Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit les débogages sur l'ASA (Adaptive Security Appliance) lorsque le mode principal et la clé prépartagée (PSK) sont utilisés. La traduction de certaines lignes de débogage dans la configuration est également abordée.
Les sujets non abordés dans ce document incluent le passage du trafic après l'établissement du tunnel et les concepts de base d'IPsec ou d'Internet Key Exchange (IKE).
Les lecteurs de ce document devraient avoir connaissance des sujets suivants .
PSK
IKE
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Cisco ASA 9.3.2
Routeurs qui exécutent Cisco IOS® 12.4T
Les débogages IKE et IPsec sont parfois cryptiques, mais vous pouvez les utiliser pour comprendre où se trouve un problème d'établissement de tunnel VPN IPsec.
Le mode principal est généralement utilisé entre des tunnels LAN à LAN ou, dans le cas d'un accès distant (EzVPN), lorsque des certificats sont utilisés pour l'authentification.
Les débogages proviennent de deux ASA qui exécutent le logiciel version 9.3.2. Les deux périphériques forment un tunnel LAN à LAN.
Deux scénarios principaux sont décrits :
debug crypto ikev1 127
debug crypto ipsec 127
Configuration IPsec :
crypto ipsec transform-set TRANSFORM esp-aes esp-sha-hmac[an error occurred while processing this directive]
crypto map MAP 10 match address VPN
crypto map MAP 10 set peer 10.0.0.2
crypto map MAP 10 set transform-set TRANSFORM
crypto map MAP 10 set reverse-route
crypto map MAP interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group 10.0.0.2 type ipsec-l2l
tunnel-group 10.0.0.2 ipsec-attributes
pre-shared-key cisco
access-list VPN extended permit tcp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
Configuration IP :
ciscoasa#
show ip
[an error occurred while processing this directive]
System IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet0/0 inside 192.168.1.1 255.255.255.0 manual
GigabitEthernet0/1 outside 10.0.0.1 255.255.255.0 manual
Current IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet0/0 inside 192.168.1.1 255.255.255.0 manual
GigabitEthernet0/1 outside 10.0.0.1 255.255.255.0 manual
Configuration NAT :
object network INSIDE-RANGE[an error occurred while processing this directive]
subnet 192.168.1.0 255.255.255.0 object network FOREIGN_NETWORK
subnet 192.168.2.0 255.255.255
nat (inside,outside) source static INSIDE-RANGE INSIDE-RANGE destination static
FOREIGN_NETWORK FOREIGN_NETWORK no-proxy-arp route-lookup
Description du message de l'initiateur |
Déboguages |
Description du message du répondeur |
|||
L'échange en mode principal commence ; aucune stratégie n'a été partagée et les homologues sont toujours dans MM_NO_STATE.
En tant qu'initiateur, l'ASA commence à construire la charge utile. |
[DEBUG IKEv1] : Pitcher : reçu un message d'acquisition de clé, spi 0x0 |
|
|||
Construire MM1
Ce processus estcomprend iProposition initiale pour IKE et sFournisseurs NAT-T pris en charge. |
[DEBUG IKEv1] : IP = 10.0.0.2, construction de la charge utile ISAKMP SA [DEBUG IKEv1] : IP = 10.0.0.2, construction de la charge utile NAT-Traversal VID ver 02 |
||||
Envoyez MM1. |
[IKEv1] : IP = 10.0.0.2, message IKE_DECODE ENVOI (msgid=0) avec charges utiles : HDR + SA (1) + VENDEUR (13) + FOURNISSEUR (13) + FOURNISSEUR (13) + FOURNISSEUR (13) + AUCUNE (0) longueur totale : 168 |
||||
======================================================================>==================>=============>=============================>====================>===============>============================>================================>================= |
|
||||
|
[IKEv1] : IP = 10.0.0.2, message IKE_DECODE REÇU (msgid=0) avec charges utiles : HDR + SA (1) + VENDEUR (13) + VENDEUR (13) + VENDEUR (13) + VENDEUR (13) + AUCUNE (0) longueur totale : 164 |
MM1 reçu de l'initiateur.
|
|||
|
[DEBUG IKEv1] : IP = 10.0.0.2, traitement de la charge utile SA [DEBUG IKEv1] : IP = 10.0.0.2, proposition Oakley acceptable [DEBUG IKEv1] : IP = 10.0.0.2, traitement de la charge utile VID [DEBUG IKEv1] : IP = 10.0.0.2, proposition de SA IKE n° 1, transformation n° 1 correspondance acceptable entrée IKE n° 2 globale |
Processus MM1.
La comparaison des politiques ISAKMP/IKE commence. L'homologue distant annonce qu'il peut utiliser NAT-T.
Configuration associée : authentication pre-share cryptage 3des hash sha groupe 2 86400 à vie |
|||
|
[DEBUG IKEv1] : IP = 10.0.0.2, construction de la charge utile ISAKMP SA |
Construire MM2.
Dans ce message, le répondeur sélectionne les paramètres de stratégie isakmp à utiliser. Il annonce également les versions NAT-T qu'il peut utiliser. |
|||
|
[IKEv1] : IP = 10.0.0.2, message IKE_DECODE ENVOI (msgid=0) avec charges utiles : HDR + SA (1) + VENDEUR (13) + VENDEUR (13) + AUCUNE (0) longueur totale : 128 |
Envoyez MM2. |
|||
|
<========================================================================================================================================================================================================================================================= |
|
|||
MM2 reçu du répondeur. |
[IKEv1] : IP = 10.0.0.2, message IKE_DECODE REÇU (msgid=0) avec charges utiles : HDR + SA (1) + VENDEUR (13) + AUCUNE (0) longueur totale : 104
|
|
|||
Processus MM2. |
[DEBUG IKEv1] : IP = 10.0.0.2, traitement de la charge utile SA
|
|
|||
Construisez MM3.
Ce processus estinclutles charges utiles de découverte NAT, Différer- Charges utiles d'échange de clés Hellman (DH) (i)l'initiateur inclut g, p et A au répondeur), et Prise en charge DPD. |
30 nov 10:38:29 [DEBUG IKEv1] : IP = 10.0.0.2, construction de la charge utile clé |
|
|||
Envoyez MM3. |
[IKEv1] : IP = 10.0.0.2, message IKE_DECODE ENVOI (msgid=0) avec charges utiles : HDR + KE (4) + NONCE (10) + VENDEUR (13) + FOURNISSEUR (13) + FOURNISSEUR (13) + FOURNISSEUR (13) + NAT-D (20) + NAT-D (20) + AUCUNE (0) longueur totale : 304
|
|
|||
|
=================================================================>===================>============>=======================>==================>==================>=========================>===================>=========================>================= |
|
|||
|
[IKEv1] : IP = 10.0.0.2, message IKE_DECODE REÇU (msgid=0) avec charges utiles : HDR + KE (4) + NONCE (10) + VENDEUR (13) + VENDEUR (13) + VENDEUR (13) + NAT-D (130) + NAT-D (130) + AUCUNE (0) longueur totale : 284 |
MM3 reçu de l'initiateur. |
|||
|
[DEBUG IKEv1] : IP = 10.0.0.2, traitement de la charge utile clé |
Processus MM3.
À partir des charges utiles NAT-D, le répondeur est en mesure de déterminer si le L'initiateur est derrière NAT et si le répondeur est derrière NAT.
À partir du DH KE, le répondeur de charge utile obtient les valeurs p, g et A. |
|||
|
[DEBUG IKEv1] : IP = 10.0.0.2, calcul du hachage de découverte NAT |
Construisez MM4.
Ce processus estinclut charge utile de découverte NAT, DH Rle répondeur génère « B » et « s » (renvoie « B » à l'initiateur), et VID DPD. |
|||
|
[IKEv1] : IP = 10.0.0.2, Connexion échouée sur tunnel_group 10.0.0.2 |
L'homologue est associé au groupe de tunnels L2L 10.0.0.2, et les clés de chiffrement et de hachage sont générées à partir des « s » ci-dessus et de la clé pré-partagée. |
|||
|
[IKEv1] : IP = 10.0.0.2, message IKE_DECODE ENVOI (msgid=0) avec charges utiles : HDR + KE (4) + NONCE (10) + VENDEUR (13) + FOURNISSEUR (13) + FOURNISSEUR (13) + FOURNISSEUR (13) + NAT-D (130) + NAT-D (130) + AUCUNE (0) longueur totale : 304 |
Envoyez MM4. |
|||
|
<========================================================================================================================================================================================================================================================= |
|
|||
MM4 reçu du répondeur. |
[IKEv1] : IP = 10.0.0.2, message IKE_DECODE REÇU (msgid=0) avec charges utiles : HDR + KE (4) + NONCE (10) + VENDEUR (13) + FOURNISSEUR (13) + FOURNISSEUR (13) + FOURNISSEUR (13) + NAT-D (20) + NAT-D (20) + AUCUNE (0) longueur totale : 304
|
|
|||
Processus MM4.
À partir des charges utiles NAT-D, l'initiateur est désormais en mesure de déterminer si L'initiateur est derrière NAT et si le répondeur est derrière NAT.
|
[DEBUG IKEv1] : IP = 10.0.0.2, traitement comme charge utile |
|
|||
L'homologue est associé au groupe de tunnels L2L 10.0.0.2, et l'initiateur génère des clés de chiffrement et de hachage en utilisant « s » ci-dessus et la clé pré-partagée.
|
[IKEv1] : IP = 10.0.0.2, Connexion échouée sur tunnel_group 10.0.0.2 [DEBUG IKEv1] : Groupe = 10.0.0.2, IP = 10.0.0.2, Génération de clés pour l'initiateur... |
|
|||
Construisez MM5.
Configuration associée : crypto isakmp identity auto |
[DEBUG IKEv1] : Groupe = 10.0.0.2, IP = 10.0.0.2, construction de la charge utile d'ID |
|
|||
Envoyer MM5. |
[IKEv1] : IP = 10.0.0.2, message IKE_DECODE ENVOI (msgid=0) avec charges utiles : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) + VENDEUR (13) + AUCUNE (0) longueur totale : 96 |
|
|||
|
===================================================================>===================>===========>=======================>=================>==================>=========================>==================>==========================>================= |
|
|||
Le répondeur n'est derrière aucune NAT. Aucune NAT-T requise. |
[IKEv1] : Groupe = 10.0.0.2, IP = 10.0.0.2, État de détection NAT automatique : L'extrémité distante n'est PAS derrière un périphérique NAT Cette extrémité n'est PAS derrière un périphérique NAT |
[IKEv1] : IP = 10.0.0.2, message IKE_DECODE REÇU (msgid=0) avec charges utiles : HDR + ID (5) + HASH (8) + AUCUNE (0) longueur totale : 64 |
MM5 reçu de l'initiateur.
Ce processus estcomprend remote peer identity (ID) et cAtterrissage de la connexion sur un groupe de tunnels particulier. |
||
|
[DEBUG IKEv1] : Groupe = 10.0.0.2, IP = 10.0.0.2, charge utile de l'ID de traitement [IKEv1] : IP = 10.0.0.2, Connexion échouée sur tunnel_group 10.0.0.2 |
Processus MM5.
L'authentification avec les clés pré-partagées commence maintenant. L'authentification se produit sur les deux homologues ; par conséquent, vous verrez deux jeux de processus d'authentification correspondants.
Configuration associée : |
|||
|
État de la détection : L'extrémité distante n'est PAS derrière un périphérique NAT Cette extrémité n'est PAS derrière un périphérique NAT |
Non NAT-T requis dans ce cas. |
|||
|
[DEBUG IKEv1] : Groupe = 10.0.0.2, IP = 10.0.0.2, construction de la charge utile d'ID |
Construisez MM6.
Envoyer l'identité inclut les heures de démarrage de la clé et l'identité envoyée à l'homologue distant. |
|||
|
[IKEv1] : IP = 10.0.0.2, message IKE_DECODE ENVOI (msgid=0) avec charges utiles : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) + VENDEUR (13) + AUCUNE (0) longueur totale : 96 |
Envoyez MM6. |
|||
|
<========================================================================================================================================================================================================================================================= |
|
|||
MM6 reçu du répondeur. |
[IKEv1] : IP = 10.0.0.2, message IKE_DECODE REÇU (msgid=0) avec charges utiles : HDR + ID (5) + HASH (8) + AUCUNE (0) longueur totale : 64 |
[IKEv1] : Groupe = 10.0.0.2, IP = 10.0.0.2, PHASE 1 TERMINÉE |
Phase 1 terminée.
Démarrez le minuteur isakmp rekey.
Configuration associée : |
||
Processus MM6.
Ce processus estcomprend ridentité distante envoyée par peer et fdécision finale concernant le groupe de tunnels à choisir. |
[DEBUG IKEv1] : Groupe = 10.0.0.2, IP = 10.0.0.2, charge utile de l'ID de traitement |
|
|||
Phase 1 terminée.
Démarrez le minuteur ISAKMP Rekey.
Connexe cconfiguration : tunnel group 10.0.0.2 type ipsec-l2l groupe de tunnels 10.0.0.2 ipsec-attributs cisco à clé prépartagée |
[IKEv1] : Groupe = 10.0.0.2, IP = 10.0.0.2, PHASE 1 TERMINÉE |
|
|||
La phase 2 (mode rapide) commence. |
IPSEC : Nouvelle SA embryonnaire créée @ 0x53FC3C00, |
||||
Construisez QM1.
Ce processus comprend : ID proxy et IPsec politiques.
Configuration associée : access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 |
[DEBUG IKEv1] : Groupe = 10.0.0.2, IP = 10.0.0.2, IKE a obtenu SPI du moteur de clé : SPI = 0xfd2d851f [DÉCODE IKEv1] : Groupe = 10.0.0.2, IP = 10.0.0.2, initiateur IKE envoyant le contact initial |
|
|||
Envoyer QM1. |
[IKEv1] : IP = 10.0.0.2, message IKE_DECODE ENVOI (msgid=7b80c2b0) avec charges utiles : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NOTIFY (11) + NONE (0) longueur totale : 200 |
|
|||
|
===============================QM1==============================> |
|
|||
|
[DÉCODE IKEv1] : IP = 10.0.0.2, IKE Responder démarrant QM : msg id = 52481cf5 [IKEv1] : IP = 10.0.0.2, message IKE_DECODE REÇU (msgid=52481cf5) avec charges utiles : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + AUCUNE (0) longueur totale : 172 |
QM1 reçu de l'initiateur.
Le répondeur démarre la phase 2 (QM). |
|||
[DEBUG IKEv1] : Groupe = 10.0.0.2, IP = 10.0.0.2, traitement de la charge utile de hachage |
Traiter QM1.
Ce processus compare les serveurs proxy distants aux serveurs locaux et sélectionne une adresse IP acceptablesec politique.
Configuration associée : crypto ipsec transformation-set TRANSFORM esp-aes esp-sha-hmac access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 crypto map MAP 10 match address VPN |
||||
|
[DÉCODE IKEv1] : Groupe = 10.0.0.2, IP = 10.0.0.2, ID_IPV4_ADDR_SUBNET ID reçu—192.168.2.0—255.255.255.0[IKEv1] : Groupe = 10.0.0.2, IP = 10.0.0.2, Données de sous-réseau du proxy IP distant reçues dans ID Payload : Adresse 192.168.2.0, Masque 255.255.255.0, Protocole 1, Port 0 [DEBUG IKEv1] : Groupe = 10.0.0.2, IP = 10.0.0.2, charge utile de l'ID de traitement |
Les sous-réseaux distants et locaux (192.168.2.0/24 et 192.168.1.0/24) sont reçus. |
|||
|
[IKEv1] : Groupe = 10.0.0.2, IP = 10.0.0.2, QM IsRekeyed old sa introuvable par addr |
Une entrée de chiffrement statique correspondante est recherchée et trouvée. |
|||
|
[IKEv1] : Groupe = 10.0.0.2, IP = 10.0.0.2, IKE : demande SPI |
Construisez QM2.
Ce processus estcomprend cConfirmation des identités proxy, du type de tunnel et d'une vérifie les listes de contrôle d'accès crypto mises en miroir. |
|||
|
[IKEv1] : IP = 10.0.0.2, message IKE_DECODE ENVOI (msgid=52481cf5) avec charges utiles : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + AUCUNE (0) longueur totale : 172 |
Envoyez QM2. |
|||
|
<================================================================================================== |
|
|||
QM2 reçu du répondeur. |
[IKEv1] : IP = 10.0.0.2, message IKE_DECODE REÇU (msgid=7b80c2b0) avec charges utiles : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NOTIFY (11) + NONE (0) longueur totale : 200 |
|
|||
Traiter QM2.
Dans ce processus, remote end envoie les paramètres et les durées de vie de phase 2 les plus courtes sont choisies. |
[DEBUG IKEv1] : Groupe = 10.0.0.2, IP = 10.0.0.2, traitement de la charge utile de hachage |
|
|||
La carte de chiffrement « MAP » et l'entrée 10 correspondant ont été trouvées et comparées à la liste d'accès « VPN ». |
[DEBUG IKEv1] : Groupe = 10.0.0.2, IP = 10.0.0.2, règle de cryptage NP recherche la crypto map MAP 10 correspondant à ACL VPN : retourné cs_id=53f11198 ; règle=53f11a90 |
|
|||
L'appliance a généré les SPI 0xfd2d851f et 0xdde50931pour le trafic entrant et sortant, respectivement. |
[DEBUG IKEv1] : Groupe = 10.0.0.2, IP = 10.0.0.2, Génération de la clé de mode rapide ! |
|
|||
Construisez QM3.
Confirmer tous les SPI créés pour l'homologue distant. |
IPSEC : Mise à jour IBSA de l'hôte terminée, SPI 0xFD2D851F |
|
|||
Envoyez QM3. |
[DÉCODE IKEv1] : Groupe = 10.0.0.2, IP = 10.0.0.2, IKE Initiator envoyant 3ème pkt QM : msg id = 7b80c2b0 |
|
|||
|
=============================QM3=================================> |
|
|||
Phase 2 terminée.
L'initiateur est maintenant prêt à chiffrer et déchiffrer les paquets à l'aide de ces valeurs SPI. |
[IKEv1] : IP = 10.0.0.2, message IKE_DECODE ENVOI (msgid=7b80c2b0) avec charges utiles : HDR + HASH (8) + AUCUN (0) longueur totale : 76 |
[IKEv1] : IP = 10.0.0.2, message IKE_DECODE REÇU (msgid=52481cf5) avec charges utiles : HDR + HASH (8) + AUCUNE (0) longueur totale : 52 |
QM3 reçu de l'initiateur. |
||
|
[DEBUG IKEv1] : Groupe = 10.0.0.2, IP = 10.0.0.2, traitement de la charge utile de hachage |
Traiter QM3.
Les clés de chiffrement sont générées pour les SA de données.
Au cours de ce processus, Les SPI sont définis pour transmettre le trafic. |
|||
|
[IKEv1] : Groupe = 10.0.0.2, IP = 10.0.0.2, négociation de sécurité terminée pour le groupe LAN-LAN (10.0.0.2) Répondeur, SPI entrant = 0x1698cac7, SPI sortant = 0xdb680406 IPSEC : Mise à jour IBSA de l'hôte terminée, SPI 0x1698CAC7 |
Les SPI sont affectés aux SA de données. |
|||
|
[DEBUG IKEv1] : Groupe = 10.0.0.2, IP = 10.0.0.2, Démarrage du minuteur de clé P2 : 3060 secondes. |
Démarrer les heures de retouche IPsec. |
|||
|
[IKEv1] : Groupe = 10.0.0.2, IP = 10.0.0.2, PHASE 2 TERMINÉE (msgid =52481cf5) |
Phase 2 terminée. Le répondeur et l'initiateur sont capables de chiffrer/déchiffrer le trafic. |
Vérification du tunnel
Note: Puisque le protocole ICMP est utilisé pour déclencher le tunnel, une seule SA IPSec est activée. Protocole 1 = ICMP.
show crypto ipsec sa
interface: outside
Crypto map tag: MAP, seq num: 10, local addr: 10.0.0.1
access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/1/0)
remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/1/0)
current_peer: 10.0.0.2
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 10.0.0.1/0, remote crypto endpt.: 10.0.0.2/0
path mtu 1500, ipsec overhead 74, media mtu 1500
current outbound spi: DB680406
current inbound spi : 1698CAC7
inbound esp sas:
spi: 0x1698CAC7(379112135)[an error occurred while processing this directive]
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 16384, crypto-map: MAP
sa timing: remaining key lifetime (kB/sec): (3914999/3326)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x0000001F
outbound esp sas:
spi: 0xDB680406 (3681027078)
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 16384, crypto-map: MAP
sa timing: remaining key lifetime (kB/sec): (3914999/3326)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001show crypto isakmp sa
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 10.0.0.2
Type :L2LRole :responder
Rekey : no State :MM_ACTIVE[an error occurred while processing this directive]