Segurança e VPN : Negociação IPSec/Protocolos IKE

Scripts EEM usados para pesquisar defeitos as aletas do túnel causadas por deslocamentos predeterminados inválidos do parâmetro de segurança

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento descreve uma da maioria de edições do IPSec comum, que é que as associações de segurança (SA) podem se tornar fora da sincronização entre os dispositivos de peer. Em consequência, um dispositivo de criptografia cifrará o tráfego com SA que o encryptor do par não conhece aproximadamente.

Nota: Contribuído por Anu M Chacko, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Esta informação neste documento é baseada nos testes terminados com liberação 15.1(4)M4 de Cisco IOS�. Os scripts e a configuração devem trabalhar com versões de Cisco IOS Software mais adiantadas também, desde que o uso de ambos os applet encaixou a versão 3.0 do gerente do evento (EEM) que é apoiada no Cisco IOS Release 12.4(22)T ou Mais Recente. Contudo, isto não foi testado.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Problema

Os pacotes são deixados cair no par com esta mensagem registrada ao Syslog:

*Mar 12 18:22:10.706: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet 
   has invalid spi for destaddr=213.163.222.7, prot=50, spi=0x68842105(1753489669), 
   srcaddr=11.1.1.3, input interface=Ethernet0/0

Para informações detalhadas sobre dos deslocamentos predeterminados inválidos do parâmetro de segurança (SPI), refira erros do IPsec %RECVD_PKT_INV_SPI e recuperação do SPI inválido. Este documento descreve como pesquisar defeitos as encenações em que o erro ocorre intermitentemente, que faz duro recolher os dados necessários para pesquisar defeitos.

Este tipo de problema não é como o Troubleshooting normal VPN, onde você pode obter debuga quando o problema ocorre. A fim pesquisar defeitos as aletas intermitentes do túnel causadas por SPI inválidos, você deve primeiramente determinar como os dois finais do cabeçalho saíram da sincronização. Desde que é impossível prever quando a próxima indisponibilidade ocorrerá, os scripts EEM são a solução.

Solução

Desde que é importante conhecer o que acontece antes que este mensagem do syslog esteja provocado, continue a executar o condicional debuga nos roteadores e enviam-nos a um servidor de SYSLOG de modo que não afete o tráfego de produção. Se debuga estão permitidos no script pelo contrário, eles são gerados depois que o mensagem do syslog está provocado que não pode ser útil. Está aqui uma lista de debuga que você pôde querer ser executado no remetente deste log e no receptor:

debug crypto condition peer ipv4 <peer IP address>
debug crypto isakmp
debug crypto ipsec
debug crypto engine

O script EEM é projetado fazer duas coisas:

  1. Gire fora debuga no receptor quando estão recolhidos para 18 segundos depois que o primeiro mensagem do syslog está gerado. O temporizador de retardo pôde precisar de ser alterado, de que são dependentes da quantidade debugam/logs gerados.

  2. Ao mesmo tempo desabilita debugar-lo, manda- enviar uma armadilha de SNMP ao par, que desabilita então debuga no dispositivo de peer.

Configuração de SNMP

As configurações do Simple Network Management Protocol (SNMP) são mostradas aqui:

Receiver:
========

snmp-server enable traps event-manager
snmp-server host 11.1.1.3 public event-manager 
snmp-server manager

Sender:
=======

snmp-server enable traps event-manager
snmp-server host 213.163.222.7 public event-manager
snmp-server manager

Script final

Os scripts para o receptor e o remetente são mostrados aqui:

Receiver:
========

!--- To test if this output gets logged to the file called "hub"

sh ip int bri | tee /append disk0:hub.txt    
conf t
!
event manager applet command_hub
event syslog pattern "CRYPTO-4-RECVD_PKT_INV_SPI.*srcaddr=11.1.1.3"
action 1 cli command "enable"
action 2 syslog msg "command_hub is running ..." priority informational
action 3 cli command "show crypto sockets | append disk0:hub.txt"
action 4 cli command "show crypto isa sa | append disk0:hub.txt"
action 5 cli command "show crypto ipsec sa detail | append disk0:hub.txt"
action 6 cli command "show dmvpn detail | append disk0:hub.txt"
action 7 wait 18
action 8 cli command "undebug all"
action 8.1 snmp-trap intdata1 2323232 strdata ""
action 9 syslog priority informational msg "DONE ON HUB"
!
end

Sender: 
=======

conf t
!
event manager applet spoke_app
 event snmp-notification oid 1.3.6.1.4.1.9.10.91.1.2.3.1.9. 
    oid-val "2323232" op eq src-ip-address 213.163.222.7 maxrun 35
 action 1.0 syslog msg "Received trap from Hub..." 
 action 2.0 cli command "enable"
 action 3.0 cli command "undebug all"
 action 4.0 syslog msg "DONE ON SPOKE"
!
end

Log de script EEM

Uma lista de mensagens de log de script EEM é mostrada aqui:

Receiver:
=======

*Mar 12 18:22:10.706: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet 
    has invalid spi for destaddr=213.163.222.7, prot=50, spi=0x68842105(1753489669), 
    srcaddr=11.1.1.3, input interface=Ethernet0/0
*Mar 12 18:22:10.727: %HA_EM-6-LOG: command_hub: command_hub is running ...
hub#
*Mar 12 18:22:30.026: %HA_EM-6-LOG: command_hub: DONE ON HUB

Sender:
=======

spoke#
*Mar 12 18:22:30.542: %HA_EM-6-LOG: spoke_app: Received trap from Hub...
*Mar 12 18:22:30.889: %HA_EM-6-LOG: spoke_app: DONE ON SPOKE

Verificação

A fim verificar o problema foi resolvida, inscreve o comando show debug.

Receiver:
=========
hub# show debug


Sender:
=======
spoke# show debug

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 116005