶端為
    請求ASA
    首選證書。憑證
    可能包括請求負載
    在交換中
    需要獲取
    接收器。證書請求
    負載的處理者
    檢查「證書編碼」
    欄位以確定
    處理器是否有任何
    此型別的證書。如果是,
    「證書頒發機構」欄位為
    檢查,以確定是否
    處理器具有任何憑證
    最多可以驗證其中一個
    指定的證書
    當局。這可能是一條鏈
    憑證。
  4. CFG - CFG_REQUEST/
    CFG_REPLY允許IKE
    請求資訊的終結點
    從同伴那裡。如果
    CFG_REQUEST配置
    負載不是零長度,它是
    作為建議提出
    attribute.CFG_REPLY
    配置負載可能返回
    這個值還是一個新值。可以
    同時新增新屬性,但不新增
    包括一些請求請求。
    已返回請求者忽略
    不存在的屬性
    認識。在這些調試中,
    客戶端正在請求隧道
    中的配置
    CFG_REQUEST。ASA
    回覆此封包並傳送通道
    配置屬性僅在此之後
    eap交換成功。
  5. SAi2 - SAi2啟動SA,
    類似於第2階段
    ikev1中的轉換集交換。
  6. TSiTSr — 發起方和
    響應器流量選擇器
    分別包含源
    和目的地址
    發起方和響應方
    轉發和接收已加密
    流量。地址範圍
    指定所有往返流量
    這個範圍是隧道式的。如果
    計畫書為本集團所接受
    響應方傳送相同的TS
    有效載荷。

客戶機必須為其提供的屬性
組身份驗證儲存在
AnyConnect配置檔案。

*相關配置檔案配置:

<ServerList>
<HostEntry>
  <HostName>Anu-IKEV2
  </HostName>
  <HostAddress>10.0.0.1
  </HostAddress>
  
         
         
           ASA-IKEV2 
          
 
         
<PrimaryProtocol>IPsec
</PrimaryProtocol>
</HostEntry>
</ServerList>
 IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B -spi:FC696330E6B94D7F
IKEv2-PROTO-4:下一個負載:ENCR,版本:2.0
IKEv2-PROTO-4:Exchange型別:IKE_AUTH,標志:啟動器
IKEv2-PROTO-4:消息ID:0x1,長度:540
IKEv2-PROTO-5:(6):請求具有mess_id 1;預計1到1
實際解密資料包:資料:465 位元組
IKEv2-PROTO-5:分析供應商特定負載:(自定義)VID下一負載:IDi,保留:0x0,長度:20

     58 af f6 11 52 8d b0 2c b8 da 30 46 be 91 56 fa
 IDi下一個負載:CERTREQ,保留:0x0,長度:28
    Id型別:組名稱,保留:0x0 0x0

     2a 24 41 6e 79 43 6f 6e 6e 65 63 74 43 6c 69 65
     6e 74 24 2a
 CERTREQ下一個負載:CFG,保留:0x0,長度:25
    證書編碼X.509證書 — 簽名
CertReq資料&冒號;20 位元組
 CFG下一個負載:SA,保留:0x0,長度:196
    cfg型別:CFG_REQUEST,保留:0x0,保留:0x0

   屬性型別:內部IP4地址,長度:0

   屬性型別:內部IP4網路掩碼,長度:0

   屬性型別:內部IP4 DNS,長度:0

   屬性型別:內部IP4 NBNS,長度:0

   屬性型別:內部地址到期,長度:0

   屬性型別:應用程式版本,長度:27

     41 6e 79 43 6f 6e 6e 65 63 74 20 57 69 6e 64 6f
     77 73 20 33 2e 30 2e 31 30 34 37
   屬性型別:內部IP6地址,長度:0

   屬性型別:內部IP4子網,長度:0

   屬性型別:未知 — 28682,長度:15

     77 69 6e 78 70 36 34 74 65 6d 70 6c 61 74 65
   屬性型別:未知 — 28704,長度:0

   屬性型別:未知 — 28705,長度:0

   屬性型別:未知 — 28706,長度:0

   屬性型別:未知 — 28707,長度:0

   屬性型別:未知 — 28708,長度:0

   屬性型別:未知 — 28709,長度:0

   屬性型別:未知 — 28710,長度:0

   屬性型別:未知 — 28672,長度:0

   屬性型別:未知 — 28684,長度:0

   屬性型別:未知 — 28711,長度:2

     05 7e
   屬性型別:未知 — 28674,長度:0

   屬性型別:未知 — 28712,長度:0

   屬性型別:未知 — 28675,長度:0

   屬性型別:未知 — 28679,長度:0

   屬性型別:未知 — 28683,長度:0

   屬性型別:未知 — 28717,長度:0

   屬性型別:未知 — 28718,長度:0

   屬性型別:未知 — 28719,長度:0

   屬性型別:未知 — 28720,長度:0

   屬性型別:未知 — 28721,長度:0

   屬性型別:未知 — 28722,長度:0

   屬性型別:未知 — 28723,長度:0

   屬性型別:未知 — 28724,長度:0

   屬性型別:未知 — 28725,長度:0

   屬性型別:未知 — 28726,長度:0

   屬性型別:未知 — 28727,長度:0

   屬性型別:未知 — 28729,長度:0

 SA下一個負載:TSi,保留:0x0,長度:124
IKEv2-PROTO-4:   上次提議:0x0,保留:0x0,長度:120
  建議:1,協定id:ESP、SPI大小:4, #trans:12
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:12
    type:1,保留:0x0,id:AES-CBC
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:12
    type:1,保留:0x0,id:AES-CBC
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:12
    type:1,保留:0x0,id:AES-CBC
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:8
    type:1,保留:0x0,id:3DES
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:8
    type:1,保留:0x0,id:DES
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:8
    type:1,保留:0x0,id:空
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:8
    type:3,保留:0x0,id:SHA512
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:8
    type:3,保留:0x0,id:SHA384
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:8
    type:3,保留:0x0,id:SHA256
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:8
    type:3,保留:0x0,id:SHA96
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:8
    type:3,保留:0x0,id:MD596
IKEv2-PROTO-4:     上次轉換:0x0,保留:0x0:長度:8
    type:5,保留:0x0,id:

 TSi下一個負載:TSr,保留:0x0,長度:24
    TS數:1,保留0x0,保留0x0
    TS型別:TS_IPV4_ADDR_RANGE,原始ID:0,長度:16
    啟動埠:0,終端埠:65535
    start addr:0.0.0.0,結束地址:255.255.255.255
 TSr Next負載:通知,保留:0x0,長度:24
    TS數:1,保留0x0,保留0x0
    TS型別:TS_IPV4_ADDR_RANGE,原始ID:0,長度:16
    啟動埠:0,終端埠:65535
    start addr:0.0.0.0,結束地址:255.255.255.255		  

ASA生成對IKE_AUTH消息的響應,並準備向客戶端進行身份驗證。

解密的資料包:資料冒號(&C);540 位元組
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:EV_RECV_AUTH
IKEv2-PROTO-3:(6):正在停止計時器以等待身份驗證消息
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:EV_CHK_NAT_T
IKEv2-PROTO-3:(6):檢查NAT發現
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:EV_CHG_NAT_T_PORT
IKEv2-PROTO-2:(6):NAT檢測到浮點到初始化埠25171,響應埠4500
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:EV_PROC_ID
IKEv2-PROTO-2:(6):已收到進程ID中的有效引數
IKEv2-PLAT-3:(6)對等身份驗證方法設定為:0
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:EV_CHK_IF_PEER_CERT_NEEDS_TO_BE_FETCHED_FOR_PROF_SEL
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:EV_GET_POLICY_BY_PEERID
IKEv2-PROTO-3:(6):獲取已配置的策略
IKEv2-PLAT-3:根據ID負載檢測到新的AnyConnect客戶端連線
IKEv2-PLAT-3:my_auth_method = 1
IKEv2-PLAT-3:(6)對等身份驗證方法設定為:256
IKEv2-PLAT-3:supported_peers_auth_method = 16
IKEv2-PLAT-3:(6)tp_name設定為:Anu-ikev2
IKEv2-PLAT-3:信任點設定為:Anu-ikev2
IKEv2-PLAT-3:P1 ID = 0
IKEv2-PLAT-3:將IKE_ID_AUTO轉換為= 9
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:EV_SET_POLICY
IKEv2-PROTO-3:(6):設定配置的策略
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:EV_VERIFY_POLICY_BY_PEERID
IKEv2-PROTO-3:(6):驗證對等體的策略
IKEv2-PROTO-3:(6):找到匹配的證書
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:EV_CHK_CONFIG_MODE
IKEv2-PROTO-3:(6):收到有效的配置模式資料
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:EV_SET_RECD_CONFIG_MODE
IKEv2-PLAT-3:(6)DDNS的DHCP主機名設定為:winxp64template
IKEv2-PROTO-3:(6):設定接收的配置模式資料
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:EV_CHK_AUTH4EAP
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000001 CurState:R_WAIT_AUTH事件:EV_CHK_EAP
IKEv2-PROTO-3:(6):檢查EAP交換
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000001 CurState:R_BLD_AUTH事件:EV_GEN_AUTH
IKEv2-PROTO-3:(6):生成我的身份驗證資料
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000001 CurState:R_BLD_AUTH事件:EV_CHK4_SIGN
IKEv2-PROTO-3:(6):獲取我的身份驗證方法
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000001 CurState:R_BLD_AUTH事件:EV_SIGN
IKEv2-PROTO-3:(6):簽名身份驗證資料
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000001 CurState:R_BLD_AUTH事件:EV_OK_AUTH_GEN
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000001 CurState:R_BLD_EAP_AUTH_REQ事件:EV_AUTHEN_REQ
IKEv2-PROTO-2:(6):要求身份驗證器傳送EAP請求

已建立元素名稱config-auth值
已將屬性名稱客戶端值vpn新增到元素config-auth
已將屬性名稱型別值hello新增到元素config-auth
建立的元素名稱版本值9.0(2)8
已將元素名稱版本值9.0(2)8新增到元素config-auth
新增將sg值為元素版本的屬性名稱
下面生成的XML消息
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="hello">
<version who="sg">9.0(2)8</version>
</config-auth>

IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000001 CurState:R_BLD_EAP_AUTH_REQ事件:EV_RECV_EAP_AUTH
IKEv2-PROTO-5:(6):Action:Action_Null
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000001 CurState:R_BLD_EAP_AUTH_REQ事件:EV_CHK_REDIRECT
IKEv2-PROTO-3:(6):重新導向檢查與負載均衡的平台
IKEv2-PLAT-3:平台上的重定向檢查
IKEv2-PLAT-3:ikev2_osal_redirect:10.0.0.1接受的會話
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000001 CurState:R_BLD_EAP_AUTH_REQ事件:EV_SEND_EAP_AUTH_REQ
IKEv2-PROTO-2:(6):正在傳送EAP請求
IKEv2-PROTO-5:構建供應商特定負載:CISCO-GRANITEIKEv2-PROTO-3:(6):生成

  

ASA傳送AUTH負載,以便從客戶端請求使用者憑證。ASA將AUTH方法作為「RSA」傳送,因此它將自己的證書傳送給客戶端,以便客戶端可以對ASA伺服器進行身份驗證。

由於ASA願意使用可擴展的身份驗證方法,因此ASA將EAP負載置於消息4中,並推遲傳送SAr2、TSi和TSr,直到在後續的IKE_AUTH交換中完成啟動器身份驗證。因此,這三個有效負載在調試中不存在。

EAP資料包包含:

  1. 代碼:request — 此代碼由身份驗證器傳送到對等裝置。
  2. id:1 - id有助於將EAP響應與請求進行匹配。這裡的值為1,表示這是EAP交換中的第一個資料包。此EAP請求的「config-auth」型別為「hello;」,它從ASA傳送到客戶端以啟動EAP交換。
  3. 長度:150 - EAP資料包的長度包括代碼、id、長度和EAP資料。
  4. EAP資料
  IDr。下一個負載:CERT,保留:0x0,長度:36
    Id型別:DER ASN1 DN,保留:0x0 0x0

     30 1a 31 18 30 16 06 09 2a 86 48 86 f7 0d 01 09
     02 16 09 41 53 41 2d 49 4b 45 56 32
 CERT Next payload:CERT,保留:0x0,長度:436
    證書編碼X.509證書 — 簽名
證書資料(&C);431 位元組
 CERT下一個負載:身份驗證,保留:0x0,長度:436
    證書編碼X.509證書 — 簽名
證書資料(&C);431 位元組
 AUTH Next payload:EAP,保留:0x0,長度:136
    身份驗證方法RSA,已保留:0x0,保留0x0
身份驗證資料(&C);128 位元組
 EAP Next payload:無,保留:0x0,長度:154
    代碼:請求:id:1, length:150
    Type:未知 — 254
EAP資料:145 位元組

IKEv2-PROTO-3:Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id:0x1
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B -spi:FC696330E6B94D7F
IKEv2-PROTO-4:下一個負載:ENCR,版本:2.0
IKEv2-PROTO-4:Exchange型別:IKE_AUTH,標志:響應方消息 — 響應
IKEv2-PROTO-4:消息ID:0x1,長度:1292
 ENCR下一個負載:VID,保留:0x0,長度:1264
加密資料(&C);1260 位元組		  

如果憑證較大或包括憑證鏈結,則可能會導致分段。發起方和響應方KE有效負載還可以包括大金鑰,這也可能導致分段。

 IKEv2-PROTO-5:(6):分段資料包,分段MTU:544,片段數量:3,片段ID:1
IKEv2-PLAT-4:已傳送資料包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001
IKEv2-PLAT-4:已傳送資料包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001
IKEv2-PLAT-4:已傳送資料包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001		  
 

****************************************
日期:04/23/2013
時間:16:25:02
Type:資訊
來源:acvpnagent

說明:功能:ikev2_verify_X509_SIG_certs
檔案:.\ikev2_anyconnect_osal.cpp
線路:2077
正在請求使用者接受證書
****************************************
日期:04/23/2013
時間:16:25:02
Type:錯誤
來源:acvpnui

說明:功能:CCapiCertificate::verifyChainPolicy
檔案:.\Certificates\CapiCertificate.cpp
線路:2032
呼叫的函式:CertVerifyCertificateChainPolicy
返回代碼:-2146762487(0x800B0109)
說明:證書鏈已處理,但在不受信任提供程式信任的根證書中終止。
****************************************
日期:04/23/2013
時間:16:25:04
Type:資訊
來源:acvpnagent

說明:功能:CEAPMgr::dataRequestCB
檔案:.\EAPMgr.cpp
線路:400
EAP建議的型別:EAP-ANYCONNECT
****************************************

 ASA傳送的證書將提供給使用者。證書不受信任。EAP型別為EAP-ANYCONNECT。

客戶端對EAP請求作出響應。

EAP資料包包含:

  1. 代碼:response — 此代碼由對等體傳送到身份驗證器以響應EAP請求。
  2. id:1 - id有助於將EAP響應與請求匹配。此處值為1,表示這是對ASA(身份驗證器)之前傳送的請求的響應。 此EAP響應的「config-auth」型別為「init」;客戶端正在初始化EAP交換並等待ASA生成身份驗證請求。
  3. 長度:252 - EAP資料包的長度包括代碼、id、長度和EAP資料。
  4. EAP資料

ASA解密此響應,客戶端稱其已在上一個資料包(包含證書)中收到AUTH負載,並從ASA收到第一個EAP請求資料包。這是「init」EAP響應資料包包含的內容。

IKEv2-PLAT-4:RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000002
IKEv2-PROTO-3:Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id:0x2
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B -spi:FC696330E6B94D7F
IKEv2-PROTO-4:下一個負載:ENCR,版本:2.0
IKEv2-PROTO-4:Exchange型別:IKE_AUTH,標誌:啟動器
IKEv2-PROTO-4:消息ID:0x2,長度:332
IKEv2-PROTO-5:(6):請求具有mess_id 2;預計2至2
實際解密資料包:資料:256 位元組
 EAP Next payload:無,保留:0x0,長度:256
    代碼:響應:id:1,長度:252
    Type:未知 — 254
EAP資料:247位元組

解密的資料包:資料冒號(&C);332 位元組
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000002 CurState:R_WAIT_EAP_RESP事件:EV_RECV_AUTH
IKEv2-PROTO-3:(6):正在停止計時器以等待身份驗證消息
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000002 CurState:R_WAIT_EAP_RESP事件:EV_RECV_EAP_RESP

IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000002 CurState:R_PROC_EAP_RESP事件:EV_PROC_MSG
IKEv2-PROTO-2:(6):正在處理EAP響應

從客戶端收到以下XML消息
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="init">
<device-id>win</device-id>
<version who="vpn">3.0.1047</version>
<group-select>ASA-IKEV2</group-select>
<group-access>ASA-IKEV2</group-access>
</config-auth>
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000002 CurState:R_PROC_EAP_RESP事件:EV_RECV_EAP_AUTH

IKEv2-PROTO-5:(6):Action:Action_Null
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000002 CurState:R_BLD_EAP_REQ事件:EV_RECV_EAP_REQ

  

這是ASA向客戶端傳送的第二個請求。

EAP資料包包含:

  1. 代碼:request — 此代碼由身份驗證器傳送到對等裝置。
  2. id:2 - id有助於將EAP響應與請求進行匹配。這裡的值為2,表示它是交換中的第二個資料包。此要求的「config-auth」型別為「auth-request」;asa正在請求客戶端傳送使用者身份驗證憑證。
  3. 長度:457 - EAP資料包的長度包括代碼、id、長度和EAP資料。
  4. EAP資料

增強負載:

此負載被解密,其內容被解析為附加負載。

IKEv2-PROTO-2:(6):正在傳送EAP請求

下面生成的XML消息
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="auth-request">
<version who="sg">9.0(2)8</version>
<opaque is-for="sg">
<tunnel-group>ASA-IKEV2</tunnel-group>
<config-hash>1367268141499</config-hash>
</opaque>
<sport>443</sport>
<auth id="main">
<表單>
<input type="text" name="username" label="Username:"></input>
<input type="password" name="password" label="Password:"></input>
</form>
</auth>
</config-auth>
IKEv2-PROTO-3:(6):生成加密資料包;內容包括:
 EAP Next payload:無,保留:0x0,長度:461
    代碼:請求:id:2,長度:457
    Type:未知 — 254
EAP資料:452 位元組

IKEv2-PROTO-3:Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id:0x2
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B -spi:FC696330E6B94D7F
IKEv2-PROTO-4:下一個負載:ENCR,版本:2.0
IKEv2-PROTO-4:Exchange型別:IKE_AUTH,標誌:響應方消息 — 響應
IKEv2-PROTO-4:消息ID:0x2,長度:524
 ENCR下一個負載:EAP,保留:0x0,長度:496
加密資料(&C);492 位元組

IKEv2-PLAT-4:已傳送PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000002
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000002 CurState:R_BLD_EAP_REQ事件:EV_START_TMR
IKEv2-PROTO-3:(6):正在啟動計時器以等待使用者身份驗證消息(120秒)
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000002 CurState:R_WAIT_EAP_RESP事件:EV_NO_EVENT   

 ****************************************
日期:04/23/2013
時間:16:25:04
Type:資訊
來源:acvpnui

說明:功能:
SDIMgr::ProcessPromptData
檔案:.\SDIMgr.cpp
線路:281
身份驗證型別不是SDI。
****************************************
日期:04/23/2013
時間:16:25:07
Type:資訊
來源:acvpnui

說明:功能:ConnectMgr::userResponse
檔案:.\ConnectMgr.cpp
線路:985
正在處理使用者響應。
****************************************

客戶端請求使用者身份驗證並將其作為EAP響應傳送到下一個資料包(「auth-reply」)中的ASA。

客戶端傳送另一條包含EAP負載的IKE_AUTH啟動器消息。

EAP資料包包含:

  1. 代碼:response — 此代碼由對等體傳送到身份驗證器以響應EAP請求。
  2. id:2 - id有助於將EAP響應與請求進行匹配。此處值為2,表示這是對ASA(身份驗證器)之前傳送的請求的響應。
  3. 長度:420 - EAP資料包的長度包括代碼、id、長度和EAP資料。
  4. EAP資料
  IKEv2-PLAT-4:RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PROTO-3:Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id:0x3
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B -spi:FC696330E6B94D7F
IKEv2-PROTO-4:下一個負載:ENCR,版本:2.0
IKEv2-PROTO-4:Exchange型別:IKE_AUTH,標誌:啟動器
IKEv2-PROTO-4:消息ID:0x3,長度:492
IKEv2-PROTO-5:(6):請求具有mess_id 3;預計3至3


實際解密資料包:資料:424 位元組
 EAP Next payload:無,保留:0x0,長度:424
    代碼:響應:id:2,長度:420
    Type:未知 — 254
EAP資料:415 位元組		  

ASA處理此響應。客戶端已請求使用者輸入憑據。此EAP響應的「config-auth」型別為「auth-reply」。 此資料包包含使用者輸入的憑據。

解密資料包:資料:492 位元組
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000003 CurState:R_WAIT_EAP_RESP事件:EV_RECV_AUTH
IKEv2-PROTO-3:(6):正在停止計時器以等待身份驗證消息
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000003 CurState:R_WAIT_EAP_RESP事件:EV_RECV_EAP_RESP
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000003 CurState:R_PROC_EAP_RESP事件:EV_PROC_MSG
IKEv2-PROTO-2:(6):正在處理EAP響應

從客戶端收到以下XML消息
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="auth-reply">
<device-id>win</device-id>
<version who="vpn">3.0.1047</version>
<session-token></session-token>
<session-id></session-id>
<opaque is-for="sg">
<tunnel-group>ASA-IKEV2</tunnel-group>
<config-hash>1367268141499</config-hash></opaque>
<auth>
<password>cisco123</password>
<username>Anu</username></auth>
</config-auth>
IKEv2-PLAT-1:EAP:啟動的使用者身份驗證
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000003 CurState:R_PROC_EAP_RESP事件:EV_NO_EVENT
IKEv2-PLAT-5:EAP:在AAA回撥中
檢索的伺服器證書摘要:DACE1C274785F28BA11D64453096BAE294A3172E
IKEv2-PLAT-5:EAP:在AAA回撥中成功
IKEv2-PROTO-3:從驗證器收到響應
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000003 CurState:R_PROC_EAP_RESP事件:EV_RECV_EAP_AUTH
IKEv2-PROTO-5:(6):Action:Action_Null

  

ASA在交換中構建第三個EAP請求。

EAP資料包包含:

  1. 代碼:request — 此代碼由身份驗證器傳送到對等裝置。
  2. id:3 - id有助於將EAP響應與請求進行匹配。此處的值為3,表示它是交換中的第三個資料包。此封包的「config-auth」型別為「complete」;asa已收到回覆,並且EAP交換已完成。
  3. 長度:4235 - EAP資料包的長度包括代碼、id、長度和EAP資料。
  4. EAP資料

增強負載:

此負載被解密,其內容被解析為附加負載。

IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000003 CurState:R_BLD_EAP_REQ事件:EV_RECV_EAP_REQ
IKEv2-PROTO-2:(6):正在傳送EAP請求

下面生成的XML消息
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="complete">
<version who="sg">9.0(2)8</version>
<session-id>32768</session-id>
<session-token>18wA0TtGmDxPKPQCJywC7fB7EWLCEgz-ZtjYpAyXx2yJH0H3G3H8t5xpBOx3Ixag</session-token>
<auth id="success">
<message id="0" param1="" param2=""></message>
</auth>


IKEv2-PROTO-3:(6):生成加密資料包;內容包括:
 EAP Next payload:無,保留:0x0,長度:4239
    代碼:請求:id:3,長度:4235
    Type:未知 — 254
EAP資料:4230 位元組

IKEv2-PROTO-3:Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id:0x3
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B -spi:FC696330E6B94D7F
IKEv2-PROTO-4:下一個負載:ENCR,版本:2.0
IKEv2-PROTO-4:Exchange型別:IKE_AUTH,標誌:響應方消息 — 響應
IKEv2-PROTO-4:消息ID:0x3,長度:4300
 ENCR下一個負載:EAP,保留:0x0,長度:4272
加密資料(&C);4268位元組

IKEv2-PROTO-5:(6):分段資料包,分段MTU:544,片段數量:9,片段ID:2
IKEv2-PLAT-4:已傳送資料包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4:已傳送資料包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4:已傳送資料包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4:已傳送資料包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4:已傳送資料包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4:已傳送資料包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4:已傳送資料包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4:已傳送資料包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4:已傳送資料包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000003 CurState:R_BLD_EAP_REQ事件:EV_START_TMR
IKEv2-PROTO-3:(6):正在啟動計時器以等待使用者身份驗證消息(120秒)
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000003 CurState:R_WAIT_EAP_RESP事件:EV_NO_EVENT

  
  ****************************************
日期:04/23/2013
時間:16:25:07
Type:資訊
來源:acvpnagent

說明:當前配置檔案:Anyconnect-ikev2.xml
已收到VPN會話配置設定:
 保留安裝:已啟用
 代理設定:不修改
 代理伺服器:none
 代理PAC URL:none
 代理例外:none
 代理鎖定:已啟用
 分割排除:本地LAN訪問首選項已禁用
 拆分包括:已禁用
 拆分DNS:已禁用
 本地LAN萬用字元:本地LAN訪問首選項已禁用
 防火牆規則:none
 客戶端地址:10.2.2.1
 客戶端掩碼:255.0.0.0
 客戶端IPv6地址:未知
 客戶端IPv6掩碼:未知
 MTU:1406
 IKE保持連線:20秒
 IKE DPD:30秒
 會話超時:0秒
 斷開連線超時:1800秒
 空閒超時:1800秒
 伺服器:未知
 MUS主機:未知
 DAP使用者消息:none
 隔離狀態:已禁用
 Always On VPN:未禁用
 租期:0秒
 預設域:未知
 首頁:未知
 智慧卡刪除斷開連線:已啟用
 許可證響應:未知
****************************************		 ASA將「完成」消息中的VPN配置設定傳送到客戶端,並從VPN池向客戶端分配IP地址。

客戶端傳送帶有EAP負載的啟動器資料包。

EAP資料包包含:

  1. 代碼:response — 此代碼由對等體傳送到身份驗證器以響應EAP請求。
  2. id:3 - id有助於將EAP響應與請求進行匹配。此處值為3,表示這是對ASA(身份驗證器)之前傳送的請求的響應。 ASA現在接收來自客戶端的響應資料包,該客戶端的「config-auth」型別為「ack」;此響應確認ASA先前傳送的EAP「完成」消息。
  3. 長度:173 - EAP資料包的長度包括代碼、id、長度和EAP資料。
  4. EAP資料
  IKEv2-PLAT-4:RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000004
IKEv2-PROTO-3:Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id:0x4
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B -spi:FC696330E6B94D7F
IKEv2-PROTO-4:下一個負載:ENCR,版本:2.0
IKEv2-PROTO-4:Exchange型別:IKE_AUTH,標誌:啟動器
IKEv2-PROTO-4:消息ID:0x4,長度:252
IKEv2-PROTO-5:(6):請求具有mess_id 4;預計4至4


實際解密資料包:資料:177 位元組
 EAP Next payload:無,保留:0x0,長度:177
    代碼:響應:id:3,長度:173
    Type:未知 — 254
EAP資料:168 位元組		  

ASA處理此資料包。其
EAP交換成功。ASA
準備傳送隧道組
配置下一個資料包,
之前是客戶在
IDi負載。ASA接收
來自客戶端的響應資料包,
具有「config-auth」型別的「ack」。 此
響應確認EAP
傳送的「完成」消息
ASA之前。

相關配置:

tunnel-group ASA-IKEV2 
 type remote-access
tunnel-group ASA-IKEV2 
 general-attributes
 address-pool webvpn1
 authorization-server-group 
 LOCAL default-group-policy 
  ASA-IKEV2
tunnel-group ASA-IKEV2
 webvpn-attributes
 group-alias ASA-IKEV2 
 enable

EAP交換現在成功。

EAP資料包包含:

  1. 代碼:success — 此代碼為
    由身份驗證器傳送到
    完成EAP後的對等體
    驗證方法。此
    表示對等體具有
    已成功驗證到
    驗證器。
  2. id:3 - ID用於匹配
    EAP響應請求。
    這裡值為3,其中
    表示這是對
    之前由傳送者
    ASA(身份驗證器)。 第三組
    交換的資料包
    成功,並且EAP交換
    成功。
  3. 長度:4 - EAP的長度
    資料包包含代碼、id、
    長度和EAP資料。
  4. EAP資料

解密資料包:資料:252位元組
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000004 CurState:R_WAIT_EAP_RESP事件:EV_RECV_AUTH
IKEv2-PROTO-3:(6):正在停止計時器以等待身份驗證消息
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000004 CurState:R_WAIT_EAP_RESP事件:EV_RECV_EAP_RESP
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000004 CurState:R_PROC_EAP_RESP事件:EV_PROC_MSG
IKEv2-PROTO-2:(6):正在處理EAP響應

從客戶端收到以下XML消息
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="ack">
<device-id>win</device-id>
<version who="vpn">3.0.1047</version>
</config-auth>

IKEv2-PLAT-3:(6)aggrAuthHdl設定為0x2000
IKEv2-PLAT-3:(6)tg_name設定為:ASA-IKEV2
IKEv2-PLAT-3:(6)tunn grp type設定為:RA
IKEv2-PLAT-1:EAP:身份驗證成功
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000004 CurState:R_PROC_EAP_RESP事件:EV_RECV_EAP_SUCCESS
IKEv2-PROTO-2:(6):正在傳送EAP狀態消息
IKEv2-PROTO-3:(6):生成加密資料包;內容包括:
 EAP Next payload:無,保留:0x0,長度:8
    代碼:成功:id:3,長度:4

IKEv2-PROTO-3:Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id:0x4
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B -spi:FC696330E6B94D7F
IKEv2-PROTO-4:下一個負載:ENCR,版本:2.0
IKEv2-PROTO-4:Exchange型別:IKE_AUTH,標誌:響應方消息 — 響應
IKEv2-PROTO-4:消息ID:0x4,長度:76
 ENCR下一個負載:EAP,保留:0x0,長度:48
加密的資料(&C);44位元組

IKEv2-PLAT-4:已傳送PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000004

IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000004 CurState:R_PROC_EAP_RESP事件:EV_START_TMR
IKEv2-PROTO-3:(6):正在啟動計時器以等待身份驗證消息(30秒)
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000004 CurState:R_WAIT_EAP_AUTH_VERIFY事件:EV_NO_EVENT

  
由於EAP交換成功,客戶端將傳送包含AUTH負載的IKE_AUTH發起程式資料包。身份驗證負載由共用金鑰生成。  IKEv2-PLAT-4:RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PROTO-3:Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id:0x5
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B -spi:FC696330E6B94D7F
IKEv2-PROTO-4:下一個負載:ENCR,版本:2.0
IKEv2-PROTO-4:Exchange型別:IKE_AUTH,標志:啟動器
IKEv2-PROTO-4:消息ID:0x5,長度:92
IKEv2-PROTO-5:(6):請求具有mess_id 5;預計5至5


REAL解密資料包:資料:28位元組
 AUTH Next payload:無,保留:0x0,長度:28
    身份驗證方法PSK,已保留:0x0,保留0x0
身份驗證數據:20 位元組		  

當指定EAP身份驗證或
客戶端配置檔案和
配置檔案不包含
<IKEIdentity>元素,客戶端將
ID_GROUP型別IDi負載
固定字串*$AnyConnectClient$*。

ASA處理此消息。

相關配置:

crypto dynamic-map dynmap 1000 
 set ikev2 ipsec-proposal 3des
crypto map crymap 10000 
 ipsec-isakmp dynamic dynmap
crypto map crymap interface 
 outside

解密資料包:資料:92 位元組
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:R_WAIT_EAP_AUTH_VERIFY事件:EV_RECV_AUTH
IKEv2-PROTO-3:(6):正在停止計時器以等待身份驗證消息
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:R_VERIFY_AUTH事件:EV_GET_EAP_KEY
IKEv2-PROTO-2:(6):傳送AUTH,在EAP交換後驗證對等體
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:R_VERIFY_AUTH事件:EV_VERIFY_AUTH
IKEv2-PROTO-3:(6):驗證身份驗證資料
IKEv2-PROTO-3:(6):對id *$AnyConnectClient$*使用預共用金鑰,金鑰長度20
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:R_VERIFY_AUTH事件:EV_GET_CONFIG_MODE
IKEv2-PLAT-3:配置模式應答排隊
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:R_VERIFY_AUTH事件:EV_NO_EVENT
IKEv2-PLAT-3:PSH:client=AnyConnect client-version=3.0.1047 client-os=Windows client-os-version=
IKEv2-PLAT-3:配置模式回覆已完成
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:R_VERIFY_AUTH事件:EV_OK_GET_CONFIG
IKEv2-PROTO-3:(6):讓配置模式資料傳送
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:R_VERIFY_AUTH事件:EV_CHK4_IC
IKEv2-PROTO-3:(6):正在處理初始聯絡人
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:R_VERIFY_AUTH事件:EV_CHK_REDIRECT
IKEv2-PROTO-5:(6):已對此會話執行重定向檢查,正在跳過它
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:R_VERIFY_AUTH事件:EV_PROC_SA_TS
IKEv2-PROTO-2:(6):正在處理身份驗證消息
IKEv2-PLAT-1:加密對映:對映dynmap seq 1000。使用分配的IP調整的選擇器
IKEv2-PLAT-3:加密對映:動態對映dynmap seq 1000上的匹配
IKEv2-PLAT-3:RA連線禁用PFS
IKEv2-PROTO-3:(6):
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:R_VERIFY_AUTH事件:EV_NO_EVENT
IKEv2-PLAT-2:已收到用於SPI 0x30B848A4的PFKEY SPI回撥,錯誤為FALSE
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:R_VERIFY_AUTH事件:EV_OK_RECD_IPSEC_RESP

IKEv2-PROTO-2:(6):正在處理身份驗證消息

  

ASA使用SA、TSi和TSr負載構建IKE_AUTH響應消息。

IKE_AUTH響應器封包包含:

  1. ISAKMP報頭- SPI/版本/標誌。
  2. AUTH payload — 使用選擇的驗證方法。
  3. CFG - CFG_REQUEST/ CFG_REPLY允許IKE端點從其對等體請求資訊。如果CFG_REQUEST配置負載中的屬性不是零長度,則它被視為該屬性的建議。CFG_REPLY配置負載可能返回該值或返回一個新值。它還可以新增新屬性,但不包括某些請求的屬性。請求者忽略它們無法識別的返回屬性。ASA使用CFG_REPLY資料包中的隧道配置屬性來回覆客戶端。
  4. SAr2 - SAr2啟動SA,這與IKEv1中的第2階段轉換集交換類似。
  5. TSiTSr — 發起方和響應方流量選擇器分別包含發起方和響應方的源地址和目的地址,以便轉發和接收加密流量。地址範圍指定所有進出該範圍的流量都通過隧道傳輸。如果響應方可以接受該建議,它將傳送相同的TS負載作為回應。

增強負載:

此負載被解密,其內容被解析為附加負載。

IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:R_BLD_AUTH事件:EV_MY_AUTH_METHOD
IKEv2-PROTO-3:(6):獲取我的身份驗證方法
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:R_BLD_AUTH事件:EV_GET_PRESHR_KEY
IKEv2-PROTO-3:(6):獲取*$AnyConnectClient$*的對等方的預共用金鑰
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:R_BLD_AUTH事件:EV_GEN_AUTH
IKEv2-PROTO-3:(6):生成我的身份驗證資料
IKEv2-PROTO-3:(6):對id hostname=ASA-IKEV2使用預共用金鑰,金鑰長度20
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:R_BLD_AUTH事件:EV_CHK4_SIGN
IKEv2-PROTO-3:(6):獲取我的身份驗證方法
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:R_BLD_AUTH事件:EV_OK_AUTH_GEN
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:R_BLD_EAP_AUTH_VERIFY事件:EV_GEN_AUTH
IKEv2-PROTO-3:(6):生成我的身份驗證資料
IKEv2-PROTO-3:(6):對id hostname=ASA-IKEV2使用預共用金鑰,金鑰長度20
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:R_BLD_EAP_AUTH_VERIFY事件:EV_SEND_AUTH
IKEv2-PROTO-2:(6):傳送AUTH,在EAP交換後驗證對等體
IKEv2-PROTO-3:   ESP計畫書:1,SPI大小:4(IPSec協商),
編號轉換:3
   AES-CBC SHA96   
IKEv2-PROTO-5:構建通知負載:ESP_TFC_NO_SUPPORTIKEv2-PROTO-5:構建通知負載:NON_FIRST_FRAGSIKEv2-PROTO-3:(6):生成加密資料包;內容包括:
 AUTH Next payload:CFG,保留:0x0,長度:28
    身份驗證方法PSK,已保留:0x0,保留0x0
身份驗證資料(&C);20 位元組
 CFG下一個負載:SA,保留:0x0,長度:4196
    cfg型別:CFG_REPLY,保留:0x0,保留:0x0

   屬性型別:內部IP4地址,長度:4

     01 01 01 01
   屬性型別:內部IP4網路掩碼,長度:4

     00 00 00 00
   屬性型別:內部地址到期,長度:4

     00 00 00 00
   屬性型別:應用程式版本,長度:16

     41 53 41 20 31 30 30 2e 37 28 36 29 31 31 36 00
   屬性型別:未知 — 28704,長度:4

     00 00 00 00
   屬性型別:未知 — 28705,長度:4

     00 00 07 08
   屬性型別:未知 — 28706,長度:4

     00 00 07 08
   屬性型別:未知 — 28707,長度:1

     01
   屬性型別:未知 — 28709,長度:4

     00 00 00 1e
   屬性型別:未知 — 28710,長度:4

     00 00 00 14
   屬性型別:未知 — 28684,長度:1

     01
   屬性型別:未知 — 28711,長度:2

     05 7e
   屬性型別:未知 — 28679,長度:1

     00
   屬性型別:未知 — 28683,長度:4

     80 0b 00 01
   屬性型別:未知 — 28725,長度:1

     00
   屬性型別:未知 — 28726,長度:1

     00
   屬性型別:未知 — 28727,長度:4056

     3c 3f 78 6d 6c 20 76 65 72 73 69 6f 6e 3d 22 31
     2e 30 22 20 65 6e 63 6f 64 69 6e 67 3d 22 55 54
     46 2d 38 22 3f 3e 3c 63 6f 6e 66 69 67 2d 61 75
     74 68 20 63 6c 69 65 6e 74 3d 22 76 70 6e 22 20
     74 79 70 65 3d 22 63 6f 6d 70 6c 65 74 65 22 3e
     3c 76 65 72 73 69 6f 6e 20 77 68 6f 3d 22 73 67
     22 3e 31 30 30 2e 37 28 36 29 31 31 36 3c 2f 76
     65 72 73 69 6f 6e 3e 3c 73 65 73 73 69 6f 6e 2d
     69 64 3e 38 31 39 32 3c 2f 73 65 73 73 69 6f 6e
<snip>
     72 6f 66 69 6c 65 2d 6d 61 6e 69 66 65 73 74 3e
     3c 2f 63 6f 6e 66 69 67 3e 3c 2f 63 6f 6e 66 69
     67 2d 61 75 74 68 3e 00
   屬性型別:未知 — 28729,長度:1

     00
 SA下一個負載:TSi,保留:0x0,長度:44
IKEv2-PROTO-4:   上次提議:0x0,保留:0x0,長度:40
  建議:1,協定id:ESP、SPI大小:4, #trans:3
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:12
    type:1,保留:0x0,id:AES-CBC
IKEv2-PROTO-4:     上次轉換:0x3,保留:0x0:長度:8
    type:3,保留:0x0,id:SHA96
IKEv2-PROTO-4:     上次轉換:0x0,保留:0x0:長度:8
    type:5,保留:0x0,id:

 TSi下一個負載:TSr,保留:0x0,長度:24
    TS數:1,保留0x0,保留0x0
    TS型別:TS_IPV4_ADDR_RANGE,原始ID:0,長度:16
    啟動埠:0,終端埠:65535
    start addr:10.2.2.1,結束地址:10.2.2.1
 TSr下一個負載:通知,保留:0x0,長度:24
    TS數:1,保留0x0,保留0x0
    TS型別:TS_IPV4_ADDR_RANGE,原始ID:0,長度:16
    啟動埠:0,終端埠:65535
    start addr:0.0.0.0,結束地址:255.255.255.255

IKEv2-PROTO-3:Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id:0x5
IKEv2-PROTO-3:HDR[i:58AFF71141BA436B - r:FC696330E6B94D7F]
IKEv2-PROTO-4:IKEV2 HDR ispi:58AFF71141BA436B -spi:FC696330E6B94D7F
IKEv2-PROTO-4:下一個負載:ENCR,版本:2.0
IKEv2-PROTO-4:Exchange型別:IKE_AUTH,標誌:響應方消息 — 響應
IKEv2-PROTO-4:消息ID:0x5,長度:4396
 ENCR下一個負載:身份驗證,保留:0x0,長度:4368
加密資料(&C);4364 位元組

  
ASA發出此IKE_AUTH響應消息,該消息被分段為九個資料包。IKE_AUTH交換完成。 IKEv2-PROTO-5:(6):分段資料包,分段MTU:544,片段數量:9,片段ID:3
IKEv2-PLAT-4:已傳送資料包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4:已傳送資料包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4:已傳送資料包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4:已傳送資料包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4:已傳送資料包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4:已傳送資料包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4:已傳送資料包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4:已傳送資料包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4:已傳送資料包[IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:AUTH_DONE事件:EV_OK
IKEv2-PROTO-5:(6):Action:Action_Null
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:AUTH_DONE事件:EV_PKI_SESH_CLOSE		  
  ****************************************
日期:04/23/2013
時間:16:25:07
Type:資訊
來源:acvpnagent

說明:功能:ikev2_log
檔案:.\ikev2_anyconnect_osal.cpp
線路:2730
已建立IPsec連線。
****************************************
日期:04/23/2013
時間:16:25:07
Type:資訊
來源:acvpnagent

說明:IPsec會話註冊:
 加密:AES-CBC
 PRF:SHA1
 HMAC:SHA96
 本地身份驗證方法:PSK
 遠端身份驗證方法:PSK
 序列ID:0
 金鑰大小:192
 DH組:1
 重新生成金鑰時間:4294967秒
 本地地址:192.168.1.1
 遠端地址:10.0.0.1
 本地埠:4500
 遠端埠:4500
 會話ID:1
****************************************
日期:04/23/2013
時間:16:25:07
Type:資訊
來源:acvpnui

說明:在安全網關上配置的配置檔案為:Anyconnect-ikev2.xml
****************************************
日期:04/23/2013
時間:16:25:07
Type:資訊
來源:acvpnui

說明:傳送給使用者的消息型別資訊:
正在建立VPN會話……
****************************************		 客戶端報告IPSec連線已建立。客戶端還會檢測ASA上的使用者配置檔案。
   ----------------------------IKE_AUTH交換結束-----------------------------------  
 

****************************************
日期:04/23/2013
時間:16:25:07
Type:資訊
來源:acvpndownloader

說明:功能:ProfileMgr::loadProfiles
檔案:..\Api\ProfileMgr.cpp
線路:148
已載入的配置檔案:
C:\Documents and Settings\All Users\Application Data\Cisco\Cisco AnyConnect Security Mobility Client\Profile\anyconnect-ikev2.xml
****************************************
****************************************
日期:04/23/2013
時間:16:25:07
Type:資訊
來源:acvpndownloader

說明:當前首選項設定:
服務禁用:假
CertificateStoreOverride:假
證書儲存:全部
ShowPreConnectMessage:假
AutoConnectOnStart:假
MinimizeOnConnect:true
LocalLanAccess:假
自動重新連線:true
AutoReconnectBehavior:DisconnectOnSuspend
UseStartBeforeLogon:假
自動更新:true
RSASecurIDIntegration:自動
WindowsLogonEnforcement:SingleLocalLogon
WindowsVPN設定:僅本地使用者
代理設定:本機
AllowLocalProxyConnections:true
PPPxclusion:停用
PPPxclusionServerIP:
AutomaticVPN策略:假
TrustedNetworkPolicy:斷開連線
UntrustedNetworkPolicy:連線
TrustedDNSDomains:
TrustedDNS伺服器:
AlwaysOn:假
ConnectFailurePolicy:已關閉
AllowCaptivePortalRemediation:假
CaptivePortalRemediationTimeout:5
ApplyLastVPNLocalResourceRules:假
AllowVPNDisconnect:true
啟用指令碼:假
TerminateScriptOnNextEvent:假
EnablePostSBLOnConnectScript:true
AutomaticCertSelection:true
RetainVpnOnLogoff:假
使用者實施:SameUserOnly
EnableAutomaticServerSelection:假
AutoServerSelectionImprovement:20
AutoServerSelectionSuspendTime:4
身份驗證超時:12
SafeWordSofTokenIntegration:假
AllowIPsecOverSSL:假
ClearSmartcardPin:true
****************************************
日期:04/23/2013
時間:16:25:07
Type:資訊
來源:acvpnui

說明:傳送給使用者的消息型別資訊:
正在建立VPN — 正在檢查系統……
****************************************
日期:04/23/2013
時間:16:25:07
Type:資訊
來源:acvpnui

說明:傳送給使用者的消息型別資訊:
正在建立VPN — 正在啟用VPN介面卡…….
****************************************
日期:04/23/2013
時間:16:25:07
Type:資訊
來源:acvpnagent

說明:功能:CVirtualAdapter::DoRegistryRepair
檔案:.\WindowsVirtualAdapter.cpp
線路:1869
找到VA控制金鑰:SYSTEM\CurrentControlSet\ENUM\ROOT\NET\0000\Control

****************************************
日期:04/23/2013
時間:16:25:07
Type:資訊
來源:acvpnagent

說明:檢測到新的網路介面。
****************************************
日期:04/23/2013
時間:16:25:07
Type:資訊
來源:acvpnagent

說明:功能:CRouteMgr::logInterfaces
檔案:.\RouteMgr.cpp
線路:2076
呼叫的函式:logInterfaces
返回代碼:0(0x00000000)
說明:IP地址介面清單:
10.2.2.1
192.168.1.1
****************************************
日期:04/23/2013
時間:16:25:08
Type:資訊
來源:acvpnagent

說明:主機配置:
 公有地址:192.168.1.1
 公共掩碼:255.255.255.0
 專用地址:10.2.2.1
 專用掩碼:255.0.0.0
 專用IPv6地址:不適用
 專用IPv6掩碼:不適用
 遠端對等點:10.0.0.1(TCP埠443,UDP埠500)、10.0.0.1(UDP埠4500)
 專用網路:none
 公共網路:none
 通道模式:是
****************************************

 XML配置檔案載入到客戶端。由於客戶端現在擁有來自ASA的IP地址,因此客戶端繼續啟用VPN介面卡。

此連線已輸入安全關聯(SA)資料庫,狀態為REGISTERED。ASA還會執行一些檢查,如通用訪問卡(CAC)狀態、存在重複SA,並設定失效對等體檢測(DPD)等值。

  IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:AUTH_DONE事件:EV_INSERT_IKE
IKEv2-PROTO-2:(6):SA建立;將SA插入資料庫
IKEv2-PLAT-3:
連線狀態:UP...對等體:192.168.1.1:25171,phase1_id:*$AnyConnectClient$*
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:AUTH_DONE事件:EV_REGISTER_SESSION
IKEv2-PLAT-3:(6)用戶名設定為:Anu
IKEv2-PLAT-3:
連線狀態:已註冊……對等體:192.168.1.1:25171,phase1_id:*$AnyConnectClient$*
IKEv2-PROTO-3:(6):正在初始化DPD,配置為10秒
IKEv2-PLAT-3:(6)mib_index設定為:4501
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:AUTH_DONE事件:EV_GEN_LOAD_IPSEC
IKEv2-PROTO-3:(6):載入IPSEC金鑰材料
IKEv2-PLAT-3:加密對映:動態對映dynmap seq 1000上的匹配
IKEv2-PLAT-3:(6)DPD最大時間將為:30
IKEv2-PLAT-3:(6)DPD最大時間將為:30
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:AUTH_DONE事件:EV_START_ACCT
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:AUTH_DONE事件:EV_CHECK_DUPE
IKEv2-PROTO-3:(6):檢查重複的SA
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:AUTH_DONE事件:EV_CHK4_ROLE
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:就緒事件:EV_R_UPDATE_CAC_STATS
IKEv2-PLAT-5:已啟用新的ikev2 sa請求
IKEv2-PLAT-5:傳入協商的遞減計數
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:就緒事件:EV_R_OK
IKEv2-PROTO-3:(6):正在啟動計時器以刪除協商上下文
IKEv2-PROTO-5:(6):SM跟蹤 — > SA:I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F(R)MsgID = 00000005 CurState:就緒事件:EV_NO_EVENT
IKEv2-PLAT-2:收到用於SPI 0x77EE5348的PFKEY新增SA,錯誤為FALSE
IKEv2-PLAT-2:收到用於SPI 0x30B848A4的PFKEY更新SA,錯誤為FALSE		  
  ****************************************
日期:04/23/2013
時間:16:25:08
Type:資訊
來源:acvpnagent

說明:VPN連線已建立,現在可以傳遞資料。
****************************************
日期:04/23/2013
時間:16:25:08
Type:資訊
來源:acvpnui

說明:傳送給使用者的消息型別資訊:
正在建立VPN — 正在配置系統……
****************************************
日期:04/23/2013
時間:16:25:08
Type:資訊
來源:acvpnui

說明:傳送給使用者的消息型別資訊:
正在建立VPN...
****************************************
日期:04/23/2013
時間:16:25:37
Type:資訊
來源:acvpnagent


檔案:.\IPsecProtocol.cpp
線路:945
已建立IPsec通道
****************************************		 使用者端報告通道已啟動並準備傳遞流量。

通道驗證

AnyConnect

show vpn-sessiondb detail anyconnect命令的輸出示例為:

Session Type: AnyConnect Detailed

   Username     : Anu                    Index        : 2
   Assigned IP  : 10.2.2.1                Public IP    : 192.168.1.1
   Protocol     : IKEv2 IPsecOverNatT AnyConnect-Parent
   License      : AnyConnect Premium
   Encryption   : AES192 AES256          Hashing      : none SHA1 SHA1
   Bytes Tx     : 0                      Bytes Rx     : 11192
   Pkts Tx      : 0                      Pkts Rx      : 171
   Pkts Tx Drop : 0                      Pkts Rx Drop : 0
   Group Policy : ASA-IKEV2              Tunnel Group : ASA-IKEV2
   Login Time   : 22:06:24 UTC Mon Apr 22 2013
   Duration     : 0h:02m:26s
   Inactivity   : 0h:00m:00s
   NAC Result   : Unknown
   VLAN Mapping : N/A                    VLAN         : none

   IKEv2 Tunnels: 1
   IPsecOverNatT Tunnels: 1
   AnyConnect-Parent Tunnels: 1 

   AnyConnect-Parent:
     Tunnel ID    : 2.1
     Public IP    : 192.168.1.1
     Encryption   : none                   Auth Mode    : userPassword
   Idle Time Out: 30 Minutes             Idle TO Left : 27 Minutes
   Client Type  : AnyConnect
   Client Ver   : 3.0.1047 
    IKEv2:
     Tunnel ID    : 2.2
     UDP Src Port : 25171                  UDP Dst Port : 4500
     Rem Auth Mode: userPassword
     Loc Auth Mode: rsaCertificate
     Encryption   : AES192                 Hashing      : SHA1
     Rekey Int (T): 86400 Seconds          Rekey Left(T): 86254 Seconds
     PRF          : SHA1                   D/H Group    : 1
     Filter Name  :
     Client OS    : Windows
    IPsecOverNatT:
     Tunnel ID    : 2.3
     Local Addr   : 0.0.0.0/0.0.0.0/0/0
     Remote Addr  : 10.2.2.1/255.255.255.255/0/0
     Encryption   : AES256                 Hashing      : SHA1
   Encapsulation: Tunnel
   Rekey Int (T): 28800 Seconds          Rekey Left(T): 28654 Seconds
   Rekey Int (D): 4608000 K-Bytes        Rekey Left(D): 4607990 K-Bytes
   Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes 
   Bytes Tx     : 0                      Bytes Rx     : 11192
   Pkts Tx      : 0                      Pkts Rx      : 171
    NAC:
     Reval Int (T): 0 Seconds              Reval Left(T): 0 Seconds
     SQ Int (T)   : 0 Seconds              EoU Age(T)   : 146 Seconds
     Hold Left (T): 0 Seconds              Posture Token:    
    Redirect URL :

ISAKMP

show crypto ikev2 sa命令的輸出示例為:

ASA-IKEV2#  show crypto ikev2 sa

      IKEv2 SAs:

      Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

      Tunnel-id                 Local                Remote     Status         Role
       55182129    10.0.0.1/4500         192.168.1.1/25171      READY    RESPONDER
            Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
            Life/Active Time: 86400/112 sec
      Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535   
                remote selector 10.2.2.1/0 - 10.2.2.1/65535
              ESP spi in/out: 0x30b848a4/0x77ee5348 

show crypto ikev2 sa detail命令的輸出示例為:

ASA-IKEV2# show crypto ikev2 sa detail

    IKEv2 SAs:

    Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

    Tunnel-id                 Local                Remote     Status         Role
     55182129    10.0.0.1/4500         192.168.1.1/25171      READY    RESPONDER
       Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
         Life/Active Time: 86400/98 sec
         Session-id: 2
         Status Description: Negotiation done
         Local spi: FC696330E6B94D7F       Remote spi: 58AFF71141BA436B
         Local id: hostname=ASA-IKEV2
         Remote id: *$AnyConnectClient$*
         Local req mess id: 0              Remote req mess id: 9
         Local next mess id: 0             Remote next mess id: 9
         Local req queued: 0               Remote req queued: 9
         Local window: 1                   Remote window: 1
         DPD configured for 10 seconds, retry 2
         NAT-T is detected  outside
         Assigned host addr: 10.2.2.1
   Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535
             remote selector 10.2.2.1/0 - 10.2.2.1/65535
             ESP spi in/out: 0x30b848a4/0x77ee5348
          AH spi in/out: 0x0/0x0
          CPI in/out: 0x0/0x0
            Encr: AES-CBC, keysize: 256, esp_hmac: SHA96
            ah_hmac: None, comp: IPCOMP_NONE, mode tunnel

IPSec

show crypto ipsec sa命令的輸出示例為:

ASA-IKEV2# show crypto ipsec sa
   interface: outside
       Crypto map tag: dynmap, seq num: 1000, local addr: 10.0.0.1

     local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
        remote ident (addr/mask/prot/port): (10.2.2.1/255.255.255.255/0/0)
        current_peer: 192.168.1.1, username: Anu
        dynamic allocated peer ip: 10.2.2.1

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
         #pkts decaps: 163, #pkts decrypt: 108, #pkts verify: 108
         #pkts compressed: 0, #pkts decompressed: 0
         #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
         #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
         #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
         #send errors: 0, #recv errors: 55

      local crypto endpt.: 10.0.0.1/4500, remote crypto endpt.: 192.168.1.1/25171
         path mtu 1488, ipsec overhead 82, media mtu 1500
         current outbound spi: 77EE5348
         current inbound spi : 30B848A4

     inbound esp sas:
         spi: 0x30B848A4 (817383588)
            transform: esp-aes-256 esp-sha-hmac no compression
            in use settings ={RA, Tunnel,  NAT-T-Encaps, }
            slot: 0, conn_id: 8192, crypto-map: dynmap
            sa timing: remaining key lifetime (sec): 28685
            IV size: 16 bytes
            replay detection support: Y
            Anti replay bitmap:
            0xFFAD6BED 0x7ABFD5BF
       outbound esp sas:
         spi: 0x77EE5348 (2012107592)
            transform: esp-aes-256 esp-sha-hmac no compression
            in use settings ={RA, Tunnel,  NAT-T-Encaps, }
            slot: 0, conn_id: 8192, crypto-map: dynmap
            sa timing: remaining key lifetime (sec): 28685
            IV size: 16 bytes
            replay detection support: Y
            Anti replay bitmap:
           0x00000000 0x00000001

相關資訊

修訂記錄

修訂 發佈日期 意見
1.0
09-Oct-2013
初始版本
TAC Authored

由思科工程師貢獻

  • Anu M. Chacko, Jay Young, and Atri Basu
    Cisco TAC Engineers.

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品