ASA IPsec 및 IKE 디버깅(IKEv1 기본 모드) 문제 해결 TechNote
다운로드 옵션
편견 없는 언어
본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
이 번역에 관하여
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
소개
이 문서에서는 주 모드와 PSK(pre-shared key)가 모두 사용되는 경우 ASA(Adaptive Security Appliance)의 디버그에 대해 설명합니다.특정 디버그 행을 컨피그레이션으로 변환하는 방법도 설명합니다.
이 문서에서 다루지 않는 항목에는 터널이 설정된 후 트래픽을 전달하는 것과 IPsec 또는 IKE(Internet Key Exchange)의 기본 개념이 포함되어 있습니다.
사전 요구 사항
요구 사항
이 문서의 독자는 이러한 주제에 대해 알고 있어야 합니다.
-
PSK
-
IKE
사용되는 구성 요소
이 문서의 정보는 다음 하드웨어 및 소프트웨어 버전을 기반으로 합니다.
-
Cisco ASA 9.3.2
-
Cisco IOS® 12.4T를 실행하는 라우터
핵심 문제
IKE 및 IPsec 디버그는 종종 암호이지만 IPsec VPN 터널 설정 문제가 있는 위치를 파악하는 데 사용할 수 있습니다.
시나리오
주 모드는 일반적으로 LAN-to-LAN 터널 간에 사용되며, 원격 액세스(EzVPN)의 경우 인증에 인증서를 사용할 때 사용됩니다.
소프트웨어 버전 9.3.2을 실행하는 두 ASA의 디버그입니다. 두 디바이스는 LAN-to-LAN 터널을 형성합니다.
두 가지 주요 시나리오는 다음과 같습니다.
- ASA를 IKE의 개시자로 사용
- ASA를 IKE의 응답자로 사용
사용된 디버그 명령
debug crypto ikev1 127
debug crypto ipsec 127
ASA 컨피그레이션
IPsec 구성:
crypto ipsec transform-set TRANSFORM esp-aes esp-sha-hmac[an error occurred while processing this directive]
crypto map MAP 10 match address VPN
crypto map MAP 10 set peer 10.0.0.2
crypto map MAP 10 set transform-set TRANSFORM
crypto map MAP 10 set reverse-route
crypto map MAP interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group 10.0.0.2 type ipsec-l2l
tunnel-group 10.0.0.2 ipsec-attributes
pre-shared-key cisco
access-list VPN extended permit tcp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
IP 구성:
ciscoasa#
show ip
[an error occurred while processing this directive]
System IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet0/0 inside 192.168.1.1 255.255.255.0 manual
GigabitEthernet0/1 outside 10.0.0.1 255.255.255.0 manual
Current IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet0/0 inside 192.168.1.1 255.255.255.0 manual
GigabitEthernet0/1 outside 10.0.0.1 255.255.255.0 manual
NAT 컨피그레이션:
object network INSIDE-RANGE[an error occurred while processing this directive]
subnet 192.168.1.0 255.255.255.0 object network FOREIGN_NETWORK
subnet 192.168.2.0 255.255.255
nat (inside,outside) source static INSIDE-RANGE INSIDE-RANGE destination static
FOREIGN_NETWORK FOREIGN_NETWORK no-proxy-arp route-lookup
디버깅
| 개시자 메시지 설명 |
디버깅 |
응답자 메시지 설명 |
|||
| 주 모드 교환이 시작됩니다.공유된 정책이 없으며 피어가 여전히 MM_NO_STATE에 있습니다.
개시자로서 ASA는 페이로드를 구성하기 시작합니다. |
[IKEv1 디버그]:투수:키 획득 메시지(spi 0x0)를 받았습니다. |
|
|||
| MM1 구성
이 프로세스는ncludes iIKE 및 s에 대한 초기 제안지원되는 NAT-T 벤더 |
[IKEv1 디버그]:IP = 10.0.0.2, ISAKMP SA 페이로드 구성 [IKEv1 DEBUG]:IP = 10.0.0.2, NAT-Traversal VID 버전 02 페이로드 구성 |
||||
| MM1을 보냅니다. |
[IKEv1]:IP = 10.0.0.2, IKE_DECODE 전송 메시지(msgid=0) 페이로드:HDR + SA(1) + 공급업체(13) + 공급업체(13) + 공급업체(13) + 공급업체(13) + 없음(0) 총 길이:168 |
||||
| =========================MM1========================================== |
|
||||
|
|
[IKEv1]:IP = 10.0.0.2, IKE_DECODE RECEIVED 메시지(msgid=0) 페이로드:HDR + SA(1) + 공급업체(13) +공급업체(13) + 공급업체(13) + 공급업체(13) + 없음(0) 총 길이:164 |
개시자로부터 MM1을 받았습니다.
|
|||
|
|
[IKEv1 디버그]:IP = 10.0.0.2, SA 페이로드 처리 [IKEv1 디버그]:IP = 10.0.0.2, Oakley 제안서 수락 가능 [IKEv1 디버그]:IP = 10.0.0.2, VID 페이로드 처리 [IKEv1 디버그]:IP = 10.0.0.2, IKE SA Proposal # 1, Transform # 1 acceptable Matches global IKE entry # 2 |
프로세스 MM1.
ISAKMP/IKE 정책 비교가 시작됩니다. 원격 피어는 NAT-T를 사용할 수 있다고 알립니다.
관련 구성: 인증 사전 공유 암호화 3des 해시 sha 그룹 2 수명 86400 |
|||
|
|
[IKEv1 디버그]:IP = 10.0.0.2, ISAKMP SA 페이로드 구성 |
구성 MM2.
이 메시지에서 응답자는 사용할 isakmp 정책 설정을 선택합니다. 또한 사용할 수 있는 NAT-T 버전을 광고합니다. |
|||
|
|
[IKEv1]:IP = 10.0.0.2, IKE_DECODE 전송 메시지(msgid=0) 페이로드:HDR + SA(1) + 공급업체(13) + 공급업체(13) + 없음(0) 총 길이:128 |
MM2를 보냅니다. |
|||
|
|
<======================MM2================================= |
|
|||
| 응답자로부터 MM2를 받았습니다. |
[IKEv1]:IP = 10.0.0.2, IKE_DECODE RECEIVED 메시지(msgid=0) 페이로드:HDR + SA(1) + 공급업체(13) + 없음(0) 총 길이:104
|
|
|||
| 프로세스 MM2. |
[IKEv1 디버그]:IP = 10.0.0.2, SA 페이로드 처리
|
|
|||
| MM3을 구성합니다.
이 프로세스는ncludesNAT 검색 페이로드, 디피-DH(Hellman) KE(Key Exchange) 페이로드(i)nitator에는 g, p 및 A to responder 포함), DPD 지원. |
11월 30일 10:38:29 [IKEv1 DEBUG]:IP = 10.0.0.2, 키 페이로드 구성 |
|
|||
| MM3를 보냅니다. |
[IKEv1]:IP = 10.0.0.2, IKE_DECODE 전송 메시지(msgid=0) 페이로드:HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) 총 길이:304
|
|
|||
|
|
=============================MM3==================================> |
|
|||
|
|
[IKEv1]:IP = 10.0.0.2, IKE_DECODE RECEIVED 메시지(msgid=0) 페이로드:HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + NAT-D (130) + NAT-D (130) + NONE (0) 총 길이:284 |
개시자로부터 MM3을 받았습니다. |
|||
|
|
[IKEv1 디버그]:IP = 10.0.0.2, 키 페이로드 처리 |
프로세스 MM3.
NAT-D 페이로드 응답자는 Initator가 NAT 뒤에 있고 responder가 NAT 뒤에 있습니다.
DH KE에서 페이로드 응답자는 p, g 및 A의 값을 가져옵니다. |
|||
|
|
[IKEv1 디버그]:IP = 10.0.0.2, 컴퓨팅 NAT 검색 해시 |
MM4를 구성합니다.
이 프로세스는ncludes NAT 검색 페이로드, DH 커esponder는 "B" 및 "s"를 생성하며(다시 "B"를 수신자에게 전송), DPD VID. |
|||
|
|
[IKEv1]:IP = 10.0.0.2, 연결이 tunnel_group 10.0.0.2에 연결됨 |
피어는 10.0.0.2 L2L 터널 그룹과 연결되며 위의 "s" 및 사전 공유 키에서 암호화 및 해시 키가 생성됩니다. |
|||
|
|
[IKEv1]:IP = 10.0.0.2, IKE_DECODE 전송 메시지(msgid=0) 페이로드:HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (130) + NAT-D (130) + NONE (0) 총 길이:304 |
MM4를 보냅니다. |
|||
|
|
<========================MM4=============================== |
|
|||
| MM4가 응답자로부터 수신되었습니다. |
[IKEv1]:IP = 10.0.0.2, IKE_DECODE RECEIVED 메시지(msgid=0) 페이로드:HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) 총 길이:304
|
|
|||
| 프로세스 MM4.
NAT-D 페이로드에서 이제 개시자는 Initiator가 NAT 뒤에 있고 responder가 NAT 뒤에 있습니다.
|
[IKEv1 디버그]:IP = 10.0.0.2, ike 페이로드 처리 |
|
|||
|
피어는 10.0.0.2 L2L 터널 그룹과 연결되며, 생성자는 위의 "s" 및 사전 공유 키를 사용하여 암호화 및 해시 키를 생성합니다.
|
[IKEv1]:IP = 10.0.0.2, 연결이 tunnel_group 10.0.0.2에 연결됨 [IKEv1 디버그]:그룹 = 10.0.0.2, IP = 10.0.0.2, 개시자에 대한 키 생성 중... |
|
|||
| MM5를 구성합니다.
관련 구성: crypto isakmp ID 자동 |
[IKEv1 디버그]:그룹 = 10.0.0.2, IP = 10.0.0.2, ID 페이로드 구성 |
|
|||
| 보내기 MM5. |
[IKEv1]:IP = 10.0.0.2, IKE_DECODE 전송 메시지(msgid=0) 페이로드:HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) +VENDOR (13) + NONE (0) 총 길이:96 |
|
|||
|
|
==========================MM5====================================== |
|
|||
| Responder가 어떤 NAT 뒤에 있지 않습니다.NAT-T가 필요하지 않습니다. |
[IKEv1]:그룹 = 10.0.0.2, IP = 10.0.0.2, 자동 NAT 탐지 상태:원격 끝이 NAT 디바이스 뒤에 있지 않습니다. 이 끝은 NAT 디바이스 뒤에 있지 않습니다. |
[IKEv1]:IP = 10.0.0.2, IKE_DECODE RECEIVED 메시지(msgid=0) 페이로드:HDR + ID (5) + HASH (8) + NONE (0) 총 길이:64 |
개시자로부터 MM5를 받았습니다.
이 프로세스는ncludes r원격 피어 ID(ID) 및 c특정 터널 그룹에 연결 착륙합니다. |
||
|
|
[IKEv1 디버그]:그룹 = 10.0.0.2, IP = 10.0.0.2, 처리 ID 페이로드 [IKEv1]:IP = 10.0.0.2, 연결이 tunnel_group 10.0.0.2에 연결됨 |
프로세스 MM5.
사전 공유 키를 사용한 인증이 지금 시작됩니다. 두 피어 모두에서 인증이 발생합니다.따라서 해당 인증 프로세스의 두 집합을 확인할 수 있습니다.
관련 구성: |
|||
|
|
탐지 상태:원격 끝이 NAT 디바이스 뒤에 있지 않습니다. 이 끝은 NAT 디바이스 뒤에 있지 않습니다. |
아니요 이 경우에는 NAT-T가 필요합니다. |
|||
|
|
[IKEv1 디버그]:그룹 = 10.0.0.2, IP = 10.0.0.2, ID 페이로드 구성 |
MM6을 구성합니다.
ID 보내기 에는 rekey time started 및 identity sent to remote peer가 포함됩니다. |
|||
|
|
[IKEv1]:IP = 10.0.0.2, IKE_DECODE 전송 메시지(msgid=0) 페이로드:HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) +VENDOR (13) + NONE (0) 총 길이:96 |
MM6을 보냅니다. |
|||
|
|
<========================MM6=============================== |
|
|||
| MM6이 응답자로부터 수신되었습니다. |
[IKEv1]:IP = 10.0.0.2, IKE_DECODE RECEIVED 메시지(msgid=0) 페이로드:HDR + ID (5) + HASH (8) + NONE (0) 총 길이:64 |
[IKEv1]:그룹 = 10.0.0.2, IP = 10.0.0.2, 단계 1 완료됨 |
1단계가 완료되었습니다.
isakmp rekey 타이머를 시작합니다.
관련 구성: |
||
| 프로세스 MM6.
이 프로세스는ncludes r피어 및 f에서 전송된 원격 ID선택할 터널 그룹에 대한 최종 결정 |
[IKEv1 디버그]:그룹 = 10.0.0.2, IP = 10.0.0.2, 처리 ID 페이로드 |
|
|||
| 1단계가 완료되었습니다.
ISAKMP 키 재설정 타이머를 시작합니다.
관련 c구성: 터널 그룹 10.0.0.2 유형 ipsec-l2l 터널 그룹 10.0.0.2 ipsec-attributes 사전 공유 키 cisco |
[IKEv1]:그룹 = 10.0.0.2, IP = 10.0.0.2, 1단계 완료 |
|
|||
| 2단계(빠른 모드)가 시작됩니다. |
IPSEC:0x53FC3C00에서 생성된 새로운 원시 SA, |
||||
| QM1을 구성합니다.
이 프로세스에는 프록시 ID 및 IP초 정책.
관련 구성: access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 |
[IKEv1 디버그]:그룹 = 10.0.0.2, IP = 10.0.0.2, IKE가 키 엔진에서 SPI를 받았습니다.SPI = 0xfd2d851f [IKEv1 디코드]:그룹 = 10.0.0.2, IP = 10.0.0.2, IKE Initiator가 초기 연락처 전송 |
|
|||
| 보내기 QM1. |
[IKEv1]:IP = 10.0.0.2, IKE_DECODE 전송 메시지(msgid=7b80c2b0) 페이로드:HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NOTIFY (11) + NONE (0) 총 길이:200 |
|
|||
|
|
===============================QM1===============================> |
|
|||
|
|
[IKEv1 디코드]:IP = 10.0.0.2, IKE Responder 시작 QM: 메시지 id = 52481cf5 [IKEv1]:IP = 10.0.0.2, IKE_DECODE RECEIVED 메시지(msgid=52481cf5) 페이로드:HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0) 총 길이 :172 |
개시자로부터 QM1을 받았습니다.
응답자는 2단계(QM)를 시작합니다. |
|||
| [IKEv1 디버그]:그룹 = 10.0.0.2, IP = 10.0.0.2, 해시 페이로드 처리 |
QM1을 처리합니다.
이 프로세스 원격 프록시와 로컬 프록시 비교 허용 가능한 IP 선택초 정책.
관련 컨피그레이션: crypto ipsec transform-set TRANSFORM esp-aesesp-sha-hmac access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 암호화 맵 MAP 10 일치 주소 VPN |
||||
|
|
[IKEv1 디코드]:그룹 = 10.0.0.2, IP = 10.0.0.2, ID_IPV4_ADDR_SUBNET ID received—192.168.2.0—255.255.255.0[IKEv1]:그룹 = 10.0.0.2, IP = 10.0.0.2, ID 페이로드에서 원격 IP 프록시 서브넷 데이터를 받았습니다.주소 192.168.2.0, 마스크 255.255.255.0, 프로토콜 1, 포트 0 [IKEv1 디버그]:그룹 = 10.0.0.2, IP = 10.0.0.2, 처리 ID 페이로드 |
원격 및 로컬 서브넷(192.168.2.0/24 및 192.168.1.0/24)이 수신됩니다. |
|||
|
|
[IKEv1]:그룹 = 10.0.0.2, IP = 10.0.0.2, QM IsRekeyed 이전 sa를 addr에 의해 찾을 수 없음 |
일치하는 고정 암호화 항목을 찾아 찾습니다. |
|||
|
|
[IKEv1]:그룹 = 10.0.0.2, IP = 10.0.0.2, IKE:SPI 요청! |
QM2를 구성합니다.
이 프로세스는ncludes c프록시 ID, 터널 유형 및 미러링된 암호화 ACL에 대해 검사가 수행됩니다. |
|||
|
|
[IKEv1]:IP = 10.0.0.2, IKE_DECODE 전송 메시지(msgid=52481cf5) 페이로드:HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0) 총 길이 :172 |
QM2를 보냅니다. |
|||
|
|
<=========================QM2================================= |
|
|||
| 응답자로부터 QM2를 받았습니다. |
[IKEv1]:IP = 10.0.0.2, IKE_DECODE RECEIVED 메시지(msgid=7b80c2b0) 페이로드:HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NOTIFY (11) + NONE (0) 총 길이:200 |
|
|||
| QM2를 처리합니다.
이 과정에서 r원격 엔드에서는 매개 변수와 최단 제안된 단계 2의 수명을 선택합니다. |
[IKEv1 디버그]:그룹 = 10.0.0.2, IP = 10.0.0.2, 해시 페이로드 처리 |
|
|||
| 일치하는 암호화 맵 "MAP" 및 항목 10을 찾았으며 액세스 목록 "VPN"과 일치시켰습니다. |
[IKEv1 디버그]:Group = 10.0.0.2, IP = 10.0.0.2, NP 암호화 규칙 조회에서 암호화 맵 MAP 10 일치 ACL VPN:cs_id=53f11198이 반환되었습니다.규칙=53f11a90 |
|
|||
| 어플라이언스에서 인바운드 및 아웃바운드 트래픽에 대해 각각 SPI 0xfd2d851f 및 0xdde50931을 생성했습니다. |
[IKEv1 디버그]:그룹 = 10.0.0.2, IP = 10.0.0.2, 빠른 모드 키 생성! |
|
|||
| QM3을 구성합니다.
확인 원격 피어에 생성된 모든 SPI입니다. |
IPSEC:완료된 호스트 IBSA 업데이트, SPI 0xFD2D851F |
|
|||
| QM3을 보냅니다. |
[IKEv1 디코드]:그룹 = 10.0.0.2, IP = 10.0.0.2, 3번째 QM pkt를 보내는 IKE 개시자:msg id = 7b80c2b0 |
|
|||
|
|
============================QM3=====================================> |
|
|||
| 2단계가 완료되었습니다.
이제 개시자가 이러한 SPI 값을 사용하여 패킷을 암호화하고 해독할 준비가 되었습니다. |
[IKEv1]:IP = 10.0.0.2, IKE_DECODE 전송 메시지(msgid=7b80c2b0) 페이로드:HDR + HASH (8) + NONE (0) 총 길이: 76 |
[IKEv1]:IP = 10.0.0.2, IKE_DECODE RECEIVED 메시지(msgid=52481cf5) 페이로드:HDR + HASH (8) + NONE (0) 총 길이:52 |
QM3이 개시자로부터 수신되었습니다. |
||
|
|
[IKEv1 디버그]:그룹 = 10.0.0.2, IP = 10.0.0.2, 해시 페이로드 처리 |
QM3 처리
데이터 SA에 대해 암호화 키가 생성됩니다.
이 과정에서 트래픽을 전달하기 위해 SPI가 설정됩니다. |
|||
|
|
[IKEv1]:그룹 = 10.0.0.2, IP = 10.0.0.2, LAN-to-LAN 그룹(10.0.0.2) Responder, 인바운드 SPI = 0x1698cac7, 아웃바운드 SPI = 0xdb680406 보안 협상이 완료되었습니다. IPSEC:완료된 호스트 IBSA 업데이트, SPI 0x1698CAC7 |
SPI가 데이터 SA에 할당됩니다. |
|||
|
|
[IKEv1 디버그]:그룹 = 10.0.0.2, IP = 10.0.0.2, P2 키 재설정 타이머 시작:3060초 |
IPsec rekey 시간을 시작합니다. |
|||
|
|
[IKEv1]:그룹 = 10.0.0.2, IP = 10.0.0.2, 2단계 완료 (msgid=52481cf5) |
2단계가 완료되었습니다.responder와 initiator 모두 트래픽을 암호화/해독할 수 있습니다. |
|||
터널 확인
참고:ICMP는 터널을 트리거하는 데 사용되므로 IPSec SA가 하나만 작동됩니다.프로토콜 1 = ICMP
show crypto ipsec sa
interface: outside
Crypto map tag: MAP, seq num: 10, local addr: 10.0.0.1
access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/1/0)
remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/1/0)
current_peer: 10.0.0.2
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 10.0.0.1/0, remote crypto endpt.: 10.0.0.2/0
path mtu 1500, ipsec overhead 74, media mtu 1500
current outbound spi: DB680406
current inbound spi : 1698CAC7
inbound esp sas:
spi: 0x1698CAC7(379112135)[an error occurred while processing this directive]
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 16384, crypto-map: MAP
sa timing: remaining key lifetime (kB/sec): (3914999/3326)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x0000001F
outbound esp sas:
spi: 0xDB680406 (3681027078)
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 16384, crypto-map: MAP
sa timing: remaining key lifetime (kB/sec): (3914999/3326)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001show crypto isakmp sa
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 10.0.0.2
Type :L2LRole :responder
Rekey : no State :MM_ACTIVE[an error occurred while processing this directive]
관련 정보
- 좋은 출발점은 IPSec에 대한 위키백과 문서2. 표준 및 참조 자료에는 많은 유용한 정보가 포함되어 있습니다.
- IPsec 문제 해결:디버그 명령 이해 및 사용
- 기술 지원 및 문서 − Cisco Systems
Cisco 엔지니어가 작성
- Atri Basu, Marcin Latosiewicz, and Jay Young TaylorCisco TAC Engineers.
피드백지원 문의
- 지원 케이스 접수
- (시스코 서비스 계약 필요)