Konfigurieren von IKEv1-IPsec-Site-to-Site-Tunneln mit dem ASDM oder der CLI auf der ASAv

Download-Optionen

  • PDF     (782.1 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (613.1 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (875.4 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:13. April 2018
Dokument-ID:119141

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die Konfiguration eines IKEv1 IPsec-Site-to-Site-Tunnels zwischen zwei Cisco Secure Firewall Virtual (ASAv) mit v9.18.3 beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Die End-to-End-IP-Verbindung muss hergestellt werden.
    • Diese Protokolle müssen zugelassen sein:
      1. User Datagram Protocol (UDP) 500 und 4500 für die IPsec-Kontrollebene
      2. Encapsulating Security Payload (ESP) IP Protocol 50 für die IPsec-Datenebene

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf der folgenden Software- und Hardwareversion:

    • Cisco Secure Firewall ASA Virtual mit der Softwareversion 9.18.3

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Konfigurieren

    In diesem Abschnitt wird beschrieben, wie Sie den Site-to-Site-VPN-Tunnel mithilfe des ASDM-VPN-Assistenten (Adaptive Security Device Manager) oder über die CLI konfigurieren.

    Netzwerkdiagramm

    Diese Topologie wird für die Beispiele im gesamten Dokument verwendet:

    TopologiediagrammTopologiediagramm


    Konfiguration über den ASDM VPN Wizard

    Führen Sie die folgenden Schritte aus, um den Site-to-Site-VPN-Tunnel mithilfe des ASDM-Assistenten einzurichten:

    1. Öffnen Sie den ASDM, und navigieren Sie zu Wizards > VPN Wizards > Site-to-site VPN Wizard.

      VPN-Assistent - NavigationVPN-Assistent - Navigation
    2. Klicken Sie aufNext, sobald Sie die Startseite des Assistenten erreichen.

      Fenster Fenster "VPN Wizard" 1

      Hinweis: Die neuesten ASDM-Versionen bieten einen Link zu einem Video, in dem diese Konfiguration erläutert wird.

    3. Konfigurieren Sie die IP-Adresse des Peers. In diesem Beispiel ist die Peer-IP-Adresse an Standort B auf 10.106.67.91 festgelegt. Wenn Sie die Peer-IP-Adresse an Standort A konfigurieren, muss sie in 10.106.67.90 geändert werden. Die Schnittstelle, über die das Remote-Ende erreicht werden kann, wird ebenfalls angegeben. Klicken Sie Next auf, sobald Sie fertig sind.

      Fenster Fenster "VPN Wizard" 2
    4. Konfigurieren der lokalen und Remote-Netzwerke (Datenverkehrsquelle und -ziel) Dieses Bild zeigt die Konfiguration für Standort B (das Gegenteil trifft auf Standort A zu).

      Fenster Fenster "VPN Wizard" 3
    5. Konfigurieren Sie auf der Seite Sicherheit den vorinstallierten Schlüssel (er muss auf beiden Seiten übereinstimmen). Klicken Sie Next auf, sobald Sie fertig sind.

      Fenster Fenster "VPN Wizard" 4
    6. Konfigurieren Sie die Quellschnittstelle für den Datenverkehr auf der ASA. Der ASDM erstellt automatisch die Network Address Translation (NAT)-Regel auf Basis der ASA-Version und überträgt diese an die restliche Konfiguration im letzten Schritt.

      Hinweis: In diesem Beispiel ist "inside" die Quelle für den Datenverkehr.

      Fenster Fenster "VPN Wizard" 5
    7. Der Assistent bietet nun eine Zusammenfassung der Konfiguration, die per Push an die ASA gesendet wird. Überprüfen und überprüfen Sie die Konfigurationseinstellungen, und klicken Sie dann auf Finish.

      Fenster Fenster "VPN Wizard" 6

    Konfiguration über die CLI

    In diesem Abschnitt wird beschrieben, wie der IKEv1-IPsec-Site-to-Site-Tunnel über die CLI konfiguriert wird.

    Konfigurieren von Standort B

    Tipp: Ein IKEv2-Konfigurationsbeispiel mit der ASA finden Sie im Cisco Dokument Site-to-Site IKEv2 Tunnel between ASA and Router Configuration Example.

    Phase 1 (IKEv1)

    Führen Sie die folgenden Schritte für die Konfiguration von Phase 1 aus:

    1. Geben Sie diesen Befehl in die CLI ein, um IKEv1 auf der externen Schnittstelle zu aktivieren:

      crypto ikev1 enable outside
    2. Erstellen Sie eine IKEv1-Richtlinie, die die Algorithmen/Methoden für Hashing, Authentifizierung, Diffie-Hellman-Gruppe, Lebensdauer und Verschlüsselung definiert:

      crypto ikev1 policy 1
      ! The 1 in the above command refers to the Policy suite priority (1 highest, 65535 lowest)
        authentication pre-share
        encryption aes-256
        hash sha
        group 14
        lifetime 86400
    3. Erstellen Sie eine Tunnelgruppe unter den IPsec-Attributen, und konfigurieren Sie die Peer-IP-Adresse und den vorinstallierten Tunnelschlüssel:

      tunnel-group 10.106.67.90 type ipsec-l2l
      tunnel-group 10.106.67.90 ipsec-attributes
       ikev1 pre-shared-key cisco
       ! Note the IKEv1 keyword at the beginning of the pre-shared-key command.
      4.

    Phase 2 (IPsec)

    Führen Sie die folgenden Schritte für die Konfiguration von Phase 2 aus:

    1. Erstellen Sie eine Zugriffsliste, die den zu verschlüsselnden und zu tunnelnden Datenverkehr definiert. In diesem Beispiel ist der relevante Datenverkehr der Datenverkehr aus dem Tunnel, der vom Subnetz 10.2.2.0 an 10.1.1.0 stammt. Sie kann mehrere Einträge enthalten, wenn zwischen den Standorten mehrere Subnetze vorhanden sind.

      object network 10.2.2.0_24
       subnet 10.2.2.0 255.255.255.0
      object network 10.1.1.0_24
       subnet 10.1.1.0 255.255.255.0

      access-list 100 extended permit ip object 10.2.2.0_24 object 10.1.1.0_24
    2. Konfigurieren Sie den Transformationssatz (TS), der das Schlüsselwort enthalten muss IKEv1. Auch am Remote-Ende muss ein identischer TS erstellt werden. 

      crypto ipsec ikev1 transform-set myset esp-aes-256 esp-sha-hmac
    3. Konfigurieren Sie die Crypto Map, die folgende Komponenten enthält:
      • Die Peer-IP-Adresse
      • Die definierte Zugriffsliste, die den relevanten Datenverkehr enthält
      • TS
      • Eine optionale PFS-Einstellung (Perfect Forward Secrecy), die ein neues Paar Diffie-Hellman-Schlüssel erstellt, die zum Schutz der Daten verwendet werden (beide Seiten müssen PFS-fähig sein, bevor Phase 2 aktiviert wird).

    4. Wenden Sie die Crypto Map auf die externe Schnittstelle an:

      crypto map outside_map 20 match address 100
      crypto map outside_map 20 set peer 10.106.67.90
      crypto map outside_map 20 set ikev1 transform-set myset
      crypto map outside_map 20 set pfs
      crypto map outside_map interface outside
      5.

    NAT-Ausnahme

    Stellen Sie sicher, dass der VPN-Datenverkehr keiner anderen NAT-Regel unterliegt. Dies ist die verwendete NAT-Regel:

       

    nat (inside,outside) 1 source static 10.2.2.0_24 10.2.2.0_24 destination static 10.1.1.0_24 10.1.1.0_24 no-proxy-arp route-lookup

    Hinweis: Wenn mehrere Subnetze verwendet werden, müssen Sie Objektgruppen mit allen Quell- und Zielsubnetzen erstellen und diese in der NAT-Regel verwenden.

       

    object-group network 10.x.x.x_SOURCE
     network-object 10.4.4.0 255.255.255.0
     network-object 10.2.2.0 255.255.255.0

    object network 10.x.x.x_DESTINATION
     network-object 10.3.3.0 255.255.255.0
     network-object 10.1.1.0 255.255.255.0

    nat (inside,outside) 1 source static 10.x.x.x_SOURCE 10.x.x.x_SOURCE destination static 10.x.x.x_DESTINATION 10.x.x.x_DESTINATION no-proxy-arp route-lookup 


    Vollständige Beispielkonfiguration

    Nachfolgend finden Sie die vollständige Konfiguration für Standort B:

    crypto ikev1 enable outside

    crypto ikev1 policy 10
     authentication pre-share
     encryption aes-256
     hash sha
     group 14
     lifetime 86400

    tunnel-group 10.106.67.90 type ipsec-l2l
    tunnel-group 10.106.67.90 ipsec-attributes
     ikev1 pre-shared-key cisco
     !Note the IKEv1 keyword at the beginning of the pre-shared-key command.

    object network 10.2.2.0_24 
     subnet 10.2.2.0 255.255.255.0 
    object network 10.1.1.0_24 
     subnet 10.1.1.0 255.255.255.0

    access-list 100 extended permit ip object 10.2.2.0_24 object 10.1.1.0_24

    crypto ipsec ikev1 transform-set myset esp-aes esp-sha-hmac

    crypto map outside_map 20 match address 100
    crypto map outside_map 20 set peer 10.106.67.90
    crypto map outside_map 20 set ikev1 transform-set myset
    crypto map outside_map 20 set pfs
    crypto map outside_map interface outside

    nat (inside,outside) 1 source static 10.2.2.0_24 10.2.2.0_24 destination static 10.1.1.0_24 10.1.1.0_24 no-proxy-arp route-lookup

    Gruppenrichtlinie

    Gruppenrichtlinien werden verwendet, um spezifische Einstellungen für den Tunnel zu definieren. Diese Richtlinien werden zusammen mit der Tunnelgruppe verwendet.

    Die Gruppenrichtlinie kann entweder als intern definiert werden, d. h., die Attribute werden von den Attributen abgefragt, die auf der ASA definiert sind, oder sie kann als extern definiert werden, wobei die Attribute von einem externen Server abgefragt werden. Mit diesem Befehl wird die Gruppenrichtlinie definiert:

    group-policy SITE_A internal

    Hinweis: Sie können mehrere Attribute in der Gruppenrichtlinie definieren. Eine Liste aller möglichen Attribute finden Sie im Abschnitt Konfigurieren von Gruppenrichtlinien.

    Optionale Gruppenrichtlinienattribute

    Das vpn-tunnel-protocol Attribut bestimmt den Tunneltyp, auf den diese Einstellungen angewendet werden müssen. In diesem Beispiel wird IPsec verwendet:

    vpn-tunnel-protocol ?
     group-policy mode commands/options:
     IPSec IP Security Protocol l2tp-ipsec L2TP using IPSec for security
     svc SSL VPN Client
     webvpn WebVPN

    vpn-tunnel-protocol ikev1 - Version 8.4 and later


    Sie haben die Möglichkeit, den Tunnel so zu konfigurieren, dass er inaktiv bleibt (kein Datenverkehr) und nicht ausfällt. Um diese Option zu konfigurieren, muss dervpn-idle-timeout Attributwert Minuten verwenden, oder Sie können den Wert auf einstellen, was bedeutet, dass der Tunnel nie ausfälltnone. 

    Hier ein Beispiel:

    group-policy SITE_A attributes
      vpn-idle-timeout ?

    group-policy mode commands/options:
     <1-35791394> Number of minutes
     alert-interval Specify timeout alert interval in minutes
     none Site-to-Site (IKEv1, IKEv2) and IKEv1 remote-access: Disable
     timeout and allow an unlimited idle period; AnyConnect (SSL,
     IPSec/IKEv2): Use value of default-idle-timeout


    Der default-group-policy Befehl unter den allgemeinen Attributen der Tunnelgruppe definiert die Gruppenrichtlinie, die verwendet wird, um bestimmte Richtlinieneinstellungen für den eingerichteten Tunnel zu übertragen. Die Standardeinstellungen für die Optionen, die Sie nicht in der Gruppenrichtlinie definiert haben, stammen aus einer globalen Standardgruppenrichtlinie:

    tunnel-group 10.106.67.91 general-attributes
     default-group-policy SITE_A

    Überprüfung

    Überprüfen Sie anhand der Informationen in diesem Abschnitt, ob Ihre Konfiguration ordnungsgemäß funktioniert.

    ASDM

    Um den Tunnelstatus vom ASDM aus anzuzeigen, navigieren Sie zu Monitoring > VPN. Diese Informationen werden bereitgestellt:

    • Die Peer-IP-Adresse
    • Das Protokoll, das zum Erstellen des Tunnels verwendet wird.
    • Der verwendete Verschlüsselungsalgorithmus
    • Der Zeitpunkt, zu dem der Tunnel hochgefahren wurde, und die Betriebszeit
    • Die Anzahl der empfangenen und übertragenen Pakete
      •

    Tipp: Klicken Sie Refresh hier, um die neuesten Werte anzuzeigen, da die Daten nicht in Echtzeit aktualisiert werden.

    VPN-ÜberwachungsfensterVPN-Überwachungsfenster

    CLI

    In diesem Abschnitt wird beschrieben, wie Sie Ihre Konfiguration über die CLI überprüfen.

    Phase 1

    Geben Sie diesen Befehl in die CLI ein, um die Phase 1-Konfiguration auf Seite von Standort B zu überprüfen:

    show crypto ikev1 sa

    IKEv1 SAs:
     
     Active SA: 1
     Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1

    1 IKE Peer: 10.106.67.91
     Type : L2L Role : initiator
     Rekey : no State : MM_ACTIVE


    Phase 2

    Der show crypto ipsec sa Befehl zeigt die IPsec-SAs an, die zwischen den Peers erstellt wurden. Der verschlüsselte Tunnel wird für den Datenverkehr zwischen den Netzwerken 10.1.1.0 und 10.2.2.0 zwischen den IP-Adressen 10.106.67.90 und 10.106.67.91 erstellt. Hier sehen Sie die beiden ESP-SAs, die für den ein- und ausgehenden Datenverkehr erstellt wurden. Der Authentication Header (AH) wird nicht verwendet, da keine AH-SAs vorhanden sind.

    Geben Sie diesen Befehl in die CLI ein, um die Phase-2-Konfiguration auf Seite von Standort A zu überprüfen:

    interface: outside
     Crypto map tag: outside_map, seq num: 20, local addr: 10.106.67.90

     access-list 100 extended permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0 
     local ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
     remote ident (addr/mask/prot/port): (10.2.2.0/255.255.255.0/0/0)
     current_peer: 10.106.67.91


     #pkts encaps: 20, #pkts encrypt: 20, #pkts digest: 20
     #pkts decaps: 20, #pkts decrypt: 20, #pkts verify: 20
     #pkts compressed: 0, #pkts decompressed: 0
     #pkts not compressed: 20, #pkts comp failed: 0, #pkts decomp failed: 0
     #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
     #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
     #TFC rcvd: 0, #TFC sent: 0
     #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
     #send errors: 0, #recv errors: 0

     local crypto endpt.: 10.106.67.90/0, remote crypto endpt.: 10.106.67.91/0
     path mtu 1500, ipsec overhead 74(44), media mtu 1500
     PMTU time remaining (sec): 0, DF policy: copy-df
     ICMP error validation: disabled, TFC packets: disabled
     current outbound spi: F8951DA2
     current inbound spi : 662C7ABE

     inbound esp sas:
     spi: 0x662C7ABE (1714191038)
     SA State: active
     transform: esp-aes-256 esp-sha-hmac no compression 
     in use settings ={L2L, Tunnel, PFS Group 14, IKEv1, }
     slot: 0, conn_id: 1, crypto-map: outside_map
     sa timing: remaining key lifetime (kB/sec): (3914998/28074)
     IV size: 16 bytes
     replay detection support: Y
     Anti replay bitmap: 
     0x00000000 0x001FFFFF
     outbound esp sas:
     spi: 0xF8951DA2 (4170522018)
     SA State: active
     transform: esp-aes-256 esp-sha-hmac no compression 
     in use settings ={L2L, Tunnel, PFS Group 14, IKEv1, }
     slot: 0, conn_id: 1, crypto-map: outside_map
     sa timing: remaining key lifetime (kB/sec): (3914998/28073)
     IV size: 16 bytes
     replay detection support: Y
     Anti replay bitmap: 
     0x00000000 0x00000001


    Geben Sie diesen Befehl in die CLI ein, um die Phase-2-Konfiguration auf Seite von Standort B zu überprüfen:

    interface: outside
     Crypto map tag: outside_map, seq num: 20, local addr: 10.106.67.91

     access-list 100 extended permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.0 
     local ident (addr/mask/prot/port): (10.2.2.0/255.255.255.0/0/0)
     remote ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
     current_peer: 10.106.67.90


     #pkts encaps: 20, #pkts encrypt: 20, #pkts digest: 20
     #pkts decaps: 20, #pkts decrypt: 20, #pkts verify: 20
     #pkts compressed: 0, #pkts decompressed: 0
     #pkts not compressed: 20, #pkts comp failed: 0, #pkts decomp failed: 0
     #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
     #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
     #TFC rcvd: 0, #TFC sent: 0
     #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
     #send errors: 0, #recv errors: 0

     local crypto endpt.: 10.106.67.91/0, remote crypto endpt.: 10.106.67.90/0
     path mtu 1500, ipsec overhead 74(44), media mtu 1500
     PMTU time remaining (sec): 0, DF policy: copy-df
     ICMP error validation: disabled, TFC packets: disabled
     current outbound spi: 662C7ABE
     current inbound spi : F8951DA2

     inbound esp sas:
     spi: 0xF8951DA2 (4170522018)
     SA State: active
     transform: esp-aes-256 esp-sha-hmac no compression 
     in use settings ={L2L, Tunnel, PFS Group 14, IKEv1, }
     slot: 0, conn_id: 1, crypto-map: outside_map
     sa timing: remaining key lifetime (kB/sec): (4373998/27737)
     IV size: 16 bytes
     replay detection support: Y
     Anti replay bitmap: 
     0x00000000 0x001FFFFF
     outbound esp sas:
     spi: 0x662C7ABE (1714191038)
     SA State: active
     transform: esp-aes-256 esp-sha-hmac no compression 
     in use settings ={L2L, Tunnel, PFS Group 14, IKEv1, }
     slot: 0, conn_id: 1, crypto-map: outside_map
     sa timing: remaining key lifetime (kB/sec): (4373998/27737)
     IV size: 16 bytes
     replay detection support: Y
     Anti replay bitmap: 
     0x00000000 0x00000001


    Fehlerbehebung

    Verwenden Sie die Informationen in diesem Abschnitt, um Konfigurationsprobleme zu beheben.

    Geben Sie die folgenden Debugbefehle ein, um den Standort des Tunnelausfalls zu bestimmen:  

    • debug crypto ikev1 127 (Phase 1)
    • debug crypto ipsec 127 (Phase 2)

      •

    Hier ist ein vollständiges Beispiel für die Debug-Ausgabe:

    IPSEC(crypto_map_check)-3: Looking for crypto map matching 5-tuple: Prot=1, saddr=10.1.1.10, sport=23043, daddr=10.2.2.10, dport=23043
    IPSEC(crypto_map_check)-3: Checking crypto map outside_map 20: matched.
    Mar 15 05:41:39 [IKEv1 DEBUG]Pitcher: received a key acquire message, spi 0x0
    IPSEC(crypto_map_check)-3: Looking for crypto map matching 5-tuple: Prot=1, saddr=10.1.1.10, sport=23043, daddr=10.2.2.10, dport=23043
    IPSEC(crypto_map_check)-3: Checking crypto map outside_map 20: matched.
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE Initiator: New Phase 1, Intf inside, IKE Peer 10.106.67.91 local Proxy Address 10.1.1.0, remote Proxy Address 10.2.2.0, Crypto map (outside_map)
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing ISAKMP SA payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing NAT-Traversal VID ver 02 payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing NAT-Traversal VID ver 03 payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing NAT-Traversal VID ver RFC payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing Fragmentation VID + extended capabilities payload
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 172
    Mar 15 05:41:39 [IKEv1]IKE Receiver: Packet received on 10.106.67.90:500 from 10.106.67.91:500
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 132
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing SA payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Oakley proposal is acceptable
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Received NAT-Traversal RFC VID
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Received Fragmentation VID
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, IKE Peer included IKE fragmentation capability flags: Main Mode: True Aggressive Mode: True
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing ke payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing nonce payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing Cisco Unity VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing xauth V6 VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Send IOS VID
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Constructing ASA spoofing IOS Vendor ID payload (version: 1.0.0, capabilities: 20000001)
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Send Altiga/Cisco VPN3000/Cisco ASA GW VID
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing NAT-Discovery payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, computing NAT Discovery hash
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, constructing NAT-Discovery payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, computing NAT Discovery hash
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 432
    Mar 15 05:41:39 [IKEv1]IKE Receiver: Packet received on 10.106.67.90:500 from 10.106.67.91:500
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 432
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing ke payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing ISA_KE payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing nonce payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Received Cisco Unity client VID
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Received xauth V6 VID
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Processing VPN3000/ASA spoofing IOS Vendor ID payload (version: 1.0.0, capabilities: 20000001)
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Received Altiga/Cisco VPN3000/Cisco ASA GW VID
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing NAT-Discovery payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, computing NAT Discovery hash
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, processing NAT-Discovery payload
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, computing NAT Discovery hash
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, Connection landed on tunnel_group 10.106.67.91
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Generating keys for Initiator...
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, constructing ID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, constructing hash payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Computing hash for ISAKMP
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Constructing IOS keep alive payload: proposal=32767/32767 sec.
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, constructing dpd vid payload
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) + VENDOR (13) + NONE (0) total length : 96
    Mar 15 05:41:39 [IKEv1]Group = 10.106.67.91, IP = 10.106.67.91, Automatic NAT Detection Status: Remote end is NOT behind a NAT device This end is NOT behind a NAT device
    Mar 15 05:41:39 [IKEv1]IKE Receiver: Packet received on 10.106.67.90:500 from 10.106.67.91:500
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) + VENDOR (13) + NONE (0) total length : 96
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing ID payload
    Mar 15 05:41:39 [IKEv1 DECODE]Group = 10.106.67.91, IP = 10.106.67.91, ID_IPV4_ADDR ID received 10.106.67.91
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing hash payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Computing hash for ISAKMP
    Mar 15 05:41:39 [IKEv1 DEBUG]IP = 10.106.67.91, Processing IOS keep alive payload: proposal=32767/32767 sec.
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing VID payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Received DPD VID
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, Connection landed on tunnel_group 10.106.67.91
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Oakley begin quick mode
    Mar 15 05:41:39 [IKEv1 DECODE]Group = 10.106.67.91, IP = 10.106.67.91, IKE Initiator starting QM: msg id = ad712fa9
    Mar 15 05:41:39 [IKEv1]Group = 10.106.67.91, IP = 10.106.67.91, PHASE 1 COMPLETED
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, Keep-alive type for this connection: DPD
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Starting P1 rekey timer: 73440 seconds.
    Mar 15 05:41:39 [IKEv1]Group = 10.106.67.91, IP = 10.106.67.91, Add to IKEv1 Tunnel Table succeeded for SA with logical ID 8192
    Mar 15 05:41:39 [IKEv1]Group = 10.106.67.91, IP = 10.106.67.91, Add to IKEv1 MIB Table succeeded for SA with logical ID 8192
    IPSEC INFO: Setting an IPSec timer of type SA Purge Timer for 30 seconds with a jitter value of 0
    IPSEC INFO: IPSec SA PURGE timer started SPI 0x0001B739
    IPSEC: New embryonic SA created @ 0x00007f05294f4620, 
     SCB : 0x294CFE60, 
     Direction : inbound
     SPI : 0x50EF49AD
     Session ID : 0x00002000
     VPIF num : 0x00000002
     Tunnel type : l2l
     Protocol : esp
     Lifetime : 240 seconds
     SA handle : 0x0001B739
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, IKE got SPI from key engine: SPI = 0x50ef49ad
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, oakley constructing quick mode
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, constructing blank hash payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, constructing IPSec SA payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, constructing IPSec nonce payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, constructing pfs ke payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, constructing proxy ID
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Transmitting Proxy Id:
     Local subnet: 10.1.1.0 mask 255.255.255.0 Protocol 0 Port 0
     Remote subnet: 10.2.2.0 Mask 255.255.255.0 Protocol 0 Port 0
    Mar 15 05:41:39 [IKEv1 DECODE]Group = 10.106.67.91, IP = 10.106.67.91, IKE Initiator sending Initial Contact
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, constructing qm hash payload
    Mar 15 05:41:39 [IKEv1 DECODE]Group = 10.106.67.91, IP = 10.106.67.91, IKE Initiator sending 1st QM pkt: msg id = ad712fa9
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE_DECODE SENDING Message (msgid=ad712fa9) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + KE (4) + ID (5) + ID (5) + NOTIFY (11) + NONE (0) total length : 464
    Mar 15 05:41:39 [IKEv1]IKE Receiver: Packet received on 10.106.67.90:500 from 10.106.67.91:500
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE_DECODE RECEIVED Message (msgid=ad712fa9) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + KE (4) + ID (5) + ID (5) + NONE (0) total length : 436
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing hash payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing SA payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing nonce payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing ke payload
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing ISA_KE for PFS in phase 2
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing ID payload
    Mar 15 05:41:39 [IKEv1 DECODE]Group = 10.106.67.91, IP = 10.106.67.91, ID_IPV4_ADDR_SUBNET ID received--10.1.1.0--255.255.255.0
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, processing ID payload
    Mar 15 05:41:39 [IKEv1 DECODE]Group = 10.106.67.91, IP = 10.106.67.91, ID_IPV4_ADDR_SUBNET ID received--10.2.2.0--255.255.255.0
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, loading all IPSEC SAs
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Generating Quick Mode Key!
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Generating Quick Mode Key!
    Mar 15 05:41:39 [IKEv1]Group = 10.106.67.91, IP = 10.106.67.91, Security negotiation complete for LAN-to-LAN Group (10.106.67.91) Initiator, Inbound SPI = 0x50ef49ad, Outbound SPI = 0xea689811
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, oakley constructing final quick mode
    Mar 15 05:41:39 [IKEv1 DECODE]Group = 10.106.67.91, IP = 10.106.67.91, IKE Initiator sending 3rd QM pkt: msg id = ad712fa9
    Mar 15 05:41:39 [IKEv1]IP = 10.106.67.91, IKE_DECODE SENDING Message (msgid=ad712fa9) with payloads : HDR + HASH (8) + NONE (0) total length : 76
    IPSEC INFO: Setting an IPSec timer of type SA Purge Timer for 30 seconds with a jitter value of 0
    IPSEC INFO: IPSec SA PURGE timer started SPI 0x00024311
    IPSEC: New embryonic SA created @ 0x00007f05294fd920, 
     SCB : 0x294CCDB0, 
     Direction : outbound
     SPI : 0xEA689811
     Session ID : 0x00002000
     VPIF num : 0x00000002
     Tunnel type : l2l
     Protocol : esp
     Lifetime : 240 seconds
     SA handle : 0x00024311
    Rule Lookup for local 10.1.1.0 to remote 10.2.2.0
    Peer matched map outside_map sequence 20
    PROXY MATCH on crypto map outside_map seq 20
    IPSEC DEBUG: Using NP outbound permit rule for SPI 0xEA689811
    IPSEC: Completed host OBSA update, SPI 0xEA689811
    IPSEC: Creating outbound VPN context, SPI 0xEA689811
     Flags : 0x00000005
     SA : 0x00007f05294fd920
     SPI : 0xEA689811
     MTU : 1500 bytes
     VCID : 0x00000000
     Peer : 0x00000000
     SCB : 0x02CEE703
     Channel: 0x00007f0533c4f700
    IPSEC: Completed outbound VPN context, SPI 0xEA689811
    VPN handle: 0x000000000000763c
    IPSEC: New outbound encrypt rule, SPI 0xEA689811
     Src addr: 10.1.1.0
     Src mask: 255.255.255.0
     Dst addr: 10.2.2.0
     Dst mask: 255.255.255.0
     Src ports
     Upper: 0
     Lower: 0
     Op : ignore
     Dst ports
     Upper: 0
     Lower: 0
     Op : ignore
     Protocol: 0
     Use protocol: false
     SPI: 0x00000000
     Use SPI: false
    IPSEC: Completed outbound encrypt rule, SPI 0xEA689811
    Rule ID: 0x00007f05294f8a60
    IPSEC: New outbound permit rule, SPI 0xEA689811
     Src addr: 10.106.67.90
     Src mask: 255.255.255.255
     Dst addr: 10.106.67.91
     Dst mask: 255.255.255.255
     Src ports
     Upper: 0
     Lower: 0
     Op : ignore
     Dst ports
     Upper: 0
     Lower: 0
     Op : ignore
     Protocol: 50
     Use protocol: true
     SPI: 0xEA689811
     Use SPI: true
    IPSEC: Completed outbound permit rule, SPI 0xEA689811
    Rule ID: 0x00007f05294f9110
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, IKE got a KEY_ADD msg for SA: SPI = 0xea689811
    IPSEC: New embryonic SA created @ 0x00007f05294f4620, 
     SCB : 0x294CFE60, 
     Direction : inbound
     SPI : 0x50EF49AD
     Session ID : 0x00002000
     VPIF num : 0x00000002
     Tunnel type: l2l
     Protocol : esp
     Lifetime : 240 seconds
     SA handle : 0x0001B739
    Rule Lookup for local 10.1.1.0 to remote 10.2.2.0
    Peer matched map outside_map sequence 20
    PROXY MATCH on crypto map outside_map seq 20
    IPSEC DEBUG: Using NP inbound permit rule for SPI 0x50EF49AD
    IPSEC: Completed host IBSA update, SPI 0x50EF49AD
    IPSEC: Creating inbound VPN context, SPI 0x50EF49AD
     Flags: 0x00000006
     SA : 0x00007f05294f4620
     SPI : 0x50EF49AD
     MTU : 0 bytes
     VCID : 0x00000000
     Peer : 0x0000763C
     SCB : 0x02CE8BB3
     Channel: 0x00007f0533c4f700
    IPSEC: Completed inbound VPN context, SPI 0x50EF49AD
    VPN handle: 0x00000000000086bc
    IPSEC: Updating outbound VPN context 0x0000763C, SPI 0xEA689811
     Flags: 0x00000005
     SA : 0x00007f05294fd920
     SPI : 0xEA689811
     MTU : 1500 bytes
     VCID : 0x00000000
     Peer : 0x000086BC
     SCB : 0x02CEE703
     Channel: 0x00007f0533c4f700
    IPSEC: Completed outbound VPN context, SPI 0xEA689811
    VPN handle: 0x000000000000763c
    IPSEC: Completed outbound inner rule, SPI 0xEA689811
    Rule ID: 0x00007f05294f8a60
    IPSEC: Completed outbound outer SPD rule, SPI 0xEA689811
    Rule ID: 0x00007f05294f9110
    IPSEC: New inbound tunnel flow rule, SPI 0x50EF49AD
     Src addr: 10.2.2.0
     Src mask: 255.255.255.0
     Dst addr: 10.1.1.0
     Dst mask: 255.255.255.0
     Src ports
     Upper: 0
     Lower: 0
     Op : ignore
     Dst ports
     Upper: 0
     Lower: 0
     Op : ignore
     Protocol: 0
     Use protocol: false
     SPI: 0x00000000
     Use SPI: false
    IPSEC: Completed inbound tunnel flow rule, SPI 0x50EF49AD
    Rule ID: 0x00007f05294f8180
    IPSEC: New inbound decrypt rule, SPI 0x50EF49AD
     Src addr: 10.106.67.91
     Src mask: 255.255.255.255
     Dst addr: 10.106.67.90
     Dst mask: 255.255.255.255
     Src ports
     Upper: 0
     Lower: 0
     Op : ignore
     Dst ports
     Upper: 0
     Lower: 0
     Op : ignore
     Protocol: 50
     Use protocol: true
     SPI: 0x50EF49AD
     Use SPI: true
    IPSEC: Completed inbound decrypt rule, SPI 0x50EF49AD
    Rule ID: 0x00007f05294f7ad0
    IPSEC: New inbound permit rule, SPI 0x50EF49AD
     Src addr: 10.106.67.91
     Src mask: 255.255.255.255
     Dst addr: 10.106.67.90
     Dst mask: 255.255.255.255
     Src ports
     Upper: 0
     Lower: 0
     Op : ignore
     Dst ports
     Upper: 0
     Lower: 0
     Op : ignore
     Protocol: 50
     Use protocol: true
     SPI: 0x50EF49AD
     Use SPI: true
    IPSEC: Completed inbound permit rule, SPI 0x50EF49AD
    Rule ID: 0x00007f05294f4510
    IPSEC INFO: Destroying an IPSec timer of type SA Purge Timer
    IPSEC INFO: Destroying an IPSec timer of type SA Purge Timer
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Pitcher: received KEY_UPDATE, spi 0x50ef49ad
    Mar 15 05:41:39 [IKEv1 DEBUG]Group = 10.106.67.91, IP = 10.106.67.91, Starting P2 rekey timer: 24480 seconds.
    Mar 15 05:41:39 [IKEv1]Group = 10.106.67.91, IP = 10.106.67.91, PHASE 2 COMPLETED (msgid=ad712fa9)

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    10-Jul-2015
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Venkata Aditya B
      Cisco TAC Engineer
    • Rahul Govindan
      Cisco TAC Engineer
    • Pavan Gundu
      Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.