원격 액세스 VPN 문제 해결을 위한 ASA IKEv2 디버그

다운로드 옵션

  • PDF     (400.0 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (101.4 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (118.7 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2013년 10월 9일
문서 ID:116158

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 Cisco AnyConnect Secure Mobility Client에서 IKEv2(Internet Key Exchange Version 2)를 사용하는 경우 Cisco ASA(Adaptive Security Appliance)의 디버그를 이해하는 방법에 대해 설명합니다. 이 문서에서는 ASA 컨피그레이션의 특정 디버그 라인을 변환하는 방법에 대한 정보도 제공합니다.

이 문서에서는 VPN 터널이 ASA에 설정된 후 트래픽을 전달하는 방법에 대해 설명하지 않으며 IPSec 또는 IKE의 기본 개념도 포함하지 않습니다.

사전 요구 사항

요구 사항

Cisco에서는 IKEv2의 패킷 교환에 대해 알고 있는 것이 좋습니다. 자세한 내용은 IKEv2 패킷 교환 및 프로토콜 수준 디버깅을 참조하십시오.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

  • IKEv2(Internet Key Exchange Version 2)
  • Cisco ASA(Adaptive Security Appliance) 버전 8.4 이상

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

핵심 문제

Cisco TAC(Technical Assistance Center)에서는 IPSec VPN 터널 설정에 문제가 있는 위치를 파악하기 위해 종종 IKE 및 IPSec debug 명령을 사용하지만, 이 명령은 암호적일 수 있습니다.

시나리오

디버그 명령

debug crypto ikev2 protocol 127
debug crypto ikev2 platform 127
debug aggregate-auth xml 5

ASA 컨피그레이션

이 ASA 컨피그레이션은 외부 서버를 사용하지 않는 매우 기본적인 구성입니다.

interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 10.0.0.1 255.255.255.0

ip local pool webvpn1 10.2.2.1-10.2.2.10

crypto ipsec ikev2 ipsec-proposal 3des
 protocol esp encryption aes-256 aes 3des des
 protocol esp integrity sha-1
crypto dynamic-map dynmap 1000 set ikev2 ipsec-proposal 3des
crypto map crymap 10000 ipsec-isakmp dynamic dynmap
crypto map crymap interface outside

crypto ca trustpoint Anu-ikev2
 enrollment self
 crl configure

crypto ikev2 policy 10
 encryption aes-192
 integrity sha
 group 2
 prf sha
 lifetime seconds 86400

crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint Anu-ikev2
ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1
ssl trust-point Anu-ikev2 outside

webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-3.0.1047-k9.pkg 1
 anyconnect profiles Anyconnect-ikev2 disk0:/anyconnect-ikev2.xml
 anyconnect enable
 tunnel-group-list enable

group-policy ASA-IKEV2 internal
group-policy ASA-IKEV2 attributes
 wins-server none
 dns-server none
 vpn-tunnel-protocol ikev2 
 default-domain none
 webvpn
  anyconnect modules value dart
  anyconnect profiles value Anyconnect-ikev2 type user

username Anu password lAuoFgF7KmB3D0WI encrypted privilege 15

tunnel-group ASA-IKEV2 type remote-access
tunnel-group ASA-IKEV2 general-attributes
 address-pool webvpn1
 default-group-policy ASA-IKEV2
tunnel-group ASA-IKEV2 webvpn-attributes
 group-alias ASA-IKEV2 enable

XML 파일

<ServerList>
        <HostEntry>
                <HostName>Anu-IKEV2</HostName>
                <HostAddress>10.0.0.1</HostAddress>
                <UserGroup>ASA-IKEV2</UserGroup>
                <PrimaryProtocol>IPsec</PrimaryProtocol>
        </HostEntry>
</ServerList>

참고: XML 클라이언트 프로파일의 UserGroup 이름은 ASA의 터널 그룹 이름과 같아야 합니다. 그렇지 않으면 'Invalid Host Entry(유효하지 않은 호스트 항목)' 오류 메시지가 표시됩니다. Please re-enter'는 AnyConnect 클라이언트에 표시됩니다.

디버그 로그 및 설명

참고: DART(Diagnostics and Reporting Tool)의 로그는 일반적으로 매우 수다스럽기 때문에 이 예에서는 유의하지 않기 때문에 특정 DART 로그가 생략되었습니다.

서버 메시지 설명

디버그

클라이언트 메시지 설명
 

날짜: 2013년 4월 23일
시간 : 16:24:55
유형: 정보
출처: acvpnui

설명: 함수: ClientIfcBase::connect
파일: .\ClientIfcBase.cpp
회선: 964
사용자가 Anu-IKEV2에 대한 VPN 연결을 요청했습니다.

****************************************
날짜: 2013년 4월 23일
시간 : 16:24:55
유형: 정보
출처: acvpnui

설명 : 사용자에게 보낸 메시지 유형 정보:
Anu-IKEV2에 연결하는 중입니다.
****************************************
날짜: 2013년 4월 23일
시간 : 16:24:55
유형: 정보
출처: acvpnui

설명: 함수: ApiCert::getCertList
파일: .\ApiCert.cpp
회선: 259
찾은 인증서 수: 0
****************************************
날짜: 2013년 4월 23일
시간: 16:25:00
유형: 정보
출처: acvpnui

설명: 보안 게이트웨이에 대한 VPN 연결 시작 https://10.0.0.1/ASA-IKEV2
****************************************
날짜: 2013년 4월 23일
시간: 16:25:00
유형: 정보
소스: acvpnagent

설명: GUI 클라이언트에서 시작된 터널입니다.

****************************************

날짜: 2013년 4월 23일
시간 : 16:25:02
유형: 정보
소스: acvpnagent

설명: 함수: CIPsecProtocol::connectTransport
파일: .\IPsecProtocol.cpp
회선: 1629
192.168.1.1:25170에서 10.0.0.1:500으로 IKE 소켓 열림
****************************************

 클라이언트가 ASA에 대한 VPN 터널을 시작합니다.
  ---------------------------------IKE_SA_INIT Exchange 시작------------------------------  

ASA는 클라이언트로부터 IKE_SA_INIT 메시지를 수신합니다.

IKEv2-PLAT-4: RECV PKT [IKE_SA_INIT] [192.168.1.1]:25170->[10.0.1]:500 InitSPI=0x58aff71141ba436b RespSPI=0x0000000000000000 MID=00000000

IKEv2-PROTO-3: Rx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id: 0x0

  

첫 번째 메시지 쌍은 IKE_SA_INIT 교환입니다. 이러한 메시지는 암호화 알고리즘을 협상하고 논스를 교환하며 DH(Diffie-Hellman) 교환을 수행합니다.

클라이언트에서 받은 IKE_SA_INIT 메시지에는 다음 필드가 포함되어 있습니다.

  1. ISAKMP 헤더 - SPI/버전/플래그
  2. SAi1 - IKE 개시자가 지원하는 암호화 알고리즘
  3. KEi - 개시자의 DH 공개 키 값입니다.
  4. N - 이니시에이터 Nonce
 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: 0000000000000000]
IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: 0000000000000000
IKEv2-PROTO-4: 다음 페이로드: SA, 버전: 2.0
IKEv2-PROTO-4: Exchange 유형: IKE_SA_INIT, 플래그: INITIATOR
IKEv2-PROTO-4: 메시지 ID: 0x0, 길이: 528

 SA 다음 페이로드: KE, 예약: 0x0, 길이: 168
IKEv2-PROTO-4: 마지막 제안: 0x0, 예약: 0x0, 길이: 164
  제안: 1, 프로토콜 ID: IKE, SPI 크기: 0, #trans: 18
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 12
    유형: 1, 예약: 0x0, ID: AES-CBC
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 12
    유형: 1, 예약: 0x0, ID: AES-CBC
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 12
    유형: 1, 예약: 0x0, ID: AES-CBC
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 8
    유형: 1, 예약됨: 0x0, id: 3DES
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 8
    유형: 1, 예약됨: 0x0, id: DES
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 8
    유형: 2, 예약됨: 0x0, id: SHA512
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 8
    유형: 2, 예약됨: 0x0, id: SHA384
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 8
    유형: 2, 예약됨: 0x0, id: SHA256
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 8
    유형: 2, 예약됨: 0x0, id: SHA1
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 8
    유형: 2, 예약됨: 0x0, id: MD5
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 8
    유형: 3, 예약됨: 0x0, id: SHA512
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 8
    유형: 3, 예약됨: 0x0, id: SHA384
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 8
    유형: 3, 예약됨: 0x0, id: SHA256
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 8
    유형: 3, 예약됨: 0x0, id: SHA96
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 8
    유형: 3, 예약됨: 0x0, id: MD596
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 8
    유형: 4, 예약됨: 0x0, id: DH_GROUP_1536_MODP/Group 5
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 8
    유형: 4, 예약됨: 0x0, id: DH_GROUP_1024_MODP/Group 2
IKEv2-PROTO-4: 마지막 변환: 0x0, 예약됨: 0x0: 길이: 8
    유형: 4, 예약됨: 0x0, id: DH_GROUP_768_MODP/Group 1

 KE 다음 페이로드: N, 예약: 0x0, 길이: 104
    DH 그룹: 1, 예약됨: 0x0

     eb 5e 29 fe cb 2e d1 28 ed 4a 54 b1 13 7c b8 89
     f7 62 13 6b df 95 88 28 b5 97 ba 52 ef e4 1d 28
     ca 06 d1 36 b6 67 32 9a c2 dd 4e d8 c7 80 de 20
     36 34 c5 b3 3e 1d 83 1a c7 fb 9d b8 c5 f5 ed 5f
     ba 4f b6 b2 e2 2d 43 4f a0 b6 90 9a 11 3f 7d
     0a 21 c3 4d3 0a d2 1e 33 43 d3 5e cc 4b 38 e0
 N 다음 페이로드: VID, 예약됨: 0x0, 길이: 24

     20 12 8f 22 7b 16 23 52 e4 29 4d 98 c7 fd a8 77
     ce 7c 0b b4
IKEv2-PROTO-5: 공급업체별 구문 분석 페이로드: CISCO-DELETE-REASON VID 다음 페이로드: VID, 예약됨: 0x0, 길이: 23		  

ASA는
IKE_INIT 메시지. ASA:

  1. 암호화 도구 모음 선택
    제안할 수 있습니다
  2. 자체 DH 비밀 키를 계산합니다.
  3. 에서 SKEYID 값을 계산합니다
    모든 키를
    이 IKE_SA입니다. 모든 헤더
    후속 메시지는 다음과 같습니다
    암호화되고 인증되었습니다. 이
    암호화 및
    무결성 보호 파생됨
    SKEYID에서 다음을 수행합니다.

    1. SK_e - 암호화
    2. SK_a - 인증.
    3. SK_d - 파생 및 사용
      추가 파생을 위하여
      키 관련 자료
      자식_SA
    별도의 SK_e와 SK_a가 있습니다.
    각 방향에 대해 계산됩니다.

관련 구성:

crypto ikev2 policy 10
 encryption aes-192 integrity 
 sha group 2  prf sha lifetime 
 seconds 86400
crypto ikev2 enable outside
 해독된 패킷:데이터: 528바이트
IKEv2-PLAT-3: 사용자 지정 VID 페이로드 처리
IKEv2-PLAT-3: 피어에서 받은 Cisco 저작권 VID
IKEv2-PLAT-3: 피어에서 수신한 AnyConnect EAP VID
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE 이벤트: EV_RECV_INIT
IKEv2-PROTO-3: (6): NAT 검색 확인
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE 이벤트: EV_CHK_REDIRECT
IKEv2-PROTO-5: (6): 리디렉션 확인이 필요하지 않으므로 건너뜁니다.
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE 이벤트: EV_CHK_CAC
IKEv2-PLAT-5: 새 ikev2 sa 요청이 승인됨
IKEv2-PLAT-5: 들어오는 협상 sa 수를 1씩 증가
IKEv2-PLAT-5: 잘못된 PSH 핸들
IKEv2-PLAT-5: 잘못된 PSH 핸들
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE 이벤트: EV_CHK_COOKIE
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE 이벤트: EV_CHK4_COOKIE_NOTIFY
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT 이벤트: EV_VERIFY_MSG
IKEv2-PROTO-3: (6): SA 초기화 메시지 확인
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT 이벤트: EV_INSERT_SA
IKEv2-PROTO-3: (6): SA 삽입
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT 이벤트: EV_GET_IKE_POLICY
IKEv2-PROTO-3: (6): 구성된 정책 가져오기
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT 이벤트: EV_PROC_MSG
IKEv2-PROTO-2: (6): 초기 메시지 처리 중
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT 이벤트: EV_DETECT_NAT
IKEv2-PROTO-3: (6): NAT 검색 알림 처리
IKEv2-PROTO-5: (6): nat 처리 시 src 알림 감지
IKEv2-PROTO-5: (6): 원격 주소가 일치하지 않습니다.
IKEv2-PROTO-5: (6): nat 처리 중 dst notify 탐지
IKEv2-PROTO-5: (6): 일치하는 로컬 주소
IKEv2-PROTO-5: (6): 호스트가 NAT 외부에 있음
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT 이벤트: EV_CHK_CONFIG_MODE
IKEv2-PROTO-3: (6): 올바른 구성 모드 데이터를 받았습니다.
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT 이벤트: EV_SET_RECD_CONFIG_MODE
IKEv2-PROTO-3: (6): 수신된 컨피그레이션 모드 데이터를 설정합니다.
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT 이벤트: EV_SET_POLICY
IKEv2-PROTO-3: (6): 구성된 정책 설정
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT 이벤트: EV_CHK_AUTH4PKI
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT 이벤트: EV_PKI_SESH_OPEN
IKEv2-PROTO-3: (6): PKI 세션 열기
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT 이벤트: EV_GEN_DH_KEY
IKEv2-PROTO-3: (6): DH 공개 키 컴퓨팅
IKEv2-PROTO-3: (6):
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT 이벤트: EV_NO_EVENT
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT 이벤트: EV_OK_RECD_DH_PUBKEY_RESP
IKEv2-PROTO-5: (6): 작업: Action_Null
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT 이벤트: EV_GEN_DH_SECRET
IKEv2-PROTO-3: (6): DH 비밀 키 컴퓨팅
IKEv2-PROTO-3: (6):
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT 이벤트: EV_NO_EVENT
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT 이벤트: EV_OK_RECD_DH_SECRET_RESP
IKEv2-PROTO-5: (6): 작업: Action_Null
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT 이벤트: EV_GEN_SKEYID
IKEv2-PROTO-3: (6): skeyid를 생성합니다.
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT 이벤트: EV_GET_CONFIG_MODE		  

ASA는 IKE_SA_INIT 교환을 위한 응답 메시지를 구성합니다.

이 패킷에는 다음이 포함됩니다.

  1. ISAKMP 헤더 - SPI/버전/플래그
  2. SAr1 - IKE 응답자가 선택하는 암호화 알고리즘
  3. KEr - 응답자의 DH 공개 키 값입니다.
  4. N - Responder Nonce
 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT 이벤트: EV_BLD_MSG
IKEv2-PROTO-2: (6): 초기 메시지 전송
IKEv2-PROTO-3: IKE 제안: 1, SPI 크기: 0(초기 협상),
변형 수: 4
   AES-CBC SHA1 SHA96 DH_GROUP_768_MODP/Group 1
IKEv2-PROTO-5: 공급업체별 페이로드 구성: DELETE-REASONIKEv2-PROTO-5: 공급업체별 페이로드 구성: (CUSTOM)IKEv2-PROTO-5: 공급업체별 페이로드 구성: (CUSTOM)IKEv2-PROTO-5: 알림 페이로드 구성: NAT_DETECTION_SOURCE_IPIKEv2-PROTO-5: 알림 페이로드 구성: NAT_DETECTION_DESTINATION_IPIKEv2-PLAT-2: 신뢰할 수 있는 발급자 해시를 검색하지 못했거나 사용할 수 없음
IKEv2-PROTO-5: 공급업체별 페이로드 구성: FRAGMENTATIONIKEv2-PROTO-3: Tx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id: 0x0
IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F]
IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F
IKEv2-PROTO-4: 다음 페이로드: SA, 버전: 2.0
IKEv2-PROTO-4: Exchange 유형: IKE_SA_INIT, 플래그: RESPONDER MSG-RESPONSE
IKEv2-PROTO-4: 메시지 ID: 0x0, 길이: 386
 SA 다음 페이로드: KE, 예약: 0x0, 길이: 48
IKEv2-PROTO-4: 마지막 제안: 0x0, 예약: 0x0, 길이: 44
  제안: 1, 프로토콜 ID: IKE, SPI 크기: 0, #trans: 4
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 12
    유형: 1, 예약: 0x0, ID: AES-CBC
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 8
    유형: 2, 예약됨: 0x0, id: SHA1
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 8
    유형: 3, 예약됨: 0x0, id: SHA96
IKEv2-PROTO-4: 마지막 변환: 0x0, 예약됨: 0x0: 길이: 8
    유형: 4, 예약됨: 0x0, id: DH_GROUP_768_MODP/Group 1

 KE 다음 페이로드: N, 예약: 0x0, 길이: 104
    DH 그룹: 1, 예약됨: 0x0

     c9 30 f9 32 d4 7c d1 a7 5b 71 72 09 6e 7e 91 0c
     e1 ce b4 a4 3c f2 8b 74 4e 20 59 b4 0b a1 ff 65
     37 88 cc c4 a4 b6 fa 4a 63 03 93 89 e1 7e bd 6a
     64 9a 38 24 e2 a8 40 f5 a3 d6 ef f7 1a df 33 cc
     a1 8e fa dc 9c 34 45 79 1a 7c 29 05 87 8a ac 02
     98 2e 7d cb 41 51 d6 fe fc c7 76 83 1d 03 b0 d7
 N 다음 페이로드: VID, 예약됨: 0x0, 길이: 24

     c2 28 7f 8c 7d b3 1e 51 fc eb f1 97 ec 97 b8 67
     d5 e7 c2 f5
 VID 다음 페이로드: VID, 예약됨: 0x0, 길이: 23		  
ASA는 IKE_SA_INIT 교환에 대한 응답 메시지를 전송합니다. 이제 IKE_SA_INIT 교환이 완료되었습니다. ASA가 인증 프로세스에 대한 타이머를 시작합니다.  IKEv2-PLAT-4: PKT [IKE_SA_INIT] [10.0.0.1]:500->[192.168.1.1]:25170 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000000
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DONE 이벤트: EV_DONE
IKEv2-PROTO-3: (6): 단편화가 활성화됨
IKEv2-PROTO-3: (6): Cisco DeleteReason Notify가 활성화됩니다
IKEv2-PROTO-3: (6): SA init exchange 완료
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DONE 이벤트: EV_CHK4_ROLE
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DONE 이벤트: EV_START_TMR
IKEv2-PROTO-3: (6): 인증 메시지 대기 타이머 시작(30초)
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_WAIT_AUTH 이벤트: EV_NO_EVENT    

 ****************************************
날짜: 2013년 4월 23일
시간 : 16:25:02
유형: 정보
소스: acvpnagent

설명: 기능: CIPsecProtocol::initiateTunnel
파일: .\IPsecProtocol.cpp
회선: 345
IPsec 터널이 시작 중입니다.
****************************************

클라이언트는 IPSec 터널을 'initiating'으로 표시합니다.
   -----------------------------------IKE_SA_INIT 완료---------------------------------  
  -------------------------------------_AUTH가 시작됩니다-------------------------------------  
  ****************************************
날짜: 2013년 4월 23일
시간: 16:25:00
유형: 정보
소스: acvpnagent

설명: 보안 게이트웨이 매개변수:
 IP 주소: 10.0.0.1
 포트: 443
 URL: "10.0.0.1"
 인증 방법: IKE - EAP-AnyConnect
 IKE ID:
****************************************
날짜: 2013년 4월 23일
시간: 16:25:00
유형: 정보
소스: acvpnagent

설명: Cisco AnyConnect Secure Mobility Client 연결 시작, 버전 3.0.1047
****************************************

날짜: 2013년 4월 23일
시간 : 16:25:02
유형: 정보
소스: acvpnagent

설명: 함수: ikev2_log
파일: .\ikev2_anyconnect_osal.cpp
회선: 2730
IPsec 터널 설정 요청을 받았습니다. 로컬 트래픽 선택기 = 주소 범위: 0.0.0.0-255.255.255.255 프로토콜: 0 포트 범위: 0-65535, 원격 트래픽 선택기 = 주소 범위: 0.0.0.0-255.255.255.255 프로토콜: 0 포트 범위: 0-65535
****************************************
날짜: 2013년 4월 23일
시간 : 16:25:02
유형: 정보
소스: acvpnagent

설명: 함수: CIPsecProtocol::connectTransport
파일: .\IPsecProtocol.cpp
회선: 1629
192.168.1.1:25171에서 10.0.0.1:4500으로 IKE 소켓 열림
****************************************

 클라이언트는 확장 가능한 인증을 사용하려는 의도를 나타내기 위해 메시지 3에서 AUTH 페이로드를 생략합니다. EAP(Extensible Authentication Protocol) 인증이 클라이언트 프로파일에서 지정되거나 암시되고 프로파일에 <IKEIdentity> 요소가 없는 경우 클라이언트는 고정 문자열 *$AnyConnectClient$*와 함께 ID_GROUP 유형 IDi 페이로드를 보냅니다. 클라이언트는 포트 4500에서 ASA에 대한 연결을 시작합니다.

인증은 EAP로 수행됩니다. EAP 대화 내에서 단일 EAP 인증 방법만 허용됩니다. ASA는 클라이언트로부터 IKE_AUTH 메시지를 수신합니다.

IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001

IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x1

  

클라이언트가 IDi 페이로드를 포함하는 경우
그러나 AUTH 페이로드는 아닙니다. 이는
클라이언트가 ID를 선언했지만
검증되지 않았습니다. 디버그에서 AUTH
페이로드가 IKE_AUTH에 없습니다.
클라이언트에서 보낸 패킷입니다. 클라이언트
인증 페이로드를 전송하는 다음
EAP 교환에 성공했습니다. ASA가
확장 가능한
인증 방법, EAP를 배치합니다
메시지 4의 페이로드 및 전송 지연
SAr2, TSi 및 TSr에서 Initiator까지
인증은
후속 IKE_AUTH 교환

IKE_AUTH 개시자 패킷에는 다음이 포함됩니다.

  1. ISAKMP 헤더 -
    SPI/버전/플래그
  2. IDi - 다음에 대한 터널 그룹 이름
    클라이언트가
    ID를 통해 제공될 수 있습니다.
    ID_KEY_ID 유형의 페이로드
    의 초기 메시지
    IKE_AUTH 교환 이
    클라이언트 프로파일*이
    그룹 이름으로 미리 구성됨
    또는 이전에 성공한 후
    인증, 클라이언트는
    의 그룹 이름을 캐시했습니다.
    기본 설정 파일. ASA
    터널 그룹 일치 시도
    ike의 내용으로 이름 지정
    IDi 페이로드. 처음 이후
    성공한 IPSec VPN은
    설정된 경우 클라이언트는
    그룹 이름(그룹 별칭)
    사용자가 인증되었습니다. 이 그룹
    이름이 IDi로 전달됩니다.
    다음 연결의 페이로드
    Cisco에서 제공하는
    에 의해 요구되는 가능성군
    사용자. EAP 인증이
    클라이언트가 지정 또는 암시함
    프로필이
    <IKEIdentity> 포함
    요소가 있으면 클라이언트는
    ID_GROUP 유형 IDi 페이로드
    고정 문자열로
    *$AnyConnectClient$*.
  3. CERTREQ - 클라이언트는
    ASA에
    선호 인증서. 인증서
    요청 페이로드가 포함될 수 있음
    Cisco의 ISE 솔루션을
    의 인증서를 가져와야 함
    수신기. 인증서 요청
    페이로드 처리
    '인증서 인코딩' 검사
    필드를 사용하여
    프로세서에
    이 유형의 인증서. 그렇다면
    '인증 기관' 필드는
    다음을 확인하기 위해 검사됨
    프로세서에 인증서가 있습니다.
    최대 100개의
    지정된 인증
    권한을 부여합니다. 이는 Cisco의
    인증서입니다.
  4. CFG - CFG_REQUEST/
    CFG_REPLY는 IKE를 허용합니다
    정보를 요청할 엔드포인트
    있습니다. 의 속성이
    CFG_REQUEST 구성
    페이로드는 길이가 0이 아닙니다.
    그것을 위한 제안으로 받아들여졌다
    특성.CFG_REPLY
    컨피그레이션 페이로드가 반환될 수 있음
    새로운 가치 또는 새로운 가치 그럴 수도 있다
    새 특성을 추가하고
    몇 가지 요청된 항목을 포함합니다.
    요청자가 무시했습니다.
    없는 특성
    알아보십시오. 이러한 디버그에서는
    클라이언트가 터널을 요청하고 있습니다.
    구성
    CFG_REQUEST. ASA
    이에 응답하고 터널을 전송합니다.
    컨피그레이션 특성
    eap 교환에 성공했습니다.
  5. SAi2 - SAi2는 SA를 시작하고
    이는 2단계와 유사합니다
    ikev1의 변환 세트 교환
  6. TSiTSr - Initiator 및
    responder 트래픽 선택기
    각각 소스 포함
    및 대상 주소
    Initiator 및 responder를 사용하여
    암호화 전송 및 수신
    트래픽. 주소 범위
    모든 트래픽이 들어오고 나가도록 지정합니다
    그 범위는 터널링됩니다. 이
    제안서는
    응답자는 동일한 TS를
    다시 로드합니다.

클라이언트가 전달해야 하는 특성
그룹 인증은
AnyConnect 프로파일 파일

*관련 프로필 구성:

<ServerList>
<HostEntry>
  <HostName>Anu-IKEV2
  </HostName>
  <HostAddress>10.0.0.1
  </HostAddress>
  
         
         
           ASA-IKEV2 
          
 
         
<PrimaryProtocol>IPsec
</PrimaryProtocol>
</HostEntry>
</ServerList>
 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F]
IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F
IKEv2-PROTO-4: 다음 페이로드: ENCR, 버전: 2.0
IKEv2-PROTO-4: Exchange 유형: IKE_AUTH, 플래그: INITIATOR
IKEv2-PROTO-4: 메시지 ID: 0x1, 길이: 540
IKEv2-PROTO-5: (6): 요청에 mess_id 1이 있습니다. 1~1이 필요합니다.
실제 암호 해독된 패킷:데이터: 465바이트
IKEv2-PROTO-5: 공급업체 특정 페이로드 구문 분석: (사용자 지정) VID 다음 페이로드: IDi, 예약됨: 0x0, 길이: 20

     58 af f6 11 52 8d b0 2c b8 da 30 46 be 91 56 fa
 IDi 다음 페이로드: CERTREQ, 예약됨: 0x0, 길이: 28
    ID 유형: 그룹 이름, 예약됨: 0x0 0x0

     2a 24 41 6e 79 43 6f 6e 65 63 74 43 6c 69 65
     6e 74 24 2a
 CERTREQ 다음 페이로드: CFG, 예약됨: 0x0, 길이: 25
    인증서 인코딩 X.509 인증서 - 서명
CertReq 데이터&콜론, 20바이트
 CFG 다음 페이로드: SA, 예약됨: 0x0, 길이: 196
    cfg 유형: CFG_REQUEST, 예약됨: 0x0, 예약됨: 0x0

   특성 유형: 내부 IP4 주소, 길이: 0

   특성 유형: 내부 IP4 넷마스크, 길이: 0

   특성 유형: 내부 IP4 DNS, 길이: 0

   특성 유형: 내부 IP4 NBNS, 길이: 0

   특성 유형: 내부 주소 만료, 길이: 0

   특성 유형: 애플리케이션 버전, 길이: 27

     41 6e 79 43 6f 6e 65 63 74 20 57 69 6e 64 6f
     77 73 20 33 2e 30 2e 31 30 34 37
   특성 유형: 내부 IP6 주소, 길이: 0

   특성 유형: 내부 IP4 서브넷, 길이: 0

   특성 유형: 알 수 없음 - 28682, 길이: 15

     77 69 6e 78 70 36 34 74 65 6d 70 6c 61 74 65
   특성 유형: 알 수 없음 - 28704, 길이: 0

   특성 유형: 알 수 없음 - 28705, 길이: 0

   특성 유형: 알 수 없음 - 28706, 길이: 0

   특성 유형: 알 수 없음 - 28707, 길이: 0

   특성 유형: 알 수 없음 - 28708, 길이: 0

   특성 유형: 알 수 없음 - 28709, 길이: 0

   특성 유형: 알 수 없음 - 28710, 길이: 0

   특성 유형: 알 수 없음 - 28672, 길이: 0

   특성 유형: 알 수 없음 - 28684, 길이: 0

   특성 유형: 알 수 없음 - 28711, 길이: 2

     05 7e
   특성 유형: 알 수 없음 - 28674, 길이: 0

   특성 유형: 알 수 없음 - 28712, 길이: 0

   특성 유형: 알 수 없음 - 28675, 길이: 0

   특성 유형: 알 수 없음 - 28679, 길이: 0

   특성 유형: 알 수 없음 - 28683, 길이: 0

   특성 유형: 알 수 없음 - 28717, 길이: 0

   특성 유형: 알 수 없음 - 28718, 길이: 0

   특성 유형: 알 수 없음 - 28719, 길이: 0

   특성 유형: 알 수 없음 - 28720, 길이: 0

   특성 유형: 알 수 없음 - 28721, 길이: 0

   특성 유형: 알 수 없음 - 28722, 길이: 0

   특성 유형: 알 수 없음 - 28723, 길이: 0

   특성 유형: 알 수 없음 - 28724, 길이: 0

   특성 유형: 알 수 없음 - 28725, 길이: 0

   특성 유형: 알 수 없음 - 28726, 길이: 0

   특성 유형: 알 수 없음 - 28727, 길이: 0

   특성 유형: 알 수 없음 - 28729, 길이: 0

 SA 다음 페이로드: TSi, 예약됨: 0x0, 길이: 124
IKEv2-PROTO-4: 마지막 제안: 0x0, 예약: 0x0, 길이: 120
  제안: 1, 프로토콜 ID: ESP, SPI 크기: 4, #trans: 12
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 12
    유형: 1, 예약: 0x0, ID: AES-CBC
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 12
    유형: 1, 예약: 0x0, ID: AES-CBC
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 12
    유형: 1, 예약: 0x0, ID: AES-CBC
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 8
    유형: 1, 예약됨: 0x0, id: 3DES
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 8
    유형: 1, 예약됨: 0x0, id: DES
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 8
    유형: 1, 예약됨: 0x0, ID: NULL
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 8
    유형: 3, 예약됨: 0x0, id: SHA512
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 8
    유형: 3, 예약됨: 0x0, id: SHA384
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 8
    유형: 3, 예약됨: 0x0, id: SHA256
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 8
    유형: 3, 예약됨: 0x0, id: SHA96
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 8
    유형: 3, 예약됨: 0x0, id: MD596
IKEv2-PROTO-4: 마지막 변환: 0x0, 예약됨: 0x0: 길이: 8
    유형: 5, 예약됨: 0x0, id:

 TSi Next 페이로드: TSr, 예약됨: 0x0, 길이: 24
    TS 수: 1, reserved 0x0, reserved 0x0
    TS 유형: TS_IPV4_ADDR_RANGE, 프로토콜 ID: 0, 길이: 16
    시작 포트: 0, 종료 포트: 65535
    시작 주소: 0.0.0.0, 끝 주소: 255.255.255.255
 TSr 다음 페이로드: NOTIFY, 예약됨: 0x0, 길이: 24
    TS 수: 1, reserved 0x0, reserved 0x0
    TS 유형: TS_IPV4_ADDR_RANGE, 프로토콜 ID: 0, 길이: 16
    시작 포트: 0, 종료 포트: 65535
    시작 주소: 0.0.0.0, 끝 주소: 255.255.255.255		  

ASA는 IKE_AUTH 메시지에 대한 응답을 생성하고 클라이언트에 대한 인증을 준비합니다.

해독된 패킷:데이터&콜론; 540바이트
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH 이벤트: EV_RECV_AUTH
IKEv2-PROTO-3: (6): 인증 메시지를 기다리는 타이머를 중지하는 중입니다.
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH 이벤트: EV_CHK_NAT_T
IKEv2-PROTO-3: (6): NAT 검색 확인
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH 이벤트: EV_CHG_NAT_T_PORT
IKEv2-PROTO-2: (6): NAT가 init 포트 25171, resp 포트 4500으로의 플로트를 감지했습니다.
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH 이벤트: EV_PROC_ID
IKEv2-PROTO-2: (6): 프로세스 ID에서 유효한 매개 변수를 받았습니다.
IKEv2-PLAT-3: (6) 피어 인증 방법이 다음으로 설정됨: 0
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH 이벤트: EV_CHK_IF_PEER_CERT_NEEDS_TO_BE_FETCHED_FOR_PROF_SEL
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH 이벤트: EV_GET_POLICY_BY_PEERID
IKEv2-PROTO-3: (6): 구성된 정책 가져오기
IKEv2-PLAT-3: ID 페이로드를 기반으로 탐지된 새 AnyConnect 클라이언트 연결
IKEv2-PLAT-3: my_auth_method = 1
IKEv2-PLAT-3: (6) 피어 인증 방법이 256으로 설정되었습니다.
IKEv2-PLAT-3: supported_peers_auth_method = 16
IKEv2-PLAT-3: (6) tp_name이(가) Anu-ikev2로 설정됨
IKEv2-PLAT-3: 신뢰 지점을 다음으로 설정: Anu-ikev2
IKEv2-PLAT-3: P1 ID = 0
IKEv2-PLAT-3: IKE_ID_AUTO를 = 9로 변환
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH 이벤트: EV_SET_POLICY
IKEv2-PROTO-3: (6): 구성된 정책 설정
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH 이벤트: EV_VERIFY_POLICY_BY_PEERID
IKEv2-PROTO-3: (6): 피어의 정책을 확인합니다.
IKEv2-PROTO-3: (6): 일치하는 인증서를 찾았습니다.
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH 이벤트: EV_CHK_CONFIG_MODE
IKEv2-PROTO-3: (6): 올바른 구성 모드 데이터를 받았습니다.
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH 이벤트: EV_SET_RECD_CONFIG_MODE
IKEv2-PLAT-3: (6) DDNS의 DHCP 호스트 이름이 winxp64template으로 설정되었습니다.
IKEv2-PROTO-3: (6): 수신된 컨피그레이션 모드 데이터를 설정합니다.
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH 이벤트: EV_CHK_AUTH4EAP
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH 이벤트: EV_CHK_EAP
IKEv2-PROTO-3: (6): EAP 교환 확인
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTH 이벤트: EV_GEN_AUTH
IKEv2-PROTO-3: (6): 내 인증 데이터 생성
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTH 이벤트: EV_CHK4_SIGN
IKEv2-PROTO-3: (6): 인증 방법 가져오기
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTH 이벤트: EV_SIGN
IKEv2-PROTO-3: (6): 인증 데이터 서명
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTH 이벤트: EV_OK_AUTH_GEN
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ 이벤트: EV_AUTHEN_REQ
IKEv2-PROTO-2: (6): 인증자에게 EAP 요청을 보내도록 요청

요소 이름 config-auth 값 생성됨
요소 config-auth에 특성 이름 client value vpn을 추가했습니다.
요소 config-auth에 특성 이름 유형 값 hello를 추가했습니다.
요소 이름 버전 값 9.0(2)8이 생성되었습니다.
요소 config-auth에 요소 이름 버전 값 9.0(2)8이 추가되었습니다.
요소 버전에 sg의 값을 지정하는 속성 이름 추가
아래에 생성된 XML 메시지
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="hello">
<version who="sg">9.0(2)8</version>
</config-auth>

IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ 이벤트: EV_RECV_EAP_AUTH
IKEv2-PROTO-5: (6): 작업: Action_Null
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ 이벤트: EV_CHK_REDIRECT
IKEv2-PROTO-3: (6): 로드 밸런싱을 위해 플랫폼으로 리디렉션 확인
IKEv2-PLAT-3: 플랫폼에서 리디렉션 확인
IKEv2-PLAT-3: ikev2_osal_redirect: 10.0.0.1에서 세션 수락
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ 이벤트: EV_SEND_EAP_AUTH_REQ
IKEv2-PROTO-2: (6): EAP 요청 전송
IKEv2-PROTO-5: 공급업체별 페이로드 구성: CISCO-GRANITIKEv2-PROTO-3: (6): 빌드

  

ASA는 클라이언트에서 사용자 자격 증명을 요청하기 위해 AUTH 페이로드를 전송합니다. ASA는 AUTH 방법을 'RSA'로 전송하므로 클라이언트가 ASA 서버를 인증할 수 있도록 자체 인증서를 클라이언트로 전송합니다.

ASA는 확장 가능한 인증 방법을 사용할 의향이 있으므로 메시지 4에 EAP 페이로드를 배치하고 이후 IKE_AUTH 교환에서 개시자 인증이 완료될 때까지 SAr2, TSi 및 TSr 전송을 지연합니다. 따라서 이러한 세 페이로드는 디버그에 존재하지 않습니다.

EAP 패킷에는 다음이 포함됩니다.

  1. 코드: request - 인증자가 피어로 보내는 코드입니다.
  2. id: 1 - id는 EAP 응답과 요청을 매칭하는 데 도움이 됩니다. 여기서 값은 1이며, 이는 EAP 교환의 첫 번째 패킷임을 나타냅니다. 이 EAP 요청은 'hello;'의 'config-auth' 유형이 있으며, EAP 교환을 시작하기 위해 ASA에서 클라이언트로 전송됩니다.
  3. Length(길이): 150 - EAP 패킷의 길이에는 코드, ID, 길이 및 EAP 데이터가 포함됩니다.
  4. EAP 데이터.
  IDr. 다음 페이로드: CERT, reserved: 0x0, length: 36
    ID 유형: DER ASN1 DN, 예약됨: 0x0 0x0

     30 1a 31 18 30 16 06 09 2a 86 48 86 f7 0d 01 09
     02 16 09 41 53 41 2d 49 4b 45 56 32
 CERT Next payload: CERT, reserved: 0x0, length: 436
    인증서 인코딩 X.509 인증서 - 서명
인증서 데이터(&Colon), 431바이트
 인증서 다음 페이로드: AUTH, reserved: 0x0, length: 436
    인증서 인코딩 X.509 인증서 - 서명
인증서 데이터(&Colon), 431바이트
 AUTH 다음 페이로드: EAP, 예약: 0x0, 길이: 136
    인증 방법 RSA, 예약됨: 0x0, 예약됨 0x0
인증 데이터(&Colon), 128바이트
 EAP 다음 페이로드: 없음, 예약됨: 0x0, 길이: 154
    코드: 요청: ID: 1, 길이: 150
    유형: 알 수 없음 - 254
EAP 데이터: 145바이트

IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x1
IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F]
IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F
IKEv2-PROTO-4: 다음 페이로드: ENCR, 버전: 2.0
IKEv2-PROTO-4: 교환 유형: IKE_AUTH, 플래그: RESPONDER MSG-RESPONSE
IKEv2-PROTO-4: 메시지 ID: 0x1, 길이: 1292
 ENCR 다음 페이로드: VID, 예약됨: 0x0, 길이: 1264
암호화된 데이터(&Colon), 1260바이트		  

인증서가 크거나 인증서 체인이 포함된 경우 단편화가 발생할 수 있습니다. 개시자 및 응답자 KE 페이로드 모두 큰 키를 포함할 수 있으며, 이는 프래그먼트화에도 기여할 수 있습니다.

 IKEv2-PROTO-5: (6): 프래그먼트화 패킷, 프래그먼트 MTU: 544, 프래그먼트 수: 3, 프래그먼트 ID: 1
IKEv2-PLAT-4: PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001
IKEv2-PLAT-4: PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001
IKEv2-PLAT-4: PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001		  
 

****************************************
날짜: 2013년 4월 23일
시간 : 16:25:02
유형: 정보
소스: acvpnagent

설명 : 기능 : ikev2_verify_X509_SIG_certs
파일: .\ikev2_anyconnect_osal.cpp
회선: 2077
사용자로부터 인증서 승인 요청
****************************************
날짜: 2013년 4월 23일
시간 : 16:25:02
유형: 오류
출처: acvpnui

설명: 함수: CCapiCertificate::verifyChainPolicy
파일: .\Certificates\CapiCertificate.cpp
회선: 2032
호출된 함수: CertVerifyCertificateChainPolicy
반환 코드: -2146762487 (0x800B0109)
설명: 인증서 체인이 처리되었지만 트러스트 공급자가 신뢰하지 않는 루트 인증서에서 종료되었습니다.
****************************************
날짜: 2013년 4월 23일
시간 : 16:25:04
유형: 정보
소스: acvpnagent

설명 : 기능 : CEAPMgr::dataRequestCB
파일: .\EAPMgr.cpp
회선: 400
EAP 제안 유형: EAP-ANYCONNECT
****************************************

 ASA에서 전송한 인증서가 사용자에게 표시됩니다. 인증서를 신뢰할 수 없습니다. EAP 유형은 EAP-ANYCONNECT입니다.

클라이언트는 응답으로 EAP 요청에 응답합니다.

EAP 패킷에는 다음이 포함됩니다.

  1. 코드: 응답 - 이 코드는 EAP 요청에 대한 응답으로 피어가 인증자에게 보냅니다.
  2. id: 1 - EAP 응답과 요청을 매칭하는 데 도움이 되는 id입니다. 이 값은 1입니다. 이는 ASA(인증자)가 이전에 보낸 요청에 대한 응답임을 나타냅니다. 이 EAP 응답의 'config-auth' 유형은 'init'입니다. 클라이언트가 EAP 교환을 초기화하고 ASA에서 인증 요청을 생성하도록 대기 중입니다.
  3. 길이: 252 - EAP 패킷의 길이에는 코드, ID, 길이 및 EAP 데이터가 포함됩니다.
  4. EAP 데이터.

ASA는 이 응답을 해독하며, 클라이언트는 이전 패킷(인증서 포함)에서 AUTH 페이로드를 받았으며 ASA에서 첫 번째 EAP 요청 패킷을 받았다고 말합니다. 'init' EAP 응답 패킷에 포함된 내용입니다.

IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000002
IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x2
IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F]
IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F
IKEv2-PROTO-4: 다음 페이로드: ENCR, 버전: 2.0
IKEv2-PROTO-4: Exchange 유형: IKE_AUTH, 플래그: INITIATOR
IKEv2-PROTO-4: 메시지 ID: 0x2, 길이: 332
IKEv2-PROTO-5: (6): 요청에 mess_id 2가 있습니다. 2~2가 필요합니다.
실제 암호 해독된 패킷:데이터: 256바이트
 EAP 다음 페이로드: 없음, 예약됨: 0x0, 길이: 256
    코드: 응답: ID: 1, 길이: 252
    유형: 알 수 없음 - 254
EAP 데이터:247바이트

해독된 패킷:데이터&콜론; 332바이트
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_WAIT_EAP_RESP 이벤트: EV_RECV_AUTH
IKEv2-PROTO-3: (6): 인증 메시지를 기다리는 타이머를 중지하는 중입니다.
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_WAIT_EAP_RESP 이벤트: EV_RECV_EAP_RESP

IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_PROC_EAP_RESP 이벤트: EV_PROC_MSG
IKEv2-PROTO-2: (6): EAP 응답 처리

클라이언트로부터 아래 XML 메시지를 받았습니다.
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="init">
<device-id>win</device-id>
<version who="vpn">3.0.1047</version>
<group-select>ASA-IKEV2</group-select>
<group-access>ASA-IKEV2</group-access>
</config-auth>
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_PROC_EAP_RESP 이벤트: EV_RECV_EAP_AUTH

IKEv2-PROTO-5: (6): 작업: Action_Null
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_BLD_EAP_REQ 이벤트: EV_RECV_EAP_REQ

  

ASA에서 클라이언트로 보낸 두 번째 요청입니다.

EAP 패킷에는 다음이 포함됩니다.

  1. 코드: request - 인증자가 피어로 보내는 코드입니다.
  2. id: 2 - id는 EAP 응답과 요청을 매칭하는 데 도움이 됩니다. 여기서 값은 2이며, 이는 거래소에서 두 번째 패킷임을 나타냅니다. 이 요청에는 'config-auth' 유형의 'auth-request'가 있습니다. ASA는 클라이언트가 사용자 인증 자격 증명을 보내도록 요청하고 있습니다.
  3. Length(길이): 457 - EAP 패킷의 길이에는 코드, ID, 길이 및 EAP 데이터가 포함됩니다.
  4. EAP 데이터.

ENCR 페이로드:

이 페이로드는 암호 해독되고 해당 내용은 추가 페이로드로 구문 분석됩니다.

IKEv2-PROTO-2: (6): EAP 요청 전송

아래에 생성된 XML 메시지
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="auth-request">
<version who="sg">9.0(2)8</version>
<opaque is-for="sg">
<tunnel-group>ASA-IKEV2</tunnel-group>
<config-hash>1367268141499</config-hash>
</opaque>
<csport>443</csport>
<auth id="main">
<양식>
<input type="text" name="username" label="사용자 이름:"></input>
<input type="password" name="password" label="Password:"></input>
</form>
</auth>
</config-auth>
IKEv2-PROTO-3: (6): 암호화를 위한 패킷 구축. 내용은 다음과 같습니다.
 EAP 다음 페이로드: 없음, 예약됨: 0x0, 길이: 461
    코드: 요청: id: 2, 길이: 457
    유형: 알 수 없음 - 254
EAP 데이터: 452바이트

IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x2
IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F]
IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F
IKEv2-PROTO-4: 다음 페이로드: ENCR, 버전: 2.0
IKEv2-PROTO-4: 교환 유형: IKE_AUTH, 플래그: RESPONDER MSG-RESPONSE
IKEv2-PROTO-4: 메시지 ID: 0x2, 길이: 524
 ENCR 다음 페이로드: EAP, 예약됨: 0x0, 길이: 496
암호화된 데이터(&Colon), 492바이트

IKEv2-PLAT-4: PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000002
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_BLD_EAP_REQ 이벤트: EV_START_TMR
IKEv2-PROTO-3: (6): 사용자 인증 메시지 대기 타이머 시작(120초)
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_WAIT_EAP_RESP 이벤트: EV_NO_EVENT   

 ****************************************
날짜: 2013년 4월 23일
시간 : 16:25:04
유형: 정보
출처: acvpnui

설명: 함수:
SDIMgr::ProcessPromptData
파일: .\SDIMgr.cpp
회선: 281
인증 유형이 SDI가 아닙니다.
****************************************
날짜: 2013년 4월 23일
시간 : 16:25:07
유형: 정보
출처: acvpnui

설명: 함수: ConnectMgr::userResponse
파일: .\ConnectMgr.cpp
회선: 985
사용자 응답을 처리하는 중입니다.
****************************************

클라이언트는 사용자 인증을 요청하고 다음 패킷('auth-reply')에서 EAP 응답으로 ASA에 전송합니다.

클라이언트는 EAP 페이로드와 함께 다른 IKE_AUTH 개시자 메시지를 보냅니다.

EAP 패킷에는 다음이 포함됩니다.

  1. 코드: 응답 - 이 코드는 EAP 요청에 대한 응답으로 피어가 인증자에게 보냅니다.
  2. id: 2 - id는 EAP 응답과 요청을 매칭하는 데 도움이 됩니다. 여기서 값은 2입니다. 이는 ASA(인증자)가 이전에 보낸 요청에 대한 응답임을 나타냅니다.
  3. 길이: 420 - EAP 패킷의 길이에는 코드, ID, 길이 및 EAP 데이터가 포함됩니다.
  4. EAP 데이터.
  IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x3
IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F]
IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F
IKEv2-PROTO-4: 다음 페이로드: ENCR, 버전: 2.0
IKEv2-PROTO-4: Exchange 유형: IKE_AUTH, 플래그: INITIATOR
IKEv2-PROTO-4: 메시지 ID: 0x3, 길이: 492
IKEv2-PROTO-5: (6): 요청에 mess_id 3이 있습니다. 3~3이 필요합니다.


실제 암호 해독된 패킷:데이터: 424바이트
 EAP 다음 페이로드: 없음, 예약됨: 0x0, 길이: 424
    코드: 응답: id: 2, 길이: 420
    유형: 알 수 없음 - 254
EAP 데이터: 415바이트		  

ASA에서 이 응답을 처리합니다. 클라이언트가 사용자에게 자격 증명을 입력하도록 요청했습니다. 이 EAP 응답의 'config-auth' 유형은 'auth-reply'입니다. 이 패킷에는 사용자가 입력한 자격 증명이 포함되어 있습니다.

해독된 패킷:데이터: 492바이트
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_WAIT_EAP_RESP 이벤트: EV_RECV_AUTH
IKEv2-PROTO-3: (6): 인증 메시지를 기다리는 타이머를 중지하는 중입니다.
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_WAIT_EAP_RESP 이벤트: EV_RECV_EAP_RESP
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_PROC_EAP_RESP 이벤트: EV_PROC_MSG
IKEv2-PROTO-2: (6): EAP 응답 처리

클라이언트로부터 아래 XML 메시지를 받았습니다.
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="auth-reply">
<device-id>win</device-id>
<version who="vpn">3.0.1047</version>
<세션 토큰></session 토큰>
<session-id></session-id>
<opaque is-for="sg">
<tunnel-group>ASA-IKEV2</tunnel-group>
<config-hash>1367268141499</config-hash></opaque>
<인증>
<password>cisco123</password>
<username>Anu</username></auth>
</config-auth>
IKEv2-PLAT-1: EAP:사용자 인증 시작
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_PROC_EAP_RESP 이벤트: EV_NO_EVENT
IKEv2-PLAT-5: EAP:AAA 콜백에서
검색된 서버 인증서 다이제스트: DACE1C274785F28BA11D64453096BAE294A3172E
IKEv2-PLAT-5: EAP:AAA 콜백 성공
IKEv2-PROTO-3: 인증자로부터 응답을 받았습니다.
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_PROC_EAP_RESP 이벤트: EV_RECV_EAP_AUTH
IKEv2-PROTO-5: (6): 작업: Action_Null

  

ASA는 Exchange에서 세 번째 EAP 요청을 작성합니다.

EAP 패킷에는 다음이 포함됩니다.

  1. 코드: request - 인증자가 피어로 보내는 코드입니다.
  2. id: 3 - id는 EAP 응답과 요청을 매칭하는 데 도움이 됩니다. 여기서 값은 3이며, 이는 거래소에서 세 번째 패킷임을 나타냅니다. 이 패킷의 'config-auth' 유형은 'complete'입니다. ASA에서 응답을 받았으며 EAP 교환이 완료되었습니다.
  3. Length(길이): 4235 - EAP 패킷의 길이에는 코드, ID, 길이 및 EAP 데이터가 포함됩니다.
  4. EAP 데이터.

ENCR 페이로드:

이 페이로드는 암호 해독되고 해당 내용은 추가 페이로드로 구문 분석됩니다.

IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_BLD_EAP_REQ 이벤트: EV_RECV_EAP_REQ
IKEv2-PROTO-2: (6): EAP 요청 전송

아래에 생성된 XML 메시지
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="complete">
<version who="sg">9.0(2)8</version>
<session-id>32768</session-id>
<session-token>18wA0TtGmDxPKPQCJywC7fB7EWLCEgz-ZtjYpAyXx2yJH0H3G3H8t5xpBOx3Ixag</session-token>
<auth id= " 성공 ">
<message id="0" param1=" param2=""></message>
</auth>


IKEv2-PROTO-3: (6): 암호화를 위한 패킷 구축. 내용은 다음과 같습니다.
 EAP 다음 페이로드: 없음, 예약됨: 0x0, 길이: 4239
    코드: 요청: id: 3, 길이: 4235
    유형: 알 수 없음 - 254
EAP 데이터: 4230바이트

IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x3
IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F]
IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F
IKEv2-PROTO-4: 다음 페이로드: ENCR, 버전: 2.0
IKEv2-PROTO-4: 교환 유형: IKE_AUTH, 플래그: RESPONDER MSG-RESPONSE
IKEv2-PROTO-4: 메시지 ID: 0x3, 길이: 4300
 ENCR 다음 페이로드: EAP, 예약됨: 0x0, 길이: 4272
암호화된 데이터&콜론;4268바이트

IKEv2-PROTO-5: (6): 프래그먼트화 패킷, 프래그먼트 MTU: 544, 프래그먼트 수: 9, 프래그먼트 ID: 2
IKEv2-PLAT-4: PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4: PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4: PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4: PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4: PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4: PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4: PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4: PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PLAT-4: PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_BLD_EAP_REQ 이벤트: EV_START_TMR
IKEv2-PROTO-3: (6): 사용자 인증 메시지 대기 타이머 시작(120초)
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_WAIT_EAP_RESP 이벤트: EV_NO_EVENT

  
  ****************************************
날짜: 2013년 4월 23일
시간 : 16:25:07
유형: 정보
소스: acvpnagent

설명 : 현재 프로파일: Anyconnect-ikev2.xml
수신된 VPN 세션 구성 설정:
 설치 유지: 사용
 프록시 설정: 수정하지 않음
 프록시 서버: 없음
 프록시 PAC URL: 없음
 프록시 예외: 없음
 프록시 잠금: 사용
 스플릿 제외: 로컬 LAN 액세스 기본 설정이 비활성화됨
 포함 분할: 사용 안 함
 스플릿 DNS: 사용 안 함
 로컬 LAN 와일드카드: 로컬 LAN 액세스 기본 설정이 비활성화됨
 방화벽 규칙: 없음
 클라이언트 주소: 10.2.2.1
 클라이언트 마스크: 255.0.0.0
 클라이언트 IPv6 주소: 알 수 없음
 클라이언트 IPv6 마스크: 알 수 없음
 MTU: 1406
 IKE Keep Alive: 20초
 IKE DPD: 30초
 세션 시간 초과: 0초
 연결 끊기 시간 초과: 1800초
 유휴 시간 제한: 1800초
 서버: 알 수 없음
 MUS 호스트: 알 수 없음
 DAP 사용자 메시지: 없음
 쿼런틴 상태: 사용 안 함
 Always On VPN: 비활성화되지 않음
 리스 기간: 0초
 기본 도메인: 알 수 없음
 홈 페이지: 알 수 없음
 스마트 카드 제거 연결 끊기: 사용
 라이센스 응답: 알 수 없음
****************************************		 ASA는 'complete' 메시지의 VPN 컨피그레이션 설정을 클라이언트로 전송하고 VPN 풀에서 클라이언트에 IP 주소를 할당합니다.

클라이언트는 EAP 페이로드와 함께 개시자 패킷을 전송합니다.

EAP 패킷에는 다음이 포함됩니다.

  1. 코드: 응답 - 이 코드는 EAP 요청에 대한 응답으로 피어가 인증자에게 보냅니다.
  2. id: 3 - id는 EAP 응답과 요청을 매칭하는 데 도움이 됩니다. 여기서 값은 3입니다. 이는 ASA(인증자)가 이전에 보낸 요청에 대한 응답임을 나타냅니다. 이제 ASA는 'config-auth' 유형이 'ack'인 클라이언트에서 응답 패킷을 수신합니다. 이 응답은 이전에 ASA에서 전송한 EAP 'complete' 메시지를 승인합니다.
  3. Length(길이): 173 - EAP 패킷의 길이에는 코드, ID, 길이 및 EAP 데이터가 포함됩니다.
  4. EAP 데이터.
  IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000004
IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x4
IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F]
IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F
IKEv2-PROTO-4: 다음 페이로드: ENCR, 버전: 2.0
IKEv2-PROTO-4: Exchange 유형: IKE_AUTH, 플래그: INITIATOR
IKEv2-PROTO-4: 메시지 ID: 0x4, 길이: 252
IKEv2-PROTO-5: (6): 요청에 mess_id 4가 있습니다. 4~4가 필요합니다.


REAL Decrypted 패킷:데이터: 177바이트
 EAP 다음 페이로드: 없음, 예약됨: 0x0, 길이: 177
    코드: 응답: id: 3, 길이: 173
    유형: 알 수 없음 - 254
EAP 데이터: 168바이트		  

ASA는 이 패킷을 처리합니다. 이
EAP 교환에 성공했습니다. ASA
터널 그룹 전송 준비
다음 패킷의 컨피그레이션,
이(가) 이전에 클라이언트에서
idi 페이로드입니다. ASA는
클라이언트에서 보낸 응답 패킷입니다.
'config-auth' 유형이 'ack'입니다. 이
응답에서 EAP를 승인합니다.
에서 보낸 '완료' 메시지
ASA를 사용했습니다.

관련 구성:

tunnel-group ASA-IKEV2 
 type remote-access
tunnel-group ASA-IKEV2 
 general-attributes
 address-pool webvpn1
 authorization-server-group 
 LOCAL default-group-policy 
  ASA-IKEV2
tunnel-group ASA-IKEV2
 webvpn-attributes
 group-alias ASA-IKEV2 
 enable

이제 EAP 교환에 성공했습니다.

EAP 패킷에는 다음이 포함됩니다.

  1. 코드: 성공 - 이 코드는
    인증자가 로 보냄
    EAP 완료 후 피어
    인증 방법. 이
    피어에
    에 성공적으로 인증됨
    인증자.
  2. id: 3 - ID는
    요청에 대한 EAP 응답
    여기서 값은 3이고,
    이는 Cisco가
    이전에 보낸 요청
    ASA(인증자). 세 번째 세트
    Exchange의 패킷 수는
    EAP 교환에 성공했습니다.
    성공했습니다.
  3. 길이: 4 - EAP의 길이
    패킷에는 코드, id,
    길이 및 EAP 데이터.
  4. EAP 데이터.

해독된 패킷:데이터:252바이트
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_WAIT_EAP_RESP 이벤트: EV_RECV_AUTH
IKEv2-PROTO-3: (6): 인증 메시지를 기다리는 타이머를 중지하는 중입니다.
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_WAIT_EAP_RESP 이벤트: EV_RECV_EAP_RESP
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_PROC_EAP_RESP 이벤트: EV_PROC_MSG
IKEv2-PROTO-2: (6): EAP 응답 처리

클라이언트로부터 아래 XML 메시지를 받았습니다.
<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="ack">
<device-id>win</device-id>
<version who="vpn">3.0.1047</version>
</config-auth>

IKEv2-PLAT-3: (6) aggrAuthHdl을 0x2000으로 설정
IKEv2-PLAT-3: (6) tg_name이 ASA-IKEV2로 설정되었습니다.
IKEv2-PLAT-3: (6) tunn grp type이 RA로 설정됨
IKEv2-PLAT-1: EAP:인증 성공
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_PROC_EAP_RESP 이벤트: EV_RECV_EAP_SUCCESS
IKEv2-PROTO-2: (6): EAP 상태 메시지 전송
IKEv2-PROTO-3: (6): 암호화를 위한 패킷 구축. 내용은 다음과 같습니다.
 EAP 다음 페이로드: 없음, 예약됨: 0x0, 길이: 8
    코드: 성공: id: 3, 길이: 4

IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x4
IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F]
IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F
IKEv2-PROTO-4: 다음 페이로드: ENCR, 버전: 2.0
IKEv2-PROTO-4: 교환 유형: IKE_AUTH, 플래그: RESPONDER MSG-RESPONSE
IKEv2-PROTO-4: 메시지 ID: 0x4, 길이: 76
 ENCR 다음 페이로드: EAP, 예약: 0x0, 길이: 48
암호화된 데이터&콜론;44바이트

IKEv2-PLAT-4: PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000004

IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_PROC_EAP_RESP 이벤트: EV_START_TMR
IKEv2-PROTO-3: (6): 인증 메시지 대기 타이머 시작(30초)
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_WAIT_EAP_AUTH_VERIFY 이벤트: EV_NO_EVENT

  
EAP 교환이 성공적이므로 클라이언트는 AUTH 페이로드와 함께 IKE_AUTH 개시자 패킷을 전송합니다. AUTH 페이로드는 공유 암호 키에서 생성됩니다.  IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x5
IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F]
IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F
IKEv2-PROTO-4: 다음 페이로드: ENCR, 버전: 2.0
IKEv2-PROTO-4: Exchange 유형: IKE_AUTH, 플래그: INITIATOR
IKEv2-PROTO-4: 메시지 ID: 0x5, 길이: 92
IKEv2-PROTO-5: (6): 요청에 mess_id 5가 있습니다. 5~5가 필요합니다.


REAL Decrypted 패킷:데이터:28바이트
 AUTH Next payload: NONE, reserved: 0x0, length: 28
    인증 방법 PSK, 예약됨: 0x0, 예약됨 0x0
인증 데이터: 20바이트		  

EAP 인증이 지정된 경우 또는
클라이언트 프로파일 및
프로필에
<IKEIdentity> 요소, 클라이언트가
ID_GROUP 유형 IDi 페이로드
고정 문자열 *$AnyConnectClient$*.

ASA에서 이 메시지를 처리합니다.

관련 구성:

crypto dynamic-map dynmap 1000 
 set ikev2 ipsec-proposal 3des
crypto map crymap 10000 
 ipsec-isakmp dynamic dynmap
crypto map crymap interface 
 outside

해독된 패킷:데이터: 92바이트
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_WAIT_EAP_AUTH_VERIFY 이벤트: EV_RECV_AUTH
IKEv2-PROTO-3: (6): 인증 메시지를 기다리는 타이머를 중지하는 중입니다.
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH 이벤트: EV_GET_EAP_KEY
IKEv2-PROTO-2: (6): EAP 교환 후 피어를 확인하기 위해 인증 전송
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH 이벤트: EV_VERIFY_AUTH
IKEv2-PROTO-3: (6): 인증 데이터 확인
IKEv2-PROTO-3: (6): ID *$AnyConnectClient$*에 사전 공유 키 사용, 키 길이 20
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH 이벤트: EV_GET_CONFIG_MODE
IKEv2-PLAT-3: 컨피그레이션 모드 응답이 대기열에 있음
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH 이벤트: EV_NO_EVENT
IKEv2-PLAT-3: PSH: client=AnyConnect client-version=3.0.1047 client-os=Windows client-os-version=
IKEv2-PLAT-3: 컨피그레이션 모드 응답 완료
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH 이벤트: EV_OK_GET_CONFIG
IKEv2-PROTO-3: (6): 전송할 컨피그레이션 모드 데이터가 있습니다.
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH 이벤트: EV_CHK4_IC
IKEv2-PROTO-3: (6): 초기 연결 처리 중
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH 이벤트: EV_CHK_REDIRECT
IKEv2-PROTO-5: (6): 이 세션에 대해 리디렉션 검사가 이미 수행되었으므로 건너뜁니다.
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH 이벤트: EV_PROC_SA_TS
IKEv2-PROTO-2: (6): 인증 메시지 처리
IKEv2-PLAT-1: 암호화 맵: 동적 맵 시퀀스 1000을 매핑합니다. 할당된 IP를 사용하여 조정된 선택기
IKEv2-PLAT-3: 암호화 맵: 동적 맵 동적 맵 시퀀스 1000에서 일치
IKEv2-PLAT-3: RA 연결에 대해 PFS가 비활성화됨
IKEv2-PROTO-3: (6):
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH 이벤트: EV_NO_EVENT
IKEv2-PLAT-2: SPI 0x30B848A4에 대한 PFKEY SPI 콜백을 받았습니다. 오류 FALSE
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH 이벤트: EV_OK_RECD_IPSEC_RESP

IKEv2-PROTO-2: (6): 인증 메시지 처리

  

ASA는 SA, TSi 및 TSr 페이로드를 사용하여 IKE_AUTH 응답 메시지를 작성합니다.

IKE_AUTH 응답자 패킷에는 다음이 포함됩니다.

  1. ISAKMP 헤더 - SPI/버전/플래그
  2. AUTH payload(인증 페이로드) - 선택한 인증 방법을 사용합니다.
  3. CFG - CFG_REQUEST/ CFG_REPLY를 사용하면 IKE 엔드포인트가 피어에서 정보를 요청할 수 있습니다. CFG_REQUEST 컨피그레이션 페이로드의 속성이 제로 길이가 아닌 경우 해당 속성에 대한 제안으로 사용됩니다. CFG_REPLY 구성 페이로드는 해당 값 또는 새 값을 반환할 수 있습니다. 또한 새 특성을 추가할 수 있으며 일부 요청된 특성은 포함하지 않을 수 있습니다. 요청자가 인식하지 못하는 반환된 특성을 무시합니다. ASA는 CFG_REPLY 패킷의 터널 컨피그레이션 특성을 사용하여 클라이언트에 응답합니다.
  4. SAr2 - SAr2는 SA를 시작합니다. 이는 IKEv1의 2단계 변환 세트 교환과 유사합니다.
  5. TSiTSr - initiator 및 responder 트래픽 선택기에는 각각 암호화된 트래픽을 전달하고 수신하기 위해 initiator 및 responder의 소스 및 목적지 주소가 포함됩니다. 주소 범위는 해당 범위를 오가는 모든 트래픽이 터널링되도록 지정합니다. 제안서가 응답자에게 허용 가능한 경우 동일한 TS 페이로드를 다시 전송합니다.

ENCR 페이로드:

이 페이로드는 암호 해독되고 해당 내용은 추가 페이로드로 구문 분석됩니다.

IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH 이벤트: EV_MY_AUTH_METHOD
IKEv2-PROTO-3: (6): 내 인증 방법 가져오기
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH 이벤트: EV_GET_PRESHR_KEY
IKEv2-PROTO-3: (6): *$AnyConnectClient$*에 대한 피어의 사전 공유 키를 가져옵니다.
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH 이벤트: EV_GEN_AUTH
IKEv2-PROTO-3: (6): 내 인증 데이터 생성
IKEv2-PROTO-3: (6): id hostname=ASA-IKEV2, key len 20에 사전 공유 키 사용
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH 이벤트: EV_CHK4_SIGN
IKEv2-PROTO-3: (6): 인증 방법 가져오기
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH 이벤트: EV_OK_AUTH_GEN
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_EAP_AUTH_VERIFY 이벤트: EV_GEN_AUTH
IKEv2-PROTO-3: (6): 내 인증 데이터 생성
IKEv2-PROTO-3: (6): ID 호스트 이름=ASA-IKEV2, 키 길이 20에 사전 공유 키 사용
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_EAP_AUTH_VERIFY 이벤트: EV_SEND_AUTH
IKEv2-PROTO-2: (6): EAP 교환 후 피어를 확인하기 위해 AUTH를 보냅니다.
IKEv2-PROTO-3: ESP 제안: 1, SPI 크기: 4(IPSec 협상),
변형 수: 3
   AES-CBC SHA96   
IKEv2-PROTO-5: 알림 페이로드 구성: ESP_TFC_NO_SUPPORTIKEv2-PROTO-5: 알림 페이로드 구성: NON_FIRST_FRAGSIKEv2-PROTO-3: (6): 암호화를 위한 패킷 구축. 내용은 다음과 같습니다.
 인증 다음 페이로드: CFG, 예약됨: 0x0, 길이: 28
    인증 방법 PSK, 예약됨: 0x0, 예약됨 0x0
인증 데이터(&C), 20바이트
 CFG 다음 페이로드: SA, 예약됨: 0x0, 길이: 4196
    cfg 유형: CFG_REPLY, 예약됨: 0x0, 예약됨: 0x0

   특성 유형: 내부 IP4 주소, 길이: 4

     01 01 01 01
   특성 유형: 내부 IP4 넷마스크, 길이: 4

     00 00 00 00
   특성 유형: 내부 주소 만료, 길이: 4

     00 00 00 00
   특성 유형: 응용 프로그램 버전, 길이: 16

     41 53 41 20 31 30 30 2e 37 28 36 29 31 31 36 00
   특성 유형: 알 수 없음 - 28704, 길이: 4

     00 00 00 00
   특성 유형: 알 수 없음 - 28705, 길이: 4

     00 00 07 08
   특성 유형: 알 수 없음 - 28706, 길이: 4

     00 00 07 08
   특성 유형: 알 수 없음 - 28707, 길이: 1

     01
   특성 유형: 알 수 없음 - 28709, 길이: 4

     00 00 00 1e
   특성 유형: 알 수 없음 - 28710, 길이: 4

     00 00 00 14
   특성 유형: 알 수 없음 - 28684, 길이: 1

     01
   특성 유형: 알 수 없음 - 28711, 길이: 2

     05 7e
   특성 유형: 알 수 없음 - 28679, 길이: 1

     00
   특성 유형: 알 수 없음 - 28683, 길이: 4

     80 0b 00 01
   특성 유형: 알 수 없음 - 28725, 길이: 1

     00
   특성 유형: 알 수 없음 - 28726, 길이: 1

     00
   특성 유형: 알 수 없음 - 28727, 길이: 4056

     3c 3f 78 6d 6c 20 76 65 72 73 69 6f 6e 3d 22 31
     2e 30 22 20 65 6e 63 6f 64 69 6e 67 3d 22 55 54
     46 2d 38 22 3f 3e 3c 63 6f 6e 66 69 67 2d 61 75
     74 68 20 63 6c 69 65 6e 74 3d 22 76 70 6e 22 20
     74 79 70 65 3d 22 63 6f 6d 70 6c 65 74 65 22 3e
     3c 76 65 72 73 69 6f 6e 20 77 68 6f 3d 22 73 67
     22 3e 31 30 30 2e 37 28 36 29 31 36 3c 2f 76
     65 72 73 69 6f 6e 3e 3c 73 65 73 73 69 6f 6e 2d
     69 64 3e 38 31 39 32 3c 2f 73 65 73 73 69 6f 6e
<snip>
     72 6f 66 69 6c 65 2d 6d 61 6e 69 66 65 73 74 3e
     3c 2f 63 6f 6e 66 69 67 3e 3c 2f 63 6f 6e 66 69
     67 2d 61 75 74 68 3e 00
   특성 유형: 알 수 없음 - 28729, 길이: 1

     00
 SA 다음 페이로드: TSi, 예약됨: 0x0, 길이: 44
IKEv2-PROTO-4: 마지막 제안: 0x0, 예약: 0x0, 길이: 40
  제안: 1, 프로토콜 ID: ESP, SPI 크기: 4, #trans: 3
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 12
    유형: 1, 예약: 0x0, ID: AES-CBC
IKEv2-PROTO-4: 마지막 변환: 0x3, 예약: 0x0: 길이: 8
    유형: 3, 예약됨: 0x0, id: SHA96
IKEv2-PROTO-4: 마지막 변환: 0x0, 예약됨: 0x0: 길이: 8
    유형: 5, 예약됨: 0x0, id:

 TSi 다음 페이로드: TSr, 예약됨: 0x0, 길이: 24
    TS 수: 1, reserved 0x0, reserved 0x0
    TS 유형: TS_IPV4_ADDR_RANGE, 프로토콜 ID: 0, 길이: 16
    시작 포트: 0, 종료 포트: 65535
    시작 주소: 10.2.2.1, 끝 주소: 10.2.2.1
 TSr 다음 페이로드: NOTIFY, 예약됨: 0x0, 길이: 24
    TS 수: 1, reserved 0x0, reserved 0x0
    TS 유형: TS_IPV4_ADDR_RANGE, 프로토콜 ID: 0, 길이: 16
    시작 포트: 0, 종료 포트: 65535
    시작 주소: 0.0.0.0, 끝 주소: 255.255.255.255

IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x5
IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F]
IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F
IKEv2-PROTO-4: 다음 페이로드: ENCR, 버전: 2.0
IKEv2-PROTO-4: 교환 유형: IKE_AUTH, 플래그: RESPONDER MSG-RESPONSE
IKEv2-PROTO-4: 메시지 ID: 0x5, 길이: 4396
 ENCR 다음 페이로드: AUTH, reserved: 0x0, length: 4368
암호화된 데이터(&Colon), 4364바이트

  
ASA는 9개의 패킷으로 프래그먼트화되는 이 IKE_AUTH 응답 메시지를 전송합니다. IKE_AUTH 교환이 완료되었습니다. IKEv2-PROTO-5: (6): 프래그먼트화 패킷, 프래그먼트 MTU: 544, 프래그먼트 수: 9, 프래그먼트 ID: 3
IKEv2-PLAT-4: PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4: PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4: PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4: PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4: PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4: PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4: PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4: PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PLAT-4: PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE 이벤트: EV_OK
IKEv2-PROTO-5: (6): 작업: Action_Null
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE 이벤트: EV_PKI_SESH_CLOSE		  
  ****************************************
날짜: 2013년 4월 23일
시간 : 16:25:07
유형: 정보
소스: acvpnagent

설명: 함수: ikev2_log
파일: .\ikev2_anyconnect_osal.cpp
회선: 2730
IPsec 연결이 설정되었습니다.
****************************************
날짜: 2013년 4월 23일
시간 : 16:25:07
유형: 정보
소스: acvpnagent

설명: IPsec 세션 등록:
 암호화: AES-CBC
 PRF: SHA1
 HMAC: SHA96
 로컬 인증 방법: PSK
 원격 인증 방법: PSK
 시퀀스 ID: 0
 키 크기: 192
 DH 그룹: 1
 키 다시 입력 시간: 4294967초
 로컬 주소: 192.168.1.1
 원격 주소: 10.0.0.1
 로컬 포트: 4500
 원격 포트: 4500
 세션 ID: 1
****************************************
날짜: 2013년 4월 23일
시간 : 16:25:07
유형: 정보
출처: acvpnui

설명: 보안 게이트웨이에 구성된 프로파일은 Anyconnect-ikev2.xml입니다.
****************************************
날짜: 2013년 4월 23일
시간 : 16:25:07
유형: 정보
출처: acvpnui

설명 : 사용자에게 보낸 메시지 유형 정보:
VPN 세션을 설정하는 중...
****************************************		 클라이언트는 IPSec 연결이 설정된 것으로 보고합니다. 클라이언트는 ASA에서 사용자 프로파일도 탐지합니다.
   ----------------------------IKE_AUTH 교환 종료-----------------------------------  
 

****************************************
날짜: 2013년 4월 23일
시간 : 16:25:07
유형: 정보
출처: acvpndownloader

설명: 함수: ProfileMgr::loadProfiles
파일: ..\Api\ProfileMgr.cpp
회선: 148
로드된 프로필:
C:\Documents and Settings\All Users\Application Data\Cisco\Cisco AnyConnect Secure Mobility Client\Profile\anyconnect-ikev2.xml
****************************************
****************************************
날짜: 2013년 4월 23일
시간 : 16:25:07
유형: 정보
출처: acvpndownloader

설명: 현재 기본 설정:
ServiceDisable: false
CertificateStoreOverride: false
CertificateStore: 모두
ShowPreConnectMessage: false
자동 연결 시작: false
MinimizeOnConnect: 참
LocalLanAccess: false
자동 재연결: true
AutoReconnectBehavior: DisconnectOnSuspend
UseStartBeforeLogon: false
자동 업데이트: true
RSASecurID통합: 자동
Windows 로그온 적용: 단일 로컬 로그온
WindowsVPN설정: LocalUsersOnly
프록시 설정: 기본
로컬 프록시 연결 허용: true
PPPExclusion: 사용 안 함
PPPExclusionServerIP:
AutomaticVPNPolicy: false
TrustedNetworkPolicy: 연결 해제
신뢰할 수 없는 네트워크 정책: 연결
신뢰할 수 있는 DNSDomains:
신뢰할 수 있는 DNS 서버:
AlwaysOn: 거짓
ConnectFailurePolicy: 닫힘
AllowCaptivePortalRemediation: false
CaptivePortalRemediationTimeout: 5
ApplyLastVPNLocalResourceRules: false
AllowVPNDisconnect: true(참)
EnableScripting(스크립팅 활성화): false
TerminateScriptOnNextEvent: false
EnablePostSBLOnConnectScript: true
AutomaticCertSelection: true
RetainVpnOnLogoff: false
사용자 적용: 동일사용자만
자동 서버 선택 사용: false
AutoServerSelectionImprovement: 20
AutoServerSelectionSuspendTime: 4
AuthenticationTimeout(인증 시간 제한): 12
SafeWordSofTokenIntegration: false
AllowIPsecOverSSL: false
ClearSmartcardPin: 참
****************************************
날짜: 2013년 4월 23일
시간 : 16:25:07
유형: 정보
출처: acvpnui

설명 : 사용자에게 보낸 메시지 유형 정보:
VPN을 설정하는 중 - 시스템을 검사하는 중...
****************************************
날짜: 2013년 4월 23일
시간 : 16:25:07
유형: 정보
출처: acvpnui

설명 : 사용자에게 보낸 메시지 유형 정보:
VPN 설정 - VPN 어댑터 활성화 중...
****************************************
날짜: 2013년 4월 23일
시간 : 16:25:07
유형: 정보
소스: acvpnagent

설명 : 함수 : CVirtualAdapter::DoRegistryRepair
파일: .\WindowsVirtualAdapter.cpp
회선: 1869
VA 제어 키 발견: SYSTEM\CurrentControlSet\ENUM\ROOT\NET\0000\Control

****************************************
날짜: 2013년 4월 23일
시간 : 16:25:07
유형: 정보
소스: acvpnagent

설명: 새 네트워크 인터페이스가 검색되었습니다.
****************************************
날짜: 2013년 4월 23일
시간 : 16:25:07
유형: 정보
소스: acvpnagent

설명: 함수: CRouteMgr::logInterfaces
파일: .\RouteMgr.cpp
회선: 2076
호출된 함수: logInterfaces
반환 코드: 0(0x00000000)
설명: IP 주소 인터페이스 목록:
10.2.2.1
192.168.1.1
****************************************
날짜: 2013년 4월 23일
시간 : 16:25:08
유형: 정보
소스: acvpnagent

설명: 호스트 구성:
 공용 주소: 192.168.1.1
 공용 마스크: 255.255.255.0
 개인 주소: 10.2.2.1
 전용 마스크: 255.0.0.0
 개인 IPv6 주소: 해당 없음
 전용 IPv6 마스크: 해당 없음
 원격 피어: 10.0.0.1(TCP 포트 443, UDP 포트 500), 10.0.0.1(UDP 포트 4500)
 프라이빗 네트워크: 없음
 공용 네트워크: 없음
 터널 모드: 예
****************************************

 XML 프로파일이 클라이언트에 로드됩니다. 이제 클라이언트가 ASA의 IP 주소를 갖게 되었으므로 클라이언트는 VPN 어댑터 활성화를 진행합니다.

연결이 SA(Security Association) 데이터베이스에 입력되고 상태는 REGISTERED입니다. ASA는 또한 CAC(Common Access Card) 통계, 중복 SA 존재 여부 등 일부 검사를 수행하고 DPD(Dead Peer Detection) 등의 값을 설정합니다.

  IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE 이벤트: EV_INSERT_IKE
IKEv2-PROTO-2: (6): SA 생성, SA를 데이터베이스에 삽입
IKEv2-PLAT-3:
연결 상태: UP... 피어: 192.168.1.1:25171, phase1_id: *$AnyConnectClient$*
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE 이벤트: EV_REGISTER_SESSION
IKEv2-PLAT-3: (6) 사용자 이름이 Anu로 설정됨
IKEv2-PLAT-3:
연결 상태: 등록됨.. 피어: 192.168.1.1:25171, 1단계_id: *$AnyConnectClient$*
IKEv2-PROTO-3: (6): DPD 초기화 중 10초 동안 구성됨
IKEv2-PLAT-3: (6) mib_index: 4501
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE 이벤트: EV_GEN_LOAD_IPSEC
IKEv2-PROTO-3: (6): IPSEC 키 자료 로드
IKEv2-PLAT-3: 암호화 맵: 동적 맵 동적 맵 시퀀스 1000에서 일치
IKEv2-PLAT-3: (6) DPD 최대 시간: 30
IKEv2-PLAT-3: (6) DPD 최대 시간: 30
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE 이벤트: EV_START_ACCT
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE 이벤트: EV_CHECK_DUPE
IKEv2-PROTO-3: (6): 중복 SA 확인
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE 이벤트: EV_CHK4_ROLE
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: READY 이벤트: EV_R_UPDATE_CAC_STATS
IKEv2-PLAT-5: 새 ikev2 sa 요청이 활성화됨
IKEv2-PLAT-5: 수신 협상의 감소 횟수
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: READY 이벤트: EV_R_OK
IKEv2-PROTO-3: (6): 협상 컨텍스트를 삭제하기 위한 타이머 시작
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: READY 이벤트: EV_NO_EVENT
IKEv2-PLAT-2: SPI 0x77EE5348에 대한 PFKEY 추가 SA를 받았습니다. 오류 FALSE
IKEv2-PLAT-2: SPI 0x30B848A4에 대한 PFKEY 업데이트 SA를 받았습니다. 오류 FALSE		  
  ****************************************
날짜: 2013년 4월 23일
시간 : 16:25:08
유형: 정보
소스: acvpnagent

설명: VPN 연결이 설정되었으며 이제 데이터를 전달할 수 있습니다.
****************************************
날짜: 2013년 4월 23일
시간 : 16:25:08
유형: 정보
출처: acvpnui

설명 : 사용자에게 보낸 메시지 유형 정보:
VPN을 설정하는 중 - 시스템을 구성하는 중...
****************************************
날짜: 2013년 4월 23일
시간 : 16:25:08
유형: 정보
출처: acvpnui

설명 : 사용자에게 보낸 메시지 유형 정보:
VPN 설정 중...
****************************************
날짜: 2013년 4월 23일
시간 : 16:25:37
유형: 정보
소스: acvpnagent


파일: .\IPsecProtocol.cpp
회선: 945
IPsec 터널이 설정됨
****************************************		 클라이언트는 터널을 가동 상태로 보고하고 트래픽을 전달할 준비가 된 상태로 보고합니다.

터널 확인

AnyConnect

show vpn-sessiondb detail anyconnect 명령의 샘플 출력은 다음과 같습니다.

Session Type: AnyConnect Detailed

   Username     : Anu                    Index        : 2
   Assigned IP  : 10.2.2.1                Public IP    : 192.168.1.1
   Protocol     : IKEv2 IPsecOverNatT AnyConnect-Parent
   License      : AnyConnect Premium
   Encryption   : AES192 AES256          Hashing      : none SHA1 SHA1
   Bytes Tx     : 0                      Bytes Rx     : 11192
   Pkts Tx      : 0                      Pkts Rx      : 171
   Pkts Tx Drop : 0                      Pkts Rx Drop : 0
   Group Policy : ASA-IKEV2              Tunnel Group : ASA-IKEV2
   Login Time   : 22:06:24 UTC Mon Apr 22 2013
   Duration     : 0h:02m:26s
   Inactivity   : 0h:00m:00s
   NAC Result   : Unknown
   VLAN Mapping : N/A                    VLAN         : none

   IKEv2 Tunnels: 1
   IPsecOverNatT Tunnels: 1
   AnyConnect-Parent Tunnels: 1 

   AnyConnect-Parent:
     Tunnel ID    : 2.1
     Public IP    : 192.168.1.1
     Encryption   : none                   Auth Mode    : userPassword
   Idle Time Out: 30 Minutes             Idle TO Left : 27 Minutes
   Client Type  : AnyConnect
   Client Ver   : 3.0.1047 
    IKEv2:
     Tunnel ID    : 2.2
     UDP Src Port : 25171                  UDP Dst Port : 4500
     Rem Auth Mode: userPassword
     Loc Auth Mode: rsaCertificate
     Encryption   : AES192                 Hashing      : SHA1
     Rekey Int (T): 86400 Seconds          Rekey Left(T): 86254 Seconds
     PRF          : SHA1                   D/H Group    : 1
     Filter Name  :
     Client OS    : Windows
    IPsecOverNatT:
     Tunnel ID    : 2.3
     Local Addr   : 0.0.0.0/0.0.0.0/0/0
     Remote Addr  : 10.2.2.1/255.255.255.255/0/0
     Encryption   : AES256                 Hashing      : SHA1
   Encapsulation: Tunnel
   Rekey Int (T): 28800 Seconds          Rekey Left(T): 28654 Seconds
   Rekey Int (D): 4608000 K-Bytes        Rekey Left(D): 4607990 K-Bytes
   Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes 
   Bytes Tx     : 0                      Bytes Rx     : 11192
   Pkts Tx      : 0                      Pkts Rx      : 171
    NAC:
     Reval Int (T): 0 Seconds              Reval Left(T): 0 Seconds
     SQ Int (T)   : 0 Seconds              EoU Age(T)   : 146 Seconds
     Hold Left (T): 0 Seconds              Posture Token:    
    Redirect URL :

ISAKMP

show crypto ikev2 sa 명령의 샘플 출력은 다음과 같습니다.

ASA-IKEV2#  show crypto ikev2 sa

      IKEv2 SAs:

      Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

      Tunnel-id                 Local                Remote     Status         Role
       55182129    10.0.0.1/4500         192.168.1.1/25171      READY    RESPONDER
            Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
            Life/Active Time: 86400/112 sec
      Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535   
                remote selector 10.2.2.1/0 - 10.2.2.1/65535
              ESP spi in/out: 0x30b848a4/0x77ee5348 

show crypto ikev2 sa detail 명령의 샘플 출력은 다음과 같습니다.

ASA-IKEV2# show crypto ikev2 sa detail

    IKEv2 SAs:

    Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

    Tunnel-id                 Local                Remote     Status         Role
     55182129    10.0.0.1/4500         192.168.1.1/25171      READY    RESPONDER
       Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
         Life/Active Time: 86400/98 sec
         Session-id: 2
         Status Description: Negotiation done
         Local spi: FC696330E6B94D7F       Remote spi: 58AFF71141BA436B
         Local id: hostname=ASA-IKEV2
         Remote id: *$AnyConnectClient$*
         Local req mess id: 0              Remote req mess id: 9
         Local next mess id: 0             Remote next mess id: 9
         Local req queued: 0               Remote req queued: 9
         Local window: 1                   Remote window: 1
         DPD configured for 10 seconds, retry 2
         NAT-T is detected  outside
         Assigned host addr: 10.2.2.1
   Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535
             remote selector 10.2.2.1/0 - 10.2.2.1/65535
             ESP spi in/out: 0x30b848a4/0x77ee5348
          AH spi in/out: 0x0/0x0
          CPI in/out: 0x0/0x0
            Encr: AES-CBC, keysize: 256, esp_hmac: SHA96
            ah_hmac: None, comp: IPCOMP_NONE, mode tunnel

IPSec

show crypto ipsec sa 명령의 샘플 출력은 다음과 같습니다.

ASA-IKEV2# show crypto ipsec sa
   interface: outside
       Crypto map tag: dynmap, seq num: 1000, local addr: 10.0.0.1

     local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
        remote ident (addr/mask/prot/port): (10.2.2.1/255.255.255.255/0/0)
        current_peer: 192.168.1.1, username: Anu
        dynamic allocated peer ip: 10.2.2.1

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
         #pkts decaps: 163, #pkts decrypt: 108, #pkts verify: 108
         #pkts compressed: 0, #pkts decompressed: 0
         #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
         #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
         #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
         #send errors: 0, #recv errors: 55

      local crypto endpt.: 10.0.0.1/4500, remote crypto endpt.: 192.168.1.1/25171
         path mtu 1488, ipsec overhead 82, media mtu 1500
         current outbound spi: 77EE5348
         current inbound spi : 30B848A4

     inbound esp sas:
         spi: 0x30B848A4 (817383588)
            transform: esp-aes-256 esp-sha-hmac no compression
            in use settings ={RA, Tunnel,  NAT-T-Encaps, }
            slot: 0, conn_id: 8192, crypto-map: dynmap
            sa timing: remaining key lifetime (sec): 28685
            IV size: 16 bytes
            replay detection support: Y
            Anti replay bitmap:
            0xFFAD6BED 0x7ABFD5BF
       outbound esp sas:
         spi: 0x77EE5348 (2012107592)
            transform: esp-aes-256 esp-sha-hmac no compression
            in use settings ={RA, Tunnel,  NAT-T-Encaps, }
            slot: 0, conn_id: 8192, crypto-map: dynmap
            sa timing: remaining key lifetime (sec): 28685
            IV size: 16 bytes
            replay detection support: Y
            Anti replay bitmap:
           0x00000000 0x00000001

관련 정보

개정 이력

개정 게시 날짜 의견
1.0
04-May-2013
최초 릴리스
TAC Authored

Cisco 엔지니어가 작성

  • Anu M. Chacko, Jay Young, and Atri Basu
    Cisco TAC Engineers.

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품