El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe las depuraciones en Adaptive Security Appliance (ASA) cuando se utilizan el modo principal y la clave previamente compartida (PSK). También se trata la traducción de ciertas líneas de debug en la configuración.
Los temas no tratados en este documento incluyen el tráfico de paso después de que se haya establecido el túnel y los conceptos básicos de IPsec o Intercambio de claves de Internet (IKE).
Quienes lean este documento deben tener conocimiento de los siguientes temas.
PSK
IKE
La información que contiene este documento se basa en estas versiones de software y hardware.
Cisco ASA 9.3.2
Routers que ejecutan Cisco IOS® 12.4T
Las depuraciones IKE e IPsec son a veces crípticas, pero puede usarlas para comprender dónde se encuentra un problema de establecimiento de túnel VPN IPSec.
El modo principal se utiliza normalmente entre los túneles de LAN a LAN o, en el caso del acceso remoto (EzVPN), cuando se utilizan certificados para la autenticación.
Los debugs son de dos ASA que ejecutan la versión de software 9.3.2. Los dos dispositivos formarán un túnel de LAN a LAN.
Se describen dos escenarios principales:
debug crypto ikev1 127
debug crypto ipsec 127
Configuración IPsec:
crypto ipsec transform-set TRANSFORM esp-aes esp-sha-hmac[an error occurred while processing this directive]
crypto map MAP 10 match address VPN
crypto map MAP 10 set peer 10.0.0.2
crypto map MAP 10 set transform-set TRANSFORM
crypto map MAP 10 set reverse-route
crypto map MAP interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group 10.0.0.2 type ipsec-l2l
tunnel-group 10.0.0.2 ipsec-attributes
pre-shared-key cisco
access-list VPN extended permit tcp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
Configuración IP:
ciscoasa#
show ip
[an error occurred while processing this directive]
System IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet0/0 inside 192.168.1.1 255.255.255.0 manual
GigabitEthernet0/1 outside 10.0.0.1 255.255.255.0 manual
Current IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet0/0 inside 192.168.1.1 255.255.255.0 manual
GigabitEthernet0/1 outside 10.0.0.1 255.255.255.0 manual
Configuración de NAT:
object network INSIDE-RANGE[an error occurred while processing this directive]
subnet 192.168.1.0 255.255.255.0 object network FOREIGN_NETWORK
subnet 192.168.2.0 255.255.255
nat (inside,outside) source static INSIDE-RANGE INSIDE-RANGE destination static
FOREIGN_NETWORK FOREIGN_NETWORK no-proxy-arp route-lookup
Descripción del mensaje del iniciador |
Depuraciones |
Descripción del mensaje del respondedor |
|||
Comienza el intercambio de modo principal; no se ha compartido ninguna política y los pares todavía están en MM_NO_STATE.
Como iniciador, el ASA comienza a construir la carga útil. |
[DEPURACIÓN IKEv1]: Pitcher: recibió un mensaje de adquisición de clave, spi 0x0 |
|
|||
Construcción MM1
Este proceso esincluye ipropuesta inicial para IKE y sproveedores de NAT-T compatibles. |
[DEPURACIÓN IKEv1]: IP = 10.0.0.2, construyendo la carga útil ISAKMP SA [IKEv1 DEBUG]: IP = 10.0.0.2, construyendo la carga útil NAT-Traversal VID ver 02 |
||||
Enviar MM1. |
[IKEv1]: IP = 10.0.0.2, mensaje de envío IKE_DECODE (msgid=0) con cargas útiles: HDR + SA (1) + PROVEEDOR (13) + PROVEEDOR (13) + PROVEEDOR (13) + PROVEEDOR (13) + NINGUNA (0) longitud total: 168 |
||||
================================================================> |
|
||||
|
[IKEv1]: IP = 10.0.0.2, mensaje RECIBIDO IKE_DECODE (msgid=0) con cargas útiles: HDR + SA (1) + PROVEEDOR (13) + PROVEEDOR (13) + PROVEEDOR (13) + PROVEEDOR (13) + NINGUNA (0) longitud total: 164 |
MM1 recibido del iniciador.
|
|||
|
[DEPURACIÓN IKEv1]: IP = 10.0.0.2, procesamiento de carga útil SA [DEPURACIÓN IKEv1]: IP = 10.0.0.2, la propuesta de Oakley es aceptable [DEPURACIÓN IKEv1]: IP = 10.0.0.2, procesamiento de la carga útil VID [DEPURACIÓN IKEv1]: IP = 10.0.0.2, propuesta IKE SA nº 1, transformación # 1 aceptable coincide con la entrada IKE global nº 2 |
Proceso MM1.
Comienza la comparación de las políticas ISAKMP/IKE. El par remoto anuncia que puede utilizar NAT-T.
Configuración relacionada: authentication pre-share encryption 3des hash sha grupo 2 lifetime 86400 |
|||
|
[DEPURACIÓN IKEv1]: IP = 10.0.0.2, construyendo la carga útil SA ISAKMP |
Construir MM2.
En este mensaje, el respondedor selecciona la configuración de política isakmp que se utilizará. También anuncia las versiones NAT-T que puede utilizar. |
|||
|
[IKEv1]: IP = 10.0.0.2, mensaje de envío IKE_DECODE (msgid=0) con cargas útiles: HDR + SA (1) + PROVEEDOR (13) + PROVEEDOR (13) + NONE(0) longitud total: 128 |
Enviar MM2. |
|||
|
<=================================================== |
|
|||
MM2 recibido del respondedor. |
[IKEv1]: IP = 10.0.0.2, mensaje RECIBIDO IKE_DECODE (msgid=0) con cargas útiles: HDR + SA (1) + PROVEEDOR (13) + NONE (0) longitud total: 104
|
|
|||
Proceso MM2. |
[DEPURACIÓN IKEv1]: IP = 10.0.0.2, procesamiento de carga útil SA
|
|
|||
Construir MM3.
Este proceso esinclusionescargas útiles de detección de NAT, Difícil-Carga útil de Hellman (DH) Key Exchange (KE) (iel nitator incluye g, p y A al respondedor), y Compatibilidad con DPD. |
30 de noviembre 10:38:29 [DEPURACIÓN IKEv1]: IP = 10.0.0.2, construyendo carga útil de ke |
|
|||
Enviar MM3. |
[IKEv1]: IP = 10.0.0.2, mensaje de envío IKE_DECODE (msgid=0) con cargas útiles: HDR + KE (4) + NONCE (10) + PROVEEDOR (13) + PROVEEDOR (13) + PROVEEDOR (13) + PROVEEDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) longitud total: 304
|
|
|||
|
===============================================================> |
|
|||
|
[IKEv1]: IP = 10.0.0.2, mensaje RECIBIDO IKE_DECODE (msgid=0) con cargas útiles: HDR + KE (4) + NONCE (10) + PROVEEDOR (13) + PROVEEDOR (13) + PROVEEDOR (13) + NAT-D (130) + NAT-D (130) + NONE (0) longitud total : 284 |
MM3 recibido del iniciador. |
|||
|
[DEPURACIÓN IKEv1]: IP = 10.0.0.2, carga útil de ke de procesamiento |
Proceso MM3.
El respondedor de cargas útiles de NAT-D puede determinar si el el iniciador está detrás de NAT y si el el respondedor está detrás de NAT.
Desde el DH KE, el respondedor de carga recibe valores de p, g y A. |
|||
|
[DEPURACIÓN IKEv1]: IP = 10.0.0.2, hash de descubrimiento de NAT informático |
Construir MM4.
Este proceso esinclusiones carga útil de detección de NAT, DH KE rel respondedor genera "B" y "s" (devuelve "B" al iniciador), y VID de DPD. |
|||
|
[IKEv1]: IP = 10.0.0.2, la conexión aterrizó en tunnel_group 10.0.0.2 |
El par se asocia con el grupo de túnel L2L 10.0.0.2 y las claves de cifrado y hash se generan a partir de las "s" anteriores y la clave previamente compartida. |
|||
|
[IKEv1]: IP = 10.0.0.2, mensaje de envío IKE_DECODE (msgid=0) con cargas útiles: HDR + KE (4) + NONCE (10) + PROVEEDOR (13) + PROVEEDOR (13) + PROVEEDOR (13) + PROVEEDOR (13) + NAT-D (130) + NAT-D (130) + NONE (0) longitud total: 304 |
Enviar MM4. |
|||
|
<================================================ |
|
|||
MM4 recibido del respondedor. |
[IKEv1]: IP = 10.0.0.2, mensaje RECIBIDO IKE_DECODE (msgid=0) con cargas útiles: HDR + KE (4) + NONCE (10) + PROVEEDOR (13) + PROVEEDOR (13) + PROVEEDOR (13) + PROVEEDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) longitud total: 304
|
|
|||
Proceso MM4.
Desde las cargas útiles de NAT-D, el iniciador ahora puede determinar si el El indicador está detrás de NAT y si el el respondedor está detrás de NAT.
|
[DEPURACIÓN IKEv1]: IP = 10.0.0.2, procesamiento como carga útil |
|
|||
El par se asocia con el grupo de túnel L2L 10.0.0.2 y el iniciador genera claves de cifrado y hash usando las "s" anteriores y la clave previamente compartida.
|
[IKEv1]: IP = 10.0.0.2, la conexión aterrizó en tunnel_group 10.0.0.2 [DEPURACIÓN IKEv1]: Grupo = 10.0.0.2, IP = 10.0.0.2, Generando claves para el iniciador... |
|
|||
Construir MM5.
Configuración relacionada: auto de identidad crypto isakmp |
[DEPURACIÓN IKEv1]: Grupo = 10.0.0.2, IP = 10.0.0.2, construyendo carga útil de ID |
|
|||
Enviar MM5. |
[IKEv1]: IP = 10.0.0.2, mensaje de envío IKE_DECODE (msgid=0) con cargas útiles: HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) +PROVEEDOR (13) + NONE (0) longitud total: 96 |
|
|||
|
===========================================================> |
|
|||
Responder no está detrás de ninguna NAT. No se requiere NAT-T. |
[IKEv1]: Grupo = 10.0.0.2, IP = 10.0.0.2, Estado de detección NAT automática: El extremo remoto NO está detrás de un dispositivo NAT Este extremo NO está detrás de un dispositivo NAT |
[IKEv1]: IP = 10.0.0.2, mensaje RECIBIDO IKE_DECODE (msgid=0) con cargas útiles: HDR + ID (5) + HASH (8) + NONE (0) longitud total : 64 |
MM5 recibido del iniciador.
Este proceso esincluye rIdentidad de peer remoto (ID) y cConexión que aterriza en un grupo de túnel determinado. |
||
|
[DEPURACIÓN IKEv1]: Grupo = 10.0.0.2, IP = 10.0.0.2, carga útil de ID de procesamiento [IKEv1]: IP = 10.0.0.2, la conexión aterrizó en tunnel_group 10.0.0.2 |
Proceso MM5.
La autenticación con claves previamente compartidas comienza ahora. La autenticación ocurre en ambos peers; por lo tanto, verá dos conjuntos de procesos de autenticación correspondientes.
Configuración relacionada: |
|||
|
Estado de detección: El extremo remoto NO está detrás de un dispositivo NAT Este extremo NO está detrás de un dispositivo NAT |
No Se requiere NAT-T en este caso. |
|||
|
[DEPURACIÓN IKEv1]: Grupo = 10.0.0.2, IP = 10.0.0.2, construyendo carga útil de ID |
Construir MM6.
Enviar identidad incluye los tiempos de reinicio y la identidad enviada al par remoto. |
|||
|
[IKEv1]: IP = 10.0.0.2, mensaje de envío IKE_DECODE (msgid=0) con cargas útiles: HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) +PROVEEDOR (13) + NONE (0) longitud total: 96 |
Enviar MM6. |
|||
|
<=============================================== |
|
|||
MM6 recibido del respondedor. |
[IKEv1]: IP = 10.0.0.2, mensaje RECIBIDO IKE_DECODE (msgid=0) con cargas útiles: HDR + ID (5) + HASH (8) + NONE (0) longitud total : 64 |
[IKEv1]: Grupo = 10.0.0.2, IP = 10.0.0.2, FASE 1 COMPLETADA |
Fase 1 completa.
Inicie el temporizador isakmp rekey.
Configuración relacionada: |
||
Proceso MM6.
Este proceso esincluye ridentidad remota enviada desde peer y fdecisión final con respecto al grupo de túnel que se debe elegir. |
[DEPURACIÓN IKEv1]: Grupo = 10.0.0.2, IP = 10.0.0.2, carga útil de ID de procesamiento |
|
|||
Fase 1 completa.
Inicie el temporizador de nueva clave ISAKMP.
Relacionado cconfiguración: tunnel group 10.0.0.2 type ipsec-l2l tunnel group 10.0.0.2 ipsec-atributos pre-shared-key cisco |
[IKEv1]: Grupo = 10.0.0.2, IP = 10.0.0.2, FASE 1 COMPLETADA |
|
|||
Comienza la fase 2 (modo rápido). |
: Nueva SA embrionaria creada a @ 0x53FC3C00, |
||||
Construir QM1.
Este proceso incluye ID de proxy e IPs políticas.
Configuración relacionada: access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 |
[DEPURACIÓN IKEv1]: Grupo = 10.0.0.2, IP = 10.0.0.2, IKE obtuvo SPI del motor de claves: SPI = 0xfd2d851f [IKEv1 DECODE]: Grupo = 10.0.0.2, IP = 10.0.0.2, iniciador IKE que envía el contacto inicial |
|
|||
Enviar QM1. |
[IKEv1]: IP = 10.0.0.2, mensaje de envío IKE_DECODE (msgid=7b80c2b0) con cargas útiles: HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NOTIFICACIÓN (11) + NONE (0) longitud total: 200 |
|
|||
|
==============================QM1==================================> |
|
|||
|
[IKEv1 DECODE]: IP = 10.0.0.2, IKE Responder comienza QM: msg id = 52481cf5 [IKEv1]: IP = 10.0.0.2, mensaje RECIBIDO IKE_DECODE (msgid=52481cf5) con cargas útiles: HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0) longitud total : 172 |
QM1 recibido del iniciador.
El respondedor inicia la fase 2 (QM). |
|||
[DEPURACIÓN IKEv1]: Grupo = 10.0.0.2, IP = 10.0.0.2, carga útil de troceo de procesamiento |
Proceso QM1.
Este proceso compara los proxies remotos con los selecciona IP aceptables política.
Configuración relacionada: crypto ipsec transform-set TRANSFORM esp-aes esp-sha-hmac access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 crypto map MAP 10 match address VPN |
||||
|
[IKEv1 DECODE]: Grupo = 10.0.0.2, IP = 10.0.0.2, ID_IPV4_ADDR_SUBNET ID recibido—192.168.2.0—255.255.0[IKEv1]: Grupo = 10.0.0.2, IP = 10.0.0.2, Datos de subred de proxy IP remoto recibido en carga útil de ID: Dirección 192.168.2.0, Máscara 255.255.255.0, Protocolo 1, Puerto 0 [DEPURACIÓN IKEv1]: Grupo = 10.0.0.2, IP = 10.0.0.2, carga útil de ID de procesamiento |
Se reciben las subredes remotas y locales (192.168.2.0/24 y 192.168.1.0/24). |
|||
|
[IKEv1]: Grupo = 10.0.0.2, IP = 10.0.0.2, QM IsRekeyed old sa no encontrado por addr |
Se busca y se encuentra una entrada de criptografía estática coincidente. |
|||
|
[IKEv1]: Grupo = 10.0.0.2, IP = 10.0.0.2, IKE: ¡Pidiendo SPI! |
Construir QM2.
Este proceso esincludes cconfirmación de identidades proxy, tipo de túnel y un se realiza la verificación para las ACL crypto duplicadas. |
|||
|
[IKEv1]: IP = 10.0.0.2, mensaje de envío IKE_DECODE (msgid=52481cf5) con cargas útiles: HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0) longitud total : 172 |
Enviar QM2. |
|||
|
<==============================QM2==================== |
|
|||
QM2 recibido del respondedor. |
[IKEv1]: IP = 10.0.0.2, mensaje RECIBIDO IKE_DECODE (msgid=7b80c2b0) con cargas útiles: HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NOTIFICACIÓN (11) + NONE (0) longitud total: 200 |
|
|||
Procesar QM2.
En este proceso, rel extremo remoto envía parámetros y se escoge la fase 2 más corta propuesta. |
[DEPURACIÓN IKEv1]: Grupo = 10.0.0.2, IP = 10.0.0.2, carga útil de troceo de procesamiento |
|
|||
Se encontró correspondencia de crypto map "MAP" y la entrada 10 y coincidió con la lista de acceso "VPN". |
[DEPURACIÓN IKEv1]: Grupo = 10.0.0.2, IP = 10.0.0.2, regla de cifrado NP buscar crypto map MAP 10 que coincida con ACL VPN: return cs_id=53f11198; rule=53f11a90 |
|
|||
El dispositivo ha generado los SPI 0xfd2d851f y 0xdde50931para el tráfico entrante y saliente respectivamente. |
[DEPURACIÓN IKEv1]: Grupo = 10.0.0.2, IP = 10.0.0.2, Generando clave de modo rápido |
|
|||
Construir QM3.
Confirmar todos los SPI creados a peer remoto. |
: Actualización de IBSA de host finalizada, SPI 0xFD2D851F |
|
|||
Enviar QM3. |
[IKEv1 DECODE]: Grupo = 10.0.0.2, IP = 10.0.0.2, Iniciador IKE enviando 3er paquete QM: msg id = 7b80c2b0 |
|
|||
|
============================QM3==================================> |
|
|||
Fase 2 completa.
El iniciador ahora está listo para cifrar y descifrar paquetes usando estos valores SPI. |
[IKEv1]: IP = 10.0.0.2, mensaje de envío IKE_DECODE (msgid=7b80c2b0) con cargas útiles: HDR + HASH (8) + NONE (0) longitud total :76 |
[IKEv1]: IP = 10.0.0.2, mensaje RECIBIDO IKE_DECODE (msgid=52481cf5) con cargas útiles: HDR + HASH (8) + NONE (0) longitud total : 52 |
QM3 recibido del iniciador. |
||
|
[DEPURACIÓN IKEv1]: Grupo = 10.0.0.2, IP = 10.0.0.2, carga útil de troceo de procesamiento |
Procesar QM3.
Se generan claves de cifrado para las SA de datos.
Durante este proceso, Los SPI se configuran para pasar tráfico. |
|||
|
[IKEv1]: Grupo = 10.0.0.2, IP = 10.0.0.2, Negociación de seguridad completa para el respondedor de grupo de LAN a LAN (10.0.0.2), SPI entrante = 0x1698cac7, SPI saliente = 0xdb680406 : Actualización de IBSA de host finalizada, SPI 0x1698CAC7 |
Los SPI se asignan a las SA de datos. |
|||
|
[DEPURACIÓN IKEv1]: Grupo = 10.0.0.2, IP = 10.0.0.2, Temporizador de reinicio P2: 3060 segundos. |
Comience los tiempos de nueva clave IPsec. |
|||
|
[IKEv1]: Grupo = 10.0.0.2, IP = 10.0.0.2, FASE 2 COMPLETADA (msgid=52481cf5) |
Fase 2 completa. Tanto el respondedor como el iniciador pueden cifrar/descifrar el tráfico. |
Verificación del túnel
Nota: Dado que ICMP se utiliza para activar el túnel, sólo una SA IPSec está activa. Protocolo 1 = ICMP.
show crypto ipsec sa
interface: outside
Crypto map tag: MAP, seq num: 10, local addr: 10.0.0.1
access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/1/0)
remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/1/0)
current_peer: 10.0.0.2
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 10.0.0.1/0, remote crypto endpt.: 10.0.0.2/0
path mtu 1500, ipsec overhead 74, media mtu 1500
current outbound spi: DB680406
current inbound spi : 1698CAC7
inbound esp sas:
spi: 0x1698CAC7(379112135)[an error occurred while processing this directive]
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 16384, crypto-map: MAP
sa timing: remaining key lifetime (kB/sec): (3914999/3326)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x0000001F
outbound esp sas:
spi: 0xDB680406 (3681027078)
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 16384, crypto-map: MAP
sa timing: remaining key lifetime (kB/sec): (3914999/3326)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001show crypto isakmp sa
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 10.0.0.2
Type :L2LRole :responder
Rekey : no State :MM_ACTIVE[an error occurred while processing this directive]