Depuración de ASA IKEv2 para resolución de problemas de VPN de acceso remoto

Opciones de descarga

PDF (349.1 KB)
Visualice con Adobe Reader en una variedad de dispositivos
ePub (107.1 KB)
Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (120.8 KB)
Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos

Actualizado:9 de octubre de 2013

ID del documento:116158

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Contenido

Introducción

Prerequisites

Requirements

Componentes Utilizados

Problema principal

Situación

Comandos de Debug

Configuración de ASA

Archivo XML

Registros y descripciones de depuración

Verificación del túnel

AnyConnect

ISAKMP

IPSec

Información Relacionada

Introducción

Este documento describe cómo entender las depuraciones en el Cisco Adaptive Security Appliance (ASA) cuando se utiliza Internet Key Exchange Version 2 (IKEv2) con un Cisco AnyConnect Secure Mobility Client. Este documento también proporciona información sobre cómo traducir ciertas líneas de depuración en una configuración ASA.

Este documento no describe cómo pasar el tráfico después de que se haya establecido un túnel VPN al ASA, ni incluye conceptos básicos de IPSec o IKE.

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento del intercambio de paquetes para IKEv2. Para obtener más información, consulte Intercambio de paquetes IKEv2 y Depuración a nivel de protocolo.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

Intercambio de claves de Internet versión 2 (IKEv2)
Cisco Adaptive Security Appliance (ASA) versión 8.4 o posterior

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Problema principal

El centro de asistencia técnica Cisco Technical Assistance Center (TAC) utiliza a menudo comandos debug IKE e IPSec para comprender si existe un problema con el establecimiento del túnel VPN IPSec, pero los comandos pueden ser crípticos.

Situación

Comandos de Debug

debug crypto ikev2 protocol 127
debug crypto ikev2 platform 127
debug aggregate-auth xml 5

Configuración de ASA

Esta configuración de ASA es estrictamente básica, sin utilizar servidores externos.

interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 10.0.0.1 255.255.255.0

ip local pool webvpn1 10.2.2.1-10.2.2.10

crypto ipsec ikev2 ipsec-proposal 3des
 protocol esp encryption aes-256 aes 3des des
 protocol esp integrity sha-1
crypto dynamic-map dynmap 1000 set ikev2 ipsec-proposal 3des
crypto map crymap 10000 ipsec-isakmp dynamic dynmap
crypto map crymap interface outside

crypto ca trustpoint Anu-ikev2
 enrollment self
 crl configure

crypto ikev2 policy 10
 encryption aes-192
 integrity sha
 group 2
 prf sha
 lifetime seconds 86400

crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint Anu-ikev2
ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1
ssl trust-point Anu-ikev2 outside

webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-3.0.1047-k9.pkg 1
 anyconnect profiles Anyconnect-ikev2 disk0:/anyconnect-ikev2.xml
 anyconnect enable
 tunnel-group-list enable

group-policy ASA-IKEV2 internal
group-policy ASA-IKEV2 attributes
 wins-server none
 dns-server none
 vpn-tunnel-protocol ikev2 
 default-domain none
 webvpn
  anyconnect modules value dart
  anyconnect profiles value Anyconnect-ikev2 type user

username Anu password lAuoFgF7KmB3D0WI encrypted privilege 15

tunnel-group ASA-IKEV2 type remote-access
tunnel-group ASA-IKEV2 general-attributes
 address-pool webvpn1
 default-group-policy ASA-IKEV2
tunnel-group ASA-IKEV2 webvpn-attributes
 group-alias ASA-IKEV2 enable

Archivo XML

<ServerList>
        <HostEntry>
                <HostName>Anu-IKEV2</HostName>
                <HostAddress>10.0.0.1</HostAddress>
                <UserGroup>ASA-IKEV2</UserGroup>
                <PrimaryProtocol>IPsec</PrimaryProtocol>
        </HostEntry>
</ServerList>

Nota: El nombre del grupo de usuarios en el perfil de cliente XML debe ser el mismo que el nombre del grupo de túnel en el ASA. De lo contrario, el mensaje de error 'Invalid Host Entry. Please re-enter' aparece en el cliente AnyConnect.

Registros y descripciones de depuración

Nota: los registros de la herramienta de diagnóstico e informes (DART) suelen ser muy hablados, por lo que en este ejemplo se han omitido determinados registros de DART debido a su insignificancia.

Descripción del mensaje del servidor	Depuraciones		Descripción del mensaje del cliente
	Fecha: 23/04/13 Hora: 16:24:55 Tipo: Información Fuente: acvpnui Descripción: Función: ClientIfcBase::connect Archivo: .\ClientIfcBase.cpp Línea: 964 El usuario ha solicitado una conexión VPN a Anu-IKEV2. ************************************** Fecha: 23/04/13 Hora: 16:24:55 Tipo: Información Fuente: acvpnui Descripción: información de tipo de mensaje enviada al usuario: Contactando con Anu-IKEV2. ************************************ Fecha: 23/04/13 Hora: 16:24:55 Tipo: Información Fuente: acvpnui Descripción: Función: ApiCert::getCertList Archivo: .\ApiCert.cpp Línea: 259 Número de certificados encontrados: 0 ************************************ Fecha: 23/04/13 Hora: 16:25:00 Tipo: Información Fuente: acvpnui Descripción: Inicio de la conexión VPN al gateway seguro https://10.0.0.1/ASA-IKEV2 ************************************ Fecha: 23/04/13 Hora: 16:25:00 Tipo: Información Fuente: acvpnagent Descripción: Túnel iniciado por el cliente GUI. ************************************ Fecha: 23/04/13 Hora: 16:25:02 Tipo: Información Fuente: acvpnagent Descripción: Función: CIPsecProtocol::connectTransport Archivo: .\IPsecProtocol.cpp Línea: 1629 socket IKE abierto desde 192.168.1.1:25170 hasta 10.0.0.1:500 **************************************		El cliente inicia el túnel VPN al ASA.
	---------------------------------IKE_SA_INIT Exchange starts------------------------------
El ASA recibe el mensaje IKE_SA_INIT del cliente.	IKEv2-PLAT-4: RECV PKT [IKE_SA_INIT] [192.168.1.1]:25170->[10.0.0.1]:500 InitSPI=0x58aff71141ba436b RespSPI=0x0000000000000000 MID=00000000 IKEv2-PROTO-3: Rx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id: 0x0
El primer par de mensajes es el intercambio IKE_SA_INIT. Estos mensajes negocian algoritmos criptográficos, intercambian nonces y realizan un intercambio Diffie-Hellman (DH). El mensaje IKE_SA_INIT recibido del cliente contiene estos campos: Encabezado ISAKMP: SPI/version/flags. SAi1: algoritmo criptográfico compatible con el iniciador IKE. KEi - Valor de clave pública DH del iniciador. N: Iniciador Nonce.	IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: 0000000000000000] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: 0000000000000000 IKEv2-PROTO-4: Siguiente carga: SA, versión: 2.0 IKEv2-PROTO-4: Tipo de intercambio: IKE_SA_INIT, indicadores: INICIADOR IKEv2-PROTO-4: ID de mensaje: 0x0, longitud: 528 SA Siguiente carga útil: KE, reservado: 0x0, longitud: 168 IKEv2-PROTO-4: última propuesta: 0x0, reservado: 0x0, longitud: 164 Propuesta: 1, ID de protocolo: IKE, tamaño de SPI: 0, #trans: 18 IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 12 tipo: 1, reservado: 0x0, id: AES-CBC IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 12 tipo: 1, reservado: 0x0, id: AES-CBC IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 12 tipo: 1, reservado: 0x0, id: AES-CBC IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 8 tipo: 1, reservado: 0x0, id: 3DES IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 8 tipo: 1, reservado: 0x0, id: DES IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 8 tipo: 2, reservado: 0x0, id: SHA512 IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 8 tipo: 2, reservado: 0x0, id: SHA384 IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 8 tipo: 2, reservado: 0x0, id: SHA256 IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 8 tipo: 2, reservado: 0x0, id: SHA1 IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 8 tipo: 2, reservado: 0x0, id: MD5 IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 8 tipo: 3, reservado: 0x0, id: SHA512 IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 8 tipo: 3, reservado: 0x0, id: SHA384 IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 8 tipo: 3, reservado: 0x0, id: SHA256 IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 8 tipo: 3, reservado: 0x0, id: SHA96 IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 8 tipo: 3, reservado: 0x0, id: MD596 IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 8 tipo: 4, reservado: 0x0, id: DH_GROUP_1536_MODP/Grupo 5 IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 8 tipo: 4, reservado: 0x0, id: DH_GROUP_1024_MODP/Grupo 2 IKEv2-PROTO-4: última transformación: 0x0, reservado: 0x0: longitud: 8 tipo: 4, reservado: 0x0, id: DH_GROUP_768_MODP/Grupo 1 KE Siguiente carga útil: N, reservado: 0x0, longitud: 104 Grupo DH: 1, reservado: 0x0 eb 5e 29 fe cb 2e d1 28 ed 4a 54 b1 13 7c b8 89 f7 62 13 6b df 95 88 28 b5 97 ba 52 ef e4 1d 28 ca 06 d1 36 b6 67 32 9a c2 dd 4e d8 c7 80 de 20 36 34 c5 b3 3e 1d 83 1a c7 fb 9d b8 c5 f5 ed 5f ba ba 4f b6 b2 e2 2d 43 4f a0 b6 90 9a 11 3f 7d 0a 21 c3 4d3 0a d2 1e 33 43 d3 5e cc 4b 38 e0 N Siguiente carga: VID, reservado: 0x0, longitud: 24 20 12 8f 22 7b 16 23 52 e4 29 4d 98 c7 fd a8 77 ce 7c 0b b4 IKEv2-PROTO-5: analizar carga específica del proveedor: CISCO-DELETE-REASON VID Carga siguiente: VID, reservada: 0x0, longitud: 23
El ASA verifica y procesa la mensaje IKE_INIT. El ASA: Elige el conjunto criptográfico de los ofrecidos por el iniciador. Calcula su propia clave secreta DH. Calcula un valor SKEYID a partir de para el que se pueden derivar todas las claves este IKE_SA. Los encabezados de todos los mensajes subsiguientes son encriptado y autenticado. claves utilizadas para el cifrado y se derivan las protecciones de integridad de SKEYID y se conocen como: SK_e: cifrado. SK_a: autenticación. SK_d: derivado y utilizado para obtener más información material de claves para CHILD_SA. Los argumentos SK_e y SK_a son calculados para cada dirección. Configuración relevante: crypto ikev2 policy 10 encryption aes-192 integrity sha group 2 prf sha lifetime seconds 86400 crypto ikev2 enable outside	Paquete descifrado:Datos: 528 bytes IKEv2-PLAT-3: Procesar cargas útiles VID personalizadas IKEv2-PLAT-3: VID de derechos de autor de Cisco recibida del par IKEv2-PLAT-3: VID de EAP de AnyConnect recibido del par IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE Event: EV_RECV_INIT IKEv2-PROTO-3: (6): Comprobar detección de NAT IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE Event: EV_CHK_REDIRECT IKEv2-PROTO-5: (6): no es necesaria la comprobación de redirección, omitiéndola IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE Evento: EV_CHK_CAC IKEv2-PLAT-5: se admite la nueva solicitud ikev2 sa IKEv2-PLAT-5: Incremento del recuento de sa de negociación entrante en uno IKEv2-PLAT-5: IDENTIFICADOR PSH NO VÁLIDO IKEv2-PLAT-5: IDENTIFICADOR PSH NO VÁLIDO IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE Event: EV_CHK_COOKIE IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE Event: EV_CHK4_COOKIE_NOTIFY IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Evento: EV_VERIFY_MSG IKEv2-PROTO-3: (6): Verificar mensaje de inicialización SA IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Evento: EV_INSERT_SA IKEv2-PROTO-3: (6): insertar SA IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Evento: EV_GET_IKE_POLICY IKEv2-PROTO-3: (6): Obtención de políticas configuradas IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Evento: EV_PROC_MSG IKEv2-PROTO-2: (6): procesando mensaje inicial IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Evento: EV_DETECT_NAT IKEv2-PROTO-3: (6): notificación de detección de NAT de proceso IKEv2-PROTO-5: (6): procesando nat detect src notify IKEv2-PROTO-5: (6): dirección remota no coincidente IKEv2-PROTO-5: (6): procesando nat detect dst notify IKEv2-PROTO-5: (6): dirección local coincidente IKEv2-PROTO-5: (6): el host se encuentra fuera de NAT IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Evento: EV_CHK_CONFIG_MODE IKEv2-PROTO-3: (6): datos de modo de configuración válidos recibidos IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Evento: EV_SET_RECD_CONFIG_MODE IKEv2-PROTO-3: (6): Establecer los datos del modo de configuración recibido IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_SET_POLICY IKEv2-PROTO-3: (6): Definición de políticas configuradas IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_CHK_AUTH4PKI IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_PKI_SESH_OPEN IKEv2-PROTO-3: (6): Apertura de una sesión PKI IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_GEN_DH_KEY IKEv2-PROTO-3: (6): Computación de la clave pública DH IKEv2-PROTO-3: (6): IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_NO_EVENT IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_OK_RECD_DH_PUBKEY_RESP IKEv2-PROTO-5: (6): Acción: Action_Null IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_GEN_DH_SECRET IKEv2-PROTO-3: (6): Cálculo de la clave secreta DH IKEv2-PROTO-3: (6): IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_NO_EVENT IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_OK_RECD_DH_SECRET_RESP IKEv2-PROTO-5: (6): Acción: Action_Null IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_GEN_SKEYID IKEv2-PROTO-3: (6): Generar skeyid IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_GET_CONFIG_MODE
El ASA construye el mensaje de respuesta para el intercambio IKE_SA_INIT. Este paquete contiene: Encabezado ISAKMP: SPI/version/flags. SAr1: algoritmo criptográfico que elige el respondedor IKE. KEr: valor de clave pública DH del respondedor. N - Responder Nonce.	IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Evento: EV_BLD_MSG IKEv2-PROTO-2: (6): Enviando mensaje inicial IKEv2-PROTO-3: IKE Propuesta: 1, tamaño de SPI: 0 (negociación inicial), Número de transformaciones: 4 AES-CBC SHA1 SHA96 DH_GROUP_768_MODP/Grupo 1 IKEv2-PROTO-5: Construct Vendor Specific Payload: DELETE-REASONIKEv2-PROTO-5: Construct Vendor Specific Payload: (CUSTOM)IKEv2-PROTO-5: Construct Vendor Specific Payload: (CUSTOM)IKEv2-PROTO-5: Construct Notify Payload: NAT_DETECTION_SOURCE_IPIKEv2-PROTO-5: Construct Notify Payload: NAT_DETECTION_DESTINATION_IPIKEv2-PLAT 2: No se pudieron recuperar los hashes de los emisores de confianza o no hay ninguno disponible IKEv2-PROTO-5: construir carga específica del proveedor: FRAGMENTATIONIKEv2-PROTO-3: Tx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id: 0x0 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: siguiente carga: SA, versión: 2.0 IKEv2-PROTO-4: Tipo de intercambio: IKE_SA_INIT, indicadores: RESPONDER MSG-RESPONSE IKEv2-PROTO-4: ID del mensaje: 0x0, longitud: 386 SA Siguiente carga útil: KE, reservado: 0x0, longitud: 48 IKEv2-PROTO-4: última propuesta: 0x0, reservado: 0x0, longitud: 44 Propuesta: 1, ID de protocolo: IKE, tamaño de SPI: 0, #trans: 4 IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 12 tipo: 1, reservado: 0x0, id: AES-CBC IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 8 tipo: 2, reservado: 0x0, id: SHA1 IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 8 tipo: 3, reservado: 0x0, id: SHA96 IKEv2-PROTO-4: última transformación: 0x0, reservado: 0x0: longitud: 8 tipo: 4, reservado: 0x0, id: DH_GROUP_768_MODP/Grupo 1 KE Siguiente carga útil: N, reservado: 0x0, longitud: 104 Grupo DH: 1, reservado: 0x0 c9 30 f9 32 d4 7c d1 a7 5b 71 72 09 6e 7e 91 0c e1 ce b4 a4 3c f2 8b 74 4e 20 59 b4 0b a1 ff 65 37 88 cc c4 a4 b6 fa 4a 63 03 93 89 e1 7e bd 6a 64 9a 38 24 e2 a8 40 f5 a3 d6 ef f7 1a df 33 cc a1 8e fa dc 9c 34 45 79 1a 7c 29 05 87 8a ac 02 98 2e 7d cb 41 51 d6 fe fc c7 76 83 1d 03 b0 d7 N Siguiente carga: VID, reservado: 0x0, longitud: 24 c2 28 7f 8c 7d b3 1e 51 fc eb f1 97 ec 97 b8 67 d5 e7 c2 f5 VID Carga siguiente: VID, reservado: 0x0, longitud: 23
ASA envía el mensaje de respuesta para el intercambio IKE_SA_INIT. El intercambio IKE_SA_INIT ha finalizado. ASA inicia el temporizador para el proceso de autenticación.	IKEv2-PLAT-4: SENT PKT [IKE_SA_INIT] [10.0.0.1]:500->[192.168.1.1]:25170 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000000 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DONE Evento: EV_DONE IKEv2-PROTO-3: (6): la fragmentación está habilitada IKEv2-PROTO-3: (6): Cisco DeleteReason Notify está habilitado IKEv2-PROTO-3: (6): intercambio de inicialización SA completo IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DONE Evento: EV_CHK4_ROLE IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DONE Evento: EV_START_TMR IKEv2-PROTO-3: (6): Temporizador de inicio para esperar el mensaje de autenticación (30 s) IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_WAIT_AUTH Evento: EV_NO_EVENT	************************************** Fecha: 23/04/13 Hora: 16:25:02 Tipo: Información Fuente: acvpnagent Descripción: Función: CIPsecProtocol::beginTunnel Archivo: .\IPsecProtocol.cpp Línea: 345 El túnel IPsec se está iniciando **************************************	El cliente muestra el túnel IPSec como 'iniciando'.
	-----------------------------------IKE_SA_INIT completo---------------------------------
	------------------------------------- Comienza IKE_AUTH-------------------------------------
	************************************** Fecha: 23/04/13 Hora: 16:25:00 Tipo: Información Fuente: acvpnagent Descripción: Parámetros de gateway seguro: Dirección IP: 10.0.0.1 Puerto: 443 URL: "10.0.0.1" Método de autenticación: IKE - EAP-AnyConnect Identidad IKE: ************************************ Fecha: 23/04/13 Hora: 16:25:00 Tipo: Información Fuente: acvpnagent Descripción: Inicio de la conexión de Cisco AnyConnect Secure Mobility Client, versión 3.0.1047 ************************************ Fecha: 23/04/13 Hora: 16:25:02 Tipo: Información Fuente: acvpnagent Descripción: Función: ikev2_log Archivo: .\ikev2_anyconnect_osal.cpp Línea: 2730 Solicitud recibida para establecer un túnel IPsec; selector de tráfico local = Intervalo de direcciones: 0.0.0.0-255.255.255.255 Protocolo: 0 Intervalo de puertos: 0-65535 ; selector de tráfico remoto = Intervalo de direcciones: 0.0.0.0-255.255.255.255 Protocolo: 0 Intervalo de puertos: 0-65535 ************************************ Fecha: 23/04/13 Hora: 16:25:02 Tipo: Información Fuente: acvpnagent Descripción: Función: CIPsecProtocol::connectTransport Archivo: .\IPsecProtocol.cpp Línea: 1629 socket IKE abierto desde 192.168.1.1:25171 hasta 10.0.0.1:4500 **************************************		El cliente omite la carga útil de AUTH del mensaje 3 para indicar un deseo de utilizar la autenticación extensible. Cuando el perfil de cliente especifica o implica la autenticación del protocolo de autenticación extensible (EAP) y el perfil no contiene el elemento <IKEIdentity>, el cliente envía una carga útil ID_GROUP type IDi con la cadena fija $AnyConnectClient$. El cliente inicia una conexión al ASA en el puerto 4500.
La autenticación se realiza con EAP. En una conversación EAP sólo se permite un método de autenticación EAP. El ASA recibe el mensaje IKE_AUTH del cliente.	IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x1
Cuando el cliente incluye una carga de IDi pero no una carga de AUTH, esto indica el cliente ha declarado una identidad pero ha no lo probé. En los debugs, la AUTH la carga útil no está presente en IKE_AUTH paquete enviado por el cliente. El cliente envía la carga útil de AUTH solo después de la El intercambio de EAP se ha realizado correctamente. Si el ASA está dispuesto a utilizar un método de autenticación, coloca un EAP carga en el mensaje 4 y aplazamiento del envío SAr2, TSi y TSr hasta el iniciador la autenticación se completa en un intercambio IKE_AUTH subsiguiente. El paquete del iniciador IKE_AUTH contiene: Encabezado ISAKMP: SPI/versión/indicadores. IDi: el nombre del grupo de túnel que el cliente desea conectarse a puede ser entregado por el IDi carga útil de tipo ID_KEY_ID en el mensaje inicial del Intercambio IKE_AUTH. Esto se produce cuando el perfil del cliente* es preconfigurado con un nombre de grupo o, después de un éxito anterior autenticación, el cliente tiene el nombre del grupo en su caché archivo de preferencias. El ASA intenta hacer coincidir un grupo de túnel nombre con el contenido de la IKE Carga útil de IDi. Después de la primera la VPN IPSec correcta es establecido, el cliente almacena en caché nombre de grupo (alias de grupo) al que el usuario autenticado. Este grupo el nombre se indica en la IDi carga útil de la siguiente conexión para indicar el número de grupo probable deseado por el usuario. Cuando la autenticación EAP es especificada o implícita por el cliente perfil y el perfil no contengan <IKEIdentity> , el cliente envía un ID_GROUP tipo IDi carga con la cadena fija $AnyConnectClient$. CERTREQ: el cliente está solicitando ASA para un certificado preferido. Certificado solicitar que se incluyan cargas útiles en un intercambio cuando el remitente necesita obtener el certificado de la receptor. La solicitud de certificado carga útil es procesada por inspección de la 'codificación de certificados' para determinar el número de si el procesador tiene certificados de este tipo. Si es así, el El campo 'Entidad de certificación' está inspeccionado para determinar si el procesador tiene certificados que pueden validarse hasta uno de los siguientes la certificación especificada autoridades. Esto puede ser una cadena de certificados. CFG - CFG_REQUEST/ CFG_REPLY permite una IKE terminal para solicitar información de su par. Si un atributo en el CFG_REQUEST configuration la carga útil no es de longitud cero, es como una sugerencia para eso Atributo CFG_REPLY la carga útil de configuración puede devolver ese valor o uno nuevo. Puede que agregar también nuevos atributos y no incluir algunos solicitados. Los solicitantes ignoran los devueltos atributos que no tienen reconocer. En estas depuraciones, el el cliente solicita el túnel configuración en el CFG_REQUEST. El ASA responde a este mensaje y envía el túnel atributos de configuración sólo después de el intercambio EAP se ha realizado correctamente. SAi2: SAi2 inicia la SA, similar a la fase 2 transforme el intercambio de conjuntos en IKEv1. TSi y TSr: el iniciador y selectores de tráfico de respuesta contengan, respectivamente, la fuente y la dirección de destino del iniciador y respondedor para enviar y recibir cifrados tráfico. El intervalo de direcciones especifica que todo el tráfico hacia y desde ese rango es tunelizado. Si propuesta es aceptable para el respondedor, envía TS idénticos carga útil de vuelta. Los atributos que el cliente debe proporcionar para autenticación de grupo se almacenan en un Archivo de perfil de AnyConnect. Configuración de perfil relevante: <ServerList> <HostEntry> <HostName>Anu-IKEV2 </HostName> <HostAddress>10.0.0.1 </HostAddress> ASA-IKEV2* <PrimaryProtocol>IPsec </PrimaryProtocol> </HostEntry> </ServerList>	IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Siguiente carga: ENCR, versión: 2.0 IKEv2-PROTO-4: Tipo de intercambio: IKE_AUTH, indicadores: INITIATOR IKEv2-PROTO-4: ID del mensaje: 0x1, longitud: 540 IKEv2-PROTO-5: (6): la solicitud tiene el id_desorden 1; se espera del 1 al 1 REAL Paquete descifrado:Datos: 465 bytes IKEv2-PROTO-5: Analizar carga específica del proveedor: (PERSONALIZADO) VID Carga siguiente: IDi, reservada: 0x0, longitud: 20 58 af f6 11 52 8d b0 2c b8 da 30 46 be 91 56 fa IDi Siguiente carga: CERTREQ, reservado: 0x0, longitud: 28 Tipo de Id.: Nombre de grupo, Reservado: 0x0 0x0 2a 24 41 6e 79 43 6f 6e 6e 65 63 74 43 6c 69 65 6e 74 24 2 a CERTREQ Siguiente carga: CFG, reservado: 0x0, longitud: 25 Codificación de certificado Certificado X.509 - firma CertReq data&colon; 20 bytes CFG Siguiente carga útil: SA, reservado: 0x0, longitud: 196 tipo cfg: CFG_REQUEST, reservado: 0x0, reservado: 0x0 tipo de atributo: dirección IP4 interna, longitud: 0 tipo de atributo: máscara de red IP4 interna, longitud: 0 tipo de atributo: DNS IP4 interno, longitud: 0 tipo de atributo: interno IP4 NBNS, longitud: 0 tipo de atributo: vencimiento de dirección interna, longitud: 0 tipo de atributo: versión de la aplicación, longitud: 27 41 6e 79 43 6f 6e 6e 65 63 74 20 57 69 6e 64 6f 77 73 20 33 2e 30 2e 31 30 34 37 tipo de atributo: dirección IP6 interna, longitud: 0 tipo de atributo: subred IP4 interna, longitud: 0 Tipo de atributo: Desconocido - 28682, longitud: 15 77 69 6e 78 70 36 34 74 65 6d 70 6c 61 74 65 Tipo de atributo: Desconocido - 28704, longitud: 0 Tipo de atributo: Desconocido - 28705, longitud: 0 Tipo de atributo: Desconocido - 28706, longitud: 0 Tipo de atributo: Desconocido - 28707, longitud: 0 Tipo de atributo: Desconocido - 28708, longitud: 0 Tipo de atributo: Desconocido - 28709, longitud: 0 Tipo de atributo: Desconocido - 28710, longitud: 0 Tipo de atributo: Desconocido - 28672, longitud: 0 Tipo de atributo: Desconocido - 28684, longitud: 0 Tipo de atributo: Desconocido - 28711, longitud: 2 05 7 sexies Tipo de atributo: Desconocido - 28674, longitud: 0 Tipo de atributo: Desconocido - 28712, longitud: 0 Tipo de atributo: Desconocido - 28675, longitud: 0 Tipo de atributo: Desconocido - 28679, longitud: 0 Tipo de atributo: Desconocido - 28683, longitud: 0 Tipo de atributo: Desconocido - 28717, longitud: 0 Tipo de atributo: Desconocido - 28718, longitud: 0 Tipo de atributo: Desconocido - 28719, longitud: 0 Tipo de atributo: Desconocido - 28720, longitud: 0 Tipo de atributo: Desconocido - 28721, longitud: 0 Tipo de atributo: Desconocido - 28722, longitud: 0 Tipo de atributo: Desconocido - 28723, longitud: 0 Tipo de atributo: Desconocido - 28724, longitud: 0 Tipo de atributo: Desconocido - 28725, longitud: 0 Tipo de atributo: Desconocido - 28726, longitud: 0 Tipo de atributo: Desconocido - 28727, longitud: 0 Tipo de atributo: Desconocido - 28729, longitud: 0 SA Siguiente carga útil: TSi, reservado: 0x0, longitud: 124 IKEv2-PROTO-4: última propuesta: 0x0, reservado: 0x0, longitud: 120 Propuesta: 1, ID de protocolo: ESP, tamaño de SPI: 4, #trans: 12 IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 12 tipo: 1, reservado: 0x0, id: AES-CBC IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 12 tipo: 1, reservado: 0x0, id: AES-CBC IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 12 tipo: 1, reservado: 0x0, id: AES-CBC IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 8 tipo: 1, reservado: 0x0, id: 3DES IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 8 tipo: 1, reservado: 0x0, id: DES IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 8 tipo: 1, reservado: 0x0, id: NULL IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 8 tipo: 3, reservado: 0x0, id: SHA512 IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 8 tipo: 3, reservado: 0x0, id: SHA384 IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 8 tipo: 3, reservado: 0x0, id: SHA256 IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 8 tipo: 3, reservado: 0x0, id: SHA96 IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 8 tipo: 3, reservado: 0x0, id: MD596 IKEv2-PROTO-4: última transformación: 0x0, reservado: 0x0: longitud: 8 tipo: 5, reservado: 0x0, id: TSi Siguiente carga: TSr, reservado: 0x0, longitud: 24 Número de TS: 1, reservado 0x0, reservado 0x0 Tipo de TS: TS_IPV4_ADDR_RANGE, id de proto: 0, longitud: 16 puerto inicial: 0, puerto final: 65535 dirección inicial: 0.0.0.0, dirección final: 255.255.255.255 TSr Siguiente carga útil: NOTIFICAR, reservado: 0x0, longitud: 24 Número de TS: 1, reservado 0x0, reservado 0x0 Tipo de TS: TS_IPV4_ADDR_RANGE, id de proto: 0, longitud: 16 puerto inicial: 0, puerto final: 65535 dirección inicial: 0.0.0.0, dirección final: 255.255.255.255
El ASA genera una respuesta al mensaje IKE_AUTH y se prepara para autenticarse ante el cliente.	Paquete descifrado:Data&colon; 540 bytes IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_RECV_AUTH IKEv2-PROTO-3: (6): Deteniendo el temporizador para esperar el mensaje de autenticación IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_CHK_NAT_T IKEv2-PROTO-3: (6): Comprobar detección de NAT IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_CHG_NAT_T_PORT IKEv2-PROTO-2: (6): NAT detectó un punto flotante en el puerto de inicialización 25171, resp puerto 4500 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_PROC_ID IKEv2-PROTO-2: (6): se recibieron parámetros válidos en la ID de proceso IKEv2-PLAT-3: (6) método de autenticación por pares establecido en: 0 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_CHK_IF_PEER_CERT_NEEDS_TO_BE_FETCHED_FOR_PROF_SEL IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_GET_POLICY_BY_PEERID IKEv2-PROTO-3: (6): obtener políticas configuradas IKEv2-PLAT-3: nueva conexión de cliente AnyConnect detectada en función de la carga útil de ID IKEv2-PLAT-3: my_auth_method = 1 IKEv2-PLAT-3: (6) método de autenticación por pares establecido en: 256 IKEv2-PLAT-3: supported_peers_auth_method = 16 IKEv2-PLAT-3: (6) tp_name establecido en: Anu-ikev2 IKEv2-PLAT-3: punto de confianza establecido en: Anu-ikev2 IKEv2-PLAT-3: P1 ID = 0 IKEv2-PLAT-3: conversión de IKE_ID_AUTO a = 9 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_SET_POLICY IKEv2-PROTO-3: (6): Definición de políticas configuradas IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_VERIFY_POLICY_BY_PEERID IKEv2-PROTO-3: (6): verificar la política del par IKEv2-PROTO-3: (6): Se ha encontrado un certificado coincidente IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_CHK_CONFIG_MODE IKEv2-PROTO-3: (6): datos de modo de configuración válidos recibidos IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_SET_RECD_CONFIG_MODE IKEv2-PLAT-3: (6) El nombre de host DHCP para DDNS está configurado en: winxp64template IKEv2-PROTO-3: (6): Establecer los datos del modo de configuración recibido IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_CHK_AUTH4EAP IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_WAIT_AUTH Evento: EV_CHK_EAP IKEv2-PROTO-3: (6): Comprobar intercambio EAP IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTH Evento: EV_GEN_AUTH IKEv2-PROTO-3: (6): Generar mis datos de autenticación IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTH Evento: EV_CHK4_SIGN IKEv2-PROTO-3: (6) Obtener mi método de autenticación IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTH Evento: EV_SIGN IKEv2-PROTO-3: (6): Firmar datos de autenticación IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTH Evento: EV_OK_AUTH_GEN IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ Evento: EV_AUTHEN_REQ IKEv2-PROTO-2: (6): Cómo solicitar al autenticador que envíe una solicitud EAP Valor de config-auth del nombre de elemento creado Se agregó vpn al valor de cliente del nombre de atributo al elemento config-auth Valor de tipo de nombre de atributo agregado hello al elemento config-auth Valor de versión de nombre de elemento creado 9.0(2)8 Se agregó el valor de versión del nombre de elemento 9.0(2)8 a element config-auth Nombre de atributo agregado que valora sg en la versión del elemento Mensaje XML generado a continuación <?xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="hello"> <version who="sg">9.0(2)8</version> </config-auth> IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ Evento: EV_RECV_EAP_AUTH IKEv2-PROTO-5: (6): Acción: Action_Null IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ Evento: EV_CHK_REDIRECT IKEv2-PROTO-3: (6): comprobación de redirección con plataforma para el equilibrado de carga IKEv2-PLAT-3: comprobación de redirección en la plataforma IKEv2-PLAT-3: ikev2_osal_redirect: Sesión aceptada por 10.0.0.1 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ Evento: EV_SEND_EAP_AUTH_REQ IKEv2-PROTO-2: (6): Enviando solicitud EAP IKEv2-PROTO-5: construir carga específica del proveedor: CISCO-GRANITEIKEv2-PROTO-3: (6): crear
El ASA envía la carga útil de AUTH para solicitar las credenciales de usuario del cliente. El ASA envía el método AUTH como 'RSA', de modo que envía su propio certificado al cliente, de modo que el cliente pueda autenticar el servidor ASA. Dado que ASA está dispuesto a utilizar un método de autenticación extensible, coloca una carga útil EAP en el mensaje 4 y aplaza el envío de SAr2, TSi y TSr hasta que la autenticación del iniciador se completa en un intercambio IKE_AUTH posterior. Por lo tanto, esas tres cargas útiles no están presentes en las depuraciones. El paquete EAP contiene: Código: request - Este código es enviado por el autenticador al par. id: 1 - El id ayuda a hacer coincidir las respuestas EAP con las solicitudes. Aquí el valor es 1, que indica que es el primer paquete en el intercambio EAP. Esta solicitud EAP tiene el tipo 'config-auth' de 'hello;' y se envía desde el ASA al cliente para iniciar el intercambio EAP. Longitud: 150 - La longitud del paquete EAP incluye el código, la ID, la longitud y los datos EAP. Datos EAP.	IDr. Próxima carga: CERT, reservada: 0x0, longitud: 36 Tipo de ID: DN DER ASN1, reservado: 0x0 0x0 30 1a 31 18 30 16 06 09 2a 86 48 86 f7 0d 01 09 02 16 09 41 53 41 2d 49 4b 45 56 32 CERT Siguiente carga: CERT, reservado: 0x0, longitud: 436 Codificación de certificado Certificado X.509 - firma Cert data&colon; 431 bytes CERT Siguiente carga útil: AUTH, reservado: 0x0, longitud: 436 Codificación de certificado Certificado X.509 - firma Cert data&colon; 431 bytes AUTH Siguiente carga útil: EAP, reservado: 0x0, longitud: 136 Método de autenticación RSA, reservado: 0x0, reservado 0x0 Datos de autenticación&dos puntos; 128 bytes EAP Carga útil siguiente: NINGUNA, reservada: 0x0, longitud: 154 Código: solicitud: id: 1, longitud: 150 Tipo: Desconocido - 254 Datos EAP: 145 bytes IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x1 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Siguiente carga: ENCR, versión: 2.0 IKEv2-PROTO-4: Tipo de intercambio: IKE_AUTH, indicadores: RESPONDER MSG-RESPONSE IKEv2-PROTO-4: ID del mensaje: 0x1, longitud: 1292 ENCR Carga útil siguiente: VID, reservado: 0x0, longitud: 1264 Datos y dos puntos cifrados; 1260 bytes
La fragmentación puede producirse si los certificados son grandes o si se incluyen cadenas de certificados. Tanto las cargas útiles de KE del iniciador como del respondedor también pueden incluir claves grandes, que también pueden contribuir a la fragmentación.	IKEv2-PROTO-5: (6): Fragmentación de paquetes, Fragmento MTU: 544, Número de fragmentos: 3, ID de fragmento: 1 IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001
	************************************** Fecha: 23/04/13 Hora: 16:25:02 Tipo: Información Fuente: acvpnagent Descripción: Función: ikev2_verify_X509_SIG_certs Archivo: .\ikev2_anyconnect_osal.cpp Línea: 2077 Solicitando la aceptación del certificado del usuario ************************************ Fecha: 23/04/13 Hora: 16:25:02 Tipo: Error Fuente: acvpnui Descripción: Función: CapCertificate::verifyChainPolicy Archivo: .\Certificates\CapiCertificate.cpp Línea: 2032 Función invocada: CertVerifyCertificateChainPolicy Código de retorno: -2146762487 (0x800B0109) Descripción: cadena de certificados procesada, pero terminada en un certificado raíz que no es de confianza para el proveedor de confianza. ************************************ Fecha: 23/04/13 Hora: 16:25:04 Tipo: Información Fuente: acvpnagent Descripción: Función: CEAPMgr::dataRequestCB Archivo: .\EAPMgr.cpp Línea: 400 EAP tipo propuesto: EAP-ANYCONNECT **************************************		El certificado enviado por ASA se presenta al usuario. El certificado no es de confianza. El tipo de EAP es EAP-ANYCONNECT.
El cliente responde a la solicitud EAP con una respuesta. El paquete EAP contiene: Código: response - Este código es enviado por el peer al autenticador en respuesta a la solicitud EAP. id: 1 - El id ayuda a hacer coincidir las respuestas EAP con las solicitudes. Aquí el valor es 1, que indica que esta es una respuesta a la solicitud enviada previamente por el ASA (autenticador). Esta respuesta EAP tiene el tipo 'config-auth' de 'init'; el cliente está inicializando el intercambio EAP y está esperando que el ASA genere la solicitud de autenticación. Length: 252 - La longitud del paquete EAP incluye el código, la ID, la longitud y los datos EAP. Datos EAP. El ASA descifra esta respuesta, y el cliente dice que ha recibido la carga útil de AUTH en el paquete anterior (con el certificado) y ha recibido el primer paquete de solicitud EAP del ASA. Esto es lo que contiene el paquete de respuesta EAP 'init'.	IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000002 IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x2 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Siguiente carga: ENCR, versión: 2.0 IKEv2-PROTO-4: Tipo de intercambio: IKE_AUTH, indicadores: INICIADOR IKEv2-PROTO-4: ID del mensaje: 0x2, longitud: 332 IKEv2-PROTO-5: (6): la solicitud tiene el id. de desorden 2; se espera del 2 al 2 REAL Paquete descifrado:Datos: 256 bytes EAP Carga útil siguiente: NINGUNA, reservada: 0x0, longitud: 256 Código: respuesta: id: 1, longitud: 252 Tipo: Desconocido - 254 Datos EAP:247 bytes Paquete descifrado:Data&colon; 332 bytes IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_WAIT_EAP_RESP Evento: EV_RECV_AUTH IKEv2-PROTO-3: (6): Deteniendo el temporizador para esperar el mensaje de autenticación IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_WAIT_EAP_RESP Evento: EV_RECV_EAP_RESP IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_PROC_EAP_RESP Evento: EV_PROC_MSG IKEv2-PROTO-2: (6): Procesando respuesta EAP Mensaje XML recibido del cliente a continuación <?xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="init"> <device-id>win</device-id> <version who="vpn">3.0.1047</version> <group-select>ASA-IKEV2</group-select> <group-access>ASA-IKEV2</group-access> </config-auth> IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_PROC_EAP_RESP Evento: EV_RECV_EAP_AUTH IKEv2-PROTO-5: (6): Acción: Action_Null IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_BLD_EAP_REQ Evento: EV_RECV_EAP_REQ
Esta es la segunda solicitud enviada por el ASA al cliente. El paquete EAP contiene: Código: request - Este código es enviado por el autenticador al par. id: 2 - El id ayuda a hacer coincidir las respuestas EAP con las solicitudes. Aquí el valor es 2, lo que indica que es el segundo paquete del intercambio. Esta solicitud tiene el tipo 'config-auth' de 'auth-request'; el ASA solicita que el cliente envíe las credenciales de autenticación de usuario. Length: 457 - La longitud del paquete EAP incluye el código, la ID, la longitud y los datos EAP. Datos EAP. carga útil ENCR: Esta carga se descifra y su contenido se analiza como carga adicional.	IKEv2-PROTO-2: (6): Enviando solicitud EAP Mensaje XML generado a continuación <?xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="auth-request"> <version who="sg">9.0(2)8</version> <opaque is-for="sg"> <tunnel-group>ASA-IKEV2</tunnel-group> <config-hash>1367268141499</config-hash> </opaque> <csport>443</csport> <auth id="main"> <form> <input type="text" name="username" label="Username:"></input> <input type="password" name="password" label="Password:"></input> </form> </auth> </config-auth> IKEv2-PROTO-3: (6): Creación de paquetes para cifrado; el contenido es: EAP Carga útil siguiente: NINGUNA, reservada: 0x0, longitud: 461 Código: solicitud: id: 2, longitud: 457 Tipo: Desconocido - 254 Datos EAP: 452 bytes IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x2 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Siguiente carga: ENCR, versión: 2.0 IKEv2-PROTO-4: Tipo de intercambio: IKE_AUTH, indicadores: RESPONDER MSG-RESPONSE IKEv2-PROTO-4: ID del mensaje: 0x2, longitud: 524 ENCR Siguiente carga útil: EAP, reservado: 0x0, longitud: 496 Datos y dos puntos cifrados; 492 bytes IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000002 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_BLD_EAP_REQ Evento: EV_START_TMR IKEv2-PROTO-3: (6): Temporizador de inicio para esperar el mensaje de autenticación del usuario (120 s) IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_WAIT_EAP_RESP Evento: EV_NO_EVENT	************************************** Fecha: 23/04/13 Hora: 16:25:04 Tipo: Información Fuente: acvpnui Descripción: Función: SDIMgr::ProcessPromptData Archivo: .\SDIMgr.cpp Línea: 281 El tipo de autenticación no es SDI. ************************************ Fecha: 23/04/13 Hora: 16:25:07 Tipo: Información Fuente: acvpnui Descripción: Función: ConnectMgr::userResponse Archivo: .\ConnectMgr.cpp Línea: 985 Procesando respuesta del usuario. **************************************	El cliente solicita la autenticación de usuario y la envía al ASA como una respuesta EAP en el siguiente paquete ('auth-reply').
El cliente envía otro mensaje del iniciador IKE_AUTH con la carga útil EAP. El paquete EAP contiene: Código: response - Este código es enviado por el peer al autenticador en respuesta a la solicitud EAP. id: 2 - El id ayuda a hacer coincidir las respuestas EAP con las solicitudes. Aquí el valor es 2, lo que indica que esta es una respuesta a la solicitud enviada previamente por el ASA (autenticador). Length: 420 - La longitud del paquete EAP incluye el código, la ID, la longitud y los datos EAP. Datos EAP.	IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x3 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Siguiente carga: ENCR, versión: 2.0 IKEv2-PROTO-4: Tipo de intercambio: IKE_AUTH, indicadores: INITIATOR IKEv2-PROTO-4: ID del mensaje: 0x3, longitud: 492 IKEv2-PROTO-5: (6): la solicitud tiene el id_desorden 3; se espera del 3 al 3 REAL Paquete descifrado:Datos: 424 bytes EAP carga siguiente: NINGUNA, reservada: 0x0, longitud: 424 Código: respuesta: id: 2, longitud: 420 Tipo: Desconocido - 254 Datos EAP: 415 bytes
ASA procesa esta respuesta. El cliente ha solicitado que el usuario introduzca las credenciales. Esta respuesta EAP tiene el tipo 'config-auth' de 'auth-reply.' Este paquete contiene las credenciales introducidas por el usuario.	Paquete descifrado:Datos: 492 bytes IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_WAIT_EAP_RESP Evento: EV_RECV_AUTH IKEv2-PROTO-3: (6): Deteniendo el temporizador para esperar el mensaje de autenticación IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_WAIT_EAP_RESP Evento: EV_RECV_EAP_RESP IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_PROC_EAP_RESP Evento: EV_PROC_MSG IKEv2-PROTO-2: (6): Procesando respuesta EAP Mensaje XML recibido del cliente a continuación <?xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="auth-reply"> <device-id>win</device-id> <version who="vpn">3.0.1047</version> <session-token></session-token> <session-id></session-id> <opaque is-for="sg"> <tunnel-group>ASA-IKEV2</tunnel-group> <config-hash>1367268141499</config-hash></opaque> <auth> <password>cisco123</password> <username>Anu</username></auth> </config-auth> IKEv2-PLAT-1: EAP:Autenticación de usuario iniciada IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_PROC_EAP_RESP Evento: EV_NO_EVENT IKEv2-PLAT-5: EAP:devolución de llamada AAA Resumen de certificados de servidor recuperado: DACE1C274785F28BA11D64453096BAE294A3172E IKEv2-PLAT-5: EAP:éxito en la devolución de llamada AAA IKEv2-PROTO-3: Respuesta recibida del autenticador IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_PROC_EAP_RESP Evento: EV_RECV_EAP_AUTH IKEv2-PROTO-5: (6): Acción: Action_Null
El ASA crea una tercera solicitud EAP en el intercambio. El paquete EAP contiene: Código: request - Este código es enviado por el autenticador al par. id: 3 - El id ayuda a hacer coincidir las respuestas EAP con las solicitudes. Aquí el valor es 3, lo que indica que es el tercer paquete del intercambio. Este paquete tiene el tipo 'config-auth' de 'complete'; ASA ha recibido una respuesta y el intercambio EAP ha finalizado. Length: 4235 - La longitud del paquete EAP incluye el código, el id, la longitud y los datos EAP. Datos EAP. carga útil ENCR: Esta carga se descifra y su contenido se analiza como carga adicional.	IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_BLD_EAP_REQ Evento: EV_RECV_EAP_REQ IKEv2-PROTO-2: (6): Enviando solicitud EAP Mensaje XML generado a continuación <?xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="complete"> <version who="sg">9.0(2)8</version> <session-id>32768</session-id> <session-token>18wA0TtGmDxPKPQCJywC7fB7EWLCEgz-ZtjYpAyXx2yJH0H3G3H8t5xpBOx3Ixag</session-token> <auth id="success"> <message id="0" param1=" param2=""></message> </auth> IKEv2-PROTO-3: (6): Creación de paquetes para cifrado; el contenido es: EAP Carga siguiente: NINGUNA, reservada: 0x0, longitud: 4239 Código: solicitud: id: 3, longitud: 4235 Tipo: Desconocido - 254 Datos EAP: 4230 bytes IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x3 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Siguiente carga: ENCR, versión: 2.0 IKEv2-PROTO-4: Tipo de intercambio: IKE_AUTH, indicadores: RESPONDER MSG-RESPONSE IKEv2-PROTO-4: ID del mensaje: 0x3, longitud: 4300 ENCR Siguiente carga útil: EAP, reservado: 0x0, longitud: 4272 Datos cifrados&dos puntos;4268 bytes IKEv2-PROTO-5: (6): Fragmentación de paquetes, Fragmento MTU: 544, Número de fragmentos: 9, ID de fragmento: 2 IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_BLD_EAP_REQ Evento: EV_START_TMR IKEv2-PROTO-3: (6): Temporizador de inicio para esperar el mensaje de autenticación del usuario (120 s) IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_WAIT_EAP_RESP Evento: EV_NO_EVENT
	************************************** Fecha: 23/04/13 Hora: 16:25:07 Tipo: Información Fuente: acvpnagent Descripción: Perfil actual: Anyconnect-ikev2.xml Valores de Configuración de la Sesión VPN Recibida: Mantener instalado: activado Configuración de proxy: no modificar Servidor proxy: ninguno URL PAC de proxy: ninguna Excepciones de proxy: ninguna Bloqueo de proxy: activado Dividir exclusión: la preferencia de acceso a la LAN local está desactivada Dividir inclusión: deshabilitado DNS dividido: deshabilitado Comodín de LAN local: la preferencia de acceso de LAN local está desactivada Reglas de firewall: ninguna Dirección del cliente: 10.2.2.1 Máscara del cliente: 255.0.0.0 Dirección IPv6 del cliente: desconocida Máscara IPv6 del cliente: desconocida MTU: 1406 Mantener activo IKE: 20 segundos DPD IKE: 30 segundos Tiempo de espera de sesión: 0 segundos Tiempo de espera de desconexión: 1800 segundos Tiempo de espera de inactividad: 1800 segundos Servidor: desconocido Host MUS: desconocido Mensaje de usuario DAP: ninguno Estado de cuarentena: deshabilitado VPN siempre activa: no desactivada Duración de la concesión: 0 segundos Dominio predeterminado: desconocido Página de inicio: desconocido Desconexión de eliminación de tarjeta inteligente: habilitado Respuesta de licencia: desconocido **************************************		El ASA envía los valores de configuración de VPN en el mensaje 'complete' al cliente y asigna una dirección IP al cliente desde el grupo VPN.
El cliente envía el paquete iniciador con la carga útil EAP. El paquete EAP contiene: Código: response - Este código es enviado por el peer al autenticador en respuesta a la solicitud EAP. id: 3 - El id ayuda a hacer coincidir las respuestas EAP con las solicitudes. Aquí el valor es 3, lo que indica que esta es una respuesta a la solicitud enviada previamente por el ASA (autenticador). El ASA ahora recibe el paquete de respuesta del cliente, que tiene el tipo 'config-auth' de 'ack'; esta respuesta reconoce el mensaje 'completo' de EAP enviado previamente por el ASA . Length: 173 - La longitud del paquete EAP incluye el código, la ID, la longitud y los datos EAP. Datos EAP.	IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000004 IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x4 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Siguiente carga: ENCR, versión: 2.0 IKEv2-PROTO-4: Tipo de intercambio: IKE_AUTH, indicadores: INITIATOR IKEv2-PROTO-4: ID del mensaje: 0x4, longitud: 252 IKEv2-PROTO-5: (6): la solicitud tiene el id_desorden 4; se espera del 4 al 4 REAL Paquete descifrado:Datos: 177 bytes EAP Carga útil siguiente: NINGUNA, reservada: 0x0, longitud: 177 Código: respuesta: id: 3, longitud: 173 Tipo: Desconocido - 254 Datos EAP: 168 bytes
El ASA procesa este paquete. El intercambio de EAP se ha realizado correctamente. El ASA se prepara para enviar el grupo de túnel configuración en el paquete siguiente, que ha sido solicitado previamente por el cliente en la carga útil IDi. El ASA recibe el paquete de respuesta del cliente, que tiene el tipo 'config-auth' de 'ack'. Esto respuesta reconoce el EAP mensaje 'completo' enviado por el ASA anteriormente. Configuración relevante: tunnel-group ASA-IKEV2 type remote-access tunnel-group ASA-IKEV2 general-attributes address-pool webvpn1 authorization-server-group LOCAL default-group-policy ASA-IKEV2 tunnel-group ASA-IKEV2 webvpn-attributes group-alias ASA-IKEV2 enable El intercambio EAP se ha realizado correctamente. El paquete EAP contiene: Código: success - Este código es enviado por el autenticador al peer después de la finalización de un EAP método de autentificación. Esto indica que el par tiene autenticado correctamente en el autenticador. id: 3 - El id ayuda a encontrar Respuestas EAP con las solicitudes. Aquí el valor es 3, que indica que es una respuesta a la solicitud enviada previamente por el ASA (autenticador). El tercer conjunto de paquetes en el intercambio fue y el intercambio de EAP se ha realizado correctamente. Longitud: 4 - Longitud del EAP paquete incluye el código, id, longitud y datos EAP. Datos EAP.	Paquete descifrado:Datos:252 bytes IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_WAIT_EAP_RESP Evento: EV_RECV_AUTH IKEv2-PROTO-3: (6): Deteniendo el temporizador para esperar el mensaje de autenticación IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_WAIT_EAP_RESP Evento: EV_RECV_EAP_RESP IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_PROC_EAP_RESP Evento: EV_PROC_MSG IKEv2-PROTO-2: (6): Procesando respuesta EAP Mensaje XML recibido del cliente a continuación <?xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="ack"> <device-id>win</device-id> <version who="vpn">3.0.1047</version> </config-auth> IKEv2-PLAT-3: (6) aggrAuthHdl establecido en 0x2000 IKEv2-PLAT-3: (6) tg_name establecido en: ASA-IKEV2 IKEv2-PLAT-3: (6) tunn grp type establecido en: RA IKEv2-PLAT-1: EAP:autenticación correcta IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_PROC_EAP_RESP Evento: EV_RECV_EAP_SUCCESS IKEv2-PROTO-2: (6): enviando mensaje de estado EAP IKEv2-PROTO-3: (6): Creación de paquetes para cifrado; el contenido es: EAP carga siguiente: NINGUNA, reservada: 0x0, longitud: 8 Código: éxito: id: 3, longitud: 4 IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x4 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Siguiente carga: ENCR, versión: 2.0 IKEv2-PROTO-4: Tipo de intercambio: IKE_AUTH, indicadores: RESPONDER MSG-RESPONSE IKEv2-PROTO-4: ID del mensaje: 0x4, longitud: 76 ENCR Carga útil siguiente: EAP, reservado: 0x0, longitud: 48 Datos cifrados&dos puntos;44 bytes IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000004 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_PROC_EAP_RESP Evento: EV_START_TMR IKEv2-PROTO-3: (6): Temporizador de inicio para esperar el mensaje de autenticación (30 s) IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_WAIT_EAP_AUTH_VERIFY Evento: EV_NO_EVENT
Dado que el intercambio EAP es exitoso, el cliente envía el paquete de iniciador IKE_AUTH con la carga útil AUTH. La carga de AUTH se genera a partir de la clave secreta compartida.	IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x5 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Siguiente carga: ENCR, versión: 2.0 IKEv2-PROTO-4: Tipo de intercambio: IKE_AUTH, indicadores: INITIATOR IKEv2-PROTO-4: ID del mensaje: 0x5, longitud: 92 IKEv2-PROTO-5: (6): la solicitud tiene el id_desorden 5; se espera del 5 al 5 REAL Paquete descifrado:Datos:28 bytes AUTH Siguiente carga útil: NONE, reservado: 0x0, longitud: 28 Método de autenticación PSK, reservado: 0x0, reservado 0x0 Datos de autenticación: 20 bytes
Cuando se especifica la autenticación EAP o implicado por el perfil del cliente y el el perfil no contiene el <IKEIdentity>, el cliente envía una carga útil ID_GROUP type IDi con la cadena fija $AnyConnectClient$. ASA procesa este mensaje. Configuración relevante: crypto dynamic-map dynmap 1000 set ikev2 ipsec-proposal 3des crypto map crymap 10000 ipsec-isakmp dynamic dynmap crypto map crymap interface outside	Paquete descifrado:Datos: 92 bytes IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_WAIT_EAP_AUTH_VERIFY Evento: EV_RECV_AUTH IKEv2-PROTO-3: (6): Deteniendo el temporizador para esperar el mensaje de autenticación IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Evento: EV_GET_EAP_KEY IKEv2-PROTO-2: (6): Enviar AUTH, para verificar el peer después del intercambio EAP IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Evento: EV_VERIFY_AUTH IKEv2-PROTO-3: (6): Verificar datos de autenticación IKEv2-PROTO-3: (6): *Use la clave previamente compartida para id $AnyConnectClient$, key len 20* IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Evento: EV_GET_CONFIG_MODE IKEv2-PLAT-3: respuesta de modo de configuración en cola IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Evento: EV_NO_EVENT IKEv2-PLAT-3: PSH: client=AnyConnect client-version=3.0.1047 client-os=Windows client-os-version= IKEv2-PLAT-3: respuesta de modo de configuración completada IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Evento: EV_OK_GET_CONFIG IKEv2-PROTO-3: (6): tener datos de modo de configuración para enviar IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Evento: EV_CHK4_IC IKEv2-PROTO-3: (6): procesando contacto inicial IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Evento: EV_CHK_REDIRECT IKEv2-PROTO-5: (6): ya se ha realizado la comprobación de redirección para esta sesión, omitiéndola IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Evento: EV_PROC_SA_TS IKEv2-PROTO-2: (6): procesando mensaje de autenticación IKEv2-PLAT-1: Crypto Map: Map dynmap seq 1000. Selector ajustado mediante IP asignada IKEv2-PLAT-3: Crypto Map: match on dynamic map dynmap seq 1000 IKEv2-PLAT-3: PFS deshabilitado para la conexión RA IKEv2-PROTO-3: (6): IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Evento: EV_NO_EVENT IKEv2-PLAT-2: devolución de llamada PFKEY SPI recibida para SPI 0x30B848A4, error FALSE IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Evento: EV_OK_RECD_IPSEC_RESP IKEv2-PROTO-2: (6): procesando mensaje de autenticación
ASA genera el mensaje de respuesta IKE_AUTH con las cargas útiles SA, TSi y TSr. El paquete del respondedor IKE_AUTH contiene: Encabezado ISAKMP: SPI/version/flags. AUTH payload: con el método de autenticación elegido. CFG - CFG_REQUEST/ CFG_REPLY permite que un terminal IKE solicite información de su peer. Si un atributo de la carga útil de configuración CFG_REQUEST no es de longitud cero, se toma como sugerencia para ese atributo. La carga útil de configuración CFG_REPLY puede devolver ese valor o uno nuevo. También puede agregar nuevos atributos y no incluir algunos solicitados. Los solicitantes omiten los atributos devueltos que no reconocen. ASA responde al cliente con los atributos de configuración de túnel en el paquete CFG_REPLY. SAr2: SAr2 inicia la SA, que es similar al intercambio de conjunto de transformación de fase 2 en IKEv1. TSi y TSr: los selectores de tráfico de iniciador y de respondedor contienen, respectivamente, la dirección de origen y de destino del iniciador y del respondedor para reenviar y recibir tráfico cifrado. El rango de direcciones especifica que todo el tráfico hacia y desde ese rango se tuneliza. Si la propuesta es aceptable para el respondedor, devuelve cargas útiles de TS idénticas. carga útil ENCR: Esta carga se descifra y su contenido se analiza como carga adicional.	IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH Evento: EV_MY_AUTH_METHOD IKEv2-PROTO-3: (6): Obtener mi método de autenticación IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH Evento: EV_GET_PRESHR_KEY IKEv2-PROTO-3: (6): Obtenga la clave previamente compartida del mismo nivel para $AnyConnectClient$ IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH Evento: EV_GEN_AUTH IKEv2-PROTO-3: (6): Generar mis datos de autenticación IKEv2-PROTO-3: (6): Use la clave previamente compartida para id hostname=ASA-IKEV2, key len 20 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH Evento: EV_CHK4_SIGN IKEv2-PROTO-3: (6) Obtener mi método de autenticación IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH Evento: EV_OK_AUTH_GEN IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_EAP_AUTH_VERIFY Evento: EV_GEN_AUTH IKEv2-PROTO-3: (6): Generar mis datos de autenticación IKEv2-PROTO-3: (6): Use la clave previamente compartida para id hostname=ASA-IKEV2, key len 20 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_EAP_AUTH_VERIFY Evento: EV_SEND_AUTH IKEv2-PROTO-2: (6): Enviar AUTH, para verificar el peer después del intercambio EAP IKEv2-PROTO-3: Propuesta ESP: 1, tamaño SPI: 4 (negociación IPSec), Número de transformaciones: 3 AES-CBC SHA96 IKEv2-PROTO-5: Construct Notify Payload: ESP_TFC_NO_SUPPORTIKEv2-PROTO-5: Construct Notify Payload: NON_FIRST_FRAGSIKEv2-PROTO-3: (6): Creación de paquetes para cifrado; los contenidos son: AUTH Siguiente carga: CFG, reservado: 0x0, longitud: 28 Método de autenticación PSK, reservado: 0x0, reservado 0x0 Datos de autenticación&dos puntos; 20 bytes CFG Siguiente carga: SA, reservado: 0x0, longitud: 4196 tipo cfg: CFG_REPLY, reservado: 0x0, reservado: 0x0 tipo de atributo: dirección IP4 interna, longitud: 4 01 01 01 01 tipo de atributo: máscara de red IP4 interna, longitud: 4 00 00 00 00 tipo de atributo: vencimiento de la dirección interna, longitud: 4 00 00 00 00 tipo de atributo: versión de la aplicación, longitud: 16 41 53 41 20 31 30 30 2e 37 28 36 29 31 31 36 00 Tipo de atributo: Desconocido - 28704, longitud: 4 00 00 00 00 Tipo de atributo: Desconocido - 28705, longitud: 4 00 00 07 08 Tipo de atributo: Desconocido - 28706, longitud: 4 00 00 07 08 Tipo de atributo: Desconocido - 28707, longitud: 1 01 Tipo de atributo: Desconocido - 28709, longitud: 4 00 00 00 1e Tipo de atributo: Desconocido - 28710, longitud: 4 00 00 00 14 Tipo de atributo: Desconocido - 28684, longitud: 1 01 Tipo de atributo: Desconocido - 28711, longitud: 2 05 7 sexies Tipo de atributo: Desconocido - 28679, longitud: 1 00 Tipo de atributo: Desconocido - 28683, longitud: 4 80 00 01 Tipo de atributo: Desconocido - 28725, longitud: 1 00 Tipo de atributo: Desconocido - 28726, longitud: 1 00 Tipo de atributo: Desconocido - 28727, longitud: 4056 3c 3f 78 6d 6c 20 76 65 72 73 69 6f 6e 3d 22 31 2e 30 22 20 65 6e 63 6f 64 69 6e 67 3d 22 55 54 46 2d 38 22 3f 3e 3c 63 6f 6e 66 69 67 2d 61 75 74 68 20 63 6c 69 65 6e 74 3d 22 76 70 6e 22 20 74 79 70 65 3d 22 63 6f 6d 70 6c 65 74 65 22 3e 3c 76 65 72 73 69 6f 6e 20 77 68 6f 3d 22 73 67 22 3e 31 30 30 2e 37 28 36 29 31 31 36 3c 2f 76 65 72 73 69 6f 6e 3e 3c 73 65 73 73 69 6f 6e 2d 69 64 3e 38 31 39 32 3c 2f 73 65 73 73 69 6f 6e <snip> 72 6f 66 69 6c 65 2d 6d 61 6e 69 66 65 73 74 3e 3c 2f 63 6f 6e 66 69 67 3e 3c 2f 63 6f 6e 66 69 67 2d 61 75 74 68 3e 00 Tipo de atributo: Desconocido - 28729, longitud: 1 00 SA Siguiente carga útil: TSi, reservado: 0x0, longitud: 44 IKEv2-PROTO-4: última propuesta: 0x0, reservado: 0x0, longitud: 40 Propuesta: 1, ID de protocolo: ESP, tamaño de SPI: 4, #trans: 3 IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 12 tipo: 1, reservado: 0x0, id: AES-CBC IKEv2-PROTO-4: última transformación: 0x3, reservado: 0x0: longitud: 8 tipo: 3, reservado: 0x0, id: SHA96 IKEv2-PROTO-4: última transformación: 0x0, reservado: 0x0: longitud: 8 tipo: 5, reservado: 0x0, id: TSi Siguiente carga útil: TSr, reservado: 0x0, longitud: 24 Número de TS: 1, reservado 0x0, reservado 0x0 Tipo de TS: TS_IPV4_ADDR_RANGE, id de proto: 0, longitud: 16 puerto inicial: 0, puerto final: 65535 dirección inicial: 10.2.2.1, dirección final: 10.2.2.1 TSr Siguiente carga útil: NOTIFICAR, reservado: 0x0, longitud: 24 Número de TS: 1, reservado 0x0, reservado 0x0 Tipo de TS: TS_IPV4_ADDR_RANGE, id de proto: 0, longitud: 16 puerto inicial: 0, puerto final: 65535 dirección inicial: 0.0.0.0, dirección final: 255.255.255.255 IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x5 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Siguiente carga: ENCR, versión: 2.0 IKEv2-PROTO-4: Tipo de intercambio: IKE_AUTH, indicadores: RESPONDER MSG-RESPONSE IKEv2-PROTO-4: ID del mensaje: 0x5, longitud: 4396 ENCR Siguiente carga útil: AUTH, reservado: 0x0, longitud: 4368 Datos y dos puntos cifrados; 4364 bytes
El ASA envía este mensaje de respuesta IKE_AUTH, que se fragmenta en nueve paquetes. El intercambio IKE_AUTH ha finalizado.	IKEv2-PROTO-5: (6): Fragmentación de paquetes, Fragmento MTU: 544, Número de fragmentos: 9, ID de fragmento: 3 IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Evento: EV_OK IKEv2-PROTO-5: (6): Acción: Action_Null IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Evento: EV_PKI_SESH_CLOSE
	************************************** Fecha: 23/04/13 Hora: 16:25:07 Tipo: Información Fuente: acvpnagent Descripción: Función: ikev2_log Archivo: .\ikev2_anyconnect_osal.cpp Línea: 2730 Se ha establecido la conexión IPsec. ************************************ Fecha: 23/04/13 Hora: 16:25:07 Tipo: Información Fuente: acvpnagent Descripción: Registro de sesión IPsec: Cifrado: AES-CBC PRF: SHA1 HMAC: SHA96 Método de autenticación local: PSK Método de autenticación remota: PSK ID de secuencia: 0 Tamaño de clave: 192 Grupo DH: 1 Tiempo de regeneración: 4294967 segundos Dirección local: 192.168.1.1 Dirección remota: 10.0.0.1 Puerto local: 4500 Puerto remoto: 4500 ID de sesión: 1 ************************************ Fecha: 23/04/13 Hora: 16:25:07 Tipo: Información Fuente: acvpnui Descripción: el perfil configurado en el gateway seguro es: Anyconnect-ikev2.xml ************************************ Fecha: 23/04/13 Hora: 16:25:07 Tipo: Información Fuente: acvpnui Descripción: información de tipo de mensaje enviada al usuario: Estableciendo sesión VPN... **************************************		El cliente informa de la conexión IPSec como se estableció. El cliente también detecta el perfil de usuario en el ASA.
	----------------------------IKE_AUTH exchange ends-----------------------------------
	************************************** Fecha: 23/04/13 Hora: 16:25:07 Tipo: Información Fuente: acvpndownloader Descripción: Función: ProfileMgr::loadProfiles Archivo: ..\Api\ProfileMgr.cpp Línea: 148 Perfiles cargados C:\Documents and Settings\All Users\Application Data\Cisco\Cisco AnyConnect Secure Mobility Client\Profile\anyconnect-ikev2.xml ************************************ ************************************ Fecha: 23/04/13 Hora: 16:25:07 Tipo: Información Fuente: acvpndownloader Descripción: Configuración de preferencias actual: ServiceDisable: false CertificateStoreOverride: falso Almacén de certificados: todos ShowPreConnectMessage: false AutoConnectOnStart: false MinimizeOnConnect: true LocalLanAccess: false AutoReconnect: true AutoReconnectBehavior: DisconnectOnSuspend UseStartBeforeLogon: false AutoUpdate: true RSASecurIDIntegration: Automático AplicaciónInicioSesiónWindows: InicioSesiónLocalÚnico WindowsVPNEstablishment: LocalUsersOnly Configuración de proxy: nativa AllowLocalProxyConnections: true ExclusiónPPE: Desactivar PPExclusionServerIP: AutomaticVPNPolicy: false DirectivaDeRedDeConfianza: Desconectar PolíticaDeRedNoConfiable: Conectar DominiosDNSfiables: ServidoresDNS de confianza: AlwaysOn: false ConnectFailurePolicy: Cerrada AllowCaptivePortalRemediation: false TiempoDeEsperaDeRemediaciónDePortalCautivo: 5 ApplyLastVPNLocalResourceRules: false AllowVPNDisconnect: true EnableScripting: false TerminateScriptOnNextEvent: false EnablePostSBLOnConnectScript: true AutomaticCertSelection: true RetainVpnOnLogoff: false AplicaciónUsuario: SameUserOnly EnableAutomaticServerSelection: false AutoServerSelectionMejora: 20 AutoServerSelectionSuspendTime: 4 Límite de tiempo de autenticación: 12 SafeWordSofTokenIntegration: false AllowIPsecOverSSL: false ClearSmartcardPin: true ************************************ Fecha: 23/04/13 Hora: 16:25:07 Tipo: Información Fuente: acvpnui Descripción: información de tipo de mensaje enviada al usuario: Estableciendo VPN: examinando el sistema... ************************************ Fecha: 23/04/13 Hora: 16:25:07 Tipo: Información Fuente: acvpnui Descripción: información de tipo de mensaje enviada al usuario: Estableciendo VPN: activando el adaptador VPN... ************************************ Fecha: 23/04/13 Hora: 16:25:07 Tipo: Información Fuente: acvpnagent Descripción: Función: CVirtualAdapter::DoRegistryRepair Archivo: .\WindowsVirtualAdapter.cpp Línea: 1869 Clave de control de VA encontrada: SYSTEM\CurrentControlSet\ENUM\ROOT\NET\0000\Control ************************************ Fecha: 23/04/13 Hora: 16:25:07 Tipo: Información Fuente: acvpnagent Descripción: Se ha detectado una nueva interfaz de red. ************************************ Fecha: 23/04/13 Hora: 16:25:07 Tipo: Información Fuente: acvpnagent Descripción: Función: CRouteMgr::logInterfaces Archivo: .\RouteMgr.cpp Línea: 2076 Función invocada: logInterfaces Código de devolución: 0 (0x00000000) Descripción: Lista de interfaz de direcciones IP: 10.2.2.1 192.168.1.1 ************************************ Fecha: 23/04/13 Hora: 16:25:08 Tipo: Información Fuente: acvpnagent Descripción: Configuración de host: Dirección pública: 192.168.1.1 Máscara pública: 255.255.255.0 Dirección privada: 10.2.2.1 Máscara privada: 255.0.0.0 Dirección IPv6 privada: N/D Máscara IPv6 privada: N/D Puntos remotos: 10.0.0.1 (puerto TCP 443, puerto UDP 500), 10.0.0.1 (puerto UDP 4500) Redes privadas: ninguna Redes públicas: ninguna Modo de túnel: sí **************************************		El perfil XML se carga en el cliente. Dado que el cliente ahora tiene una dirección IP del ASA, el cliente procede a activar el adaptador VPN.
La conexión se introduce en la base de datos de Security Association (SA) y el estado es REGISTERED (REGISTRADA). El ASA también realiza algunas comprobaciones como estadísticas de Common Access Card (CAC), presencia de SA duplicadas y establece valores como detección de puntos inactivos (DPD), etc.	IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Evento: EV_INSERT_IKE IKEv2-PROTO-2: (6): SA creada; insertando SA en la base de datos IKEv2-PLAT-3: ESTADO DE LA CONEXIÓN: ACTIVO... peer: 192.168.1.1:25171, phase1_id: $AnyConnectClient$ IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Evento: EV_REGISTER_SESSION IKEv2-PLAT-3: (6) nombre de usuario establecido en: Anu IKEv2-PLAT-3: ESTADO DE LA CONEXIÓN: REGISTERED... peer: 192.168.1.1:25171, phase1_id: $AnyConnectClient$ IKEv2-PROTO-3: (6) Inicializando DPD, configurado durante 10 segundos IKEv2-PLAT-3: (6) mib_index establecido en: 4501 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Evento: EV_GEN_LOAD_IPSEC IKEv2-PROTO-3: (6): cargar material de clave IPSEC IKEv2-PLAT-3: Crypto Map: match on dynamic map dynmap seq 1000 IKEv2-PLAT-3: (6) El tiempo máximo de DPD será: 30 IKEv2-PLAT-3: (6) El tiempo máximo de DPD será: 30 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Evento: EV_START_ACCT IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Evento: EV_CHECK_DUPE IKEv2-PROTO-3: (6): Comprobando si hay SA duplicada IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Evento: EV_CHK4_ROLE IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: READY Evento: EV_R_UPDATE_CAC_STATS IKEv2-PLAT-5: nueva solicitud ikev2 sa activada IKEv2-PLAT-5: Reducción del número de negociaciones entrantes IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: READY Evento: EV_R_OK IKEv2-PROTO-3: (6): Temporizador de inicio para eliminar el contexto de negociación IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: READY Evento: EV_NO_EVENT IKEv2-PLAT-2: PFKEY recibido agrega SA para SPI 0x77EE5348, error FALSE IKEv2-PLAT-2: se ha recibido la actualización PFKEY SA para SPI 0x30B848A4, error FALSE
	************************************** Fecha: 23/04/13 Hora: 16:25:08 Tipo: Información Fuente: acvpnagent Descripción: La conexión VPN se ha establecido y ahora puede pasar datos. ************************************ Fecha: 23/04/13 Hora: 16:25:08 Tipo: Información Fuente: acvpnui Descripción: información de tipo de mensaje enviada al usuario: Estableciendo VPN: configurando el sistema... ************************************ Fecha: 23/04/13 Hora: 16:25:08 Tipo: Información Fuente: acvpnui Descripción: información de tipo de mensaje enviada al usuario: Estableciendo VPN... ************************************ Fecha: 23/04/13 Hora: 16:25:37 Tipo: Información Fuente: acvpnagent Archivo: .\IPsecProtocol.cpp Línea: 945 Túnel IPsec establecido **************************************		El cliente informa que el túnel está activo y listo para pasar el tráfico.

Verificación del túnel

AnyConnect

El resultado de ejemplo del comando show vpn-sessiondb detail anyconnect es:

Session Type: AnyConnect Detailed

   Username     : Anu                    Index        : 2
   Assigned IP  : 10.2.2.1                Public IP    : 192.168.1.1
   Protocol     : IKEv2 IPsecOverNatT AnyConnect-Parent
   License      : AnyConnect Premium
   Encryption   : AES192 AES256          Hashing      : none SHA1 SHA1
   Bytes Tx     : 0                      Bytes Rx     : 11192
   Pkts Tx      : 0                      Pkts Rx      : 171
   Pkts Tx Drop : 0                      Pkts Rx Drop : 0
   Group Policy : ASA-IKEV2              Tunnel Group : ASA-IKEV2
   Login Time   : 22:06:24 UTC Mon Apr 22 2013
   Duration     : 0h:02m:26s
   Inactivity   : 0h:00m:00s
   NAC Result   : Unknown
   VLAN Mapping : N/A                    VLAN         : none

   IKEv2 Tunnels: 1
   IPsecOverNatT Tunnels: 1
   AnyConnect-Parent Tunnels: 1 

   AnyConnect-Parent:
     Tunnel ID    : 2.1
     Public IP    : 192.168.1.1
     Encryption   : none                   Auth Mode    : userPassword
   Idle Time Out: 30 Minutes             Idle TO Left : 27 Minutes
   Client Type  : AnyConnect
   Client Ver   : 3.0.1047 
    IKEv2:
     Tunnel ID    : 2.2
     UDP Src Port : 25171                  UDP Dst Port : 4500
     Rem Auth Mode: userPassword
     Loc Auth Mode: rsaCertificate
     Encryption   : AES192                 Hashing      : SHA1
     Rekey Int (T): 86400 Seconds          Rekey Left(T): 86254 Seconds
     PRF          : SHA1                   D/H Group    : 1
     Filter Name  :
     Client OS    : Windows
    IPsecOverNatT:
     Tunnel ID    : 2.3
     Local Addr   : 0.0.0.0/0.0.0.0/0/0
     Remote Addr  : 10.2.2.1/255.255.255.255/0/0
     Encryption   : AES256                 Hashing      : SHA1
   Encapsulation: Tunnel
   Rekey Int (T): 28800 Seconds          Rekey Left(T): 28654 Seconds
   Rekey Int (D): 4608000 K-Bytes        Rekey Left(D): 4607990 K-Bytes
   Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes 
   Bytes Tx     : 0                      Bytes Rx     : 11192
   Pkts Tx      : 0                      Pkts Rx      : 171
    NAC:
     Reval Int (T): 0 Seconds              Reval Left(T): 0 Seconds
     SQ Int (T)   : 0 Seconds              EoU Age(T)   : 146 Seconds
     Hold Left (T): 0 Seconds              Posture Token:    
    Redirect URL :

ISAKMP

El resultado de ejemplo del comando show crypto ikev2 sa es:

ASA-IKEV2#  show crypto ikev2 sa

      IKEv2 SAs:

      Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

      Tunnel-id                 Local                Remote     Status         Role
       55182129    10.0.0.1/4500         192.168.1.1/25171      READY    RESPONDER
            Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
            Life/Active Time: 86400/112 sec
      Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535   
                remote selector 10.2.2.1/0 - 10.2.2.1/65535
              ESP spi in/out: 0x30b848a4/0x77ee5348

El resultado de ejemplo del comando show crypto ikev2 sa detail es:

ASA-IKEV2# show crypto ikev2 sa detail

    IKEv2 SAs:

    Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

    Tunnel-id                 Local                Remote     Status         Role
     55182129    10.0.0.1/4500         192.168.1.1/25171      READY    RESPONDER
       Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
         Life/Active Time: 86400/98 sec
         Session-id: 2
         Status Description: Negotiation done
         Local spi: FC696330E6B94D7F       Remote spi: 58AFF71141BA436B
         Local id: hostname=ASA-IKEV2
         Remote id: *$AnyConnectClient$*
         Local req mess id: 0              Remote req mess id: 9
         Local next mess id: 0             Remote next mess id: 9
         Local req queued: 0               Remote req queued: 9
         Local window: 1                   Remote window: 1
         DPD configured for 10 seconds, retry 2
         NAT-T is detected  outside
         Assigned host addr: 10.2.2.1
   Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535
             remote selector 10.2.2.1/0 - 10.2.2.1/65535
             ESP spi in/out: 0x30b848a4/0x77ee5348
          AH spi in/out: 0x0/0x0
          CPI in/out: 0x0/0x0
            Encr: AES-CBC, keysize: 256, esp_hmac: SHA96
            ah_hmac: None, comp: IPCOMP_NONE, mode tunnel

IPSec

El resultado de ejemplo del comando show crypto ipsec sa es:

ASA-IKEV2# show crypto ipsec sa
   interface: outside
       Crypto map tag: dynmap, seq num: 1000, local addr: 10.0.0.1

     local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
        remote ident (addr/mask/prot/port): (10.2.2.1/255.255.255.255/0/0)
        current_peer: 192.168.1.1, username: Anu
        dynamic allocated peer ip: 10.2.2.1

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
         #pkts decaps: 163, #pkts decrypt: 108, #pkts verify: 108
         #pkts compressed: 0, #pkts decompressed: 0
         #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
         #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
         #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
         #send errors: 0, #recv errors: 55

      local crypto endpt.: 10.0.0.1/4500, remote crypto endpt.: 192.168.1.1/25171
         path mtu 1488, ipsec overhead 82, media mtu 1500
         current outbound spi: 77EE5348
         current inbound spi : 30B848A4

     inbound esp sas:
         spi: 0x30B848A4 (817383588)
            transform: esp-aes-256 esp-sha-hmac no compression
            in use settings ={RA, Tunnel,  NAT-T-Encaps, }
            slot: 0, conn_id: 8192, crypto-map: dynmap
            sa timing: remaining key lifetime (sec): 28685
            IV size: 16 bytes
            replay detection support: Y
            Anti replay bitmap:
            0xFFAD6BED 0x7ABFD5BF
       outbound esp sas:
         spi: 0x77EE5348 (2012107592)
            transform: esp-aes-256 esp-sha-hmac no compression
            in use settings ={RA, Tunnel,  NAT-T-Encaps, }
            slot: 0, conn_id: 8192, crypto-map: dynmap
            sa timing: remaining key lifetime (sec): 28685
            IV size: 16 bytes
            replay detection support: Y
            Anti replay bitmap:
           0x00000000 0x00000001

Información Relacionada

Historial de revisiones

Revisión	Fecha de publicación	Comentarios
1.0	04-May-2013	Versión inicial

Con la colaboración de ingenieros de Cisco

Anu M. Chacko, Jay Young, and Atri Basu
Cisco TAC Engineers.

¿Resultó útil este documento?

Comentarios

Contacte a Cisco

Abrir un caso de soporte
(Requiere un Cisco Service Contract)

Depuración de ASA IKEv2 para resolución de problemas de VPN de acceso remoto

Opciones de descarga

Lenguaje no discriminatorio

Acerca de esta traducción

Contenido

Introducción

Prerequisites

Requirements

Componentes Utilizados

Problema principal

Situación

Comandos de Debug

Configuración de ASA

Archivo XML

Registros y descripciones de depuración

Verificación del túnel

AnyConnect

ISAKMP

IPSec

Información Relacionada

Historial de revisiones

Con la colaboración de ingenieros de Cisco

¿Resultó útil este documento?

Contacte a Cisco

Este documento se aplica a estos productos