Dépannage des débogages IKEv2 IOS pour VPN site à site avec PSK
Options de téléchargement
-
ePub (94.5 KB)
Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone -
Mobi (Kindle) (108.1 KB)
Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Langage exempt de préjugés
Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
À propos de cette traduction
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Introduction
Ce document décrit les débogages d'Internet Key Exchange version 2 (IKEv2) sur Cisco IOS® lorsqu'une clé non partagée (PSK) est utilisée.
Conditions préalables
Exigences
Cisco vous recommande de connaître l'échange de paquets pour IKEv2. Pour plus d'informations, référez-vous à Échange de paquets IKEv2 et débogage au niveau du protocole.
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Internet Key Exchange Version 2 (IKEv2)
- Cisco IOS 15.1(1)T ou version ultérieure
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Conventions
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Informations générales
Ce document fournit des informations sur la façon de traduire certaines lignes de débogage dans une configuration.
Problème principal
L'échange de paquets dans IKEv2 est radicalement différent de l'échange de paquets dans IKEv1. Dans IKEv1, il y avait un échange de phase 1 clairement délimité qui se composait de six (6) paquets, puis d'un échange de phase 2 qui se composait de trois (3) paquets ; l'échange IKEv2 est variable. Pour plus d'informations sur les différences et une explication de l'échange de paquets, référez-vous à Échange de paquets IKEv2 et débogage au niveau du protocole.
Configuration du routeur
Cette section répertorie les configurations utilisées dans ce document.
Routeur 1
interface Loopback0
ip address 192.168.1.1 255.255.255.0
!
interface Tunnel0
ip address 172.16.0.101 255.255.255.0
tunnel source Ethernet0/0
tunnel mode ipsec ipv4
tunnel destination 10.0.0.2
tunnel protection ipsec profile phse2-prof
!
interface Ethernet0/0
ip address 10.0.0.1 255.255.255.0
crypto ikev2 proposal PHASE1-prop
encryption 3des aes-cbc-128
integrity sha1
group 2
!
crypto ikev2 policy site-pol
proposal PHASE1-prop
!
crypto ikev2 keyring KEYRNG
peer peer1
address 10.0.0.2 255.255.255.0
hostname host1
pre-shared-key local cisco
pre-shared-key remote cisco
!
crypto ikev2 profile IKEV2-SETUP
match identity remote address 0.0.0.0
authentication remote pre-share
authentication local pre-share
keyring local KEYRNG
lifetime 120
!
crypto ipsec transform-set TS esp-3des esp-sha-hmac
!
crypto ipsec profile phse2-prof
set transform-set TS
set ikev2-profile IKEV2-SETUP
!
ip route 0.0.0.0 0.0.0.0 10.0.0.2
ip route 192.168.2.1 255.255.255.255 Tunnel0
Routeur 2
crypto ikev2 proposal PHASE1-prop
encryption 3des aes-cbc-128
integrity sha1
group 2
!
crypto ikev2 keyring KEYRNG
peer peer2
address 10.0.0.1 255.255.255.0
hostname host2
pre-shared-key local cisco
pre-shared-key remote cisco
!
crypto ikev2 profile IKEV2-SETUP
match identity remote address 0.0.0.0
authentication remote pre-share
authentication local pre-share
keyring local KEYRNG
lifetime 120
!
crypto ipsec transform-set TS esp-3des esp-sha-hmac
!
!
crypto ipsec profile phse2-prof
set transform-set TS
set ikev2-profile IKEV2-SETUP
!
interface Loopback0
ip address 192.168.2.1 255.255.255.0
!
interface Ethernet0/0
ip address 10.0.0.2 255.255.255.0
!
interface Tunnel0
ip address 172.16.0.102 255.255.255.0
tunnel source Ethernet0/0
tunnel mode ipsec ipv4
tunnel destination 10.0.0.1
tunnel protection ipsec profile phse2-prof
!
ip route 0.0.0.0 0.0.0.0 10.0.0.1
ip route 192.168.1.1 255.255.255.255 Tunnel0
Dépannage
Débogages du routeur
Les commandes debug suivantes sont utilisées dans ce document :
deb crypto ikev2 packet
deb crypto ikev2 internal
| Description du message Router 1 (Initiator) | Déboguages | Description du message du routeur 2 (répondeur) | |
|---|---|---|---|
| Le routeur 1 reçoit un paquet qui correspond à la liste de contrôle d'accès cryptée pour l'homologue ASA 10.0.0.2. Initie la création SA | *Nov 11 20:28:34.003: IKEv2:Réception d'un paquet du répartiteur |
||
| La première paire de messages est l'échange IKE_SA_INIT. Ces messages négocient des algorithmes cryptographiques, échangent des nonces et effectuent un échange Diffie-Hellman. Configuration appropriée : crypto ikev2 proposition PHASE1-prop encryption 3des aes-cbc-128 intégrité sha1 groupe 2crypto ikev2 keyring KEYRNG peer peer1 address 10.0.0.2 255.255.255.0 hostname host1 pre-shared-key local cisco pre-shared-key remote cisco |
*Nov 11 19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState : IDLE Event: EV_INIT_SA *Nov 11 19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState : I_BLD_INIT Événement : EV_GET_IKE_POLICY *Nov 11 19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Event:EV_SET_POLICY *Nov 11 19:30:34.811: IKEv2:(SA ID = 1):Définition des stratégies configurées *Nov 11 19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState : I_BLD_INIT Événement : EV_CHK_AUTH4PKI *11 nov. 19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Event:EV_GEN_DH_KEY *Nov 11 19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState: I_BLD_INIT Event: EV_NO_EVENT *Nov 11 19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState : I_BLD_INIT Événement : EV_OK_RECD_DH_PUBKEY_RESP *Nov 11 19:30:34.811: IKEv2:(ID SA = 1):Action: Action_Null *Nov 11 19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState : I_BLD_INIT Événement : EV_GET_CONFIG_MODE *Nov 11 19:30:34.811: IKEv2:IKEv2 initiator - aucune donnée de configuration à envoyer dans IKE_SA_INIT exch *Nov 11 19:30:34.811: IKEv2:Aucune donnée de configuration à envoyer à la boîte à outils : *Nov 11 19:30:34.811: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=0000000000000000 (I) MsgID = 00000000 CurState : I_BLD_INIT Événement : EV_BLD_MSG *Nov 11 19:30:34.811: IKEv2:Charge utile spécifique au constructeur de construction: DELETE-REASON *Nov 11 19:30:34.811: IKEv2:Construct Vendor Specific Payload: (CUSTOM) *Nov 11 19:30:34.811: IKEv2:Construct Notify Payload: NAT_DETECTION_SOURCE_IP *Nov 11 19:30:34.811: IKEv2:Construct Notify Payload: NAT_DETECTION_DESTINATION_IP |
||
| Initiateur créant le paquet IKE_INIT_SA. Il contient : l'en-tête ISAKMP (SPI/version/flags), SAi1 (algorithme cryptographique pris en charge par l'initiateur IKE), KEi (valeur de clé publique DH de l'initiateur) et N (nom de l'initiateur). | *Nov 11 19:30:34.811: IKEv2:(SA ID = 1):Next payload: SA, version: 2.0 Type d'échange : IKE_SA_INIT, indicateurs : INITIATOR ID de message : 0, longueur : 344 Contenu de la charge utile : SA Charge utile suivante : KE, réservée : 0x0, longueur : 56 dernière proposition : 0x0, réservée : 0x0, longueur : 52 Proposition : 1, ID de protocole : IKE, taille SPI : 0, #trans : 5 dernière transformation : 0x3, réservé : 0x0 : longueur : 8 type : 1, réservé : 0x0, id : 3DES dernière transformation : 0x3, réservée : 0x0 : longueur : 12 type : 1, réservé : 0x0, id : AES-CBC dernière transformation : 0x3, réservée : 0x0 : longueur : 8 type : 2, réservé : 0x0, id : SHA1 dernière transformation : 0x3, réservée : 0x0 : longueur : 8 type : 3, réservé : 0x0, id : SHA96 dernière transformation : 0x0, réservée : 0x0 : longueur : 8 type : 4, réservé : 0x0, id : DH_GROUP_1024_MODP/Groupe 2 KE Charge utile suivante : N, réservée : 0x0, longueur : 136 Groupe DH : 2, Réservé : 0x0 N Charge utile suivante : VID, réservé : 0x0, longueur : 24 VID Charge utile suivante : VID, réservé : 0x0, longueur : 23 VID Charge utile suivante : NOTIFY, réservé : 0x0, longueur : 21 NOTIFY(NAT_DETECTION_SOURCE_IP) Charge utile suivante : NOTIFY, réservée : 0x0, longueur : 28 ID de protocole de sécurité : IKE, taille de spi : 0, type : NAT_DETECTION_SOURCE_IP NOTIFY(NAT_DETECTION_DESTINATION_IP) Charge utile suivante : AUCUNE, réservée : 0x0, longueur : 28 ID de protocole de sécurité : IKE, taille de spi : 0, type : NAT_DETECTION_DESTINATION_IP |
||
|
|
|||
| *Nov 11 19:30:34.814: IKEv2:Réception d'un paquet du répartiteur |
Le répondeur reçoit IKE_INIT_SA. | ||
| *Nov 11 19:30:34.814: IKEv2:Next payload: SA, version: 2.0 Type d'échange : IKE_SA_INIT, indicateurs : INITIATOR ID de message : 0, longueur : 344 |
Le répondeur lance la création de SA pour cet homologue. | ||
| *Nov 11 19:30:34.814: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState: IDLE Event:EV_RECV_INIT |
Le répondeur vérifie et traite le message IKE_INIT : (1) choisit la suite de cryptage parmi celles offertes par l'initiateur, (2) calcule sa propre clé secrète DH et (3) calcule une valeur skeyid, à partir de laquelle toutes les clés peuvent être dérivées pour cette IKE_SA. Tous les en-têtes de tous les messages qui suivent sont chiffrés et authentifiés, à l'exception des en-têtes. Les clés utilisées pour le cryptage et la protection de l'intégrité sont dérivées de SKEYID et sont connues sous le nom de : SK_e (cryptage), SK_a (authentification), SK_d est dérivée et utilisée pour la dérivation de matériel de cryptage supplémentaire pour CHILD_SA, et un SK_e et SK_a séparés sont calculés pour chaque direction. Configuration appropriée : crypto ikev2 proposition PHASE1-prop encryption 3des aes-cbc-128 intégrité sha1 groupe 2 crypto ikev2 keyring KEYRNG peer2 address 10.0.0.1 255.255.255.0 hostname host2 pre-shared-key local cisco pre-shared-key remote cisco |
||
| *Nov 11 19:30:34.822: IKEv2:(SA ID = 1):Next payload: SA, version: 2.0 Type d'échange : IKE_SA_INIT, indicateurs : RESPONDER MSG-RESPONSE ID de message : 0, longueur : 449 |
Le routeur 2 génère le message du répondeur pour l'échange IKE_SA_INIT, qui est reçu par ASA1. Ce paquet contient : ISAKMP Header(SPI/ version/flags), SAr1(algorithme cryptographique choisi par le répondeur IKE), KEr(DH public Key value of the responder) et Responder Nonce. | ||
| *Nov 11 19:30:34.822: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState : INIT_DONE Événement : EV_DONE |
Le routeur 2 envoie le message de réponse au routeur 1. | ||
|
|
|||
| Le routeur 1 reçoit le paquet de réponse IKE_SA_INIT du routeur 2. | *Nov 11 19:30:34.823: IKEv2:Réception d'un paquet du répartiteur |
I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000000 CurState : INIT_DONE, événement : EV_START_TMR |
Le répondeur démarre le minuteur pour le processus Auth. |
| Le routeur 1 vérifie et traite la réponse : (1) la clé secrète DH de l’initiateur est calculée et (2) l’ID de clé DH de l’initiateur est également généré. | *Nov 11 19:30:34.823: IKEv2:(SA ID = 1):Next payload: SA, version: 2.0 Type d'échange : IKE_SA_INIT, indicateurs : RESPONDER MSG-RESPONSE ID de message : 0, longueur : 449 *Nov 11 19:30:34.824: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState : I_WAIT_INIT Événement : EV_RECV_INIT |
||
| L'initiateur démarre l'échange IKE_AUTH et génère la charge utile d'authentification. Le paquet IKE_AUTH contient : l'en-tête ISAKMP (SPI/ version/flags), IDi (identité de l'initiateur), la charge utile AUTH, SAi2 (initie le SA-similaire à l'échange d'ensemble de transformation de phase 2 dans IKEv1), et TSi et TSr (sélecteurs de trafic de l'initiateur et du répondeur). Ils contiennent l’adresse source et l’adresse de destination de l’initiateur et du répondeur, respectivement, pour l’acheminement/la réception du trafic chiffré. La plage d’adresses indique que tout le trafic en provenance et à destination de cette plage est tunnellisé. Si la proposition est acceptable pour le répondeur, il renvoie des données utiles TS identiques. La première CHILD_SA est créée pour la paire proxy_ID qui correspond au paquet déclencheur. Configuration appropriée : crypto ipsec transform-set TS esp-3des esp-sha-hmac crypto ipsec profile phase2-prof set transform-set TS set ikev2-profile IKEV2-SETUP |
*11 nov. 19:30:34.831: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000000 CurState: I_BLD_AUTH Event:EV_GEN_AUTH *Nov 11 19:30:34.831: SA Prochaine charge utile : TSi, réservée : 0x0, longueur : 40 NOTIFY(INITIAL_CONTACT) Charge utile suivante : NOTIFY, réservée : 0x0, longueur : 8 |
||
|
|
|||
| *Nov 11 19:30:34.832: IKEv2:Réception d'un paquet du répartiteur |
Le routeur 2 reçoit et vérifie les données d’authentification reçues du routeur 1. Configuration appropriée : crypto ipsec ikev2 ipsec-proposition AES256 protocol esp encryption aes-256 protocol esp integration sha-1 md5 |
||
| *Nov 11 19:30:34.832: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState : R_WAIT_AUTH Événement : EV_RECV_AUTH |
Le routeur 2 génère la réponse au paquet IKE_AUTH qu’il a reçu du routeur 1. Ce paquet de réponse contient : ISAKMP Header(SPI/ version/flags), IDr.(responder identity), AUTH payload, SAr2(initie le SA-similaire à l'échange d'ensemble de transformation de phase 2 dans IKEv1), et TSi et TSr(Initiateur et Sélecteur de trafic de répondeur). Ils contiennent l’adresse source et l’adresse de destination de l’initiateur et du répondeur, respectivement, pour l’acheminement/la réception du trafic chiffré. La plage d’adresses indique que tout le trafic en provenance et à destination de cette plage est tunnelisé. Ces paramètres sont identiques à celui qui a été reçu de ASA1. | ||
| *Nov 11 19:30:34.833: IKEv2:(SA ID = 1):Next payload: ENCR, version: 2.0 Type d'échange : IKE_AUTH, indicateurs : RESPONDER MSG-RESPONSE ID de message : 1, longueur : 252 |
Le répondeur envoie la réponse pour IKE_AUTH. | ||
|
|
|||
| L'initiateur reçoit une réponse du répondeur. | *Nov 11 19:30:34.834: IKEv2:Réception d'un paquet du répartiteur |
*Nov 11 19:30:34.840: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState : AUTH_DONE Événement : EV_OK_RECD_LOAD_IPSEC |
Le répondeur insère une entrée dans le DAU. |
| Le routeur 1 vérifie et traite les données d’authentification dans ce paquet. Le routeur 1 insère ensuite cette SA dans son SAD. | *Nov 11 19:30:34.834: IKEv2:(SA ID = 1):Next payload: ENCR, version: 2.0 Type d'échange : IKE_AUTH, indicateurs : RESPONDER MSG-RESPONSE ID de message : 1, longueur : 252 |
||
| Le tunnel est activé sur l'initiateur et l'état affiche READY. | *Nov 11 19:30:34.841: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (I) MsgID = 00000001 CurState : READYEvent: EV_CHK_IKE_ONLY |
*Nov 11 19:30:34.840: IKEv2:(SA ID = 1):SM Trace-> SA: I_SPI=F074D8BBD5A59F0B R_SPI=F94020DD8CB4B9C4 (R) MsgID = 00000001 CurState: READY Event: EV_R_OK |
Le tunnel est actif sur le répondeur. Le tunnel du répondeur apparaît généralement avant l'initiateur. |
Débogages CHILD_SA
Cet échange se compose d’une seule paire requête/réponse et était appelé échange de phase 2 dans IKEv1. Il peut être initié par l'une ou l'autre des extrémités de l'IKE_SA après les échanges initiaux.
| Description du message CHILD_SA du routeur 1 | Déboguages | Description du message CHILD_SA du routeur 2 |
|---|---|---|
Le routeur 1 initie l’échange CHILD_SA. Il s'agit de la demande CREATE_CHILD_SA. Le paquet CHILD_SA contient généralement :
|
*Nov 11 19:31:35.873: IKEv2:Réception d'un paquet du répartiteur |
|
| *Nov 11 19:31:35.869: IKEv2:(SA ID = 2):Next payload: ENCR, version: 2.0 Type d'échange : CREATE_CHILD_SA, indicateurs : INITIATOR ID de message : 2, longueur : 460 *Nov 11 19:31:35.873: IKEv2:Construct Notify Payload: SET_WINDOW_SIZE |
Ce paquet est reçu par le routeur 2. | |
| *Nov 11 19:31:35.882: IKEv2:(SA ID = 2):Next payload: ENCR, version: 2.0 Type d'échange : CREATE_CHILD_SA, indicateurs : RESPONDER MSG-RESPONSE ID de message : 3, longueur : 300 |
Le routeur 2 génère maintenant la réponse pour l’échange CHILD_SA. Il s'agit de la réponse CREATE_CHILD_SA. Le paquet CHILD_SA contient généralement :
|
|
| Le routeur 1 reçoit le paquet de réponse du routeur 2 et termine l’activation de CHILD_SA. | *Nov 11 19:31:35.882: IKEv2:(SA ID = 2):Charge utile suivante : ENCR, version : 2.0 Type d'échange : CREATE_CHILD_SA, indicateurs : RESPONDER MSG-RESPONSE ID de message : 3, longueur : 300 |
Vérification du tunnel
ISAKMP
Commande
show crypto ikev2 sa detailed
Sortie du routeur 1
Router1#show crypto ikev2 sa detailed
IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
1 10.0.0.1/500 10.0.0.2/500 none/none READY
Encr: AES-CBC, keysize: 128,
Hash: SHA96, DH Grp:2,
Auth sign: PSK, Auth verify: PSK
Life/Active Time: 120/10 sec
CE id: 1006, Session-id: 4
Status Description: Negotiation done
Local spi: E58F925107F8B73F Remote spi: AFD098F4147869DA
Local id: 10.0.0.1
Remote id: 10.0.0.2
Local req msg id: 2 Remote req msg id: 0
Local next msg id: 2 Remote next msg id: 0
Local req queued: 2 Remote req queued: 0
Local window: 5 Remote window: 5
DPD configured for 0 seconds, retry 0
NAT-T is not detected
Cisco Trust Security SGT is disabled
Initiator of SA : Yes
Sortie du routeur 2
Router2#show crypto ikev2 sa detailed
IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
2 10.0.0.2/500 10.0.0.1/500 none/none READY
Encr: AES-CBC, keysize: 128, Hash: SHA96,
DH Grp:2, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 120/37 sec
CE id: 1006, Session-id: 4
Status Description: Negotiation done
Local spi: AFD098F4147869DA Remote spi: E58F925107F8B73F
Local id: 10.0.0.2
Remote id: 10.0.0.1
Local req msg id: 0 Remote req msg id: 2
Local next msg id: 0 Remote next msg id: 2
Local req queued: 0 Remote req queued: 2
Local window: 5 Remote window: 5
DPD configured for 0 seconds, retry 0
NAT-T is not detected
Cisco Trust Security SGT is disabled
Initiator of SA : No
IPsec
Commande
show crypto ipsec sa
Remarque : dans cette sortie, contrairement à IKEv1, la valeur du groupe PFS DH apparaît sous la forme « PFS (Y/N) : N, DH group : none » lors de la première négociation de tunnel, mais, après une nouvelle clé, les bonnes valeurs apparaissent. Il ne s'agit pas d'un bogue, même si le comportement est décrit dans l'ID de bogue Cisco CSCug67056. (Seuls les utilisateurs Cisco enregistrés peuvent accéder aux informations ou aux outils Cisco internes.)
La différence entre IKEv1 et IKEv2 est que, dans ce dernier cas, les SA enfant sont créées dans le cadre de l'échange AUTH lui-même. Le groupe DH configuré sous la crypto-carte ne serait utilisé que lors de la nouvelle clé. Par conséquent, vous verriez 'PFS (Y/N) : N, DH group : none' jusqu'à la première nouvelle clé.
Avec IKEv1, vous voyez un comportement différent, car la création d'une association de sécurité enfant se produit en mode rapide et le message CREATE_CHILD_SA dispose d'une provision pour transporter la charge utile d'échange de clé qui spécifie les paramètres DH pour dériver un nouveau secret partagé.
Sortie du routeur 1
Router1#show crypto ipsec sa
interface: Tunnel0
Crypto map tag: Tunnel0-head-0,
local addr 10.0.0.1
protected vrf: (none)
local ident (addr/mask/prot/port):
(0.0.0.0/0.0.0.0/256/0)
remote ident (addr/mask/prot/port):
(0.0.0.0/0.0.0.0/256/0)
current_peer 10.0.0.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 10, #pkts encrypt:
10, #pkts digest: 10
#pkts decaps: 10, #pkts decrypt:
10, #pkts verify: 10
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.0.0.1,
remote crypto endpt.: 10.0.0.2
path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
current outbound spi: 0xF6083ADD(4127734493)
PFS (Y/N): N, DH group: none
inbound esp sas:
spi: 0x6B74CB79(1802816377)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 18, flow_id: SW:18,
sibling_flags 80000040,
crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec):
(4276853/3592)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xF6083ADD(4127734493)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 17, flow_id: SW:17,
sibling_flags 80000040,
crypto map: Tunnel0-head-0
sa timing: remaining key
lifetime (k/sec): (4276853/3592)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
outbound ah sas:
outbound pcp sas:
Sortie du routeur 2
Router2#show crypto ipsec sa
interface: Tunnel0
Crypto map tag: Tunnel0-head-0, local addr 10.0.0.2
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/256/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/256/0)
current_peer 10.0.0.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
#pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.0.0.2,
remote crypto endpt.: 10.0.0.1
path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
current outbound spi: 0x6B74CB79(1802816377)
PFS (Y/N): N, DH group: none
inbound esp sas:
spi: 0xF6083ADD(4127734493)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 17, flow_id: SW:17,
sibling_flags 80000040,
crypto map: Tunnel0-head-0
sa timing: remaining key lifetime
(k/sec): (4347479/3584)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x6B74CB79(1802816377)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 18, flow_id: SW:18,
sibling_flags 80000040,
crypto map: Tunnel0-head-0
sa timing: remaining key
lifetime (k/sec): (4347479/3584)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
outbound ah sas:
outbound pcp sas:
Vous pouvez également vérifier le résultat de la commande show crypto session sur les deux routeurs ; ce résultat montre l'état de session de tunnel comme UP-ACTIVE.
Router1#show crypto session
Crypto session current status
Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 10.0.0.2 port 500
IKEv2 SA: local 10.0.0.1/500 remote 10.0.0.2/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
Router2#show cry session
Crypto session current status
Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 10.0.0.1 port 500
IKEv2 SA: local 10.0.0.2/500 remote 10.0.0.1/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
Informations connexes
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
2.0 |
12-Apr-2023 |
Mettre à jour la mise en forme Recertification. |
1.0 |
28-Jan-2013 |
Première publication |
Contribution d’experts de Cisco
- Anu M ChackoResponsable marketing technique Cisco
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)