使用ASAv上的ASDM或CLI配置IKEv1 IPsec站点到站点隧道

引言

本文档描述了如何在运行v9.18.3的两个Cisco Secure Firewall Virtual（ASAv）之间配置IKEv1 IPsec站点到站点隧道。

前提条件

要求

Cisco建议您了解以下主题：

• 必须建立端到端IP连接
• 必须允许这些协议：
  
  1. IPsec控制平面的用户数据报协议（UDP）500和4500
  2. 封装IPsec数据平面的安全有效负载（ESP）IP协议50

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 运行软件版本9.18.3的Cisco Secure Firewall ASA Virtual

本文档中的信息是根据特定实验室环境中的设备创建的。本文档中使用的所有设备都以清除的（默认）配置开始。如果您的网络处于活动状态，请确保您了解任何命令的潜在影响。

配置

本节介绍如何通过Adaptive Security Device Manager（ASDM）VPN向导或CLI配置站点到站点VPN隧道。

网络图

此拓扑用于本文档中的示例：

拓扑图

通过ASDM VPN向导进行配置

完成以下步骤，以便通过ASDM向导设置站点到站点VPN隧道：

1. 打开ASDM并导航至向导>VPN向导>站点到站点VPN向导.
   
   VPN向导导航
2. 单击下一步到达向导主页后。
   
   VPN向导窗口1

   注释：最新的ASDM版本提供了一个指向解释此配置的视频的链接。

3. 配置对等IP地址。在此示例中，对等IP地址设置为10.106.67.91在站点B上。如果在站点A上配置对等IP地址，则必须将其更改为10.106.67.90。还指定了可以访问远程端的接口。单击下一步完成后。
   
   VPN向导窗口2
4. 配置本地和远程网络（流量源和目标）。此图显示站点B的配置（反之适用于站点A）。
   
   VPN向导窗口3
5. 在“安全”页面上，配置预共享密钥（两端必须匹配）。单击下一步完成后。
   
   VPN向导窗口4
6. 为ASA上的流量配置源接口。ASDM根据ASA版本自动创建网络地址转换（NAT）规则，并在最后一步中将其与其余配置一起推送。

   注释：对于本文档中使用的示例，“内部”是流量的来源。

   VPN向导窗口5
7. 该向导现在提供了推送到ASA的配置的摘要。查看并验证配置设置，然后单击完成.
   
   VPN向导窗口6

通过CLI配置

本节介绍了如何通过CLI配置IKEv1 IPsec站点到站点隧道。

配置站点B

提示：对于ASA的IKEv2配置示例，请查看ASA和路由器之间的站点到站点IKEv2隧道配置示例Cisco文档。

第1阶段（IKEv1）

完成阶段1配置的以下步骤：

1. 在CLI中输入此命令，以便在外部接口上启用IKEv1：
   
   

   加密ikev1在外部启用

2. 创建一个IKEv1策略，定义用于散列、身份验证、Diffie-Hellman组、生存期和加密的算法/方法：
   
   

   加密ikev1策略1
   ! 上述命令中的1表示策略套件优先级（最高1，最低65535）
   身份验证预共享
   加密aes-256
   杂碎沙
   第14组
   寿命86400

3. 在IPsec属性下创建隧道组，并配置对等IP地址和隧道预共享密钥：
   
   

   隧道组10.106.67.90型ipsec-l2l
   隧道组10.106.67.90 ipsec属性
   ikev1预共享密钥思科
   ! 注意预共享密钥命令开头的IKEv1关键字。

第2阶段（IPsec）

完成阶段2配置的以下步骤：

1. 创建一个访问列表，定义要加密和隧道化的流量。在本例中，感兴趣的交通量是来自隧道的交通量10.2.2.0子网到10.1.1.0。如果站点之间涉及多个子网，则可以包含多个条目。
   
   

   对象网络10.2.2.0_24
   子网10.2.2.0 255.255.255.0
   对象网络10.1.1.0_24
   子网10.1.1.0 255.255.255.0
   
   访问列表100扩展许可ip对象10.2.2.0_24对象10.1.1.0_24

2. 配置转换集（TS），它必须包含关键字IKEv1号机组。还必须在远程端创建相同的TS。
   
   

   加密ipsec ikev1变换集myset esp-aes-256 esp-sha-hmac

3. 配置包含以下组件的加密映射：
   
   • 对等IP地址
   • 定义的访问列表，包含感兴趣的流量
   • TS公司
   • 一个可选的完美前向保密（PFS）设置，创建一对新的Diffie-Hellman密钥，用于保护数据（在第2阶段开始之前，双方都必须启用PFS）
     
     
4. 在外部接口上应用加密映射：
   
   

   密码映射outside_map 20匹配地址100
   加密映射outside_map 20 set peer 10.106.67.90
   加密映射outside_map 20 set ikev1 transform-set myset
   crypto map outside _map 20集合pfs
   加密映射外部map接口外部

NAT豁免

确保VPN流量不受任何其他NAT规则的约束。这是使用的NAT规则：

nat（内部，外部）1源静态10.2.2.0_24 10.2.2.0_24目标静态10.1.1.0_24 10.1.1.0_24无代理arp路由查找

注释：使用多个子网时，必须创建包含所有源和目标子网的对象组，并在NAT规则中使用它们。

对象组网络10.x.x.x_SOURCE
网络对象10.4.4.0 255.255.255.0
网络对象10.2.2.0 255.255.255.0

对象网络10.x.x.x_DESTINATION
网络对象10.3.3.0 255.255.255.0
网络对象10.1.1.0 255.255.255.0

nat（内部，外部）1源静态10.x.x.x_source 10.x.x.x源目标静态10.x.x.x_destination 10.x.x.x.x_DESSINATION no-proxy-arp路由查找

完成示例配置

以下是站点B的完整配置：

加密ikev1在外部启用

加密ikev1策略10
身份验证预共享
加密aes-256
杂烩
第14组
寿命86400

隧道组10.106.67.90型ipsec-l2l
隧道组10.106.67.90 ipsec属性
ikev1预共享密钥思科
!注意预共享密钥命令开头的IKEv1关键字。

对象网络10.2.2.0_24
子网10.2.2.0 255.255.255.0
对象网络10.1.1.0_24
子网10.1.1.0 255.255.255.0

访问列表100扩展许可ip对象10.2.2.0_24对象10.1.1.0_24

加密ipsec ikev1转换集myset esp aes esp sha hmac

密码映射outside_map 20匹配地址100
加密映射outside_map 20 set peer 10.106.67.90
加密映射outside_map 20 set ikev1 transform-set myset
crypto map outside _map 20集合pfs
加密映射外部map接口外部

nat（内部，外部）1源静态10.2.2.0_24 10.2.2.0~24目标静态10.1.1.0_24 10.1.1.0~24 no-proxy-arp路由查找

组策略

组策略用于定义适用于隧道的特定设置。这些政策与隧道组一起使用。

组策略可以定义为内部策略，即从ASA上定义的属性中提取属性，也可以定义为外部策略，其中属性是从外部服务器查询的。这是用于定义组策略的命令：

集团策略SITE_A内部

注释：您可以在组策略中定义多个属性。有关所有可能属性的列表，请参阅配置组策略第节。

组策略可选属性

The  vpn-隧道式丙醇属性确定必须应用这些设置的隧道类型。在此示例中，使用IPsec：

vpn-隧道-丙醇？
组策略模式命令/选项：
IPSec IP安全协议使用ipsec实现安全的l2tp-ipsec l2tp
svc SSL VPN客户端
webvpn webvpn

vpn-tunnel-protocol ikev1-8.4版及更高版本

您可以选择配置隧道，使其保持空闲（无流量）且不停机。为了配置此选项vpn空闲超时属性值必须使用分钟，或者可以将该值设置为没有人这意味着隧道永远不会坍塌。 

以下是一个示例：

组策略SITE_A属性
vpn-idle-timeout？

组策略模式命令/选项：
<1-35791394>分钟数
alert-interval以分钟为单位指定超时警报间隔
无站点到站点（IKEv1、IKEv2）和IKEv1remote-access:禁用
超时并允许无限的空闲时间；AnyConnect（SSL，
IPSec/IKEv2）：使用default-idle-timeout的值

The  默认组策略隧道组的常规属性下的命令定义了用于为已建立的隧道推送特定策略设置的组策略。未在组策略中定义的选项的默认设置取自全局默认组策略：

隧道组10.106.67.91通用属性
默认组策略SITE_A

验证

使用本节提供的信息来验证配置是否正常工作。

ASDM公司

要从ASDM查看通道状态，请导航至监控>VPN。提供的信息如下：

• 对等IP地址
• 用于构建隧道的协议
• 使用的加密算法
• 隧道到达的时间和正常运行时间
• 接收和传输的数据包数

提示：单击刷新为了查看最新的值，因为数据不会实时更新。

VPN监控窗口

CLI（命令行界面）

本节介绍如何通过CLI验证配置。

第1阶段

在CLI中输入此命令，以验证站点B侧的阶段1配置：

显示加密ikev1 sa

IKEv1 SA：
  
活动SA:1
Rekey SA:0（在重新生成密钥期间，隧道将报告1个活动SA和1个Rekey SA）
IKE SA总计：1

1 IKE对等：10.106.67.91
类型：L2L角色：发起者
Rekey:无状态：MM_活动

第2阶段

The  显示加密ipsec sa命令显示对等端之间构建的IPsec SA。加密隧道建立在IP地址10.106.67.90和10.106.67.91之间，用于网络10.1.1.0和10.2.2.0之间的流量。您可以看到为入站和出站流量构建的两个ESP SA。没有使用身份验证标头（AH），因为没有AH SA。

在CLI中输入此命令，以验证站点A侧的第2阶段配置：

接口：外部
加密映射标记：地图外部，序号：20，本地地址：10.106.67.90

访问列表100扩展许可ip 10.1.1.0 255.255.255.0 10.2.2.0 255.25255.0
本地标识符（地址/掩码/保护/端口）：（10.1.1.0/255.255.255.0/0/0）
远程标识符（地址/掩码/保护/端口）：（10.2.2.0/255.255.255.0/0/0）
当前对等：10.106.67.91


#pkts加密：20，#pkts加密：20，#pkts摘要：20
#pkts去盖：20，#pkts解密：20，#pkts验证：20
#压缩的pkts:0，解压缩的pkts:0
#pkts未压缩：20，#pkts comp失败：0，#pkts-decomp失败：0
#分段前成功次数：0，分段前失败次数：0；创建的分段数：0
#发送的PMTU:0，#PMTUs rcvd:0，#需要重新组装的去封装玻璃钢：0
#TFC rcvd:0，发送的#TFC:0
#有效ICMP错误rcvd:0，#无效ICMP错误
#发送错误：0，#recv错误：0

本地加密结束点：10.106.67.90/0，远程加密结束：10.106.67.91/0
路径mtu 1500，ipsec开销74（44），媒体mtu 1500
PMTU剩余时间（秒）：0，DF策略：copy-DF
ICMP错误验证：已禁用，TFC数据包：已禁用
当前出站spi:F8951DA2
当前入站spi:662C7ABE

入站esp sas：
spi:0x662C7ABE（1714191038）
SA状态：活动
转换：esp-aes-256esp-sha-hmac无压缩
使用中设置={L2L、隧道、PFS组14、IKEv1、}
插槽：0，连接id：1，加密映射：外部映射
sa定时：剩余密钥寿命（kB/sec）：（3914998/28074）
IV大小：16字节
重播检测支持：Y
防重放位图：
0x000000000x001FFFFF
出站esp sas：
spi:0xF8951DA2（4170522018）
SA状态：活动
转换：esp-aes-256esp-sha-hmac无压缩
使用中设置={L2L、隧道、PFS组14、IKEv1、}
插槽：0，连接id：1，加密映射：外部映射
sa定时：剩余密钥寿命（kB/sec）：（3914998/28073）
IV大小：16字节
重播检测支持：Y
反重播位图：
0x000000000x00000001

在CLI中输入此命令，以验证站点B侧的第2阶段配置：

接口：外部
加密映射标记：地图外部，序号：20，本地地址：10.106.67.91

访问列表100扩展许可ip 10.2.2.0 255.255.255.0 10.1.1.0 255.25255.0
本地标识符（地址/掩码/保护/端口）：（10.2.2.0/255.255.255.0/0/0）
远程标识符（地址/掩码/保护/端口）：（10.1.1.0/255.255.255.0/0/0）
当前对等：10.106.67.90


#pkts营地：20，#pkts加密：20，#pkts摘要：20
#pkts去盖：20，#pkts解密：20，#pkts验证：20
#压缩的pkts:0，解压缩的pkts:0
#pkts未压缩：20，#pkts comp失败：0，#pkts-decomp失败：0
#分段前成功次数：0，分段前失败次数：0；创建的分段数：0
#发送的PMTU:0，#PMTUs rcvd:0，#需要重新组装的去封装玻璃钢：0
#TFC rcvd:0，发送的#TFC:0
#有效ICMP错误rcvd:0，#无效ICMP错误
#发送错误：0，#recv错误：0

本地加密结束点：10.106.67.91/0，远程加密结束：10.106.67.90/0
路径mtu 1500，ipsec开销74（44），媒体mtu 1500
PMTU剩余时间（秒）：0，DF策略：copy-DF
ICMP错误验证：已禁用，TFC数据包：已禁用
当前出站spi:662C7ABE
当前入站spi:F8951DA2

入站esp-sas：
spi:0xF8951DA2（4170522018）
SA状态：活动
转换：esp-aes-256esp-sha-hmac无压缩
使用中设置={L2L、隧道、PFS组14、IKEv1、}
插槽：0，连接id：1，加密映射：外部映射
sa定时：剩余密钥寿命（kB/sec）：（4373998/27737）
IV大小：16字节
重播检测支持：Y
反重播位图：
0x00000000 0x001FFFFF
出站esp-sas：
spi:0x662C7ABE（1714191038）
SA状态：活动
转换：esp-aes-256esp-sha-hmac无压缩
使用中设置={L2L、隧道、PFS组14、IKEv1、}
插槽：0，连接id：1，加密映射：外部映射
sa定时：剩余密钥寿命（kB/sec）：（4373998/27737）
IV大小：16字节
重播检测支持：Y
反重播位图：
0x00000000 0x00000001

疑难解答

使用本节提供的信息对配置问题进行故障排除。

输入这些调试命令以确定通道故障的位置：

• 调试加密ikev1 127（第1阶段）
• 调试加密ipsec 127（第2阶段）
  
  

下面是调试输出的完整示例：

IPSEC（crypto_map_check）-3:查找匹配5元组的加密映射：Prot=1，saddr=10.1.1.10，sport=23043，daddr=10.2.2.10，dport=23044
IPSEC（crypto_map_check）-3:检查crypto map outside_map 20:匹配。
3月15日05:41:39[IKEv1 DEBUG]投手：收到密钥获取消息，spi 0x0
IPSEC（crypto_map_check）-3:查找匹配5元组的加密映射：Prot=1，saddr=10.1.1.10，sport=23043，daddr=10.2.2.10，dport=23044
IPSEC（crypto_map_check）-3:检查crypto map outside_map 20:匹配。
3月15日05:41:39[IKEv1]IP=10.106.67.91，IKE启动器：新阶段1，内部Intf，IKE-对等10.106.679.1本地代理地址10.1.1.0，远程代理地址10.2.2.0，加密映射（outside_map）
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，构建ISAKMP SA有效载荷
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，构建NAT-Traversal VID ver-02有效载荷
3月15日05:41:39[IKEv1调试]IP=10.106.67.91，构建NAT遍历VID ver 03有效负载
3月15日05:41:39[IKEv1调试]IP=10.106.67.91，通过RFC有效负载构建NAT遍历VID
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，构建碎片VID+扩展能力有效载荷
3月15日05:41:39[IKEv1]IP=10.106.67.91，带有效载荷的IKE_DECODE发送消息（msgid=0）：HDR+SA（1）+供应商（13）+供应商
3月15日05:41:39[IKEv1]IKE接收器：数据包于10.106.67.90:500从10.106.6791:500接收
3月15日05:41:39[IKEv1]IP=10.106.67.91，IKE_DECODE已接收消息（msgid=0），有效载荷：HDR+SA（1）+供应商（13）+供应商
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，处理SA有效载荷
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，Oakley提案可以接受
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，处理VID有效载荷
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，收到NAT-Traversal RFC VID
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，处理VID有效载荷
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，收到碎片VID
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，IKE Peer包含IKE碎片功能标志：主模式：True侵略模式：True
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，构建ke有效载荷
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，构建nonce有效载荷
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，构建Cisco Unity VID有效负载
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，构建xauth V6 VID有效载荷
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，发送IOS VID
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，构建ASA欺骗IOS供应商ID有效负载（版本：1.0.0，功能：20000001）
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，构建VID有效载荷
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，发送Altiga/Cisco VPN3000/Cisco ASA GW VID
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，构建NAT-Discovery有效载荷
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，计算NAT发现哈希
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，构建NAT-Discovery有效载荷
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，计算NAT发现哈希
3月15日05:41:39[IKEv1]IP=10.106.67.91，IKE_DECODE发送消息（msgid=0），有效载荷：HDR+KE（4）+NONCE（10）+VENDOR（13）+VENDOR（13
3月15日05:41:39[IKEv1]IKE接收器：数据包于10.106.67.90:500从10.106.6791:500接收
3月15日05:41:39[IKEv1]IP=10.106.67.91，IKE_DECODE已接收消息（msgid=0），有效载荷：HDR+KE（4）+NONCE（10）+VENDOR（13）+VENDOR（13
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，处理ke有效载荷
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，正在处理ISA_KE有效载荷
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，处理nonce有效载荷
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，处理VID有效载荷
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，收到Cisco Unity客户端VID
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，处理VID有效载荷
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，收到xauth V6 VID
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，处理VID有效载荷
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，处理VPN3000/ASA欺骗IOS供应商ID有效负载（版本：1.0.0，功能：20000001）
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，处理VID有效载荷
3月15日05:41:39[IKEv1调试]IP=10.106.67.91，收到Altiga/思科VPN3000/思科ASA GW VID
3月15日05:41:39[IKEv1调试]IP=10.106.67.91，正在处理NAT发现负载
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，计算NAT发现哈希
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，处理NAT-Discovery有效负载
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，计算NAT发现哈希
3月15日05:41:39[IKEv1]IP=10.106.67.91，连接在隧道组10.106.679.1上
3月15日05:41:39[IKEv1 DEBUG]Group=10.106.67.91，IP=10.106.7.91，正在生成启动器密钥。。。
3月15日05:41:39[IKEv1 DEBUG]Group=10.106.67.91，IP=10.106.7.91，构建ID有效载荷
3月15日05:41:39[IKEv1 DEBUG]Group=10.106.67.91，IP=10.106.7.91，正在构建哈希有效载荷
3月15日05:41:39[IKEv1 DEBUG]Group=10.106.67.91，IP=10.106.7.91，正在计算ISAKMP的哈希
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，构建IOS保持活动有效载荷：建议=32767/32767秒。
3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91，IP=10.106.7.91，构建dpd-vid有效载荷
3月15日05:41:39[IKEv1]IP=10.106.67.91，IKE_DECODE发送消息（msgid=0），有效载荷：HDR+ID（5）+HASH（8）+IOS KEEPALIVE（128）+VENDOR（13）+NONE（0）总长度：96
3月15日05:41:39[IKEv1]组=10.106.67.91，IP=10.106.7.91，自动NAT检测状态：远程端不在NAT设备后面此端不在NAT设备后面
3月15日05:41:39[IKEv1]IKE接收器：数据包于10.106.67.90:500从10.106.6791:500接收
3月15日05:41:39[IKEv1]IP=10.106.67.91，IKE_DECODE RECEIVED Message（msgid=0），有效载荷：HDR+ID（5）+HASH（8）+IOS KEEPALIVE（128）+VENDOR（13）+NONE（0）总长度：96
3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91，IP=10.106.7.91，处理ID有效载荷
3月15日05:41:39[IKEv1 DECODE]组=10.106.67.91，IP=10.106.7.91，ID_IPV4_ADDR ID收到10.106.679.1
3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91，IP=10.106.7.91，正在处理哈希有效载荷
3月15日05:41:39[IKEv1 DEBUG]Group=10.106.67.91，IP=10.106.7.91，正在计算ISAKMP的哈希
3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91，处理IOS保持活动有效载荷：建议=32767/32767秒。
3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91，IP=10.106.7.91，处理VID有效载荷
3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91，IP=10.106.7.91，收到DPD VID
3月15日05:41:39[IKEv1]IP=10.106.67.91，连接在隧道组10.106.679.1上
3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91，IP=10.106.7.91，Oakley开始快速模式
3月15日05:41:39[IKEv1 DECODE]组=10.106.67.91，IP=10.106.7.91，IKE启动器启动QM:msg id=ad712fa9
3月15日05:41:39[IKEv1]组=10.106.67.91，IP=10.106.7.91，第1阶段完成
3月15日05:41:39[IKEv1]IP=10.106.67.91，此连接的保持活动类型：DPD
3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91，IP=10.106.7.91，启动P1重新密钥计时器：73440秒。
3月15日05:41:39[IKEv1]组=10.106.67.91，IP=10.106.7.91，逻辑ID为8192的SA成功添加到IKEv1隧道表
3月15日05:41:39[IKEv1]组=10.106.67.91，IP=10.106.7.91，逻辑ID为8192的SA成功添加到IKEv1 MIB表
IPSEC信息：将SA清除计时器类型的IPSEC计时器设置为30秒，抖动值为0
IPSEC信息：IPSEC SA PURGE计时器已启动SPI 0x0001B739
IPSEC：新胚胎SA创建于0x00007f05294f4620，
SCB:0x294CFE60，
方向：入站
SPI:0x50EF49AD
会话ID:0x00002000
VPIF编号：0x00000002
隧道类型：l2l
协议：esp
寿命：240秒
SA句柄：0x0001B739
3月15日05:41:39[IKEv1 DEBUG]Group=10.106.67.91，IP=10.106.67.81，IKE从密钥引擎获取SPI:SPI=0x50ef49ad
3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91，IP=10.106.7.91，橡树构造快速模式
3月15日05:41:39[IKEv1 DEBUG]Group=10.106.67.91，IP=10.106.7.91，正在构造空散列有效载荷
3月15日05:41:39[IKEv1 DEBUG]Group=10.106.67.91，IP=10.106.7.91，构建IPSec SA有效载荷
3月15日05:41:39[IKEv1 DEBUG]Group=10.106.67.91，IP=10.106.7.91，正在构建IPSec nonce有效载荷
3月15日05:41:39[IKEv1 DEBUG]Group=10.106.67.91，IP=10.106.7.91，构建pfs ke有效载荷
3月15日05:41:39[IKEv1 DEBUG]Group=10.106.67.91，IP=10.106.7.91，正在构建代理ID
3月15日05:41:39[IKEv1调试]组=10.106.67.91，IP=10.106.67.91，传输代理Id:
本地子网：10.1.1.0掩码255.255.255.0协议0端口0
远程子网：10.2.2.0掩码255.255.255.0协议0端口0
3月15日05:41:39[IKEv1 DECODE]组=10.106.67.91，IP=10.106.7.91，IKE发起人发送初始联系人
3月15日05:41:39[IKEv1 DEBUG]Group=10.106.67.91，IP=10.106.7.91，正在构造qm哈希有效载荷
3月15日05:41:39[IKEv1 DECODE]组=10.106.67.91，IP=10.106.7.91，IKE启动器发送第一个QM pkt:msg id=ad712fa9
3月15日05:41:39[IKEv1]IP=10.106.67.91，IKE_DECODE SENDING Message（msgid=ad712fa9），有效载荷：HDR+HASH（8）+SA（1）+NONCE（10）+KE（4）+ID（5）+ID
3月15日05:41:39[IKEv1]IKE接收器：数据包于10.106.67.90:500从10.106.6791:500接收
3月15日05:41:39[IKEv1]IP=10.106.67.91，IKE_DECODE RECEIVED Message（msgid=ad712fa9），有效载荷：HDR+HASH（8）+SA（1）+NONCE（10）+KE（4）+ID（5）+ID
3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91，IP=10.106.7.91，正在处理哈希有效载荷
3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91，IP=10.106.7.91，处理SA有效载荷
3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91，IP=10.106.7.91，正在处理nonce有效载荷
3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91，IP=10.106.7.91，处理ke有效载荷
3月15日05:41:39[IKEv1 DEBUG]Group=10.106.67.91，IP=10.106.7.91，正在第2阶段处理PFS的ISA_KE
3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91，IP=10.106.7.91，处理ID有效载荷
3月15日05:41:39[IKEv1 DECODE]组=10.106.67.91，IP=10.106.7.91，收到ID_IPV4_ADDR_SUBNET ID--10.1.1.0--255.255.255.0
3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91，IP=10.106.7.91，处理ID有效载荷
3月15日05:41:39[IKEv1 DECODE]组=10.106.67.91，IP=10.106.7.91，收到ID_IPV4_ADDR_SUBNET ID--10.2.2.0--255.255.255.0
3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91，IP=10.106.7.91，加载所有IPSEC SA
3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91，IP=10.106.7.91，正在生成快速模式密钥！
3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91，IP=10.106.7.91，正在生成快速模式密钥！
3月15日05:41:39[IKEv1]组=10.106.67.91，IP=10.106.7.91，LAN-to-LAN组（10.106.679.1）发起程序的安全协商完成，入站SPI=0x50ef49ad，出站SPI=0xea689811
3月15日05:41:39[IKEv1 DEBUG]Group=10.106.67.91，IP=10.106.7.91，oakley构建最终快速模式
3月15日05:41:39[IKEv1 DECODE]组=10.106.67.91，IP=10.106.7.91，IKE发起程序发送第三个QM pkt:msg id=ad712fa9
3月15日05:41:39[IKEv1]IP=10.106.67.91，IKE_DECODE发送消息（msgid=ad712fa9），有效载荷：HDR+HASH（8）+NONE（0）总长度：76
IPSEC信息：将SA清除计时器类型的IPSEC计时器设置为30秒，抖动值为0
IPSEC信息：IPSEC SA清除计时器已启动SPI 0x00024311
IPSEC：新的胚胎SA创建于0x00007f05294fd920，
SCB:0x294CCDB0，
方向：出站
SPI:0xEA689811
会话ID:0x00002000
VPIF编号：0x00000002
隧道类型：l2l
协议：esp
寿命：240秒
SA句柄：0x00024311
本地10.1.1.0到远程10.2.2.0的规则查找
对等匹配地图outside_map序列20
加密映射outside_map seq 20上的代理匹配
IPSEC调试：对SPI 0xEA689811使用NP出站许可规则
IPSEC:已完成主机OBSA更新，SPI 0xEA689811
IPSEC:创建出站VPN上下文，SPI 0xEA689811
标志：0x00000005
SA:0x00007f05294fd920
SPI:0xEA689811
MTU:1500字节
VCID:0x00000000
对等方：0x00000000
SCB：0x02CEE703
频道：0x00007f0533c4f700
IPSEC:已完成出站VPN上下文，SPI 0xEA689811
VPN句柄：0x00000000000763c
IPSEC:新出站加密规则，SPI 0xEA689811
地址：10.1.1.0
Src掩码：255.255.255.0
地址：10.2.2.0
Dst掩码：255.255.255.0
Src端口
上限：0
下限：0
操作：忽略
Dst端口
上限：0
下限：0
操作：忽略
协议：0
使用协议：false
SPI:0x00000000
使用SPI:false
IPSEC:已完成出站加密规则，SPI 0xEA689811
规则ID:0x00007f05294f8a60
IPSEC:新出站许可规则，SPI 0xEA689811
地址：10.106.67.90
Src掩码：255.255.255.255
地址：10.106.67.91
Dst掩码：255.255.255.255
Src端口
上限：0
下限：0
操作：忽略
Dst端口
上限：0
下限：0
操作：忽略
方案：50
使用协议：true
SPI:0xEA689811
使用SPI:true
IPSEC:已完成出站许可规则，SPI 0xEA689811
规则ID:0x00007f05294f9110
3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91，IP=10.106.7.91，IKE收到SA的KEY_ADD消息：SPI=0xea689811
IPSEC：新胚胎SA创建于0x00007f05294f4620，
SCB:0x294CFE60，
方向：入站
SPI:0x50EF49AD
会话ID:0x00002000
VPIF编号：0x00000002
隧道类型：l2l
协议：esp
寿命：240秒
SA句柄：0x0001B739
本地10.1.1.0到远程10.2.2.0的规则查找
对等匹配地图outside_map序列20
加密映射outside_map seq 20上的代理匹配
IPSEC调试：对SPI 0x50EF49AD使用NP入站许可规则
IPSEC:已完成主机IBSA更新，SPI 0x50EF49AD
IPSEC:创建入站VPN上下文，SPI 0x50EF49AD
标志：0x00000006
SA:0x00007f05294f4620
SPI:0x50EF49AD
MTU:0字节
VCID:0x00000000
对等方：0x0000763C
SCB:0x02CE8BB3
频道：0x00007f0533c4f700
IPSEC:已完成入站VPN上下文，SPI 0x50EF49AD
VPN句柄：0x0000000000086bc
IPSEC:更新出站VPN上下文0x0000763C，SPI 0xEA689811
标志：0x00000005
SA:0x00007f05294fd920
SPI:0xEA689811
MTU:1500字节
VCID:0x00000000
对等方：0x000086BC
SCB：0x02CEE703
频道：0x00007f0533c4f700
IPSEC:已完成出站VPN上下文，SPI 0xEA689811
VPN句柄：0x00000000000763c
IPSEC:已完成出站内部规则，SPI 0xEA689811
规则ID:0x00007f05294f8a60
IPSEC:已完成出站外部SPD规则，SPI 0xEA689811
规则ID:0x00007f05294f9110
IPSEC：新入站隧道流规则，SPI 0x50EF49AD
地址：10.2.2.0
Src掩码：255.255.255.0
地址：10.1.1.0
Dst掩码：255.255.255.0
Src端口
上限：0
下限：0
操作：忽略
Dst端口
上限：0
下限：0
操作：忽略
协议：0
使用协议：false
SPI:0x00000000
使用SPI:false
IPSEC:已完成入站隧道流规则，SPI 0x50EF49AD
规则ID:0x00007f05294f8180
IPSEC：新的入站解密规则，SPI 0x50EF49AD
地址：10.106.67.91
Src掩码：255.255.255.255
地址：10.106.67.90
Dst掩码：255.255.255.255
Src端口
上限：0
下限：0
操作：忽略
Dst端口
上限：0
下限：0
操作：忽略
方案：50
使用协议：true
SPI:0x50EF49AD
使用SPI:true
IPSEC:已完成入站解密规则，SPI 0x50EF49AD
规则ID:0x00007f05294f7ad0
IPSEC:新入站许可规则，SPI 0x50EF49AD
地址：10.106.67.91
Src掩码：255.255.255.255
地址：10.106.67.90
Dst掩码：255.255.255.255
Src端口
上限：0
下限：0
操作：忽略
Dst端口
上限：0
下限：0
操作：忽略
方案：50
使用协议：true
SPI:0x50EF49AD
使用SPI:true
IPSEC:已完成入站许可规则，SPI 0x50EF49AD
规则ID:0x00007f05294f4510
IPSEC信息：正在销毁SA清除计时器类型的IPSEC计时器
IPSEC信息：销毁SA清除计时器类型的IPSEC计时器
3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91，IP=10.106.7.91，投手：收到KEY_UPDATE，spi 0x50ef49ad
3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91，IP=10.106.7.91，启动P2密钥计时器：24480秒。
3月15日05:41:39[IKEv1]组=10.106.67.91，IP=10.106.7.91，第2阶段完成（msgid=ad712fa9）