向导>VPN向导>站点到站点VPN向导
下一步
下一步
下一步
完成
加密ikev1在外部启用
加密ikev1策略1 ! 上述命令中的1表示策略套件优先级(最高1,最低65535) 身份验证预共享 加密aes-256 杂碎沙 第14组 寿命86400
隧道组10.106.67.90型ipsec-l2l 隧道组10.106.67.90 ipsec属性 ikev1预共享密钥思科 ! 注意预共享密钥命令开头的IKEv1关键字。
对象网络10.2.2.0_24 子网10.2.2.0 255.255.255.0 对象网络10.1.1.0_24 子网10.1.1.0 255.255.255.0 访问列表100扩展许可ip对象10.2.2.0_24对象10.1.1.0_24
IKEv1号机组
加密ipsec ikev1变换集myset esp-aes-256 esp-sha-hmac
密码映射outside_map 20匹配地址100 加密映射outside_map 20 set peer 10.106.67.90 加密映射outside_map 20 set ikev1 transform-set myset crypto map outside _map 20集合pfs 加密映射外部map接口外部
nat(内部,外部)1源静态10.2.2.0_24 10.2.2.0_24目标静态10.1.1.0_24 10.1.1.0_24无代理arp路由查找
对象组网络10.x.x.x_SOURCE 网络对象10.4.4.0 255.255.255.0 网络对象10.2.2.0 255.255.255.0 对象网络10.x.x.x_DESTINATION 网络对象10.3.3.0 255.255.255.0 网络对象10.1.1.0 255.255.255.0 nat(内部,外部)1源静态10.x.x.x_source 10.x.x.x源目标静态10.x.x.x_destination 10.x.x.x.x_DESSINATION no-proxy-arp路由查找
加密ikev1在外部启用 加密ikev1策略10 身份验证预共享 加密aes-256 杂烩 第14组 寿命86400 隧道组10.106.67.90型ipsec-l2l 隧道组10.106.67.90 ipsec属性 ikev1预共享密钥思科 ! 注意预共享密钥命令开头的IKEv1关键字。 对象网络10.2.2.0_24 子网10.2.2.0 255.255.255.0 对象网络10.1.1.0_24 子网10.1.1.0 255.255.255.0 访问列表100扩展许可ip对象10.2.2.0_24对象10.1.1.0_24 加密ipsec ikev1转换集myset esp aes esp sha hmac 密码映射outside_map 20匹配地址100 加密映射outside_map 20 set peer 10.106.67.90 加密映射outside_map 20 set ikev1 transform-set myset crypto map outside _map 20集合pfs 加密映射外部map接口外部 nat(内部,外部)1源静态10.2.2.0_24 10.2.2.0~24目标静态10.1.1.0_24 10.1.1.0~24 no-proxy-arp路由查找
集团策略SITE_A内部
The
vpn-隧道-丙醇? 组策略模式命令/选项: IPSec IP安全协议 使用ipsec实现安全的l2tp-ipsec l2tp svc SSL VPN客户端 webvpn webvpn vpn-tunnel-protocol ikev1-8.4版及更高版本
组策略SITE_A属性 vpn-idle-timeout? 组策略模式命令/选项: <1-35791394>分钟数 alert-interval以分钟为单位指定超时警报间隔 无站点到站点(IKEv1、IKEv2)和IKEv1remote-access:禁用 超时并允许无限的空闲时间; AnyConnect(SSL, IPSec/IKEv2):使用default-idle-timeout的值
The
隧道组10.106.67.91通用属性 默认组策略SITE_A
显示加密ikev1 sa IKEv1 SA:
活动SA:1 Rekey SA:0(在重新生成密钥期间,隧道将报告1个活动SA和1个Rekey SA) IKE SA总计:1 1 IKE对等: 10.106.67.91 类型:L2L角色: 发起者 Rekey:无状态: MM_活动
The
接口:外部 加密映射标记: 地图外部 ,序号:20,本地地址:10.106.67.90 访问列表100扩展许可ip 10.1.1.0 255.255.255.0 10.2.2.0 255.25255.0 本地标识符(地址/掩码/保护/端口):(10.1.1.0/255.255.255.0/0/0) 远程标识符(地址/掩码/保护/端口):(10.2.2.0/255.255.255.0/0/0) 当前对等:10.106.67.91 #pkts加密:20,#pkts加密:20,#pkts摘要:20 #pkts去盖:20,#pkts解密:20,#pkts验证:20 #压缩的pkts:0,解压缩的pkts:0 #pkts未压缩:20,#pkts comp失败:0,#pkts-decomp失败:0 #分段前成功次数:0,分段前失败次数:0;创建的分段数:0 #发送的PMTU:0,#PMTUs rcvd:0,#需要重新组装的去封装玻璃钢:0 #TFC rcvd:0,发送的#TFC:0 #有效ICMP错误rcvd:0,#无效ICMP错误 #发送错误:0,#recv错误:0 本地加密结束点: 10.106.67.90/0,远程加密结束: 10.106.67.91/0 路径mtu 1500,ipsec开销74(44),媒体mtu 1500 PMTU剩余时间(秒):0,DF策略:copy-DF ICMP错误验证:已禁用,TFC数据包:已禁用 当前出站spi:F8951DA2 当前入站spi:662C7ABE 入站esp sas: spi:0x662C7ABE(1714191038) SA状态:活动 转换:esp-aes-256esp-sha-hmac无压缩 使用中设置={L2L、隧道、PFS组14、IKEv1、} 插槽:0,连接id:1,加密映射:外部映射 sa定时:剩余密钥寿命(kB/sec):(3914998/28074) IV大小:16字节 重播检测支持:Y 防重放位图: 0x000000000x001FFFFF 出站esp sas: spi:0xF8951DA2(4170522018) SA状态:活动 转换:esp-aes-256esp-sha-hmac无压缩 使用中设置={L2L、隧道、PFS组14、IKEv1、} 插槽:0,连接id:1,加密映射:外部映射 sa定时:剩余密钥寿命(kB/sec):(3914998/28073) IV大小:16字节 重播检测支持:Y 反重播位图: 0x000000000x00000001
接口:外部 加密映射标记: 地图外部 ,序号:20,本地地址:10.106.67.91 访问列表100扩展许可ip 10.2.2.0 255.255.255.0 10.1.1.0 255.25255.0 本地标识符(地址/掩码/保护/端口):(10.2.2.0/255.255.255.0/0/0) 远程标识符(地址/掩码/保护/端口):(10.1.1.0/255.255.255.0/0/0) 当前对等:10.106.67.90 #pkts营地:20,#pkts加密:20,#pkts摘要:20 #pkts去盖:20,#pkts解密:20,#pkts验证:20 #压缩的pkts:0,解压缩的pkts:0 #pkts未压缩:20,#pkts comp失败:0,#pkts-decomp失败:0 #分段前成功次数:0,分段前失败次数:0;创建的分段数:0 #发送的PMTU:0,#PMTUs rcvd:0,#需要重新组装的去封装玻璃钢:0 #TFC rcvd:0,发送的#TFC:0 #有效ICMP错误rcvd:0,#无效ICMP错误 #发送错误:0,#recv错误:0 本地加密结束点: 10.106.67.91/0,远程加密结束: 10.106.67.90/0 路径mtu 1500,ipsec开销74(44),媒体mtu 1500 PMTU剩余时间(秒):0,DF策略:copy-DF ICMP错误验证:已禁用,TFC数据包:已禁用 当前出站spi:662C7ABE 当前入站spi:F8951DA2 入站esp-sas: spi:0xF8951DA2(4170522018) SA状态:活动 转换:esp-aes-256esp-sha-hmac无压缩 使用中设置={L2L、隧道、PFS组14、IKEv1、} 插槽:0,连接id:1,加密映射:外部映射 sa定时:剩余密钥寿命(kB/sec):(4373998/27737) IV大小:16字节 重播检测支持:Y 反重播位图: 0x00000000 0x001FFFFF 出站esp-sas: spi:0x662C7ABE(1714191038) SA状态:活动 转换:esp-aes-256esp-sha-hmac无压缩 使用中设置={L2L、隧道、PFS组14、IKEv1、} 插槽:0,连接id:1,加密映射:外部映射 sa定时:剩余密钥寿命(kB/sec):(4373998/27737) IV大小:16字节 重播检测支持:Y 反重播位图: 0x00000000 0x00000001
调试加密ikev1 127
调试加密ipsec 127
IPSEC(crypto_map_check)-3:查找匹配5元组的加密映射:Prot=1,saddr=10.1.1.10,sport=23043,daddr=10.2.2.10,dport=23044 IPSEC(crypto_map_check)-3:检查crypto map outside_map 20:匹配。 3月15日05:41:39[IKEv1 DEBUG]投手:收到密钥获取消息,spi 0x0 IPSEC(crypto_map_check)-3:查找匹配5元组的加密映射:Prot=1,saddr=10.1.1.10,sport=23043,daddr=10.2.2.10,dport=23044 IPSEC(crypto_map_check)-3:检查crypto map outside_map 20:匹配。 3月15日05:41:39[IKEv1]IP=10.106.67.91,IKE启动器:新阶段1,内部Intf,IKE-对等10.106.679.1本地代理地址10.1.1.0,远程代理地址10.2.2.0,加密映射(outside_map) 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,构建ISAKMP SA有效载荷 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,构建NAT-Traversal VID ver-02有效载荷 3月15日05:41:39[IKEv1调试]IP=10.106.67.91,构建NAT遍历VID ver 03有效负载 3月15日05:41:39[IKEv1调试]IP=10.106.67.91,通过RFC有效负载构建NAT遍历VID 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,构建碎片VID+扩展能力有效载荷 3月15日05:41:39[IKEv1]IP=10.106.67.91,带有效载荷的IKE_DECODE发送消息(msgid=0):HDR+SA(1)+供应商(13)+供应商 3月15日05:41:39[IKEv1]IKE接收器:数据包于10.106.67.90:500从10.106.6791:500接收 3月15日05:41:39[IKEv1]IP=10.106.67.91,IKE_DECODE已接收消息(msgid=0),有效载荷:HDR+SA(1)+供应商(13)+供应商 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,处理SA有效载荷 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,Oakley提案可以接受 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,处理VID有效载荷 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,收到NAT-Traversal RFC VID 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,处理VID有效载荷 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,收到碎片VID 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,IKE Peer包含IKE碎片功能标志:主模式:True侵略模式:True 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,构建ke有效载荷 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,构建nonce有效载荷 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,构建Cisco Unity VID有效负载 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,构建xauth V6 VID有效载荷 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,发送IOS VID 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,构建ASA欺骗IOS供应商ID有效负载(版本:1.0.0,功能:20000001) 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,构建VID有效载荷 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,发送Altiga/Cisco VPN3000/Cisco ASA GW VID 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,构建NAT-Discovery有效载荷 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,计算NAT发现哈希 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,构建NAT-Discovery有效载荷 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,计算NAT发现哈希 3月15日05:41:39[IKEv1]IP=10.106.67.91,IKE_DECODE发送消息(msgid=0),有效载荷:HDR+KE(4)+NONCE(10)+VENDOR(13)+VENDOR(13 3月15日05:41:39[IKEv1]IKE接收器:数据包于10.106.67.90:500从10.106.6791:500接收 3月15日05:41:39[IKEv1]IP=10.106.67.91,IKE_DECODE已接收消息(msgid=0),有效载荷:HDR+KE(4)+NONCE(10)+VENDOR(13)+VENDOR(13 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,处理ke有效载荷 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,正在处理ISA_KE有效载荷 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,处理nonce有效载荷 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,处理VID有效载荷 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,收到Cisco Unity客户端VID 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,处理VID有效载荷 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,收到xauth V6 VID 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,处理VID有效载荷 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,处理VPN3000/ASA欺骗IOS供应商ID有效负载(版本:1.0.0,功能:20000001) 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,处理VID有效载荷 3月15日05:41:39[IKEv1调试]IP=10.106.67.91,收到Altiga/思科VPN3000/思科ASA GW VID 3月15日05:41:39[IKEv1调试]IP=10.106.67.91,正在处理NAT发现负载 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,计算NAT发现哈希 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,处理NAT-Discovery有效负载 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,计算NAT发现哈希 3月15日05:41:39[IKEv1]IP=10.106.67.91,连接在隧道组10.106.679.1上 3月15日05:41:39[IKEv1 DEBUG]Group=10.106.67.91,IP=10.106.7.91,正在生成启动器密钥。。。 3月15日05:41:39[IKEv1 DEBUG]Group=10.106.67.91,IP=10.106.7.91,构建ID有效载荷 3月15日05:41:39[IKEv1 DEBUG]Group=10.106.67.91,IP=10.106.7.91,正在构建哈希有效载荷 3月15日05:41:39[IKEv1 DEBUG]Group=10.106.67.91,IP=10.106.7.91,正在计算ISAKMP的哈希 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,构建IOS保持活动有效载荷:建议=32767/32767秒。 3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91,IP=10.106.7.91,构建dpd-vid有效载荷 3月15日05:41:39[IKEv1]IP=10.106.67.91,IKE_DECODE发送消息(msgid=0),有效载荷:HDR+ID(5)+HASH(8)+IOS KEEPALIVE(128)+VENDOR(13)+NONE(0)总长度:96 3月15日05:41:39[IKEv1]组=10.106.67.91,IP=10.106.7.91,自动NAT检测状态:远程端不在NAT设备后面此端不在NAT设备后面 3月15日05:41:39[IKEv1]IKE接收器:数据包于10.106.67.90:500从10.106.6791:500接收 3月15日05:41:39[IKEv1]IP=10.106.67.91,IKE_DECODE RECEIVED Message(msgid=0),有效载荷:HDR+ID(5)+HASH(8)+IOS KEEPALIVE(128)+VENDOR(13)+NONE(0)总长度:96 3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91,IP=10.106.7.91,处理ID有效载荷 3月15日05:41:39[IKEv1 DECODE]组=10.106.67.91,IP=10.106.7.91,ID_IPV4_ADDR ID收到10.106.679.1 3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91,IP=10.106.7.91,正在处理哈希有效载荷 3月15日05:41:39[IKEv1 DEBUG]Group=10.106.67.91,IP=10.106.7.91,正在计算ISAKMP的哈希 3月15日05:41:39[IKEv1 DEBUG]IP=10.106.67.91,处理IOS保持活动有效载荷:建议=32767/32767秒。 3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91,IP=10.106.7.91,处理VID有效载荷 3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91,IP=10.106.7.91,收到DPD VID 3月15日05:41:39[IKEv1]IP=10.106.67.91,连接在隧道组10.106.679.1上 3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91,IP=10.106.7.91,Oakley开始快速模式 3月15日05:41:39[IKEv1 DECODE]组=10.106.67.91,IP=10.106.7.91,IKE启动器启动QM:msg id=ad712fa9 3月15日05:41:39[IKEv1]组=10.106.67.91,IP=10.106.7.91,第1阶段完成 3月15日05:41:39[IKEv1]IP=10.106.67.91,此连接的保持活动类型:DPD 3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91,IP=10.106.7.91,启动P1重新密钥计时器:73440秒。 3月15日05:41:39[IKEv1]组=10.106.67.91,IP=10.106.7.91,逻辑ID为8192的SA成功添加到IKEv1隧道表 3月15日05:41:39[IKEv1]组=10.106.67.91,IP=10.106.7.91,逻辑ID为8192的SA成功添加到IKEv1 MIB表 IPSEC信息:将SA清除计时器类型的IPSEC计时器设置为30秒,抖动值为0 IPSEC信息:IPSEC SA PURGE计时器已启动SPI 0x0001B739 IPSEC:新胚胎SA创建于0x00007f05294f4620, SCB:0x294CFE60, 方向:入站 SPI:0x50EF49AD 会话ID:0x00002000 VPIF编号:0x00000002 隧道类型:l2l 协议:esp 寿命:240秒 SA句柄:0x0001B739 3月15日05:41:39[IKEv1 DEBUG]Group=10.106.67.91,IP=10.106.67.81,IKE从密钥引擎获取SPI:SPI=0x50ef49ad 3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91,IP=10.106.7.91,橡树构造快速模式 3月15日05:41:39[IKEv1 DEBUG]Group=10.106.67.91,IP=10.106.7.91,正在构造空散列有效载荷 3月15日05:41:39[IKEv1 DEBUG]Group=10.106.67.91,IP=10.106.7.91,构建IPSec SA有效载荷 3月15日05:41:39[IKEv1 DEBUG]Group=10.106.67.91,IP=10.106.7.91,正在构建IPSec nonce有效载荷 3月15日05:41:39[IKEv1 DEBUG]Group=10.106.67.91,IP=10.106.7.91,构建pfs ke有效载荷 3月15日05:41:39[IKEv1 DEBUG]Group=10.106.67.91,IP=10.106.7.91,正在构建代理ID 3月15日05:41:39[IKEv1调试]组=10.106.67.91,IP=10.106.67.91,传输代理Id: 本地子网:10.1.1.0掩码255.255.255.0协议0端口0 远程子网:10.2.2.0掩码255.255.255.0协议0端口0 3月15日05:41:39[IKEv1 DECODE]组=10.106.67.91,IP=10.106.7.91,IKE发起人发送初始联系人 3月15日05:41:39[IKEv1 DEBUG]Group=10.106.67.91,IP=10.106.7.91,正在构造qm哈希有效载荷 3月15日05:41:39[IKEv1 DECODE]组=10.106.67.91,IP=10.106.7.91,IKE启动器发送第一个QM pkt:msg id=ad712fa9 3月15日05:41:39[IKEv1]IP=10.106.67.91,IKE_DECODE SENDING Message(msgid=ad712fa9),有效载荷:HDR+HASH(8)+SA(1)+NONCE(10)+KE(4)+ID(5)+ID 3月15日05:41:39[IKEv1]IKE接收器:数据包于10.106.67.90:500从10.106.6791:500接收 3月15日05:41:39[IKEv1]IP=10.106.67.91,IKE_DECODE RECEIVED Message(msgid=ad712fa9),有效载荷:HDR+HASH(8)+SA(1)+NONCE(10)+KE(4)+ID(5)+ID 3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91,IP=10.106.7.91,正在处理哈希有效载荷 3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91,IP=10.106.7.91,处理SA有效载荷 3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91,IP=10.106.7.91,正在处理nonce有效载荷 3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91,IP=10.106.7.91,处理ke有效载荷 3月15日05:41:39[IKEv1 DEBUG]Group=10.106.67.91,IP=10.106.7.91,正在第2阶段处理PFS的ISA_KE 3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91,IP=10.106.7.91,处理ID有效载荷 3月15日05:41:39[IKEv1 DECODE]组=10.106.67.91,IP=10.106.7.91,收到ID_IPV4_ADDR_SUBNET ID--10.1.1.0--255.255.255.0 3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91,IP=10.106.7.91,处理ID有效载荷 3月15日05:41:39[IKEv1 DECODE]组=10.106.67.91,IP=10.106.7.91,收到ID_IPV4_ADDR_SUBNET ID--10.2.2.0--255.255.255.0 3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91,IP=10.106.7.91,加载所有IPSEC SA 3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91,IP=10.106.7.91,正在生成快速模式密钥! 3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91,IP=10.106.7.91,正在生成快速模式密钥! 3月15日05:41:39[IKEv1]组=10.106.67.91,IP=10.106.7.91,LAN-to-LAN组(10.106.679.1)发起程序的安全协商完成,入站SPI=0x50ef49ad,出站SPI=0xea689811 3月15日05:41:39[IKEv1 DEBUG]Group=10.106.67.91,IP=10.106.7.91,oakley构建最终快速模式 3月15日05:41:39[IKEv1 DECODE]组=10.106.67.91,IP=10.106.7.91,IKE发起程序发送第三个QM pkt:msg id=ad712fa9 3月15日05:41:39[IKEv1]IP=10.106.67.91,IKE_DECODE发送消息(msgid=ad712fa9),有效载荷:HDR+HASH(8)+NONE(0)总长度:76 IPSEC信息:将SA清除计时器类型的IPSEC计时器设置为30秒,抖动值为0 IPSEC信息:IPSEC SA清除计时器已启动SPI 0x00024311 IPSEC:新的胚胎SA创建于0x00007f05294fd920, SCB:0x294CCDB0, 方向:出站 SPI:0xEA689811 会话ID:0x00002000 VPIF编号:0x00000002 隧道类型:l2l 协议:esp 寿命:240秒 SA句柄:0x00024311 本地10.1.1.0到远程10.2.2.0的规则查找 对等匹配地图outside_map序列20 加密映射outside_map seq 20上的代理匹配 IPSEC调试:对SPI 0xEA689811使用NP出站许可规则 IPSEC:已完成主机OBSA更新,SPI 0xEA689811 IPSEC:创建出站VPN上下文,SPI 0xEA689811 标志:0x00000005 SA:0x00007f05294fd920 SPI:0xEA689811 MTU:1500字节 VCID:0x00000000 对等方:0x00000000 SCB:0x02CEE703 频道:0x00007f0533c4f700 IPSEC:已完成出站VPN上下文,SPI 0xEA689811 VPN句柄:0x00000000000763c IPSEC:新出站加密规则,SPI 0xEA689811 地址:10.1.1.0 Src掩码:255.255.255.0 地址:10.2.2.0 Dst掩码:255.255.255.0 Src端口 上限:0 下限:0 操作:忽略 Dst端口 上限:0 下限:0 操作:忽略 协议:0 使用协议:false SPI:0x00000000 使用SPI:false IPSEC:已完成出站加密规则,SPI 0xEA689811 规则ID:0x00007f05294f8a60 IPSEC:新出站许可规则,SPI 0xEA689811 地址:10.106.67.90 Src掩码:255.255.255.255 地址:10.106.67.91 Dst掩码:255.255.255.255 Src端口 上限:0 下限:0 操作:忽略 Dst端口 上限:0 下限:0 操作:忽略 方案:50 使用协议:true SPI:0xEA689811 使用SPI:true IPSEC:已完成出站许可规则,SPI 0xEA689811 规则ID:0x00007f05294f9110 3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91,IP=10.106.7.91,IKE收到SA的KEY_ADD消息:SPI=0xea689811 IPSEC:新胚胎SA创建于0x00007f05294f4620, SCB:0x294CFE60, 方向:入站 SPI:0x50EF49AD 会话ID:0x00002000 VPIF编号:0x00000002 隧道类型:l2l 协议:esp 寿命:240秒 SA句柄:0x0001B739 本地10.1.1.0到远程10.2.2.0的规则查找 对等匹配地图outside_map序列20 加密映射outside_map seq 20上的代理匹配 IPSEC调试:对SPI 0x50EF49AD使用NP入站许可规则 IPSEC:已完成主机IBSA更新,SPI 0x50EF49AD IPSEC:创建入站VPN上下文,SPI 0x50EF49AD 标志:0x00000006 SA:0x00007f05294f4620 SPI:0x50EF49AD MTU:0字节 VCID:0x00000000 对等方:0x0000763C SCB:0x02CE8BB3 频道:0x00007f0533c4f700 IPSEC:已完成入站VPN上下文,SPI 0x50EF49AD VPN句柄:0x0000000000086bc IPSEC:更新出站VPN上下文0x0000763C,SPI 0xEA689811 标志:0x00000005 SA:0x00007f05294fd920 SPI:0xEA689811 MTU:1500字节 VCID:0x00000000 对等方:0x000086BC SCB:0x02CEE703 频道:0x00007f0533c4f700 IPSEC:已完成出站VPN上下文,SPI 0xEA689811 VPN句柄:0x00000000000763c IPSEC:已完成出站内部规则,SPI 0xEA689811 规则ID:0x00007f05294f8a60 IPSEC:已完成出站外部SPD规则,SPI 0xEA689811 规则ID:0x00007f05294f9110 IPSEC:新入站隧道流规则,SPI 0x50EF49AD 地址:10.2.2.0 Src掩码:255.255.255.0 地址:10.1.1.0 Dst掩码:255.255.255.0 Src端口 上限:0 下限:0 操作:忽略 Dst端口 上限:0 下限:0 操作:忽略 协议:0 使用协议:false SPI:0x00000000 使用SPI:false IPSEC:已完成入站隧道流规则,SPI 0x50EF49AD 规则ID:0x00007f05294f8180 IPSEC:新的入站解密规则,SPI 0x50EF49AD 地址:10.106.67.91 Src掩码:255.255.255.255 地址:10.106.67.90 Dst掩码:255.255.255.255 Src端口 上限:0 下限:0 操作:忽略 Dst端口 上限:0 下限:0 操作:忽略 方案:50 使用协议:true SPI:0x50EF49AD 使用SPI:true IPSEC:已完成入站解密规则,SPI 0x50EF49AD 规则ID:0x00007f05294f7ad0 IPSEC:新入站许可规则,SPI 0x50EF49AD 地址:10.106.67.91 Src掩码:255.255.255.255 地址:10.106.67.90 Dst掩码:255.255.255.255 Src端口 上限:0 下限:0 操作:忽略 Dst端口 上限:0 下限:0 操作:忽略 方案:50 使用协议:true SPI:0x50EF49AD 使用SPI:true IPSEC:已完成入站许可规则,SPI 0x50EF49AD 规则ID:0x00007f05294f4510 IPSEC信息:正在销毁SA清除计时器类型的IPSEC计时器 IPSEC信息:销毁SA清除计时器类型的IPSEC计时器 3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91,IP=10.106.7.91,投手:收到KEY_UPDATE,spi 0x50ef49ad 3月15日05:41:39[IKEv1 DEBUG]组=10.106.67.91,IP=10.106.7.91,启动P2密钥计时器:24480秒。 3月15日05:41:39[IKEv1]组=10.106.67.91,IP=10.106.7.91,第2阶段完成(msgid=ad712fa9)