ASA IKEv2-Fehlerbehebung für Remote Access-VPN

Download-Optionen

PDF (351.3 KB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen
ePub (104.3 KB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Mobi (Kindle) (116.9 KB)
Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen

Aktualisiert:9. Oktober 2013

Dokument-ID:116158

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Einleitung

Voraussetzungen

Anforderungen

Verwendete Komponenten

Kernproblem

Szenario

Debug-Befehle

ASA-Konfiguration

XML-Datei

Debug-Protokolle und -Beschreibungen

Tunnelüberprüfung

AnyConnect

ISAKMP

IPsec

Zugehörige Informationen

Einleitung

In diesem Dokument wird beschrieben, wie Sie Fehlerbehebungen auf der Cisco Adaptive Security Appliance (ASA) verstehen, wenn Internet Key Exchange Version 2 (IKEv2) mit einem Cisco AnyConnect Secure Mobility Client verwendet wird. Dieses Dokument enthält auch Informationen zur Übersetzung bestimmter Debugging-Zeilen in einer ASA-Konfiguration.

In diesem Dokument wird nicht beschrieben, wie Datenverkehr nach der Einrichtung eines VPN-Tunnels an die ASA weitergeleitet wird. Es enthält auch keine grundlegenden Konzepte von IPSec oder IKE.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse des Paketaustauschs für IKEv2 verfügen. Weitere Informationen finden Sie unter Debuggen auf IKEv2-Paketaustausch- und Protokollebene.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

Internet Key Exchange Version 2 (IKEv2)
Cisco Adaptive Security Appliance (ASA) Version 8.4 oder höher

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Kernproblem

Das Cisco Technical Assistance Center (TAC) verwendet häufig IKE- und IPSec-Debug-Befehle, um zu ermitteln, wo ein Problem mit dem IPSec-VPN-Tunnelaufbau besteht. Die Befehle können jedoch kryptisch sein.

Szenario

Debug-Befehle

debug crypto ikev2 protocol 127
debug crypto ikev2 platform 127
debug aggregate-auth xml 5

ASA-Konfiguration

Diese ASA-Konfiguration ist sehr einfach, es werden keine externen Server verwendet.

interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 10.0.0.1 255.255.255.0

ip local pool webvpn1 10.2.2.1-10.2.2.10

crypto ipsec ikev2 ipsec-proposal 3des
 protocol esp encryption aes-256 aes 3des des
 protocol esp integrity sha-1
crypto dynamic-map dynmap 1000 set ikev2 ipsec-proposal 3des
crypto map crymap 10000 ipsec-isakmp dynamic dynmap
crypto map crymap interface outside

crypto ca trustpoint Anu-ikev2
 enrollment self
 crl configure

crypto ikev2 policy 10
 encryption aes-192
 integrity sha
 group 2
 prf sha
 lifetime seconds 86400

crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint Anu-ikev2
ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1
ssl trust-point Anu-ikev2 outside

webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-3.0.1047-k9.pkg 1
 anyconnect profiles Anyconnect-ikev2 disk0:/anyconnect-ikev2.xml
 anyconnect enable
 tunnel-group-list enable

group-policy ASA-IKEV2 internal
group-policy ASA-IKEV2 attributes
 wins-server none
 dns-server none
 vpn-tunnel-protocol ikev2 
 default-domain none
 webvpn
  anyconnect modules value dart
  anyconnect profiles value Anyconnect-ikev2 type user

username Anu password lAuoFgF7KmB3D0WI encrypted privilege 15

tunnel-group ASA-IKEV2 type remote-access
tunnel-group ASA-IKEV2 general-attributes
 address-pool webvpn1
 default-group-policy ASA-IKEV2
tunnel-group ASA-IKEV2 webvpn-attributes
 group-alias ASA-IKEV2 enable

XML-Datei

<ServerList>
        <HostEntry>
                <HostName>Anu-IKEV2</HostName>
                <HostAddress>10.0.0.1</HostAddress>
                <UserGroup>ASA-IKEV2</UserGroup>
                <PrimaryProtocol>IPsec</PrimaryProtocol>
        </HostEntry>
</ServerList>

Hinweis: Der UserGroup-Name im XML-Clientprofil muss mit dem Namen der Tunnel-Gruppe auf der ASA übereinstimmen. Andernfalls wird die Fehlermeldung "Invalid Host Entry" (Ungültiger Hosteintrag) angezeigt. "Bitte erneut eingeben" wird auf dem AnyConnect-Client angezeigt.

Debug-Protokolle und -Beschreibungen

Hinweis: Protokolle des Diagnose- und Reporting-Tools (DART) sind im Allgemeinen sehr chatty, sodass bestimmte DART-Protokolle in diesem Beispiel aufgrund von Bedeutungslosigkeit weggelassen wurden.

Beschreibung der Servernachricht	Fehlerbehebung		Beschreibung der Kundennachricht
	Datum: 23.04.13 Uhrzeit: 16:24:55 Typ: Informationen Quelle: acvpnui Beschreibung : Function: ClientIfcBase::connect Datei: .\ClientIfcBase.cpp Anschluss: 964 Der Benutzer hat eine VPN-Verbindung mit Anu-IKEV2 angefordert. ************************************** Datum: 23.04.13 Uhrzeit: 16:24:55 Typ: Informationen Quelle: acvpnui Beschreibung : Message type information sent to the user: Anu-IKEV2 kontaktieren ************************************ Datum: 23.04.13 Uhrzeit: 16:24:55 Typ: Informationen Quelle: acvpnui Beschreibung : Function: ApiCert::getCertList Datei: .\ApiCert.cpp Anschluss: 259 Anzahl der gefundenen Zertifikate: 0 ************************************ Datum: 23.04.13 Uhrzeit: 16:25:00 Typ: Informationen Quelle: acvpnui Beschreibung : Initiating VPN connection to the secure gateway https://10.0.0.1/ASA-IKEV2 ************************************ Datum: 23.04.13 Uhrzeit: 16:25:00 Typ: Informationen Quelle: acvpnagent Beschreibung : Tunnel initiated by GUI Client. ************************************ Datum: 23.04.13 Uhrzeit: 16:25:02 Typ: Informationen Quelle: acvpnagent Beschreibung : Function: CIPsecProtocol::connectTransport Datei: .\IPsecProtocol.cpp Anschluss: 1629 IKE-Socket von 192.168.1.1:25170 bis 10.0.0.1:500 geöffnet **************************************		Der Client initiiert den VPN-Tunnel zur ASA.
	---------------------------------IKE_SA_INIT Exchange wird gestartet------------------------------
Die ASA empfängt die IKE_SA_INIT-Nachricht vom Client.	IKEv2-PLAT-4: RECV PKT [IKE_SA_INIT] [192.168.1.1]:25170->[10.0.0.1]:500 InitSPI=0x58aff71141ba436b RespSPI=0x0000000000000000 MID=00000000 IKEv2-PROTO-3: Rx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id: 0x0
Das erste Nachrichtenpaar ist der IKE_SA_INIT-Austausch. Diese Nachrichten handeln kryptografische Algorithmen aus, tauschen Unzen aus und führen einen Diffie-Hellman-Austausch (DH) durch. Die IKE_SA_INIT-Nachricht, die vom Client empfangen wurde, enthält folgende Felder: ISAKMP-Header - SPI/Version/Flags. SAi1 - Verschlüsselungsalgorithmus, der vom IKE-Initiator unterstützt wird. KEi - Öffentlicher DH-Schlüsselwert des Initiators. N - Initiator Nonce	IKEv2-PROTO-3: HDR [i:58AFF71141BA436B - r: 0000000000000000] IKEv2-PROTO-4: IKEV2 HDR-IPI: 58AFF71141BA436B - RSPI: 0000000000000000 IKEv2-PROTO-4: Nächste Nutzlast: SA, Version: 2.0 IKEv2-PROTO-4: Austauschtyp: IKE_SA_INIT, Markierungen: INITIATOR IKEv2-PROTO-4: Nachrichten-ID: 0x0, Länge: 528 SA Nächste Nutzlast: KE, reserviert: 0x0, Länge: 168 IKEv2-PROTO-4: letzter Vorschlag: 0x0, reserviert: 0x0, Länge: 164 Angebot: 1, Protokoll-ID: IKE, SPI-Größe: 0, #trans: 18 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 12 Typ: 1, reserviert: 0x0, ID: AES-CBC IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 12 Typ: 1, reserviert: 0x0, ID: AES-CBC IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 12 Typ: 1, reserviert: 0x0, ID: AES-CBC IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 1, reserviert: 0x0, ID: 3DES IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 1, reserviert: 0x0, ID: DES IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 2, reserviert: 0x0, ID: SHA512 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 2, reserviert: 0x0, ID: SHA384 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 2, reserviert: 0x0, ID: SHA256 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 2, reserviert: 0x0, ID: SHA1 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 2, reserviert: 0x0, ID: MD5 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: SHA512 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: SHA384 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: SHA256 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: SHA96 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: MD596 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 4, reserviert: 0x0, ID: DH_GROUP_1536_MODP/Gruppe 5 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 4, reserviert: 0x0, ID: DH_GROUP_1024_MODP/Gruppe 2 IKEv2-PROTO-4: letzte Transformation: 0x0, reserviert: 0x0: Länge: 8 Typ: 4, reserviert: 0x0, ID: DH_GROUP_768_MODP/Gruppe 1 KE Nächste Nutzlast: N, reserviert: 0x0, Länge: 104 DH-Gruppe: 1, Reserviert: 0x0 eb 5e 29 fe cb 2e d1 28 ed 4a 54 b1 13 7c b8 89 f7 62 13 6b df 95 88 28 b5 97 ba 52 ef e4 1d 28 ca 06 d1 36 b6 67 32 9a c2 dd 4e d8 c7 80 de 20 36 34 c5 b3 3e 1d 83 1a c7 fb 9d b8 c5 f5 ed 5f ba ba ba 4f b6 b2 e2 2d 43 4f a0 b6 90 9a 11 3f 7d 0a 21 c3 4d d3 0a d2 1e 33 43 d3 5e cc 4b 38 e0 N Nächste Nutzlast: VID, reserviert: 0x0, Länge: 24 20 12 8f 22 7b 16 23 52 e4 29 4d 98 c7 fd a8 77 ce 7c 0b4 IKEv2-PROTO-5: Analyse anbieterspezifischer Payload: CISCO-DELETE-REASON VID Nächste Payload: VID, reserviert: 0x0, Länge: 23
Die ASA verifiziert und verarbeitet die IKE_INIT-Nachricht. Die ASA: Wählt die Verschlüsselungs-Suite aus die vom Initiator angeboten werden. Berechnet seinen eigenen geheimen DH-Schlüssel. Berechnet einen SKEYID-Wert von für die alle Schlüssel abgeleitet werden können IKE_SA. Die Header aller nachfolgende Nachrichten verschlüsselt und authentifiziert. Die Fehlermeldung Schlüssel für die Verschlüsselung und Integritätsschutz von SKEYID und werden wie folgt bezeichnet: SK_e - Verschlüsselung. SK_a - Authentifizierung. SK_d - Abgeleitet und verwendet zur Ableitung weiterer Schlüsselmaterial für CHILD_SAs Ein separater SK_e und SK_a sind für jede Richtung berechnet. Relevante Konfiguration: crypto ikev2 policy 10 encryption aes-192 integrity sha group 2 prf sha lifetime seconds 86400 crypto ikev2 enable outside	Entschlüsseltes Paket:Daten: 528 Bytes IKEv2-PLAT-3: Verarbeitung benutzerdefinierter VID-Payloads IKEv2-PLAT-3: Cisco Copyright VID vom Peer empfangen IKEv2-PLAT-3: AnyConnect EAP-VID vom Peer empfangen IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE Ereignis: EV_RECV_INIT IKEv2-PROTO-3: (6): NAT-Erkennung prüfen IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE Ereignis: EV_CHK_REDIRECT IKEv2-PROTO-5: (6): Eine Redirect-Prüfung ist nicht erforderlich, sie wird übersprungen. IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE Ereignis: EV_CHK_CAC IKEv2-PLAT-5: Neues ikev2 als Anforderung zugelassen IKEv2-PLAT-5: Erhöhung der Anzahl eingehender Verhandlungen um eins IKEv2-PLAT-5: UNGÜLTIGER PSH-HANDLE IKEv2-PLAT-5: UNGÜLTIGER PSH-HANDLE IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE Ereignis: EV_CHK_COOKIE IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE Ereignis: EV_CHK4_COOKIE_NOTIFY IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Ereignis: EV_VERIFY_MSG IKEv2-PROTO-3: (6): Überprüfen der SA-Initialisierungsmeldung IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Ereignis: EV_INSERT_SA IKEv2-PROTO-3: (6): SA einfügen IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Ereignis: EV_GET_IKE_POLICY IKEv2-PROTO-3: (6): Abrufen konfigurierter Richtlinien IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Ereignis: EV_PROC_MSG IKEv2-PROTO-2: (6): Verarbeitung der ursprünglichen Nachricht IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Ereignis: EV_DETECT_NAT IKEv2-PROTO-3: (6): Prozess-NAT-Erkennungsbenachrichtigung IKEv2-PROTO-5: (6): Verarbeitung von NAT-Erkennungsbenachrichtigungen IKEv2-PROTO-5: (6): Remote-Adresse nicht zugeordnet IKEv2-PROTO-5: (6): Verarbeitung von NAT-Erkennungsdaten zur Benachrichtigung IKEv2-PROTO-5: (6): Lokale Adresse zugeordnet IKEv2-PROTO-5: (6): Host befindet sich außerhalb von NAT IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Ereignis: EV_CHK_CONFIG_MODE IKEv2-PROTO-3: (6): Es wurden gültige Konfigurationsmodusdaten empfangen. IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Ereignis: EV_SET_RECD_CONFIG_MODE IKEv2-PROTO-3: (6): Einstellung der empfangenen Konfigurationsmodusdaten IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Ereignis: EV_SET_POLICY IKEv2-PROTO-3: (6): Festlegen konfigurierter Richtlinien IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Ereignis: EV_CHK_AUTH4PKI IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Ereignis: EV_PKI_SESH_OPEN IKEv2-PROTO-3: (6): PKI-Sitzung wird geöffnet IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Ereignis: EV_GEN_DH_KEY IKEv2-PROTO-3: (6): Öffentlicher DH-Computing-Schlüssel IKEv2-PROTO-3: (6): IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Ereignis: EV_NO_EVENT IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Ereignis: EV_OK_RECD_DH_PUBKEB J_RESP IKEv2-PROTO-5: (6): Aktion: Action_Null IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Ereignis: EV_GEN_DH_SECRET IKEv2-PROTO-3: (6): DH-Geheimschlüssel wird berechnet IKEv2-PROTO-3: (6): IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Ereignis: EV_NO_EVENT IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Ereignis: EV_OK_RECD_DH_SECRET_RESP IKEv2-PROTO-5: (6): Aktion: Action_Null IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Ereignis: EV_GEN_SKEYID IKEv2-PROTO-3: (6): Schlüsselkennung generieren IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Ereignis: EV_GET_CONFIG_MODE
Die ASA erstellt die Antwortnachricht für den IKE_SA_INIT-Austausch. Dieses Paket enthält: ISAKMP-Header - SPI/Version/Flags. SAr1 - Verschlüsselungsalgorithmus, der vom IKE-Responder ausgewählt wird. KEr - Öffentlicher DH-Schlüsselwert des Responders. N - Responder Nonce.	IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Ereignis: EV_BLD_MSG IKEv2-PROTO-2: (6): Erstanmeldung wird gesendet IKEv2-PROTO-3: IKE-Vorschlag: 1, SPI-Größe: 0 (erste Verhandlung), Anzahl der Umwandlungen: 4 AES-CBC SHA1 SHA96 DH_GROUP_768_MODP/Gruppe 1 IKEv2-PROTO-5: Herstellerspezifische Payload konstruieren: DELETE-REASONIKEv2-PROTO-5: Herstellerspezifische Payload konstruieren: (BENUTZERDEFINIERT)IKEv2-PROTO-5: Herstellerspezifische Payload konstruieren: (BENUTZERDEFINIERT)IKEv2-PROTO-5: Payload konstruieren : NAT_DETECTION_SOURCE_IPIKEv2-PROTO-5: Construct Notify Payload: NAT_DETECTION_DESTINATION_IPIKEv2-PLAT-2: Fehler beim Abrufen der Hashes vertrauenswürdiger Emittenten oder keine verfügbaren Hashes IKEv2-PROTO-5: Aufbau anbieterspezifischer Payload: FRAGMENTATIONIKEv2-PROTO-3: Tx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id: 0x0 IKEv2-PROTO-3: HDR [i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR-IPI: 58AFF71141BA436B - RSPI: FC696330E6B94D7F IKEv2-PROTO-4: Nächste Nutzlast: SA, Version: 2.0 IKEv2-PROTO-4: Exchange-Typ: IKE_SA_INIT, Flags: RESPONDER MSG-RESPONSE IKEv2-PROTO-4: Nachrichten-ID: 0x0, Länge: 386 SA Nächste Nutzlast: KE, reserviert: 0x0, Länge: 48 IKEv2-PROTO-4: letzter Vorschlag: 0x0, reserviert: 0x0, Länge: 44 Angebot: 1, Protokoll-ID: IKE, SPI-Größe: 0, #trans: 4 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 12 Typ: 1, reserviert: 0x0, ID: AES-CBC IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 2, reserviert: 0x0, ID: SHA1 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: SHA96 IKEv2-PROTO-4: letzte Transformation: 0x0, reserviert: 0x0: Länge: 8 Typ: 4, reserviert: 0x0, ID: DH_GROUP_768_MODP/Gruppe 1 KE Nächste Nutzlast: N, reserviert: 0x0, Länge: 104 DH-Gruppe: 1, Reserviert: 0x0 c9 30 f9 32 d4 7c d1 a7 5b 71 72 09 6e 7e 91 0c e1 ce b4 a4 3c f2 8b 74 4e 20 59 b4 0b a1 ff 65 37 88 cc c4 a4 b6 fa 4a 63 03 93 89 e1 7e bd 6a 64 9a 38 24 e2 a8 40 f5 a3 d6 ef f7 1a df 33 cc a1 8e fa dc 9c 34 45 79 1a 7c 29 05 87 8a ac 02 98 2e 7d cb 41 51 d6 fe fc c7 76 83 1d 03 b0 d7 N Nächste Nutzlast: VID, reserviert: 0x0, Länge: 24 c2 28 7f 8c 7d b3 1e 51 fc eb f1 97 ec 97 b8 67 d5 e7 c2 f5 VID Nächste Nutzlast: VID, reserviert: 0x0, Länge: 23
Die ASA sendet die Antwortnachricht für den IKE_SA_INIT-Austausch. Der IKE_SA_INIT-Austausch ist jetzt abgeschlossen. Die ASA startet den Timer für den Authentifizierungsprozess.	IKEv2-PLAT-4: GESENDETE PKT [IKE_SA_INIT] [10.0.0.1]:500->[192.168.1.1]:25170 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000000 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DONE Ereignis: EV_DONE IKEv2-PROTO-3: (6): Fragmentierung ist aktiviert IKEv2-PROTO-3: (6): Cisco DeleteReason Notify ist aktiviert. IKEv2-PROTO-3: (6): Vollständiger SA-Init-Austausch IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DONE Ereignis: EV_CHK4_ROLE IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DONE Ereignis: EV_START_TMR IKEv2-PROTO-3: (6): Startzeitgeber wartet auf Authentifizierungsmeldung (30 Sek.) IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_WAIT_AUTH Ereignis: EV_NO_EVENT	************************************** Datum: 23.04.13 Uhrzeit: 16:25:02 Typ: Informationen Quelle: acvpnagent Beschreibung : Function: CIPsecProtocol::initiateTunnel Datei: .\IPsecProtocol.cpp Anschluss: 345 IPsec-Tunnel wird initiiert **************************************	Der Client zeigt den IPSec-Tunnel als 'initiating' an.
	-----------------------------------IKE_SA_INIT Complete---------------------------------
	------------------------------------- IKE_AUTH beginnt-------------------------------------
	************************************** Datum: 23.04.13 Uhrzeit: 16:25:00 Typ: Informationen Quelle: acvpnagent Beschreibung: Secure Gateway Parameters: IP-Adresse: 10.0.0.1 Port: 443 URL: "10.0.0.1" Authentifizierungsmethode: IKE - EAP-AnyConnect IKE-Identität: ************************************ Datum: 23.04.13 Uhrzeit: 16:25:00 Typ: Informationen Quelle: acvpnagent Beschreibung: Initiating Cisco AnyConnect Secure Mobility Client connection, version 3.0.1047 ************************************ Datum: 23.04.13 Uhrzeit: 16:25:02 Typ: Informationen Quelle: acvpnagent Beschreibung: Funktion: ikev2_log Datei: .\ikev2_anyconnect_osal.cpp Anschluss: 2730 Empfangene Anforderung zum Einrichten eines IPsec-Tunnels; lokaler Datenverkehrswähler = Adressbereich: 0.0.0.0-255.255.255.255 Protokoll: 0 Port-Bereich: 0-65535; Remote-Datenverkehrswähler = Adressbereich: 0.0.0.0-255.255.255 Protokoll: 0 Port-Bereich: 0-65535 ************************************ Datum: 23.04.13 Uhrzeit: 16:25:02 Typ: Informationen Quelle: acvpnagent Beschreibung : Function: CIPsecProtocol::connectTransport Datei: .\IPsecProtocol.cpp Anschluss: 1629 Geöffneter IKE-Socket von 192.168.1.1:25171 bis 10.0.0.1:4500 **************************************		Der Client lässt die AUTH-Nutzlast aus der Nachricht 3 weg, um anzuzeigen, dass eine erweiterbare Authentifizierung verwendet werden soll. Wenn die EAP-Authentifizierung (Extensible Authentication Protocol) vom Clientprofil angegeben oder impliziert wird und das Profil nicht das <IKEIdentity>-Element enthält, sendet der Client eine ID_GROUP-Typ-IDi-Nutzlast mit der festen Zeichenfolge $AnyConnectClient$. Der Client initiiert eine Verbindung mit der ASA auf Port 4500.
Die Authentifizierung erfolgt über EAP. In einer EAP-Konversation ist nur eine einzige EAP-Authentifizierungsmethode zulässig. Die ASA empfängt die IKE_AUTH-Nachricht vom Client.	IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x1
Wenn der Client eine IDi-Nutzlast enthält aber keine AUTH-Nutzlast, zeigt dies der Client hat eine Identität deklariert, hat aber nicht bewiesen. Bei den Debug-Vorgängen wird AUTH Nutzlast ist in IKE_AUTH nicht vorhanden. vom Client gesendetes Paket. Der Client sendet die AUTH-Nutzlast nur, nachdem Der EAP-Austausch ist erfolgreich. Wenn die ASA ist bereit, eine erweiterbare Authentifizierungsmethode, wird ein EAP platziert Payload in Nachricht 4 und verzögert das Senden SAr2, TSi und TSr bis zum Initiator Authentifizierung ist abgeschlossen in einem nachfolgender IKE_AUTH-Austausch. Das IKE_AUTH-Initiatorpaket enthält: ISAKMP-Header - SPI/Version/Flags. IDi - Der Tunnelgruppenname, der der Client eine Verbindung herstellen möchte mit kann von der IDi Nutzlast vom Typ ID_KEY_ID in die erste Nachricht des IKE_AUTH-Austausch. Diese auftritt, wenn das Clientprofil* mit einem Gruppennamen vorkonfiguriert oder nach einer erfolgreichen Authentifizierung, hat der Client den Gruppennamen in seinen Einstellungsdatei. Die ASA versucht, einer Tunnelgruppe zu entsprechen Name mit dem Inhalt der IKE IDi-Nutzlast. Nach dem ersten Erfolgreiches IPSec-VPN ist eingerichtet, speichert der Client die Gruppenname (Gruppenalias), an den der Benutzer authentifiziert hat. Diese Gruppe Name wird in der IDi Nutzlast der nächsten Verbindung versuchen, die wahrscheinliche Gruppe Benutzer. Wenn die EAP-Authentifizierung vom Kunden festgelegt oder impliziert Profil, und das Profil weist keine enthalten die <IKEIdentity> -Element, sendet der Client eine ID_GROUP, Typ IDi, Nutzlast mit fester Zeichenfolge $AnyConnectClient$. CERTREQ - Der Kunde ist Anfordern der ASA für eine bevorzugtes Zertifikat. Zertifikat Anforderung von Payloads kann enthalten sein in einem Austausch, wenn der Absender muss das Zertifikat des empfänger. Die Zertifikatanforderung Nutzlast wird verarbeitet von Prüfung der "Cert-Kodierung" Feld, um ob der Prozessor Zertifikate dieses Typs. Ist dies der Fall, Das Feld "Zertifizierungsstelle" ist überprüft, um festzustellen, ob der Prozessor über Zertifikate verfügt, die validiert werden können, bis zu einem die angegebene Zertifizierung Behörden. Dies kann eine Kette von Zertifikate. CFG - CFG_REQUEST/ CFG_REPLY ermöglicht IKE Endgerät zum Anfordern von Informationen von ihrem Peer aus. Wenn ein Attribut im CFG_REQUEST-Konfiguration Nutzlast ist nicht Null-Länge, sondern als Vorschlag dafür angesehen werden attribute.The CFG_REPLY Konfigurationsnutzlast kann zurückkehren oder einen neuen Wert eingeben. Es kann auch neue Attribute hinzufügen und nicht einige angeforderte hinzufügen. Zurückgegebene Antworten werden ignoriert Eigenschaften, die sie nicht erkennen. Bei diesen Debug-Vorgängen Client fordert den Tunnel an Konfiguration im CFG_REQUEST: Die ASA antwortet darauf und sendet den Tunnel Konfigurationsattribute erst nach der EAP-Austausch erfolgreich war. SAi2 - SAi2 initiiert die SA, ähnlich wie in Phase 2 Transformationssatzaustausch in IKEv1. TSi und TSr - Der Initiator und Adressierer für Datenverkehr enthalten bzw. die Quelle und die Zieladresse des Initiator und Responder, um Weiterleiten und Empfangen verschlüsselt datenverkehr. Der Adressbereich legt fest, dass der gesamte Datenverkehr zwischen dieser Bereich getunnelt wird. Wenn die ist für die Responder, sendet er identische TS Payloads zurückgeben. Die Attribute, die der Client für Gruppenauthentifizierung in einem AnyConnect-Profildatei * Relevante Profilkonfiguration: <ServerList> <HostEntry> <HostName>Anu-IKEV2 </HostName> <HostAddress>10.0.0.1 </HostAddress> ASA-IKEV2 <PrimaryProtocol>IPsec </PrimaryProtocol> </HostEntry> </ServerList>	IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR-IPI: 58AFF71141BA436B - RSPI: FC696330E6B94D7F IKEv2-PROTO-4: Nächste Nutzlast: ENCR, Version: 2.0 IKEv2-PROTO-4: Austauschtyp: IKE_AUTH, Markierungen: INITIATOR IKEv2-PROTO-4: Nachrichten-ID: 0x1, Länge: 540 IKEv2-PROTO-5: (6): Anfrage hat mess_id 1; 1 bis 1 wird erwartet REAL Entschlüsseltes Paket:Daten: 465 Bytes IKEv2-PROTO-5: Analyse anbieterspezifischer Payload: (BENUTZERDEFINIERT) VID Nächste Payload: IDi, reserviert: 0x0, Länge: 20 58 af f6 11 52 8d b0 2c b8 da 30 46 be 91 56 fa IDi Nächste Nutzlast: CERTREQ, reserviert: 0x0, Länge: 28 ID-Typ: Gruppenname, Reserviert: 0x0 0x0 2a 24 41 6e 79 43 6f 6e 6e 65 63 74 43 6c 69 65 6e 74 24 2a CERTREQ Nächste Nutzlast: CFG, reserviert: 0x0, Länge: 25 Zertifikatcodierung X.509 Zertifikat - Signatur CertReq-Daten&Doppelpunkt; 20 Byte CFG Nächste Nutzlast: SA, reserviert: 0x0, Länge: 196 cfg type: CFG_REQUEST, reserviert: 0x0, reserviert: 0x0 Attributtyp: interne IP4-Adresse, Länge: 0 Attributtyp: interne IP4-Netzmaske, Länge: 0 Attributtyp: interner IP4 DNS, Länge: 0 Attributtyp: intern IP4 NBNS, Länge: 0 Attributtyp: interner Adressablauf, Länge: 0 Attributtyp: Applikationsversion, Länge: 27 41 6e 79 43 6f 6e 6e 65 63 74 20 57 69 6e 64 6f 77 73 20 33 2e 30 2e 31 30 34 37 Attributtyp: interne IP6-Adresse, Länge: 0 Attributtyp: internes IP4-Subnetz, Länge: 0 Attributtyp: Unbekannt - 28682, Länge: 15 77 69 6e 78 70 36 34 74 65 6d 70 6c 61 74 65 Attributtyp: Unbekannt - 28704, Länge: 0 Attributtyp: Unbekannt - 28705, Länge: 0 Attributtyp: Unbekannt - 28706, Länge: 0 Attributtyp: Unbekannt - 28707, Länge: 0 Attributtyp: Unbekannt - 28708, Länge: 0 Attributtyp: Unbekannt - 28709, Länge: 0 Attributtyp: Unbekannt - 28710, Länge: 0 Attributtyp: Unbekannt - 28672, Länge: 0 Attributtyp: Unbekannt - 28684, Länge: 0 Attributtyp: Unbekannt - 28711, Länge: 2 05 7e Attributtyp: Unbekannt - 28674, Länge: 0 Attributtyp: Unbekannt - 28712, Länge: 0 Attributtyp: Unbekannt - 28675, Länge: 0 Attributtyp: Unbekannt - 28679, Länge: 0 Attributtyp: Unbekannt - 28683, Länge: 0 Attributtyp: Unbekannt - 28717, Länge: 0 Attributtyp: Unbekannt - 28718, Länge: 0 Attributtyp: Unbekannt - 28719, Länge: 0 Attributtyp: Unbekannt - 28720, Länge: 0 Attributtyp: Unbekannt - 28721, Länge: 0 Attributtyp: Unbekannt - 28722, Länge: 0 Attributtyp: Unbekannt - 28723, Länge: 0 Attributtyp: Unbekannt - 28724, Länge: 0 Attributtyp: Unbekannt - 28725, Länge: 0 Attributtyp: Unbekannt - 28726, Länge: 0 Attributtyp: Unbekannt - 28727, Länge: 0 Attributtyp: Unbekannt - 28729, Länge: 0 SA Nächste Nutzlast: TSi, reserviert: 0x0, Länge: 124 IKEv2-PROTO-4: letzter Vorschlag: 0x0, reserviert: 0x0, Länge: 120 Angebot: 1, Protokoll-ID: ESP, SPI-Größe: 4, #trans: 12 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 12 Typ: 1, reserviert: 0x0, ID: AES-CBC IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 12 Typ: 1, reserviert: 0x0, ID: AES-CBC IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 12 Typ: 1, reserviert: 0x0, ID: AES-CBC IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 1, reserviert: 0x0, ID: 3DES IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 1, reserviert: 0x0, ID: DES IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 1, reserviert: 0x0, ID: NULL IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: SHA512 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: SHA384 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: SHA256 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: SHA96 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: MD596 IKEv2-PROTO-4: letzte Transformation: 0x0, reserviert: 0x0: Länge: 8 Typ: 5, reserviert: 0x0, ID: TSi Nächste Nutzlast: TSr, reserviert: 0x0, Länge: 24 Anzahl der TSs: 1, reserviert 0x0, reserviert 0x0 TS-Typ: TS_IPV4_ADDR_RANGE, Proto-ID: 0, Länge: 16 Anfangsport: 0, Endport: 65535 start addr: 0.0.0.0, end addr: 255.255.255.255 TSr Nächste Nutzlast: NOTIFY, reserviert: 0x0, Länge: 24 Anzahl der TSs: 1, reserviert 0x0, reserviert 0x0 TS-Typ: TS_IPV4_ADDR_RANGE, Proto-ID: 0, Länge: 16 Anfangsport: 0, Endport: 65535 start addr: 0.0.0.0, end addr: 255.255.255.255
Die ASA generiert eine Antwort auf die IKE_AUTH-Nachricht und bereitet sich darauf vor, sich beim Client zu authentifizieren.	Entschlüsseltes Paket:Daten&Doppelpunkt; 540 Byte IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Ereignis: EV_RECV_AUTH IKEv2-PROTO-3: (6): Zeitgeber wird angehalten, auf Authentifizierungsmeldung zu warten IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Ereignis: EV_CHK_NAT_T IKEv2-PROTO-3: (6): NAT-Erkennung prüfen IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Ereignis: EV_CHG_NAT_T_PORT IKEv2-PROTO-2: (6): NAT erkannte Float zu Init-Port 25171 bzw. Port 4500 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Ereignis: EV_PROC_ID IKEv2-PROTO-2: (6): Gültige Parameter in Prozess-ID erhalten IKEv2-PLAT-3: (6) Peer-Authentifizierungsmethode festgelegt auf: 0 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Ereignis: EV_CHK_IF_PEER_CERT NEEDS_TO_BE_FETCHED_FOR_PROF_SEL IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Ereignis: EV_GET_POLICY_BY_PEERID IKEv2-PROTO-3: (6): Aufrufen konfigurierter Richtlinien IKEv2-PLAT-3: Neue AnyConnect Client-Verbindung basierend auf ID-Nutzlast erkannt IKEv2-PLAT-3: my_auth_method = 1 IKEv2-PLAT-3: (6) Peer-Authentifizierungsmethode festgelegt auf: 256 IKEv2-PLAT-3: supported_peers_auth_method = 16 IKEv2-PLAT-3: (6) tp_name festgelegt auf: Anu-ikev2 IKEv2-PLAT-3: Vertrauenspunkt festgelegt auf: Anu-ikev2 IKEv2-PLAT-3: P1-ID = 0 IKEv2-PLAT-3: IKE_ID_AUTO wird in = 9 umgewandelt IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Ereignis: EV_SET_POLICY IKEv2-PROTO-3: (6): Festlegen konfigurierter Richtlinien IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Ereignis: EV_VERIFY_POLICY_BY_PEERY ID IKEv2-PROTO-3: (6): Überprüfen der Peer-Richtlinie IKEv2-PROTO-3: (6): Übereinstimmendes Zertifikat gefunden IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Ereignis: EV_CHK_CONFIG_MODE IKEv2-PROTO-3: (6): Es wurden gültige Konfigurationsmodusdaten empfangen. IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Ereignis: EV_SET_RECD_CONFIG_MODE IKEv2-PLAT-3: (6) Der DHCP-Hostname für DDNS ist auf "winxp64template" festgelegt. IKEv2-PROTO-3: (6): Einstellung der empfangenen Konfigurationsmodusdaten IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Ereignis: EV_CHK_AUTH4EAP IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Ereignis: EV_CHK_EAP IKEv2-PROTO-3: (6): Auf EAP-Austausch überprüfen IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTH Ereignis: EV_GEN_AUTH IKEv2-PROTO-3: (6): Meine Authentifizierungsdaten generieren IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTH Ereignis: EV_CHK4_SIGN IKEv2-PROTO-3: (6): Meine Authentifizierungsmethode abrufen IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTH Ereignis: EV_SIGN IKEv2-PROTO-3: (6): Signaturauthentifizierungsdaten IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTH Ereignis: EV_OK_AUTH_GEN IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ Ereignis: EV_AUTHEN_REQ F IKEv2-PROTO-2: (6): Authentifizierer wird aufgefordert, EAP-Anfragen zu senden Erstellter Elementname config-auth-Wert Attributname Clientwert vpn zu Elementkonfigurationsauth hinzugefügt Attributnamenstyp-Wert hello zu Elementkonfigurationsauth hinzugefügt Erstellter Elementname Versionswert 9.0(2)8 Elementname, Versionswert 9.0(2)8, zum Element config-auth hinzugefügt Attributname, der sg auf Elementversion setzt, wurde hinzugefügt Generierte XML-Nachricht unten <?xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="hello"> <version who="sg">9,0(2)8</version> </config-auth> IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ Ereignis: EV_RECV_EAP_AUTH IKEv2-PROTO-5: (6): Aktion: Action_Null IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ Ereignis: EV_CHK_REDIRECT T IKEv2-PROTO-3: (6): Umleitungsprüfung mit Plattform für Lastenausgleich IKEv2-PLAT-3: Redirect-Prüfung auf Plattform IKEv2-PLAT-3: ikev2_osal_redirect: Sitzung akzeptiert von 10.0.0.1 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ Ereignis: EV_SEND_EAP_AUTH_REQ IKEv2-PROTO-2: (6): EAP-Anforderung wird gesendet IKEv2-PROTO-5: Aufbau anbieterspezifischer Payload: CISCO-GRANITEIKEv2-PROTO-3: (6): Einrichtung
Die ASA sendet die AUTH-Payload, um Benutzeranmeldeinformationen vom Client anzufordern. Die ASA sendet die AUTH-Methode als 'RSA', sodass sie ihr eigenes Zertifikat an den Client sendet, sodass der Client den ASA-Server authentifizieren kann. Da die ASA bereit ist, eine erweiterbare Authentifizierungsmethode zu verwenden, fügt sie eine EAP-Nutzlast in Nachricht 4 ein und verschiebt das Senden von SAr2, TSi und TSr, bis die Initiatorauthentifizierung in einem nachfolgenden IKE_AUTH-Austausch abgeschlossen ist. Daher sind diese drei Payloads in den Debugs nicht vorhanden. Das EAP-Paket enthält: Code: request - Dieser Code wird vom Authentifikator an den Peer gesendet. id: 1 - Die ID vergleicht die EAP-Antworten mit den Anforderungen. Hier ist der Wert 1, was bedeutet, dass es sich um das erste Paket in der EAP-Vermittlungsstelle handelt. Diese EAP-Anforderung hat den "config-auth"-Typ "hello"; sie wird von der ASA an den Client gesendet, um den EAP-Austausch zu initiieren. Länge: 150 - Die Länge des EAP-Pakets umfasst den Code, die ID, die Länge und die EAP-Daten. EAP-Daten.	IDr. Nächste Nutzlast: CERT, reserviert: 0x0, Länge: 36 ID-Typ: DER ASN1 DN, reserviert: 0x0 0x0 30 1a 31 18 30 16 06 09 2a 86 48 86 f7 0d 01 09 02 16 09 41 53 41 2d 49 4b 45 56 32 CERT Nächste Nutzlast: CERT, reserviert: 0x0, Länge: 436 Zertifikatcodierung X.509 Zertifikat - Signatur Zertifikatdaten&Doppelpunkt; 431 Byte CERT Nächste Nutzlast: AUTH, reserviert: 0x0, Länge: 436 Zertifikatcodierung X.509 Zertifikat - Signatur Zertifikatdaten&Doppelpunkt; 431 Byte AUTH Nächste Nutzlast: EAP, reserviert: 0x0, Länge: 136 Auth-Methode RSA, reserviert: 0x0, reserviert: 0x0 Auth. Daten&Doppelpunkt; 128 Byte EAP Nächste Nutzlast: KEINE, reserviert: 0x0, Länge: 154 Code: Anfrage: ID: 1, Länge: 150 Typ: Unbekannt - 254 EAP-Daten: 145 Byte IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x1 IKEv2-PROTO-3: HDR [i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR-IPI: 58AFF71141BA436B - RSPI: FC696330E6B94D7F IKEv2-PROTO-4: Nächste Nutzlast: ENCR, Version: 2.0 IKEv2-PROTO-4: Austauschtyp: IKE_AUTH, Flags: RESPONDER MSG-RESPONSE IKEv2-PROTO-4: Nachrichten-ID: 0x1, Länge: 1292 ENCR Nächste Nutzlast: VID, reserviert: 0x0, Länge: 1264 Verschlüsselte Daten&Doppelpunkt; 1260 Byte
Die Fragmentierung kann auftreten, wenn die Zertifikate groß sind oder Zertifikatsketten enthalten sind. Sowohl Initiator- als auch Responder KE Payloads können auch große Schlüssel beinhalten, was ebenfalls zur Fragmentierung beitragen kann.	IKEv2-PROTO-5: (6): Fragmentiertes Paket, Fragment-MTU: 544, Anzahl der Fragmente: 3, Fragment-ID: 1 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001
	************************************** Datum: 23.04.13 Uhrzeit: 16:25:02 Typ: Informationen Quelle: acvpnagent Beschreibung : Funktion: ikev2_verify_X509_SIG_certs Datei: .\ikev2_anyconnect_osal.cpp Anschluss: 2077 Zertifikatsannahme vom Benutzer wird angefordert ************************************ Datum: 23.04.13 Uhrzeit: 16:25:02 Typ: Fehler Quelle: acvpnui Beschreibung : Function: CapiCertificate::verifyChainPolicy Datei: .\Certificates\CapiCertificate.cpp Anschluss: 2032 Aufgerufene Funktion: CertVerifyCertificateChainPolicy Rückgabecode: -2146762487 (0x800B0109) Beschreibung: Eine Zertifikatskette wurde verarbeitet, aber in einem Stammzertifikat beendet, das vom Trust Provider nicht als vertrauenswürdig eingestuft wird. ************************************ Datum: 23.04.13 Uhrzeit: 16:25:04 Typ: Informationen Quelle: acvpnagent Beschreibung : Function: CEAPMgr::dataRequestCB Datei: .\EAPMgr.cpp Anschluss: 400 Vorgeschlagener EAP-Typ: EAP-ANYCONNECT **************************************		Das von der ASA gesendete Zertifikat wird dem Benutzer angezeigt. Das Zertifikat ist nicht vertrauenswürdig. Der EAP-Typ ist EAP-ANYCONNECT.
Der Client antwortet auf die EAP-Anfrage mit einer Antwort. Das EAP-Paket enthält: Code: response - Dieser Code wird vom Peer als Antwort auf die EAP-Anforderung an den Authentifikator gesendet. id: 1 - Die ID gleicht die EAP-Antworten mit den Anforderungen ab. Hier ist der Wert 1, was bedeutet, dass es sich um eine Antwort auf die zuvor vom ASA (Authentifikator) gesendete Anforderung handelt. Diese EAP-Antwort hat den 'config-auth'-Typ 'init'; der Client initialisiert den EAP-Austausch und wartet darauf, dass die ASA die Authentifizierungsanforderung generiert. Länge: 252 - Die Länge des EAP-Pakets umfasst den Code, die ID, die Länge und die EAP-Daten. EAP-Daten. Die ASA entschlüsselt diese Antwort, und der Client gibt an, dass er die AUTH-Nutzlast des vorherigen Pakets (mit dem Zertifikat) und das erste EAP-Anforderungspaket von der ASA erhalten hat. Dies ist der Inhalt des init-EAP-Antwortpakets.	IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc 696330e6b94d7f MID=00000002 IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x2 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR-IPI: 58AFF71141BA436B - RSPI: FC696330E6B94D7F IKEv2-PROTO-4: Nächste Nutzlast: ENCR, Version: 2.0 IKEv2-PROTO-4: Austauschtyp: IKE_AUTH, Markierungen: INITIATOR IKEv2-PROTO-4: Nachrichten-ID: 0x2, Länge: 332 IKEv2-PROTO-5: (6): Anfrage hat mess_id 2; 2 bis 2 erwartet REAL Entschlüsseltes Paket:Daten: 256 Bytes EAP Nächste Nutzlast: KEINE, reserviert: 0x0, Länge: 256 Code: Antwort: ID: 1, Länge: 252 Typ: Unbekannt - 254 EAP-Daten: 247 Byte Entschlüsseltes Paket: Daten&Doppelpunkt; 332 Byte IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_WAIT_EAP_RESP Ereignis: EV_RECV_AUTH IKEv2-PROTO-3: (6): Zeitgeber wird angehalten, auf Authentifizierungsmeldung zu warten IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_WAIT_EAP_RESP Ereignis: EV_RECV_EAP_RESP IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_PROC_EAP_RESP Ereignis: EV_PROC_MSG IKEv2-PROTO-2: (6): EAP-Antwort wird verarbeitet Unten vom Client empfangene XML-Nachricht <?xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="init"> <Geräte-ID>win</Geräte-ID> <version who="vpn">3.0.1047</version> <group-select>ASA-IKEV2</group-select> <Gruppenzugriff>ASA-IKEV2</Gruppenzugriff> </config-auth> IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_PROC_EAP_RESP Ereignis: EV_RECV_EP AP_AUTH IKEv2-PROTO-5: (6): Aktion: Action_Null IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_BLD_EAP_REQ Ereignis: EV_RECV_EQ AP_REQ
Dies ist die zweite Anforderung, die von der ASA an den Client gesendet wird. Das EAP-Paket enthält: Code: request - Dieser Code wird vom Authentifikator an den Peer gesendet. id: 2 - Die ID vergleicht die EAP-Antworten mit den Anforderungen. Hier ist der Wert 2, was anzeigt, dass es sich um das zweite Paket in der Vermittlungsstelle handelt. Diese Anforderung hat den 'config-auth'-Typ 'auth-request'; die ASA fordert an, dass der Client die Anmeldeinformationen für die Benutzerauthentifizierung sendet. Länge: 457 - Die Länge des EAP-Pakets umfasst den Code, die ID, die Länge und die EAP-Daten. EAP-Daten. ENCR-Nutzlast: Diese Nutzlast wird entschlüsselt, und ihr Inhalt wird als zusätzliche Nutzlast geparst.	IKEv2-PROTO-2: (6): EAP-Anforderung wird gesendet Generierte XML-Nachricht unten <?xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="auth-request"> <version who="sg">9,0(2)8</version> <opaque is-for="sg"> <tunnel-group>ASA-IKEV2</tunnel-group> <config-hash>1367268141499</config-hash> </opak> <csport>443</csport> <auth id="main"> <Formular> <input type="text" name="username" label="Benutzername:"></input> <input type="password" name="password" label="Kennwort"></input> </form> </auth> </config-auth> IKEv2-PROTO-3: (6): Paket wird für die Verschlüsselung erstellt; Inhalt: EAP Nächste Nutzlast: KEINE, reserviert: 0x0, Länge: 461 Code: Anfrage: ID: 2, Länge: 457 Typ: Unbekannt - 254 EAP-Daten: 452 Byte IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x2 IKEv2-PROTO-3: HDR [i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR-IPI: 58AFF71141BA436B - RSPI: FC696330E6B94D7F IKEv2-PROTO-4: Nächste Nutzlast: ENCR, Version: 2.0 IKEv2-PROTO-4: Austauschtyp: IKE_AUTH, Flags: RESPONDER MSG-RESPONSE IKEv2-PROTO-4: Nachrichten-ID: 0x2, Länge: 524 ENCR Nächste Nutzlast: EAP, reserviert: 0x0, Länge: 496 Verschlüsselte Daten&Doppelpunkt; 492 Byte IKEv2-PLAT-4: GESENDETES PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc 696330e6b94d7f MID=00000002 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_BLD_EAP_REQ Ereignis: EV_START_TMR IKEv2-PROTO-3: (6): Startzeitgeber für Wartezeit auf Benutzerauth-Nachricht (120 Sek.) IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_WAIT_EAP_RESP Ereignis: EV_NO_EVENT	************************************** Datum: 23.04.13 Uhrzeit: 16:25:04 Typ: Informationen Quelle: acvpnui Beschreibung: Funktion: SDIMgr::ProcessPromptData Datei: .\SDIMgr.cpp Anschluss: 281 Der Authentifizierungstyp ist nicht SDI. ************************************ Datum: 23.04.13 Uhrzeit: 16:25:07 Typ: Informationen Quelle: acvpnui Beschreibung : Function: ConnectMgr::userResponse Datei: .\ConnectMgr.cpp Anschluss: 985 Die Benutzerantwort wird verarbeitet. **************************************	Der Client fordert eine Benutzerauthentifizierung an und sendet diese als EAP-Antwort im nächsten Paket ("auth-reply") an die ASA.
Der Client sendet eine weitere IKE_AUTH-Initiatornachricht mit der EAP-Nutzlast. Das EAP-Paket enthält: Code: response - Dieser Code wird vom Peer als Antwort auf die EAP-Anforderung an den Authentifikator gesendet. id: 2 - Die ID vergleicht die EAP-Antworten mit den Anforderungen. Hier ist der Wert 2, was bedeutet, dass es sich um eine Antwort auf die zuvor vom ASA (Authentifikator) gesendete Anforderung handelt. Länge: 420 - Die Länge des EAP-Pakets umfasst den Code, die ID, die Länge und die EAP-Daten. EAP-Daten.	IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x3 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR-IPI: 58AFF71141BA436B - RSPI: FC696330E6B94D7F IKEv2-PROTO-4: Nächste Nutzlast: ENCR, Version: 2.0 IKEv2-PROTO-4: Austauschtyp: IKE_AUTH, Markierungen: INITIATOR IKEv2-PROTO-4: Nachrichten-ID: 0x3, Länge: 492 IKEv2-PROTO-5: (6): Anfrage hat mess_id 3; erwartet 3 bis 3 REAL Entschlüsseltes Paket:Daten: 424 Bytes EAP Nächste Nutzlast: KEINE, reserviert: 0x0, Länge: 424 Code: Antwort: ID: 2, Länge: 420 Typ: Unbekannt - 254 EAP-Daten: 415 Byte
Die ASA verarbeitet diese Antwort. Der Client hat den Benutzer aufgefordert, Anmeldeinformationen einzugeben. Diese EAP-Antwort hat den 'config-auth'-Typ 'auth-reply'. Dieses Paket enthält die vom Benutzer eingegebenen Anmeldeinformationen.	Entschlüsseltes Paket: Daten: 492 Bytes IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_WAIT_EAP_RESP Ereignis: EV_RECV_AUTH IKEv2-PROTO-3: (6): Zeitgeber wird angehalten, auf Authentifizierungsmeldung zu warten IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_WAIT_EAP_RESP Ereignis: EV_RECV_EAP_RESP IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_PROC_EAP_RESP Ereignis: EV_PROC_MSG IKEv2-PROTO-2: (6): EAP-Antwort wird verarbeitet Unten vom Client empfangene XML-Nachricht <?xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="auth-reply"> <Geräte-ID>win</Geräte-ID> <version who="vpn">3.0.1047</version> <Sitzungstoken></Sitzungstoken> <Sitzungs-ID></Sitzungs-ID> <opaque is-for="sg"> <tunnel-group>ASA-IKEV2</tunnel-group> <config-hash>1367268141499</config-hash></opaque> <Auth> <Kennwort>cisco123</Kennwort> <username>Anu</username></auth> </config-auth> IKEv2-PLAT-1: EAP: Initiierte Benutzerauthentifizierung IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_PROC_EAP_RESP Ereignis: EV_NO_EVENT IKEv2-PLAT-5: EAP:In AAA-Rückruf Serverzertifikat-Digest abgerufen: DACE1C274785F28BA11D64453096BAE294A3172E IKEv2-PLAT-5: EAP:Erfolg beim AAA-Rückruf IKEv2-PROTO-3: Antwort vom Authentifizierer empfangen IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_PROC_EAP_RESP Ereignis: EV_RECV_EAP_AUTH IKEv2-PROTO-5: (6): Aktion: Action_Null
Die ASA erstellt eine dritte EAP-Anforderung im Austausch. Das EAP-Paket enthält: Code: request - Dieser Code wird vom Authentifikator an den Peer gesendet. id: 3 - Die ID vergleicht die EAP-Antworten mit den Anforderungen. Hier ist der Wert 3, was anzeigt, dass es sich um das dritte Paket in der Vermittlungsstelle handelt. Dieses Paket hat den 'config-auth'-Typ 'complete'; die ASA hat eine Antwort erhalten, und der EAP-Austausch ist abgeschlossen. Länge: 4235 - Die Länge des EAP-Pakets umfasst den Code, die ID, die Länge und die EAP-Daten. EAP-Daten. ENCR-Nutzlast: Diese Nutzlast wird entschlüsselt, und ihr Inhalt wird als zusätzliche Nutzlast geparst.	IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_BLD_EAP_REQ Ereignis: EV_RECV_EAP_REQ IKEv2-PROTO-2: (6): EAP-Anforderung wird gesendet Generierte XML-Nachricht unten <?xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="complete"> <version who="sg">9,0(2)8</version> <Sitzungs-ID>32768</Sitzungs-ID> <session-token>18wA0TtGmDxPKPQCJywC7fB7EWLCEgz-ZtjYpAyXx2yJH0H3G3H8t5xpBOx3Ixag</session-token> <auth id="success"> <message id="0" param1="" param2=""></message> </auth> IKEv2-PROTO-3: (6): Paket wird für die Verschlüsselung erstellt; Inhalt: EAP Nächste Nutzlast: KEINE, reserviert: 0x0, Länge: 4239 Code: Anfrage: ID: 3, Länge: 4235 Typ: Unbekannt - 254 EAP-Daten: 4230 Byte IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x3 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR-IPI: 58AFF71141BA436B - RSPI: FC696330E6B94D7F IKEv2-PROTO-4: Nächste Nutzlast: ENCR, Version: 2.0 IKEv2-PROTO-4: Austauschtyp: IKE_AUTH, Flags: RESPONDER MSG-RESPONSE IKEv2-PROTO-4: Nachrichten-ID: 0x3, Länge: 4300 ENCR Nächste Nutzlast: EAP, reserviert: 0x0, Länge: 4272 Verschlüsselte Daten&Doppelpunkt;4268 Byte IKEv2-PROTO-5: (6): Fragmentiertes Paket, Fragment-MTU: 544, Anzahl der Fragmente: 9, Fragment-ID: 2 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_BLD_EAP_REQ Ereignis: EV_START_TMR IKEv2-PROTO-3: (6): Startzeitgeber wartet auf Benutzerauth-Nachricht (120 Sek.) IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_WAIT_EAP_RESP Ereignis: EV_NO_EVENT
	************************************** Datum: 23.04.13 Uhrzeit: 16:25:07 Typ: Informationen Quelle: acvpnagent Beschreibung : Current Profile: AnyConnect-ikev2.xml Konfigurationseinstellungen für empfangene VPN-Sitzungen: Keep Installed: aktiviert Proxy-Einstellung: nicht ändern Proxyserver: keine Proxy-PAC-URL: keine Proxyausnahmen: keine Proxy-Sperrung: aktiviert Ausschließen aufteilen: Die lokalen LAN-Zugriffsvoreinstellungen sind deaktiviert. Aufteilen einschließen: deaktiviert Split-DNS: deaktiviert Platzhalter für lokales LAN: lokale LAN-Zugriffsvoreinstellung ist deaktiviert Firewall-Regeln: keine Client-Adresse: 10.2.2.1 Client-Maske: 255.0.0.0 Client-IPv6-Adresse: unbekannt Client-IPv6-Maske: unbekannt MTU: 1.406 IKE Keep Alive: 20 Sekunden IKE-DPD: 30 Sekunden Sitzungs-Timeout: 0 Sekunden Zeitüberschreitung beim Trennen: 1800 Sekunden Leerlaufzeitüberschreitung: 1800 Sekunden Server: unbekannt MUS-Host: unbekannt DAP-Benutzermeldung: none Quarantänestatus: deaktiviert Stets verfügbares VPN: nicht deaktiviert Leasedauer: 0 Sekunden Standarddomäne: unbekannt Startseite: unbekannt Entfernen der Smartcard-Verbindung trennen: aktiviert Lizenzantwort: unbekannt **************************************		Die ASA sendet die VPN-Konfigurationseinstellungen in der Nachricht "complete" (vollständig) an den Client und weist dem Client eine IP-Adresse aus dem VPN-Pool zu.
Der Client sendet das Initiatorpaket mit der EAP-Nutzlast. Das EAP-Paket enthält: Code: response - Dieser Code wird vom Peer als Antwort auf die EAP-Anforderung an den Authentifikator gesendet. id: 3 - Die ID vergleicht die EAP-Antworten mit den Anforderungen. Hier ist der Wert 3, was bedeutet, dass es sich um eine Antwort auf die zuvor vom ASA (Authentifikator) gesendete Anforderung handelt. Die ASA empfängt nun das Antwortpaket vom Client, das vom Typ "config-auth" "ack" ist. Diese Antwort bestätigt die zuvor von der ASA gesendete EAP-"complete"-Nachricht. Länge: 173 - Die Länge des EAP-Pakets umfasst den Code, die ID, die Länge und die EAP-Daten. EAP-Daten.	IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xx fc696330e6b94d7f MID=00000004 IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x4 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR-IPI: 58AFF71141BA436B - RSPI: FC696330E6B94D7F IKEv2-PROTO-4: Nächste Nutzlast: ENCR, Version: 2.0 IKEv2-PROTO-4: Austauschtyp: IKE_AUTH, Markierungen: INITIATOR IKEv2-PROTO-4: Nachrichten-ID: 0x4, Länge: 252 IKEv2-PROTO-5: (6): Anfrage hat mess_id 4; erwartet 4 bis 4 REAL Entschlüsseltes Paket:Daten: 177 Bytes EAP Nächste Nutzlast: KEINE, reserviert: 0x0, Länge: 177 Code: Antwort: ID: 3, Länge: 173 Typ: Unbekannt - 254 EAP-Daten: 168 Byte
Die ASA verarbeitet dieses Paket. Die Fehlermeldung Der EAP-Austausch ist erfolgreich. Die ASA bereitet das Senden der Tunnelgruppe vor Konfiguration im nächsten Paket, das wurde zuvor vom Client angefordert in die IDi-Nutzlast. Die ASA erhält die Antwortpaket vom Client, das den 'config-auth'-Typ 'ack' hat. Diese Antwort bestätigt den EAP 'complete'-Nachricht, die vom ASA vor. Relevante Konfiguration: tunnel-group ASA-IKEV2 type remote-access tunnel-group ASA-IKEV2 general-attributes address-pool webvpn1 authorization-server-group LOCAL default-group-policy ASA-IKEV2 tunnel-group ASA-IKEV2 webvpn-attributes group-alias ASA-IKEV2 enable Der EAP-Austausch ist jetzt erfolgreich. Das EAP-Paket enthält: Code: Success - Dieser Code ist vom Authentifikator an den Peer nach Abschluss eines EAP Authentifizierungsmethode. Diese zeigt an, dass der Peer erfolgreich beim Authentifikator. id: 3 - Die ID passt zu den EAP-Antworten mit den Anforderungen. Hier ist der Wert 3, was zeigt an, dass dies eine Reaktion auf die zuvor von der ASA (Authentifikator). Der dritte Satz der Pakete in der Vermittlung war erfolgreich, und der EAP-Austausch ist erfolgreich. Länge: 4 - Länge des EAP Paket enthält Code, ID, Länge und EAP-Daten. EAP-Daten.	Entschlüsseltes Paket:Daten:252 Bytes IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_WAIT_EAP_RESP Ereignis: EV_RECV_AUTH IKEv2-PROTO-3: (6): Zeitgeber wird angehalten, auf Authentifizierungsmeldung zu warten IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_WAIT_EAP_RESP Ereignis: EV_RECV_EAP_RESP IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_PROC_EAP_RESP Ereignis: EV_PROC_MSG IKEv2-PROTO-2: (6): EAP-Antwort wird verarbeitet Unten vom Client empfangene XML-Nachricht <?xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="ack"> <Geräte-ID>win</Geräte-ID> <version who="vpn">3.0.1047</version> </config-auth> IKEv2-PLAT-3: (6) aggrAuthHdl auf 0x2000 eingestellt IKEv2-PLAT-3: (6) tg_name festgelegt auf: ASA-IKEV2 IKEv2-PLAT-3: (6) Einstellung für Tuninggruppentyp auf: RA IKEv2-PLAT-1: EAP:Authentifizierung erfolgreich IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_PROC_EAP_RESP Ereignis: EV_RECV_EAP_SUCCS ESS IKEv2-PROTO-2: (6): EAP-Statusmeldung wird gesendet IKEv2-PROTO-3: (6): Paket wird für die Verschlüsselung erstellt; Inhalt: EAP Nächste Nutzlast: KEINE, reserviert: 0x0, Länge: 8 Code: Erfolg: ID: 3, Länge: 4 IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x4 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR-IPI: 58AFF71141BA436B - RSPI: FC696330E6B94D7F IKEv2-PROTO-4: Nächste Nutzlast: ENCR, Version: 2.0 IKEv2-PROTO-4: Austauschtyp: IKE_AUTH, Flags: RESPONDER MSG-RESPONSE IKEv2-PROTO-4: Nachrichten-ID: 0x4, Länge: 76 ENCR Nächste Nutzlast: EAP, reserviert: 0x0, Länge: 48 Verschlüsselte Daten&Doppelpunkt;44 Byte IKEv2-PLAT-4: GESENDETES PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc 696330e6b94d7f MID=00000004 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_PROC_EAP_RESP Ereignis: EV_START_TMR IKEv2-PROTO-3: (6): Startzeitgeber wartet auf Authentifizierungsmeldung (30 Sek.) IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_WAIT_EAP_AUTH_VERIFY Ereignis: EE V_NO_EVENT
Da der EAP-Austausch erfolgreich war, sendet der Client das IKE_AUTH-Initiatorpaket mit der AUTH-Nutzlast. Die AUTH-Nutzlast wird vom gemeinsamen geheimen Schlüssel generiert.	IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x5 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR-IPI: 58AFF71141BA436B - RSPI: FC696330E6B94D7F IKEv2-PROTO-4: Nächste Nutzlast: ENCR, Version: 2.0 IKEv2-PROTO-4: Austauschtyp: IKE_AUTH, Markierungen: INITIATOR IKEv2-PROTO-4: Nachrichten-ID: 0x5, Länge: 92 IKEv2-PROTO-5: (6): Anfrage hat mess_id 5; erwartet 5 bis 5 REAL Entschlüsseltes Paket:Daten:28 Bytes AUTH Nächste Nutzlast: KEINE, reserviert: 0x0, Länge: 28 Auth-Methode PSK, reserviert: 0x0, reserviert: 0x0 Auth-Daten: 20 Bytes
Wenn EAP-Authentifizierung angegeben ist oder impliziert durch das Client-Profil und die Profil enthält nicht die <IKEIdentity>-Element, sendet der Client eine ID_GROUP-Typ-IDi-Nutzlast mit die feste Zeichenfolge $AnyConnectClient$. Die ASA verarbeitet diese Meldung. Relevante Konfiguration: crypto dynamic-map dynmap 1000 set ikev2 ipsec-proposal 3des crypto map crymap 10000 ipsec-isakmp dynamic dynmap crypto map crymap interface outside	Entschlüsseltes Paket: Daten: 92 Bytes IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_WAIT_EAP_AUTH_VERIFY Ereignis: EV_RECV_AUIFY TH IKEv2-PROTO-3: (6): Zeitgeber wird angehalten, auf Authentifizierungsmeldung zu warten IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Ereignis: EV_GET_EAP_KEY IKEv2-PROTO-2: (6): Senden der AUTH zur Überprüfung des Peers nach dem EAP-Austausch IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Ereignis: EV_VERIFY_AUTH IKEv2-PROTO-3: (6): Überprüfen der Authentifizierungsdaten IKEv2-PROTO-3: (6): *Vorinstallierten Schlüssel für ID verwenden $AnyConnectClient$, Schlüssel-ID verwenden 20* IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Ereignis: EV_GET_CONFIG_MODE IKEv2-PLAT-3: Antwort im Konfigurationsmodus in Warteschlange gestellt IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Ereignis: EV_NO_EVENT IKEv2-PLAT-3: PSH: client=AnyConnect client-version=3.0.1047 client-os=Windows client-os-version= IKEv2-PLAT-3: Konfigurationsmodus-Antwort abgeschlossen IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Ereignis: EV_OK_GET_CONFIG IKEv2-PROTO-3: (6): Verfügt über Konfigurationsmodusdaten zum Senden IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Ereignis: EV_CHK4_IC IKEv2-PROTO-3: (6): Erstkontakt wird verarbeitet IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Ereignis: EV_CHK_REDIRECT IKEv2-PROTO-5: (6): Die Umleitungsprüfung für diese Sitzung wurde bereits durchgeführt und übersprungen. IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Ereignis: EV_PROC_SA_TS IKEv2-PROTO-2: (6): Verarbeitung der Authentifizierungsmeldung IKEv2-PLAT-1: Crypto Map: Karte dynmap seq 1000. Angepasster Selektor mit zugewiesener IP IKEv2-PLAT-3: Crypto Map: Übereinstimmung auf dynamischer Karte dynmap seq 1000 IKEv2-PLAT-3: PFS deaktiviert für RA-Verbindung IKEv2-PROTO-3: (6): IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Ereignis: EV_NO_EVENT IKEv2-PLAT-2: Empfangener PFKEY-SPI-Rückruf für SPI 0x30B848A4, Fehler FALSE IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Ereignis: EV_OK_RECD_IPSEC_RESP IKEv2-PROTO-2: (6): Verarbeitung der Authentifizierungsmeldung
Die ASA erstellt die IKE_AUTH-Antwortnachricht mit den SA-, TSi- und TSr-Payloads. Das IKE_AUTH-Antwortpaket enthält: ISAKMP-Header - SPI/Version/Flags. AUTH-Payload - Mit der gewählten Authentifizierungsmethode. CFG - CFG_REQUEST/CFG_REPLY ermöglicht einem IKE-Endpunkt, Informationen von seinem Peer anzufordern. Wenn ein Attribut in der CFG_REQUEST-Konfigurationsnutzlast nicht die Länge 0 (null) aufweist, wird es als Vorschlag für dieses Attribut verwendet. Die CFG_REPLY-Konfigurationsnutzlast kann diesen oder einen neuen Wert zurückgeben. Es können auch neue Attribute hinzugefügt werden und nicht einige angeforderte. Anforderer ignorieren zurückgegebene Attribute, die sie nicht erkennen. Die ASA antwortet dem Client mit den Tunnelkonfigurationsattributen im CFG_REPLY-Paket. SAr2 - SAr2 initiiert die SA, die dem Phase-2-Transformationssatzaustausch in IKEv1 ähnelt. TSi und TSr - Die Selektoren für Initiator- und Responder-Datenverkehr enthalten jeweils die Quell- und Zieladresse des Initiators und Responders, um verschlüsselten Datenverkehr weiterzuleiten und zu empfangen. Der Adressbereich gibt an, dass der gesamte Datenverkehr zu und von diesem Bereich getunnelt wird. Wenn der Vorschlag für den Beantworter akzeptabel ist, sendet er identische TS-Payloads zurück. ENCR-Nutzlast: Diese Nutzlast wird entschlüsselt, und ihr Inhalt wird als zusätzliche Nutzlast geparst.	IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH Ereignis: EV_MY_AUTH_METHODE IKEv2-PROTO-3: (6): Meine Authentifizierungsmethode abrufen IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH Ereignis: EV_GET_PRESHR_KEY IKEv2-PROTO-3: (6): *Preshared Key (PSK) des Peers für $AnyConnectClient$* abrufen IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH Ereignis: EV_GEN_AUTH IKEv2-PROTO-3: (6): Meine Authentifizierungsdaten generieren IKEv2-PROTO-3: (6): Vorinstallierten Schlüssel für ID-Hostname=ASA-IKEV2 verwenden, Schlüssel-Len 20 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH Ereignis: EV_CHK4_SIGN IKEv2-PROTO-3: (6): Meine Authentifizierungsmethode abrufen IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH Ereignis: EV_OK_AUTH_GEN IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_EAP_AUTH_VERIFY Ereignis: EV_GEN_AUTH IKEv2-PROTO-3: (6): Meine Authentifizierungsdaten generieren IKEv2-PROTO-3: (6): Vorinstallierten Schlüssel für ID-Hostname=ASA-IKEV2 verwenden, Schlüssel-len 20 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_EAP_AUTH_VERIFY Ereignis: EV_SEND_AUIFY TH IKEv2-PROTO-2: (6): AUTH senden, um Peer nach EAP-Austausch zu überprüfen IKEv2-PROTO-3: ESP-Vorschlag: 1, SPI-Größe: 4 (IPSec-Verhandlung), Anzahl der Umwandlungen: 3 AES-CBC SHA96 IKEv2-PROTO-5: Construct Notify Payload: ESP_TFC_NO_SUPPORTIKEv2-PROTO-5: Construct Notify Payload: NON_FIRST_FRAGSIKEv2-PROTO-3: (6): Building packet for encryption; Inhalt: AUTH Nächste Nutzlast: CFG, reserviert: 0x0, Länge: 28 Auth-Methode PSK, reserviert: 0x0, reserviert: 0x0 Auth-Daten&Doppelpunkt; 20 Byte CFG Nächste Nutzlast: SA, reserviert: 0x0, Länge: 4196 cfg-Typ: CFG_REPLY, reserviert: 0x0, reserviert: 0x0 Attributtyp: interne IP4-Adresse, Länge: 4 01 01 01 01 Attributtyp: interne IP4-Netzmaske, Länge: 4 00 00 00 00 Attributtyp: interner Adressablauf, Länge: 4 00 00 00 00 Attributtyp: Applikationsversion, Länge: 16 41 53 41 20 31 30 30 2e 37 28 36 29 31 31 36 00 Attributtyp: Unbekannt - 28704, Länge: 4 00 00 00 00 Attributtyp: Unbekannt - 28705, Länge: 4 00 00 07 08 Attributtyp: Unbekannt - 28706, Länge: 4 00 00 07 08 Attributtyp: Unbekannt - 28707, Länge: 1 01 Attributtyp: Unbekannt - 28709, Länge: 4 00 00 00 1e Attributtyp: Unbekannt - 28710, Länge: 4 00 00 00 14 Attributtyp: Unbekannt - 28684, Länge: 1 01 Attributtyp: Unbekannt - 28711, Länge: 2 05 7e Attributtyp: Unbekannt - 28679, Länge: 1 00 Attributtyp: Unbekannt - 28683, Länge: 4 80 00 01 Attributtyp: Unbekannt - 28725, Länge: 1 00 Attributtyp: Unbekannt - 28726, Länge: 1 00 Attributtyp: Unbekannt - 28727, Länge: 4056 3c 3f 78 6d 6c 20 76 65 72 73 69 6f 6e 3d 22 31 2e 30 22 20 65 6e 63 6f 64 69 6e 67 3d 22 55 54 46 2d 38 22 3f 3e 3c 63 6f 6e 66 69 67 2d 61 75 74 68 20 63 6c 69 65 6e 74 3d 22 76 70 6e 22 20 74 79 70 65 3d 22 63 6f 6d 70 6c 65 74 65 22 3e 3c 76 65 72 73 69 6f 6e 20 77 68 6f 3d 22 73 67 22 3e 31 30 30 2e 37 28 36 29 31 31 36 3c 2f 76 65 72 73 69 6f 6e 3e 3c 73 65 73 73 69 6f 6e 2d 69 64 3e 38 31 39 32 3c 2f 73 65 73 73 69 6f 6e <Snip> 72 6f 66 69 6c 65 2d 6d 61 6e 69 66 65 73 74 3e 3c 2f 63 6f 6e 66 69 67 3e 3c 2f 63 6f 6e 66 69 67 2 d 61 75 74 68 3e 00 Attributtyp: Unbekannt - 28729, Länge: 1 00 SA Nächste Nutzlast: TSi, reserviert: 0x0, Länge: 44 IKEv2-PROTO-4: letzter Vorschlag: 0x0, reserviert: 0x0, Länge: 40 Angebot: 1, Protokoll-ID: ESP, SPI-Größe: 4, #trans: 3 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 12 Typ: 1, reserviert: 0x0, ID: AES-CBC IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: SHA96 IKEv2-PROTO-4: letzte Transformation: 0x0, reserviert: 0x0: Länge: 8 Typ: 5, reserviert: 0x0, ID: TSi Nächste Nutzlast: TSr, reserviert: 0x0, Länge: 24 Anzahl der TSs: 1, reserviert 0x0, reserviert 0x0 TS-Typ: TS_IPV4_ADDR_RANGE, Proto-ID: 0, Länge: 16 Anfangsport: 0, Endport: 65535 start addr: 10.2.2.1, end addr: 10.2.2.1 TSr Nächste Nutzlast: NOTIFY, reserviert: 0x0, Länge: 24 Anzahl der TSs: 1, reserviert 0x0, reserviert 0x0 TS-Typ: TS_IPV4_ADDR_RANGE, Proto-ID: 0, Länge: 16 Anfangsport: 0, Endport: 65535 start addr: 0.0.0.0, end addr: 255.255.255.255 IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x5 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR-IPI: 58AFF71141BA436B - RSPI: FC696330E6B94D7F IKEv2-PROTO-4: Nächste Nutzlast: ENCR, Version: 2.0 IKEv2-PROTO-4: Austauschtyp: IKE_AUTH, Flags: RESPONDER MSG-RESPONSE IKEv2-PROTO-4: Nachrichten-ID: 0x5, Länge: 4396 ENCR** Nächste Nutzlast: AUTH, reserviert: 0x0, Länge: 4368 Verschlüsselte Daten&Doppelpunkt; 4.364 Byte
Die ASA sendet diese IKE_AUTH-Antwortnachricht, die in neun Pakete aufgeteilt ist. Der IKE_AUTH-Austausch ist abgeschlossen.	IKEv2-PROTO-5: (6): Fragmentiertes Paket, Fragment-MTU: 544, Anzahl der Fragmente: 9, Fragment-ID: 3 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Ereignis: EV_OK IKEv2-PROTO-5: (6): Aktion: Action_Null IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Ereignis: EV_PKI_SESH_SESH SCHLIESSEN
	************************************** Datum: 23.04.13 Uhrzeit: 16:25:07 Typ: Informationen Quelle: acvpnagent Beschreibung: Funktion: ikev2_log Datei: .\ikev2_anyconnect_osal.cpp Anschluss: 2730 Die IPsec-Verbindung wurde hergestellt. ************************************ Datum: 23.04.13 Uhrzeit: 16:25:07 Typ: Informationen Quelle: acvpnagent Beschreibung: IPsec session registration: Verschlüsselung: AES-CBC PRF: SHA1 HMAC: SHA96 Lokale Authentifizierungsmethode: PSK Remote-Authentifizierungsmethode: PSK Sequenz-ID: 0 Schlüssellänge: 192 DH-Gruppe: 1 Zeit zum erneuten Eingeben: 4294967 Sekunden Lokale Adresse: 192.168.1.1 Remote-Adresse: 10.0.0.1 Lokaler Port: 4500 Remote-Port: 4500 Sitzungs-ID: 1 ************************************ Datum: 23.04.13 Uhrzeit: 16:25:07 Typ: Informationen Quelle: acvpnui Beschreibung : Das auf dem sicheren Gateway konfigurierte Profil lautet: AnyConnect-ikev2.xml ************************************ Datum: 23.04.13 Uhrzeit: 16:25:07 Typ: Informationen Quelle: acvpnui Beschreibung : Message type information sent to the user: VPN-Sitzung wird eingerichtet... **************************************		Der Client meldet die IPSec-Verbindung als hergestellt. Der Client erkennt auch das Benutzerprofil auf der ASA.
	----------------------------IKE_AUTH-Austausch endet-----------------------------------
	************************************** Datum: 23.04.13 Uhrzeit: 16:25:07 Typ: Informationen Quelle: acvpndownloader Beschreibung : Function: ProfileMgr::loadProfiles Datei: ..\Api\ProfileMgr.cpp Anschluss: 148 Geladene Profile: C:\Documents and Settings\All Benutzer\Anwendungsdaten\Cisco\Cisco AnyConnect Secure Mobility Client\Profile\anyconnect-ikev2.xml ************************************ ************************************ Datum: 23.04.13 Uhrzeit: 16:25:07 Typ: Informationen Quelle: acvpndownloader Beschreibung: Current Preference Settings: ServiceDisable: Falsch CertificateStoreOverride: Falsch Zertifikatspeicher: Alle ShowPreConnectMessage: false AutoConnectOnStart: Falsch MinimizeOnConnect: true LocalLanAccess: Falsch AutoReconnect: true AutoReconnectBehavior: DisconnectOnSuspend UseStartBeforeLogon: false AutoUpdate: true RSASecurIDIntegration: Automatisch WindowsLogonEnforcement: SingleLocalLogon WindowsVPN-Einrichtung: Nur lokaleBenutzer Proxy-Einstellungen: Nativ AllowLocalProxyConnections: true PPPExklusion: Deaktivieren PPPExklusionServerIP: AutomaticVPNPolicy: Falsch VertrauenswürdigeNetzwerkrichtlinie: Verbindung trennen Nicht vertrauenswürdigeNetzwerkrichtlinie: Verbinden VertrauenswürdigeDNS-Domänen: VertrauenswürdigeDNS-Server: AlwaysOn: Falsch ConnectFailurePolicy: Geschlossen AllowCaptivePortalRemediation: Falsch CaptivePortalRemediationTimeout: 5 ApplyLastVPNLocalResourceRules: Falsch VPNDisconnect zulassen: true EnableScripting: Falsch TerminateScriptOnNextEvent: false EnablePostSBLOnConnectScript: true AutomaticCertSelection: true RetainVPNonLogoff: Falsch BenutzerDurchsetzung: Nur derselbeBenutzer EnableAutomaticServerSelection: false AutoServerAuswahlVerbesserung: 20 AutoServerAuswahlSuspendZeit: 4 Authentifizierungs-Timeout: 12 SafeWordSofTokenIntegration: false AllowIPsecOverSSL: Falsch ClearSmartcardPin: true ************************************ Datum: 23.04.13 Uhrzeit: 16:25:07 Typ: Informationen Quelle: acvpnui Beschreibung : Message type information sent to the user: VPN wird eingerichtet - System wird geprüft... ************************************ Datum: 23.04.13 Uhrzeit: 16:25:07 Typ: Informationen Quelle: acvpnui Beschreibung : Message type information sent to the user: VPN wird eingerichtet - VPN-Adapter wird aktiviert... ************************************ Datum: 23.04.13 Uhrzeit: 16:25:07 Typ: Informationen Quelle: acvpnagent Beschreibung : Function: CVirtualAdapter::DoRegistryRepair Datei: .\WindowsVirtualAdapter.cpp Anschluss: 1869 VA-Kontrollschlüssel gefunden: SYSTEM\CurrentControlSet\ENUM\ROOT\NET\0000\Control ************************************ Datum: 23.04.13 Uhrzeit: 16:25:07 Typ: Informationen Quelle: acvpnagent Beschreibung : Es wurde eine neue Netzwerkschnittstelle erkannt. ************************************ Datum: 23.04.13 Uhrzeit: 16:25:07 Typ: Informationen Quelle: acvpnagent Beschreibung : Function: CRouteMgr::logInterfaces Datei: .\RouteMgr.cpp Anschluss: 2076 Aufgerufene Funktion: logInterfaces Rückgabecode: 0 (0x00000000) Beschreibung: IP Address Interface List: 10.2.2.1 192.168.1.1 ************************************ Datum: 23.04.13 Uhrzeit: 16:25:08 Typ: Informationen Quelle: acvpnagent Beschreibung: Host Configuration: Öffentliche Adresse: 192.168.1.1 Öffentliche Maske: 255.255.255.0 Private Adresse: 10.2.2.1 Private Maske: 255.0.0.0 Private IPv6-Adresse: K/A Private IPv6-Maske: k. A. Remote-Peers: 10.0.0.1 (TCP-Port 443, UDP-Port 500), 10.0.0.1 (UDP-Port 4500) Private Netzwerke: keine Öffentliche Netzwerke: keine Tunnelmodus: ja **************************************		Das XML-Profil wird auf den Client geladen. Da der Client nun über eine IP-Adresse von der ASA verfügt, fährt er fort, den VPN-Adapter zu aktivieren.
Die Verbindung wird in die Datenbank der Security Association (SA) eingegeben, und der Status lautet REGISTERED (REGISTRIERT). Die ASA führt außerdem einige Prüfungen wie CAC-Statistiken (Common Access Card), Vorhandensein doppelter SAs durch und legt Werte wie DPD (Dead Peer Detection) usw. fest.	IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Ereignis: EV_INSERT_IKE IKEv2-PROTO-2: (6): SA erstellt; SA in Datenbank einfügen IKEv2-PLAT-3: VERBINDUNGSSTATUS: UP... Peer: 192.168.1.1:25171, phase1_id: $AnyConnectClient$ IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Ereignis: EV_REGISTER_SESSION IKEv2-PLAT-3: (6) Benutzername festgelegt auf: Anu IKEv2-PLAT-3: VERBINDUNGSSTATUS: REGISTRIERT... Peer: 192.168.1.1:25171, phase1_id: $AnyConnectClient$ IKEv2-PROTO-3: (6): DPD wird initialisiert, konfiguriert für 10 Sekunden IKEv2-PLAT-3: (6) mib_index festgelegt auf: 4501 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Ereignis: EV_GEN_LOAD_IPSEC IKEv2-PROTO-3: (6): IPSEC-Schlüsselmaterial laden IKEv2-PLAT-3: Crypto Map: Übereinstimmung auf dynamischer Karte dynmap seq 1000 IKEv2-PLAT-3: (6) DPD Max. Zeit: 30 IKEv2-PLAT-3: (6) DPD Max. Zeit: 30 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Ereignis: EV_START_ACCT IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Ereignis: EV_CHECK_DUPE IKEv2-PROTO-3: (6): Überprüfung auf doppelte SAs IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Ereignis: EV_CHK4_ROLE IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: READY Event: EV_R_UPDATE_CAC_STATS IKEv2-PLAT-5: Neues ikev2 als Anforderung aktiviert IKEv2-PLAT-5: Abgangsanzahl für eingehende Verhandlungen IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: READY Ereignis: EV_R_OK IKEv2-PROTO-3: (6): Startzeitgeber zum Löschen des Verhandlungskontexts IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: READY Event: EV_NO_EVENT IKEv2-PLAT-2: Empfangene PFKEY-Add-SA für SPI 0x77EE5348, Fehler FALSE IKEv2-PLAT-2: Erhaltene PFKEY-Aktualisierung SA für SPI 0x30B848A4, Fehler FALSE
	************************************** Datum: 23.04.13 Uhrzeit: 16:25:08 Typ: Informationen Quelle: acvpnagent Beschreibung : Die VPN-Verbindung wurde hergestellt und kann nun Daten weitergeben. ************************************ Datum: 23.04.13 Uhrzeit: 16:25:08 Typ: Informationen Quelle: acvpnui Beschreibung : Message type information sent to the user: VPN wird eingerichtet - System wird konfiguriert... ************************************ Datum: 23.04.13 Uhrzeit: 16:25:08 Typ: Informationen Quelle: acvpnui Beschreibung : Message type information sent to the user: VPN wird eingerichtet... ************************************ Datum: 23.04.13 Uhrzeit: 16:25:37 Typ: Informationen Quelle: acvpnagent Datei: .\IPsecProtocol.cpp Anschluss: 945 IPsec-Tunnel wird eingerichtet **************************************		Der Client meldet den Tunnel als betriebsbereit und bereit zum Weiterleiten des Datenverkehrs.

Tunnelüberprüfung

AnyConnect

Beispielausgabe des Befehls show vpn-sessiondb detail anyconnect ist:

Session Type: AnyConnect Detailed

   Username     : Anu                    Index        : 2
   Assigned IP  : 10.2.2.1                Public IP    : 192.168.1.1
   Protocol     : IKEv2 IPsecOverNatT AnyConnect-Parent
   License      : AnyConnect Premium
   Encryption   : AES192 AES256          Hashing      : none SHA1 SHA1
   Bytes Tx     : 0                      Bytes Rx     : 11192
   Pkts Tx      : 0                      Pkts Rx      : 171
   Pkts Tx Drop : 0                      Pkts Rx Drop : 0
   Group Policy : ASA-IKEV2              Tunnel Group : ASA-IKEV2
   Login Time   : 22:06:24 UTC Mon Apr 22 2013
   Duration     : 0h:02m:26s
   Inactivity   : 0h:00m:00s
   NAC Result   : Unknown
   VLAN Mapping : N/A                    VLAN         : none

   IKEv2 Tunnels: 1
   IPsecOverNatT Tunnels: 1
   AnyConnect-Parent Tunnels: 1 

   AnyConnect-Parent:
     Tunnel ID    : 2.1
     Public IP    : 192.168.1.1
     Encryption   : none                   Auth Mode    : userPassword
   Idle Time Out: 30 Minutes             Idle TO Left : 27 Minutes
   Client Type  : AnyConnect
   Client Ver   : 3.0.1047 
    IKEv2:
     Tunnel ID    : 2.2
     UDP Src Port : 25171                  UDP Dst Port : 4500
     Rem Auth Mode: userPassword
     Loc Auth Mode: rsaCertificate
     Encryption   : AES192                 Hashing      : SHA1
     Rekey Int (T): 86400 Seconds          Rekey Left(T): 86254 Seconds
     PRF          : SHA1                   D/H Group    : 1
     Filter Name  :
     Client OS    : Windows
    IPsecOverNatT:
     Tunnel ID    : 2.3
     Local Addr   : 0.0.0.0/0.0.0.0/0/0
     Remote Addr  : 10.2.2.1/255.255.255.255/0/0
     Encryption   : AES256                 Hashing      : SHA1
   Encapsulation: Tunnel
   Rekey Int (T): 28800 Seconds          Rekey Left(T): 28654 Seconds
   Rekey Int (D): 4608000 K-Bytes        Rekey Left(D): 4607990 K-Bytes
   Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes 
   Bytes Tx     : 0                      Bytes Rx     : 11192
   Pkts Tx      : 0                      Pkts Rx      : 171
    NAC:
     Reval Int (T): 0 Seconds              Reval Left(T): 0 Seconds
     SQ Int (T)   : 0 Seconds              EoU Age(T)   : 146 Seconds
     Hold Left (T): 0 Seconds              Posture Token:    
    Redirect URL :

ISAKMP

Beispielausgabe des Befehls show crypto ikev2 sa:

ASA-IKEV2#  show crypto ikev2 sa

      IKEv2 SAs:

      Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

      Tunnel-id                 Local                Remote     Status         Role
       55182129    10.0.0.1/4500         192.168.1.1/25171      READY    RESPONDER
            Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
            Life/Active Time: 86400/112 sec
      Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535   
                remote selector 10.2.2.1/0 - 10.2.2.1/65535
              ESP spi in/out: 0x30b848a4/0x77ee5348

Beispielausgabe des Befehls show crypto ikev2 sa detail ist:

ASA-IKEV2# show crypto ikev2 sa detail

    IKEv2 SAs:

    Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

    Tunnel-id                 Local                Remote     Status         Role
     55182129    10.0.0.1/4500         192.168.1.1/25171      READY    RESPONDER
       Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
         Life/Active Time: 86400/98 sec
         Session-id: 2
         Status Description: Negotiation done
         Local spi: FC696330E6B94D7F       Remote spi: 58AFF71141BA436B
         Local id: hostname=ASA-IKEV2
         Remote id: *$AnyConnectClient$*
         Local req mess id: 0              Remote req mess id: 9
         Local next mess id: 0             Remote next mess id: 9
         Local req queued: 0               Remote req queued: 9
         Local window: 1                   Remote window: 1
         DPD configured for 10 seconds, retry 2
         NAT-T is detected  outside
         Assigned host addr: 10.2.2.1
   Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535
             remote selector 10.2.2.1/0 - 10.2.2.1/65535
             ESP spi in/out: 0x30b848a4/0x77ee5348
          AH spi in/out: 0x0/0x0
          CPI in/out: 0x0/0x0
            Encr: AES-CBC, keysize: 256, esp_hmac: SHA96
            ah_hmac: None, comp: IPCOMP_NONE, mode tunnel

IPsec

Beispielausgabe des Befehls show crypto ipsec sa:

ASA-IKEV2# show crypto ipsec sa
   interface: outside
       Crypto map tag: dynmap, seq num: 1000, local addr: 10.0.0.1

     local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
        remote ident (addr/mask/prot/port): (10.2.2.1/255.255.255.255/0/0)
        current_peer: 192.168.1.1, username: Anu
        dynamic allocated peer ip: 10.2.2.1

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
         #pkts decaps: 163, #pkts decrypt: 108, #pkts verify: 108
         #pkts compressed: 0, #pkts decompressed: 0
         #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
         #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
         #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
         #send errors: 0, #recv errors: 55

      local crypto endpt.: 10.0.0.1/4500, remote crypto endpt.: 192.168.1.1/25171
         path mtu 1488, ipsec overhead 82, media mtu 1500
         current outbound spi: 77EE5348
         current inbound spi : 30B848A4

     inbound esp sas:
         spi: 0x30B848A4 (817383588)
            transform: esp-aes-256 esp-sha-hmac no compression
            in use settings ={RA, Tunnel,  NAT-T-Encaps, }
            slot: 0, conn_id: 8192, crypto-map: dynmap
            sa timing: remaining key lifetime (sec): 28685
            IV size: 16 bytes
            replay detection support: Y
            Anti replay bitmap:
            0xFFAD6BED 0x7ABFD5BF
       outbound esp sas:
         spi: 0x77EE5348 (2012107592)
            transform: esp-aes-256 esp-sha-hmac no compression
            in use settings ={RA, Tunnel,  NAT-T-Encaps, }
            slot: 0, conn_id: 8192, crypto-map: dynmap
            sa timing: remaining key lifetime (sec): 28685
            IV size: 16 bytes
            replay detection support: Y
            Anti replay bitmap:
           0x00000000 0x00000001

Zugehörige Informationen

Revisionsverlauf

Überarbeitung	Veröffentlichungsdatum	Kommentare
1.0	04-May-2013	Erstveröffentlichung

Beiträge von Cisco Ingenieuren

Anu M. Chacko, Jay Young, and Atri Basu
Cisco TAC Engineers.

War dieses Dokument hilfreich?

Feedback

Cisco kontaktieren

Eine Supportanfrage öffnen
(Erfordert einen Cisco Servicevertrag)

ASA IKEv2-Fehlerbehebung für Remote Access-VPN

Download-Optionen

Inklusive Sprache

Informationen zu dieser Übersetzung

Inhalt

Einleitung

Voraussetzungen

Anforderungen

Verwendete Komponenten

Kernproblem

Szenario

Debug-Befehle

ASA-Konfiguration

XML-Datei

Debug-Protokolle und -Beschreibungen

Tunnelüberprüfung

AnyConnect

ISAKMP

IPsec

Zugehörige Informationen

Revisionsverlauf

Beiträge von Cisco Ingenieuren

War dieses Dokument hilfreich?

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.