تصحيح أخطاء ASA IPsec و IKE (الوضع الرئيسي IKEv1) أستكشاف أخطاء TechNote وإصلاحها
خيارات التنزيل
-
ePub (95.7 KB)
العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
لغة خالية من التحيز
تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
حول هذه الترجمة
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
المحتويات
المقدمة
يصف هذا المستند تصحيح الأخطاء على جهاز الأمان القابل للتكيف (ASA) عند إستخدام كل من الوضع الرئيسي والمفتاح المشترك مسبقا (PSK). تتم أيضا مناقشة ترجمة بعض سطور تصحيح الأخطاء إلى التكوين.
تتضمن المواضيع التي لم تتم مناقشتها في هذا المستند حركة مرور البيانات بعد إنشاء النفق والمفاهيم الأساسية لتبادل مفتاح الإنترنت (IKE) أو IPsec.
المتطلبات الأساسية
المتطلبات
يجب أن يكون لدى قراء هذا المستند معرفة بالمواضيع التالية.
-
PSK
-
آيك
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات المكونات المادية والبرامج التالية:
-
Cisco ASA 9.3.2
-
الموجهات التي تعمل بنظام التشغيل Cisco IOS®، الإصدار 12.4T
مسألة أساسية
تكون عمليات تصحيح أخطاء IKE و IPsec مشفرة في بعض الأحيان، ولكن يمكنك إستخدامها لفهم موقع مشكلة إنشاء نفق VPN IPsec.
سيناريو
عادة ما يتم إستخدام الوضع الرئيسي بين أنفاق الشبكة المحلية (LAN) إلى الشبكة المحلية (LAN) أو، في حالة الوصول عن بعد (EzVPN)، عند إستخدام الشهادات للمصادقة.
يأتي تصحيح الأخطاء من نقطتي ASAs اللتين تشغلان الإصدار 9.3.2 من البرنامج. سيشكل الجهازان نفق من شبكة LAN إلى شبكة LAN.
ويصف سيناريوهان رئيسيان:
- ASA كبادئ ل IKE
- ASA كمستجيب ل IKE
أوامر التصحيح المستخدمة
debug crypto ikev1 127
debug crypto ipSec 127
تكوين ASA
تكوين IPsec:
crypto ipsec transform-set TRANSFORM esp-aes esp-sha-hmac[an error occurred while processing this directive]
crypto map MAP 10 match address VPN
crypto map MAP 10 set peer 10.0.0.2
crypto map MAP 10 set transform-set TRANSFORM
crypto map MAP 10 set reverse-route
crypto map MAP interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group 10.0.0.2 type ipsec-l2l
tunnel-group 10.0.0.2 ipsec-attributes
pre-shared-key cisco
access-list VPN extended permit tcp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
تكوين IP:
ciscoasa#
show ip
[an error occurred while processing this directive]
System IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet0/0 inside 192.168.1.1 255.255.255.0 manual
GigabitEthernet0/1 outside 10.0.0.1 255.255.255.0 manual
Current IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet0/0 inside 192.168.1.1 255.255.255.0 manual
GigabitEthernet0/1 outside 10.0.0.1 255.255.255.0 manual
تشكيل nat:
object network INSIDE-RANGE[an error occurred while processing this directive]
subnet 192.168.1.0 255.255.255.0 object network FOREIGN_NETWORK
subnet 192.168.2.0 255.255.255
nat (inside,outside) source static INSIDE-RANGE INSIDE-RANGE destination static
FOREIGN_NETWORK FOREIGN_NETWORK no-proxy-arp route-lookup
تصحيح الأخطاء
| وصف رسالة البادئ |
تصحيح الأخطاء |
وصف رسالة المستجيب |
|||
| يبدأ تبادل الوضع الرئيسي؛ لم يتم مشاركة أي سياسات، ولا يزال الأقران في MM_NO_STATE.
كبادئ، يبدأ ASA في بناء الحمولة. |
[تصحيح أخطاء IKEv1]: Pitcher: تم تلقي رسالة اكتساب مفتاح، spi 0x0 |
|
|||
| التركيب MM1
هذه العمليةنكلودز الأولالمقترح القومي لمعهد الطاقة الدولية ونظام الطاقةبائعو NAT-T مدعومون. |
[تصحيح أخطاء IKEv1]: IP = 10.0.0.2، إنشاء حمولة ISAKMP SA [تصحيح أخطاء IKEv1]: IP = 10.0.0.2، إنشاء حمولة NAT-Traversal VID ver 02 |
||||
| إرسال MM1. |
[IKEv1]: IP = 10.0.0.2، IKE_Decode Send Message (msgid=0) مع الحمولات : HDR + SA (1) + المورد (13) + المورد (13) + المورد (13) + المورد (13) + لا شيء (0) الطول الإجمالي : 168 |
||||
| =================================================================> |
|
||||
|
|
[IKEv1]: IP = 10.0.0.2، IKE_Decode Receive Message (msgid=0) with payload: HDR + SA (1) + Vendor (13) + Vendor (13) + Vendor (13) + Vendor (13) + None (0) الطول الإجمالي : 164 |
تم تلقي MM1 من البادئ.
|
|||
|
|
[تصحيح أخطاء IKEv1]: IP = 10.0.0.2، معالجة حمولة SA [تصحيح أخطاء IKEv1]: IP = 10.0.0.2، مقترح Oakley مقبول [تصحيح أخطاء IKEv1]: IP = 10.0.0.2، معالجة حمولة VID [تصحيح أخطاء IKEv1]: IP = 10.0.0.2، مقترح IKE SA # 1، تحويل # 1 تطابق مقبول لإدخال IKE العالمي # 2 |
معالجة MM1.
تبدأ مقارنة سياسات ISAKMP/IKE. يعلن النظير البعيد أنه يمكنه إستخدام NAT-T.
التكوين ذي الصلة: مشاركة مسبقة للمصادقة تشفير 3des حاش شعبان المجموعة الثانية مدى الحياة 86400 |
|||
|
|
[تصحيح أخطاء IKEv1]: IP = 10.0.0.2، إنشاء حمولة ISAKMP SA |
بناء MM2.
في هذه الرسالة، يحدد المستجيب أي إعدادات نهج ISAKMP سيتم إستخدامها. كما تعلن عن إصدارات NAT-T التي يمكنها إستخدامها. |
|||
|
|
[IKEv1]: IP = 10.0.0.2، IKE_Decode Send Message (msgid=0) مع الحمولات : HDR + SA (1) + المورد (13) + المورد (13) + لا شيء (0) الطول الإجمالي : 128 |
إرسال MM2. |
|||
|
|
<========================================================================= |
|
|||
| تم تلقي MM2 من المستجيب. |
[IKEv1]: IP = 10.0.0.2، IKE_Decode Receive Message (msgid=0) مع الحمولات: HDR + SA (1) + Vendor (13) + None (0) الطول الإجمالي : 104
|
|
|||
| معالجة MM2. |
[تصحيح أخطاء IKEv1]: IP = 10.0.0.2، معالجة حمولة SA
|
|
|||
| التركيب MM3.
هذه العمليةنكلودزحمولات اكتشاف NAT، Diffie-حمولة تبادل مفتاح Hellman (DH) (KE) (iوحدة التحكم التي تتضمن g و p و a إلى وحدة الاستجابة)، و دعم DPD. |
نوفمبر 30 10:38:29 [تصحيح أخطاء IKEv1]: IP = 10.0.0.2، إنشاء حمولة ke |
|
|||
| إرسال MM3. |
[IKEv1]: IP = 10.0.0.2، IKE_Decode Send Message (msgid=0) مع الحمولات : HDR + KE (4) + NONCE (10) + المورد (13) + المورد (13) + المورد (13) + المورد (13) + NAT-D (20) + NAT-D (20) + NAT-D (20) + لا شيء (0) الطول الكلي : 304
|
|
|||
|
|
===========================mm3==============================> |
|
|||
|
|
[IKEv1]: IP = 10.0.0.2، IKE_Decode تم إستلام الرسالة (msgid=0) مع الحمولات : HDR + KE (4) + NONCE (10) + المورد (13) + المورد (13) + NAT-D (130) + NAT-D (130) + NAT-D (130) + لا شيء (0) إجمالي الطول : 284 : |
تم تلقي MM3 من البادئ. |
|||
|
|
[تصحيح أخطاء IKEv1]: IP = 10.0.0.2، معالجة حمولة ke |
معالجة MM3.
من المستجيب لحمولات NAT-D يكون قادرا على تحديد ما إذا كان فالداخل خلف NAT و إذا المستجيب وراء NAT.
من DH KE، يحصل المستجيب للحمولة على قيم p، g و a. |
|||
|
|
[تصحيح أخطاء IKEv1]: IP = 10.0.0.2، تجزئة اكتشاف NAT للحوسبة |
التركيب MM4.
هذه العمليةنكلودز حمولة اكتشاف NAT، DH KE rESPONDER يلد "B" و"s" (يرسل "B" إلى InAtor)، و DPD VID. |
|||
|
|
[IKEv1]: IP = 10.0.0.2، تم تنزيل الاتصال على tunnel_group 10.0.0.2 |
يقترن النظير بمجموعة نفق 10.0.0.2 L2L، ويتم إنشاء مفاتيح التشفير والتجزئة من "s" أعلاه والمفتاح المشترك مسبقا. |
|||
|
|
[IKEv1]: IP = 10.0.0.2، IKE_Decode Send Message (msgid=0) مع الحمولات : HDR + KE (4) + NONCE (10) + المورد (13) + المورد (13) + المورد (13) + NAT-D (130) + NAT-D (130) + NAT-D (130) + لا شيء (0) إجمالي الطول : 304 |
إرسال MM4. |
|||
|
|
<========================mm4============================ |
|
|||
| تم تلقي MM4 من المستجيب. |
[IKEv1]: IP = 10.0.0.2، IKE_Decode Receive Message (msgid=0) مع الحمولات : HDR + KE (4) + NONCE (10) + المورد (13) + المورد (13) + المورد (13) + NAT-D (20) + NAT-D (20) + NAT-D (20) + لا شيء (0) إجمالي الطول : 304
|
|
|||
| معالجة MM4.
من حمولات NAT-D، يمكن الآن للمصدر تحديد ما إذا اللا هو ورا نت وازا الل المستجيب وراء NAT.
|
[تصحيح أخطاء IKEv1]: IP = 10.0.0.2، معالجة حمولة IKE |
|
|||
|
يقترن النظير بمجموعة النفق 10.0.0.2 L2L، ويقوم المسؤول بإنشاء التشفير ومفاتيح التجزئة باستخدام "S" أعلاه والمفتاح المشترك مسبقا.
|
[IKEv1]: IP = 10.0.0.2، تم تنزيل الاتصال على tunnel_group 10.0.0.2 [تصحيح أخطاء IKEv1]: المجموعة = 10.0.0.2، IP = 10.0.0.2، إنشاء مفاتيح للبادئ.. |
|
|||
| التركيب MM5.
التكوين ذي الصلة: هوية ISAKMP المشفرة |
[تصحيح أخطاء IKEv1]: المجموعة = 10.0.0.2، IP = 10.0.0.2، إنشاء حمولة المعرف |
|
|||
| إرسال MM5. |
[IKEv1]: IP = 10.0.0.2، IKE_Decode Send Message (msgid=0) مع الحمولات : HDR + ID (5) + HASH (8) + IOS Keepalive (128) + المورد (13) + لا شيء (0) الطول الإجمالي : 96 |
|
|||
|
|
=======================mm5=================================> |
|
|||
| المستجيب ليس وراء أي nat. لا يتطلب NAT-T. |
[IKEv1]: المجموعة = 10.0.0.2، IP = 10.0.0.2، حالة الكشف التلقائي عن nat: الطرف البعيد ليس خلف جهاز nat هذا الطرف ليس خلف جهاز nat |
[IKEv1]: IP = 10.0.0.2، IKE_Decode Receive Message (msgid=0) مع الحمولات : HDR + ID (5) + HASH (8) + NONE (0) الطول الإجمالي : 64 |
تم تلقي MM5 من البادئ.
هذه العمليةنكلودز rمعرف النظير (ID) و Cالهبوط الاضطراري في مجموعه نفق معينه. |
||
|
|
[تصحيح أخطاء IKEv1]: المجموعة = 10.0.0.2، IP = 10.0.0.2، حمولة معرف المعالجة [IKEv1]: IP = 10.0.0.2، تم تنزيل الاتصال على tunnel_group 10.0.0.2 |
معالجة MM5.
تبدأ المصادقة بالمفاتيح المشتركة مسبقا الآن. تحدث المصادقة على كلا النظرين؛ وبالتالي، سترى مجموعتين من عمليات المصادقة المطابقة.
التكوين ذي الصلة: |
|||
|
|
حالة الكشف: الطرف البعيد ليس خلف جهاز nat هذه النهاية ليست خلف جهاز nat |
لا NAT-T مطلوب في هذه الحالة. |
|||
|
|
[تصحيح أخطاء IKEv1]: المجموعة = 10.0.0.2، IP = 10.0.0.2، إنشاء حمولة المعرف |
التركيب MM6.
إرسال الهوية تتضمن وقت بدء تشغيل المفتاح و الهوية المرسلة إلى النظير البعيد. |
|||
|
|
[IKEv1]: IP = 10.0.0.2، IKE_Decode Send Message (msgid=0) مع الحمولات : HDR + ID (5) + HASH (8) + IOS Keepalive (128) + المورد (13) + لا شيء (0) الطول الإجمالي : 96 |
إرسال MM6. |
|||
|
|
<=========================================================================== |
|
|||
| MM6 تم إستلامه من المستجيب. |
[IKEv1]: IP = 10.0.0.2، IKE_Decode Receive Message (msgid=0) مع الحمولات : HDR + ID (5) + HASH (8) + NONE (0) الطول الإجمالي : 64 |
[IKEv1]: المجموعة = 10.0.0.2، IP = 10.0.0.2، اكتملت المرحلة الأولى |
اكتملت المرحلة الأولى.
بدء مؤقت إعادة توجيه ISAKMP.
التكوين ذي الصلة: |
||
| معالجة MM6.
هذه العمليةنكلودز rتم إرسال الهوية الصوتية من النظير و fقرار أخير بشأن إختيار مجموعة الأنفاق. |
[تصحيح أخطاء IKEv1]: المجموعة = 10.0.0.2، IP = 10.0.0.2، حمولة معرف المعالجة |
|
|||
| اكتملت المرحلة الأولى.
بدء مؤقت مفتاح ISAKMP.
جيم ذات الصلةالتكوين: نوع مجموعة النفق 10.0.0.2 ipSEC-l2l سمات مجموعة النفق 10.0.0.2 IPsec مفتاح مشترك مسبقا Cisco |
[IKEv1]: المجموعة = 10.0.0.2، IP = 10.0.0.2، اكتملت المرحلة 1 |
|
|||
| تبدأ المرحلة الثانية (الوضع السريع). |
IPSec: تم إنشاء SA جنيني جديد عند 0x53FC3C00، |
||||
| التركيب QM1.
وتتضمن هذه العملية ما يلي معرفات الوكيل و IPثانية السياسات.
التكوين ذي الصلة: الوصول-list VPN Extended Permit ICMP 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 |
[IKEv1 debug]: المجموعة = 10.0.0.2، IP = 10.0.0.2، حصلت IKE على SPI من المحرك الرئيسي: SPI = 0xfd2d851f [IKEv1 Decode]: المجموعة = 10.0.0.2، IP = 10.0.0.2، بادئ IKE يرسل جهة الاتصال الأولية |
|
|||
| إرسال الطراز QM1. |
[IKEv1]: IP = 10.0.0.2، IKE_Decode Send Message (msgid=7b80c2b0) مع الحمولات : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NOTIFY (11) + NONE (0) الطول الكلي : 200 |
|
|||
|
|
===========================qm1==============================> |
|
|||
|
|
[فك ترميز IKEv1]: IP = 10.0.0.2، المستجيب ل IKE الذي يقوم بتشغيل QM: msg id = 52481cf5 [IKEv1]: IP = 10.0.0.2، IKE_Decode Receive Message (msgid=52481cf5) مع الحمولات : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0) الطول الإجمالي : 172 |
تم تلقي QM1 من البادئ.
المستجيب يبدأ المرحلة 2 (QM). |
|||
| [تصحيح أخطاء IKEv1]: المجموعة = 10.0.0.2، IP = 10.0.0.2، معالجة حمولة التجزئة |
معالجة QM1.
هذه العملية مقارنة الوكلاء عن بعد بالمقارنات المحلية و يحدد IP مقبولثانية السياسة.
التكوين ذي الصلة: تحويل IPsec مجموعة تحويل ESP-AES esp-sha-hmac الوصول-list VPN Extended Permit ICMP 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 عنوان مطابقة خريطة التشفير 10 لشبكة VPN |
||||
|
|
[IKEv1 Decode]: المجموعة = 10.0.0.2، IP = 10.0.0.2، ID_IPv4_ADDR_SUBNET ID الذي تم إستلامه—192.168.2.0—255.255.255.0[IKEv1]: المجموعة = 10.0.0.2، IP = 10.0.0.2، تم إستلام بيانات الشبكة الفرعية لوكيل IP عن بعد في حمولة المعرف: العنوان 192.6 8.2.0، القناع 255.255.255.0، البروتوكول 1، المنفذ 0 [تصحيح أخطاء IKEv1]: المجموعة = 10.0.0.2، IP = 10.0.0.2، حمولة معرف المعالجة |
يتم تلقي الشبكات الفرعية البعيدة والمحلية (192.168.2.0/24 و 192.168.1.0/24). |
|||
|
|
[IKEv1]: المجموعة = 10.0.0.2، IP = 10.0.0.2، QM IsReated قديم لم يتم العثور عليه بواسطة ADDR |
تم البحث عن إدخال تشفير ثابت مطابق وتم العثور عليه. |
|||
|
|
[IKEv1]: المجموعة = 10.0.0.2، IP = 10.0.0.2، IKE: طلب SPI! |
التركيب QM2.
هذه العمليةنكلودز سيتأكيد هويات الوكيل، ونوع النفق، و يتم إجراء التحقق من قوائم التحكم في الوصول (ACL) المشفرة المنعكسة. |
|||
|
|
[IKEv1]: IP = 10.0.0.2، IKE_Decode Send Message (msgid=52481cf5) مع الحمولات: HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0) الطول الإجمالي: 172 |
إرسال QM2. |
|||
|
|
<========================qm2========================================= |
|
|||
| تم تلقي الطراز QM2 من المستجيب. |
[IKEv1]: IP = 10.0.0.2، IKE_Decode Receive Message (msgid=7b80c2b0) مع الحمولات : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NOTIFY (11) + NONE (0) الطول الكلي : 200 |
|
|||
| معالجة QM2.
في هذه العملية، Rيرسل إنهاء التعبير معلمات و يتم انتقاء أقصر فترة حياة مقترحة للمرحلة الثانية. |
[تصحيح أخطاء IKEv1]: المجموعة = 10.0.0.2، IP = 10.0.0.2، معالجة حمولة التجزئة |
|
|||
| تم العثور على خريطة تشفير مطابقة "MAP" والمدخل 10 ومطابقتها مقابل قائمة الوصول "VPN." |
[IKEv1 debug]: المجموعة = 10.0.0.2، IP = 10.0.0.2، قاعدة تشفير NP البحث عن خريطة التشفير MAP 10 المطابقة لقائمة التحكم بالوصول (ACL) VPN: المرتجعة cs_id=53f11198؛ القاعدة=53f11a90 |
|
|||
| قام الجهاز بإنشاء SPIs 0xfd2d851f و 0xdde50931لحركة المرور الواردة والصادرة على التوالي. |
[تصحيح أخطاء IKEv1]: المجموعة = 10.0.0.2، IP = 10.0.0.2، إنشاء مفتاح الوضع السريع! |
|
|||
| التركيب QM3.
تأكيد تم إنشاء جميع SPIs للنظير البعيد. |
IPSec: اكتمل تحديث IBSA المضيف، SPI 0xFD2D851F |
|
|||
| إرسال QM3. |
[IKEv1 Decode]: المجموعة = 10.0.0.2، IP = 10.0.0.2، بادئ IKE يرسل ثالث QM pkt: msg id = 7b80c2b0 |
|
|||
|
|
==========================qm3====================================> |
|
|||
| اكتملت المرحلة الثانية.
البادئ جاهز الآن لتشفير الحزم وفك تشفيرها باستخدام قيم SPI هذه. |
[IKEv1]: IP = 10.0.0.2، IKE_Decode Send Message (msgid=7b80c2b0) مع الحمولات : HDR + HASH (8) + NONE (0) الطول الإجمالي: 76 |
[IKEv1]: IP = 10.0.0.2، IKE_Decode Receive Message (msgid=52481cf5) مع الحمولات : HDR + التجزئة (8) + لا شيء (0) الطول الإجمالي : 52 |
جهاز إستقبال QM3 من البادئ. |
||
|
|
[تصحيح أخطاء IKEv1]: المجموعة = 10.0.0.2، IP = 10.0.0.2، معالجة حمولة التجزئة |
معالجة QM3.
يتم إنشاء مفاتيح التشفير لمزودي الخدمات (SAs) للبيانات.
خلال هذه العملية، تم تعيين SPIs لتمرير حركة المرور. |
|||
|
|
[IKEv1]: المجموعة = 10.0.0.2، IP = 10.0.0.2، اكتمال تفاوض الأمان لمجموعة الاتصال من الشبكة المحلية (LAN) (10.0.0.2) المستجيب، SPI الوارد = 0x1698cac7، SPI الصادر = 0xdb680406 IPSec: اكتمل تحديث IBSA المضيف، SPI 0x1698CAC7 |
يتم تعيين SPIs إلى وحدات SAs للبيانات. |
|||
|
|
[تصحيح أخطاء IKEv1]: المجموعة = 10.0.0.2، IP = 10.0.0.2، بدء مؤقت إعادة مفتاح P2: 3060 ثانية. |
بدء وقت إعادة مفاتيح IPsec. |
|||
|
|
[IKEv1]: المجموعة = 10.0.0.2، IP = 10.0.0.2، المرحلة 2 المكتملة (msgid=52481cf5) |
اكتملت المرحلة الثانية. يمكن لكل من المستجيب والبادئ تشفير حركة المرور/فك تشفيرها. |
|||
التحقق من النفق
ملاحظة: نظرا لاستخدام بروتوكول ICMP لتشغيل النفق، فلم يتم تشغيل سوى منفذ IPSec واحد فقط. البروتوكول 1 = ICMP.
show crypto ipsec sa
interface: outside
Crypto map tag: MAP, seq num: 10, local addr: 10.0.0.1
access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/1/0)
remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/1/0)
current_peer: 10.0.0.2
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 10.0.0.1/0, remote crypto endpt.: 10.0.0.2/0
path mtu 1500, ipsec overhead 74, media mtu 1500
current outbound spi: DB680406
current inbound spi : 1698CAC7
inbound esp sas:
spi: 0x1698CAC7(379112135)[an error occurred while processing this directive]
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 16384, crypto-map: MAP
sa timing: remaining key lifetime (kB/sec): (3914999/3326)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x0000001F
outbound esp sas:
spi: 0xDB680406 (3681027078)
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 16384, crypto-map: MAP
sa timing: remaining key lifetime (kB/sec): (3914999/3326)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001show crypto isakmp sa
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 10.0.0.2
Type :L2LRole :responder
Rekey : no State :MM_ACTIVE[an error occurred while processing this directive]
معلومات ذات صلة
- مكان جيد للبدء هو مقال على موقع IPSec. تحتوي المعايير والمراجع على الكثير من المعلومات المفيدة
- أستكشاف أخطاء IPsec وإصلاحها: فهم أوامر تصحيح الأخطاء واستخدامها
- الدعم التقني والمستندات - Cisco Systems
تمت المساهمة بواسطة مهندسو Cisco
- Atri Basu, Marcin Latosiewicz, and Jay Young TaylorCisco TAC Engineers.
التعليقاتاتصل بنا
- فتح حالة دعم
- (تتطلب عقد خدمة Cisco)