ASA IPsec和IKE调试(IKEv1主动模式)故障排除技术说明
简介
本文档介绍在同时使用主动模式和预共享密钥(PSK)时在思科自适应安全设备(ASA)上进行的调试。还将讨论将某些调试行转换为配置。思科建议您对IPsec和互联网密钥交换(IKE)有基本的了解。
本文档不讨论隧道建立后传递的流量。
核心问题
IKE和IPsec调试有时很晦涩,但您可以使用它们来了解IPsec VPN隧道建立问题。
场景
主动模式通常用于软件(Cisco VPN客户端)和硬件客户端(Cisco ASA 5505自适应安全设备或Cisco IOS)的Easy VPN(EzVPN)?软件路由器),但仅当使用预共享密钥时。与主模式不同,主动模式包含三条消息。
调试来自运行软件版本8.3.2并充当EzVPN服务器的ASA。EzVPN客户端是软件客户端。
debug命令
以下是本文档中使用的debug命令:
debug crypto isakmp 127
debug crypto ipsec 127
ASA 配置
本例中的ASA配置应严格为基本配置;不使用外部服务器。
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 10.48.67.14 255.255.254.0
crypto ipsec transform-set TRA esp-aes esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map DYN 10 set transform-set TRA
crypto dynamic-map DYN 10 set reverse-route
crypto map MAP 65000 ipsec-isakmp dynamic DYN
crypto map MAP interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400
username cisco password cisco
username cisco attributes
vpn-framed-ip-address 192.168.1.100 255.255.255.0
tunnel-group EZ type remote-access
tunnel-group EZ general-attributes
default-group-policy EZ
tunnel-group EZ ipsec-attributes
pre-shared-key *****
group-policy EZ internal
group-policy EZ attributes
password-storage enable
dns-server value 192.168.1.99
vpn-tunnel-protocol ikev1
split-tunnel-policy tunnelall
split-tunnel-network-list value split
default-domain value jyoungta-labdomain.cisco.com
调试
服务器消息说明 |
调试 |
客户端消息说明 |
|||
| 49711:28:30.28908/24/12Sev=Info/6IKE/0x6300003B 尝试与64.102.156.88建立连接。 49811:28:30.29708/24/12Sev=调试/7IKE/0x63000076 NAV跟踪 — >SA:I_Cookie=D56197780D7BE3E5 R_Cookie=0000000000000000CurState: AM_INITIALEvent:EV_INITIATOR 49911:28:30.29708/24/12Sev=Info/4IKE/0x63000001 开始IKE第1阶段协商 50011:28:30.29708/24/12Sev=调试/7IKE/0x63000076 NAV跟踪 — >SA:I_Cookie=D56197780D7BE3E5 R_Cookie=0000000000000000CurState: AM_SND_MSG1Event:EV_GEN_DHKEY 50111:28:30.30408/24/12Sev=调试/7IKE/0x63000076 NAV跟踪 — >SA:I_Cookie=D56197780D7BE3E5 R_Cookie=0000000000000000CurState: AM_SND_MSG1Event:EV_BLD_MSG 50211:28:30.30408/24/12Sev=调试/7IKE/0x63000076 NAV跟踪 — >SA:I_Cookie=D56197780D7BE3E5 R_Cookie=0000000000000000CurState: AM_SND_MSG1Event:EV_START_RETRY_TMR 50311:28:30.30408/24/12Sev=调试/7IKE/0x63000076 NAV跟踪 — >SA:I_Cookie=D56197780D7BE3E5 R_Cookie=0000000000000000CurState: AM_SND_MSG1Event:EV_SND_MSG |
主动模式启动。构建AM1。此过程包括: |
||||
| 50411:28:30.30408/24/12Sev=Info/4IKE/0x63000013 SENDING >> ISAKMP OAK AG(SA、KE、NON、ID、VID(Xauth)、VID(dpd)、VID(Frag)、VID(Nat-T)、VID(Unity))到64.102.156.88 |
发送AM1。 |
||||
| <==================攻击性消息1(AM1)============== | |||||
从客户端接收AM1。 |
8月24日11:31:03 [IKEv1]IP = 64.102.156.87,带负载的IKE_DECODE RECEIVED消息(msgid=0):HDR + SA(1)+ KE(4)+ NONCE(10)+ ID(5)+供应商(13)+供应商(13)+供应商(13)+供应商(13)+供应商(13)+供应商(13)+无(0)总长度:849 | 50611:28:30.33308/24/12Sev=调试/7IKE/0x63000076 NAV跟踪 — >SA:I_Cookie=D56197780D7BE3E5 R_Cookie=0000000000000000CurState: AM_WAIT_MSG2Event:EV_NO_EVENT |
等待服务器响应。 |
||
处理AM1。将收到的提议和转换与已配置用于匹配的提议和转换进行比较。 相关配置: 接口上启用了ISAKMP,并且至少定义了一个与客户端发送的内容匹配的策略: crypto isakmp enable 与身份名称匹配的隧道组存在: tunnel-group EZ type |
8月24日11:31:03 [IKEv1调试]IP = 64.102.156.87,正在处理SA负载 8月24日11:31:03 [IKEv1调试]IP = 64.102.156.87,正在处理密钥负载 8月24日11:31:03 [IKEv1调试]IP = 64.102.156.87,正在处理ISA_KE负载 8月24日11:31:03 [IKEv1调试]IP = 64.102.156.87,正在处理nonce负载 8月24日11:31:03 [IKEv1调试]IP = 64.102.156.87,正在处理ID负载 8月24日11:31:03 [IKEv1调试]IP = 64.102.156.87,正在处理VID负载 8月24日11:31:03 [IKEv1调试]IP = 64.102.156.87,已接收xauth V6 VID 8月24日11:31:03 [IKEv1调试]IP = 64.102.156.87,正在处理VID负载 8月24日11:31:03 [IKEv1调试]IP = 64.102.156.87,已接收DPD VID 8月24日11:31:03 [IKEv1调试]IP = 64.102.156.87,正在处理VID负载 8月24日11:31:03 [IKEv1调试]IP = 64.102.156.87,已接收分段VID 8月24日11:31:03 [IKEv1 DEBUG]IP = 64.102.156.87,IKE对等体包含IKE分段功能标志:主模式:TrueAggressive模式:False 8月24日11:31:03 [IKEv1调试]IP = 64.102.156.87,正在处理VID负载 8月24日11:31:03 [IKEv1调试]IP = 64.102.156.87,已接收NAT穿越版本02 VID 8月24日11:31:03 [IKEv1调试]IP = 64.102.156.87,正在处理VID负载 8月24日11:31:03 [IKEv1调试]IP = 64.102.156.87,已接收Cisco Unity客户端VID 8月24日11:31:03 [IKEv1]IP = 64.102.156.87,连接着陆在tunnel_group ipsec上 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,处理IKE SA负载 8月24日11:31:03 [IKEv1]第1阶段失败:类组描述的属性类型不匹配:Rcv'd:组2Cfg'd:第 5 组 8月24日11:31:03 [IKEv1]第1阶段失败:类组描述的属性类型不匹配:Rcv'd:组2Cfg'd:第 5 组 8月24日11:31:03 [IKEv1]第1阶段失败:类组描述的属性类型不匹配:Rcv'd:组2Cfg'd:第 5 组 8月24日11:31:03 [IKEv1]第1阶段失败:类组描述的属性类型不匹配:Rcv'd:组2Cfg'd:第 5 组 8月24日11:31:03 [IKEv1]第1阶段失败:类组描述的属性类型不匹配:Rcv'd:组2Cfg'd:第 5 组 8月24日11:31:03 [IKEv1]第1阶段失败:类组描述的属性类型不匹配:Rcv'd:组2Cfg'd:第 5 组 8月24日11:31:03 [IKEv1]第1阶段失败:类组描述的属性类型不匹配:Rcv'd:组2Cfg'd:第 5 组 8月24日11:31:03 [IKEv1]第1阶段失败:类组描述的属性类型不匹配:Rcv'd:组2Cfg'd:第 5 组 8月24日11:31:03 [IKEv1]第1阶段失败:类组描述的属性类型不匹配:Rcv'd:组2Cfg'd:第 5 组 8月24日11:31:03 [IKEv1]第1阶段失败:类组描述的属性类型不匹配:Rcv'd:组2Cfg'd:第 5 组 8月24日11:31:03 [IKEv1]第1阶段失败:类组描述的属性类型不匹配:Rcv'd:组2Cfg'd:第 5 组 8月24日11:31:03 [IKEv1]第1阶段失败:类组描述的属性类型不匹配:Rcv'd:组2Cfg'd:第 5 组 8月24日11:31:03 [IKEv1]第1阶段失败:类组描述的属性类型不匹配:Rcv'd:组2Cfg'd:第 5 组 8月24日11:31:03 [IKEv1]第1阶段失败:类组描述的属性类型不匹配:Rcv'd:组2Cfg'd:第 5 组 8月24日11:31:03 [IKEv1]第1阶段失败:类组描述的属性类型不匹配:Rcv'd:组2Cfg'd:第 5 组 8月24日11:31:03 [IKEv1]第1阶段失败:类组描述的属性类型不匹配:Rcv'd:组2Cfg'd:第 5 组 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,IKE SA建议号1,可接受转换号5匹配全局IKE条目号1 |
||||
构建AM2。此过程包括: |
8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,构造ISAKMP SA负载 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,构造ke负载 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,构造nonce负载 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,生成响应器的密钥…… 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,构造ID负载 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,构造哈希负载 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,计算ISAKMP的哈希 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,构造Cisco Unity VID负载 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,构造xauth V6 VID负载 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,构造dpd vid负载 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,构造NAT穿越VID ver 02负载 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,构造NAT-Discovery负载 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,计算NAT发现哈希 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,构造NAT-Discovery负载 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,计算NAT发现哈希 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,构造分段VID +扩展功能负载 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,构造VID负载 2024年8月24日11:31:03 [IKEv1调试]组= ipsec,IP = 64.102.156.87,发送Altiga/Cisco VPN3000/Cisco ASA GW VID |
||||
发送AM2。 |
8月24日11:31:03 [IKEv1]IP = 64.102.156.87, IKE_DECODE SENDING Message(msgid=0),带负载:HDR + SA(1)+ KE(4)+ NONCE(10)+ ID(5)+ HASH(8)+供应商(13)+供应商(13)+供应商(13)+供应商(13)+ NAT-D(130)+ NAT-D(130)+供应商(13)+供应商(13)+无(0)总长度:444 | ||||
| =================攻击性消息2(AM2)================> | |||||
| 50711:28:30.40208/24/12Sev=Info/5IKE/0x6300002F 收到的ISAKMP数据包:peer = 64.102.156.8 50811:28:30.40308/24/12Sev=Info/4IKE/0x63000014 接收<<< ISAKMP OAK AG(SA、KE、NON、ID、HASH、VID(Unity)、VID(Xauth)、VID(dpd)、VID(Nat-T)、NAT-D、NAT-D、VID(Frag)、VIDVID(?)自64.102.156.88 51011:28:30.41208/24/12Sev=调试/7IKE/0x63000076 NAV跟踪 — >SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState: AM_WAIT_MSG2Event:EV_RCVD_MSG |
接收AM2。 |
||||
| 51111:28:30.41208/24/12Sev=Info/5IKE/0x63000001 对等体是符合Cisco-Unity标准的对等体 51211:28:30.41208/24/12Sev=Info/5IKE/0x63000001 对等体支持XAUTH 51311:28:30.41208/24/12Sev=Info/5IKE/0x63000001 对等体支持DPD 51411:28:30.41208/24/12Sev=Info/5IKE/0x63000001 对等体支持NAT-T 51511:28:30.41208/24/12Sev=Info/5IKE/0x63000001 对等体支持IKE分段负载 51611:28:30.41208/24/12Sev=调试/7IKE/0x63000076 NAV跟踪 — >SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState: AM_WAIT_MSG2Event:EV_GEN_SKEYID 51711:28:30.42208/24/12Sev=调试/7IKE/0x63000076 NAV跟踪 — >SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState: AM_WAIT_MSG2Event:EV_AUTHENTICATE_PEER 51811:28:30.42208/24/12Sev=调试/7IKE/0x63000076 NAV跟踪 — >SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState: AM_WAIT_MSG2Event:EV_ADJUST_PORT 51911:28:30.42208/24/12Sev=调试/7IKE/0x63000076 NAV跟踪 — >SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState: AM_WAIT_MSG2Event:EV_CRYPTO_ACTIVE |
流程AM 2。 |
||||
| 52011:28:30.42208/24/12Sev=调试/7IKE/0x63000076 NAV跟踪 — >SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState: AM_SND_MSG3Event:EV_BLD_MSG] 52111:28:30.42208/24/12Sev=Debug/8IKE/0x63000001 IOS供应商ID构建已启动 52211:28:30.42208/24/12Sev=Info/6IKE/0x63000001 IOS供应商ID构建成功 |
构造AM3。此过程包括客户端身份验证。此时,与加密相关的所有数据都已交换。 |
||||
| 52311:28:30.42308/24/12Sev=调试/7IKE/0x63000076 NAV跟踪 — >SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState: AM_SND_MSG3Event:EV_SND_MSG 52411:28:30.42308/24/12Sev=Info/4IKE/0x63000013 SENDING >> ISAKMP OAK AG *(HASH, NOTIFY:STATUS_INITIAL_CONTACT, NAT-D, NAT-D, VID(?), VID(Unity))到64.102.156.8 |
发送AM3。 |
||||
| <=================攻击性消息3(AM3)=============== | |||||
从客户端接收AM3。 |
8月24日11:31:03 [IKEv1]IP = 64.102.156.87,带负载的IKE_DECODE RECEIVED消息(msgid=0):HDR + HASH(8)+ NOTIFY(11)+ NAT-D(130)+ NAT-D(130)+ VENDOR(13)+ VENDOR(13)+ NONE(0)总长度:168 | ||||
进程AM 3.确认NAT穿越(NAT-T)的使用。现在,两端都已准备好开始流量加密。 |
8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,正在处理哈希负载 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,计算ISAKMP的哈希 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,正在处理通知负载 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,处理NAT-Discovery负载 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,计算NAT发现哈希 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,处理NAT-Discovery负载 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,计算NAT发现哈希 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,正在处理VID负载 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,正在处理IOS/PIX供应商ID负载(版本:1.0.0,功能:00000408) 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,正在处理VID负载 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,已接收Cisco Unity客户端VID 8月24日11:31:03 [IKEv1]组= ipsec,IP = 64.102.156.87,自动NAT检测 状态:远程终端IS位于NAT设备后此端不位于NAT设备后 |
||||
启动第1.5阶段(XAUTH)并请求用户凭证。 |
8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,构造空白散列负载 8月24日11:31:03 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87,构造qm哈希负载 8月24日11:31:03 [IKEv1]IP = 64.102.156.87, IKE_DECODE SENDING消息(msgid=fb709d4d),带负载:HDR + HASH(8)+ ATTR(14)+ NONE(0)总长度:72 |
||||
| ================扩展验证 — 凭证请求===============> | |||||
| 53511:28:30.43008/24/12Sev=Info/4IKE/0x63000014 从64.102.156.88接收<< ISAKMP OAK TRANS *(哈希,属性) 53611:28:30.43108/24/12Sev=解码/11IKE/0x63000001 ISAKMP报头 启动器COOKIE:D56197780D7BE3E5 响应器COOKIE:1B301D2DE710EDA0 下一个负载:散列 版本(十六进制):10 交换类型:交易 标志:(加密) 消息ID(十六进制):FB709D4D 长度:76 负载散列 下一负载:Attributes 保留:00 负载长度:24 数据(十六进制):C779D5CBC5C75E3576C478A15A7CAB8A83A232D0 负载属性 下一负载:无 保留:00 负载长度:20 type:ISAKMP_CFG_REQUEST 保留:00 标识符:0000 XAUTH类型:通用 XAUTH用户名:(空) XAUTH用户密码:(空) 53711:28:30.43108/24/12Sev=调试/7IKE/0x63000076 NAV Trace->TM:MsgID=FB709D4DCurState:TM_INITIALEvent:EV_RCVD_MSG |
接收身份验证请求。已解密负载显示空的用户名和密码字段。 |
||||
| 53811:28:30.43108/24/12Sev=调试/7IKE/0x63000076 NAV Trace->TM:MsgID=FB709D4DCurState:TM_PCS_XAUTH_REQEvent:EV_INIT_XAUTH 53911:28:30.43108/24/12 Sev=Debug/7IKE/0x63000076 NAV Trace->TM:MsgID=FB709D4DCurState:TM_PCS_XAUTH_REQEvent:EV_START_RETRY_TMR 54011:28:30.43208/24/12Sev=调试/7IKE/0x63000076 NAV Trace->TM:MsgID=FB709D4DCurState:TM_WAIT_4USEREvent:EV_NO_EVENT 541 11:28:36.41508/24/12Sev=调试/7IKE/0x63000076 NAV Trace->TM:MsgID=FB709D4DCurState:TM_WAIT_4USEREvent:EV_RCVD_USER_INPUT |
启动第1.5阶段(XAUTH)。 在等待用户输入时启动重试计时器。当重试计时器超时时,连接会自动断开。 |
||||
| 54211:28:36.41508/24/12Sev=调试/7IKE/0x63000076 NAV Trace->TM:MsgID=FB709D4DCurState:TM_WAIT_4USEREvent:EV_SND_MSG 54311:28:36.41508/24/12Sev=Info/4IKE/0x63000013 SENDING >>> ISAKMP OAK TRANS *(哈希,属性)到64.102.156.88 54411:28:36.41508/24/12Sev=解码/11IKE/0x63000001 ISAKMP报头 启动器COOKIE:D56197780D7BE3E5 响应器COOKIE:1B301D2DE710EDA0 下一个负载:散列 版本(十六进制):10 交换类型:交易 标志:(加密) 消息ID(十六进制):FB709D4D 长度:85 负载散列 下一负载:Attributes 保留:00 负载长度:24 数据(十六进制):1A3645155BE9A81CB80FCDB5F7F24E03FF8239F5 负载属性 下一负载:无 保留:00 负载长度:33 type:ISAKMP_CFG_REPLY 保留:00 标识符:0000 XAUTH类型:通用 XAUTH用户名:(未显示数据) XAUTH用户密码:(未显示数据) |
收到用户输入后,将用户凭证发送到服务器。解密的负载显示已填充(但隐藏)的用户名和密码字段。发送模式配置请求(各种属性)。 |
||||
| <=================扩展身份验证 — 用户凭证=============== | |||||
接收用户凭证。 |
8月24日11:31:09 [IKEv1]IP = 64.102.156.87,带负载的IKE_DECODE RECEIVED消息(msgid=fb709d4d):HDR +散列(8)+ ATTR(14)+无(0) 总长度:85 8月24日11:31:09 [IKEv1 DEBUG]组= ipsec,IP = 64.102.156.87, process_attr():进! |
||||
处理用户凭证。验证凭证并生成模式配置负载。 相关配置: username cisco |
8月24日11:31:09 [IKEv1 DEBUG]Group = ipsec,IP = 64.102.156.87, Processing MODE_CFG Reply attributes。 8月24日11:31:09 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,IKEGetUserAttributes:主DNS = 192.168.1.99 8月24日11:31:09 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,IKEGetUserAttributes:辅助DNS =已清除 8月24日11:31:09 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,IKEGetUserAttributes:主WINS =已清除 8月24日11:31:09 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,IKEGetUserAttributes:辅助WINS =已清除 8月24日11:31:09 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,IKEGetUserAttributes:分割隧道列表=分割 8月24日11:31:09 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,IKEGetUserAttributes:default domain = jyoungta-labdomain.cisco.com 8月24日11:31:09 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,IKEGetUserAttributes:IP压缩=已禁用 8月24日11:31:09 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,IKEGetUserAttributes:分割隧道策略=已禁用 8月24日11:31:09 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,IKEGetUserAttributes:浏览器代理设置=不修改 8月24日11:31:09 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,IKEGetUserAttributes:浏览器代理绕行本地=禁用 8月24日11:31:09 [IKEv1]组= ipsec,用户名= user1,IP = 64.102.156.87,用户(用户1)已通过身份验证。 |
||||
发送xuath结果。 |
8月24日11:31:09 [IKEv1 DEBUG]组= ipsec,用户名=用户1,IP = 64.102.156.87,构造空白哈希负载 8月24日11:31:09 [IKEv1 DEBUG]组= ipsec,用户名=用户1,IP = 64.102.156.87,构造qm哈希负载 8月24日11:31:09 [IKEv1]IP = 64.102.156.87, IKE_DECODE发送消息(msgid=5b6910ff),带负载:HDR + HASH(8)+ ATTR(14)+ NONE(0)总长度:64 |
||||
| ================扩展验证 — 授权结果================> | |||||
| 54511:28:36.41608/24/12Sev=调试/7IKE/0x63000076 NAV Trace->TM:MsgID=FB709D4DCurState:TM_XAUTHREQ_DONEEvent:EV_XAUTHREQ_DONE 54611:28:36.41608/24/12Sev=调试/7IKE/0x63000076 NAV Trace->TM:MsgID=FB709D4DCurState:TM_XAUTHREQ_DONEEvent:EV_NO_EVENT 54711:28:36.42408/24/12Sev=Info/5IKE/0x6300002F 收到的ISAKMP数据包:peer = 64.102.156.88 54811:28:36.42408/24/12Sev=Info/4IKE/0x63000014 从64.102.156.88接收<< ISAKMP OAK TRANS *(哈希,属性) 54911:28:36.42508/24/12Sev=解码/11IKE/0x63000001 ISAKMP报头 启动器COOKIE:D56197780D7BE3E5 响应器COOKIE:1B301D2DE710EDA0 下一个负载:散列 版本(十六进制):10 交换类型:交易 标志:(加密) 消息ID(十六进制):5B6910FF 长度:76 负载散列 下一负载:Attributes 保留:00 负载长度:24 数据(十六进制):7DCF47827164198731639BFB7595F694C9DDFE85 负载属性 下一负载:无 保留:00 负载长度:12 type:ISAKMP_CFG_SET 保留:00 标识符:0000 XAUTH状态:通过 55011:28:36.42508/24/12Sev=调试/7IKE/0x63000076 NAV Trace->TM:MsgID=5B6910FFCurState:TM_INITIALEvent:EV_RCVD_MSG 55111:28:36.42508/24/12Sev=调试/7IKE/0x63000076 NAV Trace->TM:MsgID=5B6910FFCurState:TM_PCS_XAUTH_SETEvent:EV_INIT_XAUTH 55211:28:36.42508/24/12Sev=调试/7IKE/0x63000076 NAV Trace->TM:MsgID=5B6910FFCurState:TM_PCS_XAUTH_SETEvent:EV_CHK_AUTH_RESULT |
接收身份验证结果和流程结果。 |
||||
| 55311:28:36.42508/24/12Sev=Info/4IKE/0x63000013 SENDING >>> ISAKMP OAK TRANS *(哈希,属性)到64.102.156.88 |
ACK结果。 |
||||
| <==================扩展验证 — 确认============== | |||||
接收并处理ACK;服务器没有响应。 |
8月24日11:31:09 [IKEv1]IP = 64.102.156.87,IKE_DECODE RECEIVED消息(msgid=5b6910ff),带负载:HDR + HASH(8)+ ATTR(14)+ NONE(0)总长度:60 8月24日11:31:09 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87, process_attr():进! 8月24日11:31:09 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,处理配置ACK属性 |
||||
| 55511:28:36.42608/24/12Sev=调试/7IKE/0x63000076 NAV Trace->TM:MsgID=5B6910FFCurState:TM_XAUTH_DONEEvent: EV_XAUTH_DONE_SUC 55611:28:36.42608/24/12Sev=调试/7IKE/0x63000076 NAV Trace->TM:MsgID=5B6910FFCurState:TM_XAUTH_DONEEvent:EV_NO_EVENT 55711:28:36.42608/24/12Sev=调试/7IKE/0x63000076 NAV Trace->TM:MsgID=FB709D4DCurState:TM_XAUTHREQ_DONEEvent:EV_TERM_REQUEST 55811:28:36.42608/24/12Sev=调试/7IKE/0x63000076 NAV Trace->TM:MsgID=FB709D4DCurState:TM_FREEvent:EV_REMOVE 55911:28:36.42608/24/12Sev=调试/7IKE/0x63000076 NAV Trace->TM:MsgID=FB709D4DCurState:TM_FREEvent:EV_NO_EVENT 56011:28:36.42608/24/12Sev=调试/7IKE/0x63000076 NAV跟踪 — >SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState: CMN_XAUTH_PROGEvent:EV_XAUTH_DONE_SUC 56111:28:38.40608/24/12Sev=Debug/8IKE/0x6300004C 启动IKE SA的DPD计时器(I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0)sa->state = 1, sa->dpd.worry_freq(mSec)= 5000 56211:28:38.40608/24/12Sev=调试/7IKE/0x63000076 NAV跟踪 — >SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState: CMN_MODECFG_PROGEvent:EV_INIT_MODECFG 56311:28:38.40608/24/12Sev=调试/7IKE/0x63000076 NAV跟踪 — >SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState: CMN_MODECFG_PROGEvent:EV_NO_EVENT 56411:28:38.40608/24/12Sev=调试/7IKE/0x63000076 NAV Trace->TM:MsgID=84B4B653CurState:TM_INITIALEvent:EV_INIT_MODECFG 56511:28:38.40808/24/12Sev=Info/5IKE/0x6300005E 客户端向集中器发送防火墙请求 56611:28:38.40908/24/12Sev=调试/7IKE/0x63000076 NAV Trace->TM:MsgID=84B4B653CurState:TM_SND_MODECFGREQEvent: EV_START_RETRY_TMR |
生成模式配置请求。已解密负载显示来自服务器的请求的参数。 |
||||
| 56711:28:38.40908/24/12Sev=调试/7IKE/0x63000076 NAV Trace->TM:MsgID=84B4B653CurState:TM_SND_MODECFGREQEvent:EV_SND_MSG 56811:28:38.40908/24/12Sev=Info/4IKE/0x63000013 SENDING >>> ISAKMP OAK TRANS *(哈希,属性)到64.102.156.88 56911:28:38.62708/24/12Sev=解码/11IKE/0x63000001 ISAKMP报头 启动器COOKIE:D56197780D7BE3E5 响应器COOKIE:1B301D2DE710EDA0 下一个负载:散列 版本(十六进制):10 交换类型:交易 标志:(加密) 消息ID(十六进制):84B4B653 长度:183 负载散列 下一负载:Attributes 保留:00 负载长度:24 数据(十六进制):81BFBF6721A744A815D69A315EF4AAA571D6B687 负载属性 下一负载:无 保留:00 负载长度:131 type:ISAKMP_CFG_REQUEST 保留:00 标识符:0000 IPv4地址:(空) IPv4网络掩码:(空) IPv4 DNS:(空) IPv4 NBNS(WINS):(空) 地址到期:(空) 思科分机:横幅:(空) 思科分机:保存PWD:(空) 思科分机:默认域名:(空) 思科分机:拆分包括:(空) 思科分机:拆分DNS名称:(空) 思科分机:执行PFS:(空) 未知:(空) 思科分机:备用服务器:(空) 思科分机:智能卡删除断开:(空) 应用程序版本:思科系统VPN客户端5.0.07.0290:WinNT 思科分机:防火墙类型:(空) 思科分机:动态DNS主机名:阿巴苏 — 拉布克斯 |
发送mode-config请求。 |
||||
| <==================模式配置请求============= | |||||
接收mode-config请求。 |
8月24日11:31:11 [IKEv1]IP = 64.102.156.87,带负载的IKE_DECODE RECEIVED消息(msgid=84b4b653):HDR + HASH(8)+ ATTR(14)+ NONE(0)总长度:183 8月24日11:31:11 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87, process_attr():进! |
57011:28:38.62808/24/12Sev=调试/7IKE/0x63000076 NAV Trace->TM:MsgID=84B4B653CurState:TM_WAIT_MODECFGREPLYEvent:EV_NO_EVENT |
等待服务器响应。 |
||
进程模式配置请求。 其中许多值通常在组策略中配置。但是,由于本示例中的服务器具有非常基本的配置,因此您在此处看不到它们。 |
8月24日11:31:11 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,处理配置请求属性 8月24日11:31:11 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,MODE_CFG:已收到IPV4地址请求! 8月24日11:31:11 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,MODE_CFG:已收到IPV4网络掩码的请求! 8月24日11:31:11 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,MODE_CFG:已收到DNS服务器地址请求! 8月24日11:31:11 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,MODE_CFG:已收到WINS服务器地址的请求! 8月24日11:31:11 [IKEv1]组= ipsec,用户名= user1,IP = 64.102.156.87,已接收不支持的事务模式属性:5 8月24日11:31:11 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,MODE_CFG:已收到横幅的请求! 8月24日11:31:11 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,MODE_CFG:已收到保存PW设置的请求! 8月24日11:31:11 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,MODE_CFG:已收到默认域名的请求! 8月24日11:31:11 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,MODE_CFG:已收到拆分隧道列表的请求! 8月24日11:31:11 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,MODE_CFG:已收到拆分DNS的请求! 8月24日11:31:11 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,MODE_CFG:已收到PFS设置请求! 8月24日11:31:11 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,MODE_CFG:已收到客户端浏览器代理设置请求! 8月24日11:31:11 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,MODE_CFG:已收到备份IP-sec对等体列表的请求! 8月24日11:31:11 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,MODE_CFG:已收到客户端智能卡删除断开连接设置的请求! 8月24日11:31:11 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,MODE_CFG:已收到应用版本请求! 8月24日11:31:11 [IKEv1]组= ipsec,用户名= user1,IP = 64.102.156.87,客户端类型:WinNTClient应用版本:5.0.07.0290 8月24日11:31:11 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,MODE_CFG:已收到FWTYPE请求! 8月24日11:31:11 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,MODE_CFG:收到的DDNS DHCP主机名请求为:阿巴苏 — 拉布克斯! |
||||
使用所有已配置的值构造模式配置响应。 相关配置: 请注意,在这种情况下,始终为用户分配相同的IP。 username cisco |
8月24日11:31:11 [IKEv1 DEBUG]Group = ipsec,Username = user1,IP = 64.102.156.87,在启动模式配置(启用扩展验证)之前已获取IP地址(192.168.1.100) 8月24日11:31:11 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,向远程客户端发送子网掩码(255.255.255.0) 8月24日11:31:11 [IKEv1]组= ipsec,用户名= user1,IP = 64.102.156.87,为远程用户分配的私有IP地址192.168.1.100 8月24日11:31:11 [IKEv1 DEBUG]组= ipsec,用户名=用户1,IP = 64.102.156.87,构造空白哈希负载 8月24日11:31:11 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87, construct_cfg_set:default domain = jyoungta-labdomain.cisco.com 8月24日11:31:11 [IKEv1 DEBUG]组= ipsec,用户名=用户1,IP = 64.102.156.87,发送客户端浏览器代理属性! 8月24日11:31:11 [IKEv1 DEBUG]Group = ipsec,Username = user1,IP = 64.102.156.87,Browser Proxy设置为No-Modify。浏览器代理数据将不包含在mode-cfg应答中 8月24日11:31:11 [IKEv1 DEBUG]Group = ipsec, Username = user1,IP = 64.102.156.87,Send Cisco Smartcard Removal Disconnect enable!! 8月24日11:31:11 [IKEv1 DEBUG]组= ipsec,用户名=用户1,IP = 64.102.156.87,构造qm哈希负载 |
||||
发送模式配置响应。 |
8月24日11:31:11 [IKEv1]IP = 64.102.156.87, IKE_DECODE SENDING消息(msgid=84b4b653),带负载:HDR + HASH(8)+ ATTR(14)+ NONE(0)总长度:215 | ||||
| =================模式配置响应===============> | |||||
| 57111:28:38.63808/24/12Sev=Info/5IKE/0x6300002F 收到的ISAKMP数据包:peer = 64.102.156.88 57211:28:38.63808/24/12Sev=Info/4IKE/0x63000014 从64.102.156.88接收<< ISAKMP OAK TRANS *(哈希,属性) 57311:28:38.63908/24/12Sev=解码/11IKE/0x63000001 ISAKMP报头 启动器COOKIE:D56197780D7BE3E5 响应器COOKIE:1B301D2DE710EDA0 下一个负载:散列 版本(十六进制):10 交换类型:交易 标志:(加密) 消息ID(十六进制):84B4B653 长度:220 负载散列 下一负载:Attributes 保留:00 负载长度:24 数据(十六进制):6DE2E70ACF6B1858846BC62E590C00A66745D14D 负载属性 下一负载:无 保留:00 负载长度:163 type:ISAKMP_CFG_REPLY 保留:00 标识符:0000 IPv4地址:192.168.1.100 IPv4网络掩码:255.255.255.0 IPv4 DNS:192.168.1.99 思科分机:保存PWD:无 思科分机:默认域名: jyoungta-labdomain.cisco.com 思科分机:执行PFS:无 应用程序版本:思科系统公司ASA5505版本8.4(4)1由构建商于2012年6月14日星期四11:20构建 思科分机:智能卡删除断开:Yes |
从服务器接收mode-config参数值。 |
||||
第1阶段在服务器上完成。启动快速模式(QM)流程。 |
8月24日11:31:13 [IKEv1解码]IP = 64.102.156.87,IKE响应器启动QM:msg id = 0e83792e 8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,延迟快速模式处理,Cert/Trans Exch/RM DSID in progressing 2024年8月24日11:31:13 [IKEv1]组= ipsec,用户名= user1,IP = 64.102.156.87,为192.168.1.100发送的无偿ARP 8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名=用户1,IP = 64.102.156.87,恢复快速模式处理,Cert/Trans Exch/RM DSID已完成 8月24日11:31:13 [IKEv1]组= ipsec,用户名= user1,IP = 64.102.156.87,第1阶段已完成 |
57411:28:38.63908/24/12Sev=调试/7IKE/0x63000076 NAV Trace->TM:MsgID=84B4B653CurState: TM_WAIT_MODECFGREPLYEvent:EV_RCVD_MSG 57511:28:38.63908/24/12Sev=信息/5IKE/0x63000010 MODE_CFG_REPLY:属性= INTERNAL_IPV4_ADDRESS:, 值= 192.168.1.100 57611:28:38.63908/24/12Sev=Info/5IKE/0x63000010 MODE_CFG_REPLY:属性= INTERNAL_IPV4_NETMASK:, 值= 255.255.255.0 57711:28:38.63908/24/12Sev=信息/5IKE/0x63000010 MODE_CFG_REPLY:属性= INTERNAL_IPV4_DNS(1):, 值= 192.168.1.99 57811:28:38.63908/24/12Sev=Info/5IKE/0x6300000D MODE_CFG_REPLY:属性= MODECFG_UNITY_SAVEPWD:,值= 0x00000000 57911:28:38.63908/24/12Sev=Info/5IKE/0x6300000E MODE_CFG_REPLY:属性= MODECFG_UNITY_DEFDOMAIN:, value = jyoungta- labdomain.cisco.com 58011:28:38.63908/24/12Sev=信息/5IKE/0x6300000D MODE_CFG_REPLY:属性= MODECFG_UNITY_PFS:,值= 0x00000000 58111:28:38.63908/24/12Sev=Info/5IKE/0x6300000E MODE_CFG_REPLY:属性= APPLICATION_VERSION, value = Cisco Systems, Inc ASA5505 8.4(4)1版由 builders on thu 2012年6月14日11:20 58211:28:38.63908/24/12Sev=信息/5IKE/0x6300000D MODE_CFG_REPLY:属性= MODECFG_UNITY_SMARTCARD_REMOVAL_DISCONNECT:,值= 0x00000001 58311:28:38.63908/24/12Sev=信息/5IKE/0x6300000D MODE_CFG_REPLY:属性=已接收并使用NAT-T 端口号,值= 0x00001194 58411:28:39.36708/24/12Sev=调试/9IKE/0x63000093 ini参数EnableDNSRedirection的值为1 58511:28:39.36708/24/12Sev=调试/7IKE/0x63000076 NAV Trace->TM:MsgID=84B4B653CurState: TM_MODECFG_DONEEvent:EV_MODECFG_DONE_SUC |
处理参数,并相应配置自身。 |
||
为客户端构造并发送DPD。 |
8月24日11:31:13 [IKEv1]IP = 64.102.156.87,此连接的保持连接类型:DPD 8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,启动P1重新生成密钥计时器:82080 秒. 8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名=用户1,IP = 64.102.156.87,发送通知消息 8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名=用户1,IP = 64.102.156.87,构造空白哈希负载 8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名=用户1,IP = 64.102.156.87,构造qm哈希负载 8月24日11:31:13 [IKEv1]IP = 64.102.156.87, IKE_DECODE SENDING消息(msgid=be8f7821),带负载:HDR + HASH(8)+ NOTIFY(11)+ NONE(0)总长度:92 |
||||
| ================对等体失效检测(DPD)================> | |||||
| 58811:28:39.79508/24/12Sev=调试/7IKE/0x63000015 intf_data:lcl=0x0501A8C0, mask=0x00FFFFFF, bcast=0xFF01A8C0, bcast_vra=0xFF07070A 58911:28:39.79508/24/12Sev=调试/7IKE/0x63000076 NAV跟踪 — >SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState: CMN_MODECFG_PROGEvent:EV_INIT_P2 59011:28:39.79508/24/12Sev=Info/4IKE/0x63000056 收到来自驱动程序的密钥请求:本地IP = 192.168.1.100,网关IP = 64.102.156.88,远程IP = 0.0.0.0 59111:28:39.79508/24/12Sev=调试/7IKE/0x63000076 NAV跟踪 — >SA:I_Cookie=D56197780D7BE3E5 R_Cookie=1B301D2DE710EDA0CurState: CMN_ACTIVEvent:EV_NO_EVENT 59211:28:39.79508/24/12Sev=调试/7IKE/0x63000076 NAV Trace->QM:MsgID=0E83792ECurState:QM_INITIALEvent:EV_INITIATOR 59311:28:39.79508/24/12Sev=调试/7IKE/0x63000076 NAV Trace->QM:MsgID=0E83792ECurState:QM_BLD_MSG1Event:EV_CHK_PFS 59411:28:39.79608/24/12Sev=调试/7IKE/0x63000076 NAV Trace->QM:MsgID=0E83792ECurState:QM_BLD_MSG1Event:EV_BLD_MSG 59511:28:39.79608/24/12Sev=调试/7IKE/0x63000076 NAV Trace->QM:MsgID=0E83792ECurState:QM_SND_MSG1Event:EV_START_RETRY_TMR |
启动QM,第2阶段。构建QM1。此过程包括: |
||||
| 59611:28:39.79608/24/12Sev=调试/7IKE/0x63000076 NAV Trace->QM:MsgID=0E83792ECurState:QM_SND_MSG1Event:EV_SND_MSG 59711:28:39.79608/24/12Sev=Info/4IKE/0x63000013 SENDING >> ISAKMP OAK QM *(哈希、SA、非、ID、ID)到64.102.156.88 |
发送QM1。 |
||||
| <==================快速模式消息1(QM1)============== | |||||
接收QM1。 |
8月24日11:31:13 [IKEv1]IP = 64.102.156.87,带负载的IKE_DECODE RECEIVED消息(msgid=e83792e):HDR + HASH(8)+ SA(1)+ NONCE(10)+ ID(5)+ ID(5)+ NONE(0)总长度:1026 | ||||
进程QM1。 相关配置: crypto dynamic-map |
8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名=用户1,IP = 64.102.156.87,处理哈希负载 8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名=用户1,IP = 64.102.156.87,正在处理SA负载 8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名=用户1,IP = 64.102.156.87,正在处理nonce负载 8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名=用户1,IP = 64.102.156.87,处理ID负载 8月24日11:31:13 [IKEv1 DECODE]Group = ipsec,Username = user1,IP = 64.102.156.87,ID_IPV4_ADDR ID received 192.168.1.100 8月24日11:31:13 [IKEv1]组= ipsec,用户名= user1,IP = 64.102.156.87,ID负载中的已接收远程代理主机数据:地址192.168.1.100,协议0,端口0 8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名=用户1,IP = 64.102.156.87,处理ID负载 8月24日11:31:13 [IKEv1 DECODE]Group = ipsec,Username = user1,IP = 64.102.156.87,ID_IPV4_ADDR_SUBNET ID received - 0.0.0.0 - 0.0.0.0 8月24日11:31:13 [IKEv1]组= ipsec,用户名= user1,IP = 64.102.156.87,ID负载中的已接收本地IP代理子网数据:地址0.0.0.0,掩码0.0.0,协议0,端口0 8月24日11:31:13 [IKEv1]组= ipsec,用户名= user1,IP = 64.102.156.87,QM IsRekeyed old sa not found by addr 8月24日11:31:13 [IKEv1]组= ipsec,用户名= user1,IP = 64.102.156.87,静态加密映射检查,检查映射=输出映射,序列= 10... 8月24日11:31:13 [IKEv1]组= ipsec,用户名= user1,IP = 64.102.156.87,静态加密映射检查通过:加密映射条目不完整! 8月24日11:31:13 [IKEv1 DEBUG]Group = ipsec,Username = user1,IP = 64.102.156.87,仅选择UDP封装隧道和NAT遍历定义的UDP封装传输模式 8月24日11:31:13 [IKEv1 DEBUG]Group = ipsec,Username = user1,IP = 64.102.156.87,仅选择UDP封装隧道和NAT遍历定义的UDP封装传输模式 8月24日11:31:13 [IKEv1]组= ipsec,用户名= user1,IP = 64.102.156.87,为加密映射配置的IKE远程对等体:out-dyn-map 8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名=用户1,IP = 64.102.156.87,处理IPSec SA负载 |
||||
构建QM2。 相关配置: tunnel-group EZ |
8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名=用户1,IP = 64.102.156.87,IPSec SA建议编号12,转换编号1可接受匹配全局IPSec SA条目编号10 8月24日11:31:13 [IKEv1]组= ipsec,用户名= user1,IP = 64.102.156.87,IKE:请求SPI! IPSEC:在0xcfdffc90下创建的新胚胎SA, SCB:0xCFDFFB58,方向:入站 SPI:0x9E18ACB2 会话 ID:0x00138000 VPIF编号:0x00000004 隧道类型:ra 协议:es 生命期:240 秒 8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,IKE从密钥引擎获取SPI:SPI = 0x9e18acb2 8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87, oakley构造快速模式 8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名=用户1,IP = 64.102.156.87,构造空白哈希负载 8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名=用户1,IP = 64.102.156.87,构造IPSec SA负载 8月24日11:31:13 [IKEv1]组= ipsec,用户名= user1,IP = 64.102.156.87,覆盖发起方的IPSec密钥更新持续时间2147483到86400秒 8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名=用户1,IP = 64.102.156.87,构造IPSecnonce负载 8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名=用户1,IP = 64.102.156.87,构造代理ID 8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名=用户1,IP = 64.102.156.87,传输代理ID: 远程主机:192.168.1.100协议0端口0 本地子网:0.0.0.0掩码0.0.0.0协议0端口0 8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名=用户1,IP = 64.102.156.87,向发起方发送RESPONDER LIFETIME通知 8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名=用户1,IP = 64.102.156.87,构造qm哈希负载 |
||||
发送QM2。 |
8月24日11:31:13 [IKEv1 DECODE]组= ipsec,用户名= user1,IP = 64.102.156.87,IKE Responder发送第2个QM数据包:msg id = 0e83792e 8月24日11:31:13 [IKEv1]IP = 64.102.156.87, IKE_DECODE SENDING Message(msgid=e83792e),带负载:HDR + HASH(8)+ SA(1)+ NONCE(10)+ ID(5)+ ID(5)+ NOTIFY(11)+ NONE(0)总长度:184 |
||||
| =================快速模式消息2(QM2)=================> | |||||
| 60811:28:39.96208/24/12Sev=Info/4IKE/0x63000014 接收<<< ISAKMP OAK QM *(哈希、SA、非、ID、ID、 NOTIFY:STATUS_RESP_LIFETIME),来自64.102.156.88 |
接收QM2。 |
||||
| 60911:28:39.96408/24/12Sev=解码/11IKE/0x63000001 ISAKMP报头 启动器COOKIE:D56197780D7BE3E5 响应器COOKIE:1B301D2DE710EDA0 下一个负载:散列 版本(十六进制):10 Exchange类型:快速模式 标志:(加密) 消息ID(十六进制):E83792E 长度:188 负载散列 下一负载:安全关联 保留:00 负载长度:24 数据(十六进制):CABF38A62C9B88D1691E81F3857D6189534B2EC0 负载安全关联 下一负载:Nonce 保留:00 负载长度:52 DOI:IPsec 情况:(SIT_IDENTITY_ONLY) 负载建议 下一负载:无 保留:00 负载长度:40 建议编号:1 协议ID:PROTO_IPSEC_ESP SPI大小:4 转换数:1 SPI:9E18ACB2 负载转换 下一负载:无 保留:00 负载长度:28 转换号:1 转换ID:ESP_3DES 保留2:0000 生命类型:秒 寿命(十六进制):0020C49B 封装模式:UDP隧道 Authentication Algorithm:SHA1 负载Nonce 下一负载:识别 保留:00 负载长度:24 数据(十六进制):3A079B75DA512473706F235EA3FCA61F1D15D4CD 负载标识 下一负载:识别 保留:00 负载长度:12 ID类型:IPv4地址 协议ID(UDP/TCP等):0 端口:0 ID数据冒号(&C);192.168.1.100 负载标识 下一负载:通知 保留:00 负载长度:16 ID类型:IPv4子网 协议ID(UDP/TCP等):0 端口:0 ID数据冒号(&C);0.0.0.0/0.0.0.0 负载通知 下一负载:无 保留:00 负载长度:28 DOI:IPsec 协议ID:PROTO_IPSEC_ESP SPI大小:4 通知类型:STATUS_RESP_LIFETIME SPI:9E18ACB2 数据冒号; 生命类型:秒 寿命(十六进制):00015180 |
进程QM2。解密的负载显示选定的提议。 |
||||
| 61011:28:39.96508/24/12Sev=调试/7IKE/0x63000076 NAV Trace->QM:MsgID=0E83792ECurState:QM_WAIT_MSG2事件:EV_RCVD_MSG 61111:28:39.96508/24/12Sev=Info/5IKE/0x63000045 RESPONDER-LIFETIME通知的值为86400秒 61211:28:39.96508/24/12Sev=调试/7IKE/0x63000076 NAV Trace->QM:MsgID=0E83792ECurState:QM_WAIT_MSG2事件:EV_CHK_PFS 61311:28:39.96508/24/12Sev=调试/7IKE/0x63000076 |
进程QM2。 |
||||
| NAV Trace->QM:MsgID=0E83792ECurState:QM_BLD_MSG3事件:EV_BLD_MSG 61411:28:39.96508/24/12Sev=调试/7IKE/0x63000076 ISAKMP报头 启动器COOKIE:D56197780D7BE3E5 响应器COOKIE:1B301D2DE710EDA0 下一个负载:散列 版本(十六进制):10 Exchange类型:快速模式 标志:(加密) 消息ID(十六进制):E83792E 长度:52 负载散列 下一负载:无 保留:00 负载长度:24 数据(十六进制):CDDC20D91EB4B568C826D6A5770A5CF020141236 |
构造QM3。已解密的QM3负载,如图所示。此过程包括哈希。 |
||||
| 61511:28:39.96508/24/12Sev=调试/7IKE/0x63000076 NAV Trace->QM:MsgID=0E83792ECurState:QM_SND_MSG3Event:EV_SND_MSG 61611:28:39.96508/24/12Sev=Info/4IKE/0x63000013 SENDING >>> ISAKMP OAK QM *(HASH)到64.102.156.88 |
发送QM3。客户端现在已准备好加密和解密。 |
||||
| <==================快速模式消息3(QM3)============= | |||||
接收QM3。 |
8月24日11:31:13 [IKEv1]IP = 64.102.156.87,带负载的IKE_DECODE RECEIVED消息(msgid=e83792e):HDR + HASH(8)+ NONE(0)总长度:52 | ||||
处理QM3。创建入站和出站安全参数索引(SPI)。 为主机添加静态路由。 相关配置: crypto ipsec transform- |
8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名=用户1,IP = 64.102.156.87,处理哈希负载 8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,加载所有IPSEC SA 8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,生成快速模式密钥! 8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名=用户1,IP = 64.102.156.87,NP加密规则查找加密映射out-dyn-map 10匹配ACL未知:返回 cs_id=cc107410;rule=00000000 8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,生成快速模式密钥! IPSEC:在0xcc9ed60下创建的新初期SA, SCB:0xCF7F59E0, 方向:出站 SPI:0xC055290A 会话 ID:0x00138000 VPIF编号:0x00000004 隧道类型:ra 协议:es 生命期:240 秒 IPSEC:已完成主机OBSA更新,SPI 0xC055290A IPSEC:创建出站VPN环境,SPI 0xC055290A 标志:0x00000025 SA:0xcc9ed60 SPI:0xC055290A MTU:1500 字节 VCID:0x00000000 对等体:0x00000000 SCB:0xA5922B6B 通道:0xc82afb60 IPSEC:已完成出站VPN环境,SPI 0xC055290A VPN句柄:0x0015909c IPSEC:新的出站加密规则,SPI 0xC055290A 源地址:0.0.0.0 源掩码:0.0.0.0 目的地址:192.168.1.100 目标掩码:255.255.255.255 源端口 上限:0 低:0 Op:忽略 目标端口 上限:0 低:0 Op:忽略 协议:0 使用协议:错误 SPI:0x00000000 使用SPI:错误 IPSEC:已完成出站加密规则,SPI 0xC055290A 规则ID:0xcb47a710 IPSEC:新的出站允许规则,SPI 0xC055290A 源地址:64.102.156.88 源掩码:255.255.255.255 目的地址:64.102.156.87 目标掩码:255.255.255.255 源端口 上限:4500 低:4500 Op:等于 目标端口 上限:58506 低:58506 Op:等于 协议:17 使用协议:真 SPI:0x00000000 使用SPI:错误 IPSEC:已完成出站允许规则,SPI 0xC055290A 规则ID:0xcdf3cfa0 8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名=用户1,IP = 64.102.156.87,NP加密规则查找加密映射out-dyn-map 10匹配ACL未知:返回 cs_id=cc107410;rule=00000000 8月24日11:31:13 [IKEv1]组= ipsec,用户名= user1,IP = 64.102.156.87,用户(用户1)响应方安全协商完成,入站SPI = 0x9e18acb2,出站 SPI = 0xc055290a 8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名=用户1,IP = 64.102.156.87,IKE 获取SA的KEY_ADD消息:SPI = 0xc055290a IPSEC:已完成主机IBSA更新,SPI 0x9E18ACB2 IPSEC:创建入站VPN环境,SPI 0x9E18ACB2 标志:0x00000026 SA:0xcfdffc90 SPI:0x9E18ACB2 MTU:0 bytes VCID:0x00000000 对等体:0x0015909C SCB:0xA5672481 通道:0xc82afb60 IPSEC:已完成入站VPN环境,SPI 0x9E18ACB2 VPN句柄:0x0016219c IPSEC:更新出站VPN环境0x0015909C、SPI 0xC055290A 标志:0x00000025 SA:0xcc9ed60 SPI:0xC055290A MTU:1500 字节 VCID:0x00000000 对等体:0x0016219C SCB:0xA5922B6B 通道:0xc82afb60 IPSEC:已完成出站VPN环境,SPI 0xC055290A VPN句柄:0x0015909c IPSEC:已完成出站内部规则,SPI 0xC055290A 规则ID:0xcb47a710 IPSEC:已完成出站外部SPD规则,SPI 0xC055290A 规则ID:0xcdf3cfa0 IPSEC:新入站隧道流规则,SPI 0x9E18ACB2 源地址:192.168.1.100 源掩码:255.255.255.255 目的地址:0.0.0.0 目标掩码:0.0.0.0 源端口 上限:0 低:0 Op:忽略 目标端口 上限:0 低:0 Op:忽略 协议:0 使用协议:错误 SPI:0x00000000 使用SPI:错误 IPSEC:已完成入站隧道流规则,SPI 0x9E18ACB2 规则ID:0xcdf15270 IPSEC:新入站解密规则,SPI 0x9E18ACB2 源地址:64.102.156.87 源掩码:255.255.255.255 目的地址:64.102.156.88 目标掩码:255.255.255.255 源端口 上限:58506 低:58506 Op:等于 目标端口 上限:4500 低:4500 Op:等于 协议:17 使用协议:真 SPI:0x00000000 使用SPI:错误 IPSEC:已完成入站解密规则,SPI 0x9E18ACB2 规则ID:0xce03c2f8 IPSEC:新入站允许规则,SPI 0x9E18ACB2 源地址:64.102.156.87 源掩码:255.255.255.255 目的地址:64.102.156.88 目标掩码:255.255.255.255 源端口 上限:58506 低:58506 Op:等于 目标端口 上限:4500 低:4500 Op:等于 协议:17 使用协议:真 SPI:0x00000000 使用SPI:错误 IPSEC:已完成入站允许规则,SPI 0x9E18ACB2 规则ID:0xcf6f58c0 8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名=用户1,IP = 64.102.156.87,投手:已接收KEY_UPDATE,spi 0x9e18acb2 8月24日11:31:13 [IKEv1 DEBUG]组= ipsec,用户名= user1,IP = 64.102.156.87,启动P2重新生成密钥计时器:82080 秒. 8月24日11:31:13 [IKEv1]组= ipsec,用户名= user1,IP = 64.102.156.87,添加客户端地址的静态路由:192.168.1.100 |
||||
第2阶段完成。双方现在都在加密和解密。 |
8月24日11:31:13 [IKEv1]组= ipsec,用户名= user1,IP = 64.102.156.87, PHASE 2 COMPLETED(msgid=0e83792e) |
||||
对于硬件客户端,在客户端发送有关自身信息的位置接收另一条消息。如果仔细查看,您应该找到EzVPN客户端的主机名、在客户端上运行的软件以及软件的位置和名称 |
2024年8月11:31:13日[IKEv1]:IP = 10.48.66.23,IKE_DECODE RECEIVED消息(msgid=91facca9),带负载:HDR + HASH(8)+ NOTIFY(11)+ NONE(0)总长度:184 8月24日11:31:13 [IKEv1调试]:组= EZ,用户名= cisco,IP = 10.48.66.23,处理哈希负载 8月24日11:31:13 [IKEv1调试]:组= EZ,用户名= cisco,IP = 10.48.66.23,处理通知负载 2024年8月11:31:13日[IKEv1 DECODE]:过时描述符 — 索引1 2024年8月11:31:13日[IKEv1 DECODE]:0000:00000000 7534000B 62736E73 2D383731 ....u4..bsns-871 0010:2D332E75 32000943 6973636F 20383731-3.u2.Cisco 871 0020:7535000B 46484B30 39343431 32513675 u5..FHK094412Q6u 0030:36000932 32383538 39353638 75390009 6..228589568u9.. 0040:31343532 31363331 32753300 2B666C61 145216312u3.+fla 0050:73683A63 3837302D 61647669 70736572 sh:c870-advipser 0060:76696365 736B392D 6D7A2E31 32342D32 vicesk9-mz.124-2 0070:302E5435 2E62696E 0.T5.bin 8月24日11:31:13 [IKEv1调试]:组= EZ,用户名= cisco,IP = 10.48.66.23,处理PSK哈希 2024年8月11:31:13日[IKEv1]:组= EZ,用户名= cisco,IP = 192.168.1.100,不一致的PSK散列大小 8月24日11:31:13 [IKEv1调试]:组= EZ,用户名= cisco,IP = 10.48.66.23,PSK哈希验证失败! |
||||
隧道验证
ISAKMP
sh cry isa sa det命令的输出为:
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 10.48.66.23
Type : user Role : responder
Rekey : no State : AM_ACTIVE
Encrypt : aes Hash : SHA
Auth : preshared Lifetime: 86400
Lifetime Remaining: 86387
AM_ACTIVE - aggressive mode is active.
IPsec
由于Internet控制消息协议(ICMP)用于触发隧道,因此只有一个IPsec SA处于启用状态。协议1是ICMP。请注意,SPI值与调试中协商的值不同。实际上,这是第2阶段重新生成密钥后的同一隧道。
sh crypto ipsec sa命令的输出为:
interface: outside
Crypto map tag: DYN, seq num: 10, local addr: 10.48.67.14
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.1.100/255.255.255.255/0/0)
current_peer: 10.48.66.23, username: cisco
dynamic allocated peer ip: 192.168.1.100
#pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
#pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 5, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 10.48.67.14/0, remote crypto endpt.: 10.48.66.23/0
path mtu 1500, ipsec overhead 74, media mtu 1500
current outbound spi: C4B9A77C
current inbound spi : EA2B6B15
inbound esp sas:
spi: 0xEA2B6B15 (3928714005)
transform: esp-aes esp-sha-hmac no compression
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 425984, crypto-map: DYN
sa timing: remaining key lifetime (sec): 28714
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x0000003F
outbound esp sas:
spi: 0xC4B9A77C (3300501372)
transform: esp-aes esp-sha-hmac no compression
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 425984, crypto-map: DYN
sa timing: remaining key lifetime (sec): 28714
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
25-Jun-2013 |
初始版本 |
反馈