Câble haut débit : Data-over-Cable Service Interface Specifications (DOCSIS)

Messages d'erreur SAID non autorisé - rejet d'authentification et modifications de configuration BPI dans 12.2(8)BC1

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

CableLabsleavingcisco.com , le corps qui régit des normes concernant le modem câble et le Systèmes de terminaison par modem câble (CMTS) de Data-over-Cable Service Interface Specifications (DOCSIS), fait un important changement de la manière un CMTS permet à un modem câble de DOCSIS 1.0 pour établir le cryptage de l'interface de sécurisation de base (BPI) entre le modem et le CMTS. Ces modifications obligatoires peuvent entraîner quelques Modems câble utilisant les fichiers de configuration DOCSIS qui fonctionnent avec des releases du ½ du ¿  de Cisco IOSï précédent à 12.2(8)BC1 pour être livré en ligne. En outre, le message suivant peut être généré sur le CMTS :

%UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> 
Auth Reject - Unauthorized SAID. CM Mac Addr <0081.9607.3831> 

La manière de résoudre ce problème et de se conformer aux nouvelles modifications est de s'assurer qu'au moins une des options de configuration BPI est spécifiée dans le fichier de configuration DOCSIS téléchargé par le modem câble.

Ce document décrit les symptômes vus dans les systèmes affectés par cette modification, et comment mettre rapidement des fichiers de configuration DOCSIS à jour pour se conformer aux nouvelles caractéristiques de configuration BPI.

Avant de commencer

Conventions

Pour plus d'informations sur les conventions des documents, référez-vous aux Conventions utilisées pour les conseils techniques de Cisco.

Conditions préalables

Aucune condition préalable spécifique n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur les versions de logiciel et de matériel ci-dessous.

  • Cisco IOS versions 12.2(8)BC1 et ultérieures.

  • Tous les Produits de Cisco CMTS comprenant uBR10000, uBR7200, et gamme uBR7100 CMTSs.

  • Toutes les releases de l'outil Configurator de la CPE de Cisco DOCSIS (CPE).

  • Ce document applique seulement aux Modems câble provisioned pour fonctionner en mode de DOCSIS 1.0, et utilise le mode BPI de DOCSIS 1.0.

Les informations présentées dans ce document ont été créées à partir de périphériques dans un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si vous travaillez dans un réseau opérationnel, assurez-vous de bien comprendre l'impact potentiel de toute commande avant de l'utiliser.

Les détails des modifications à configurer le DOCSIS 1.0 ont basé le BPI

La dernière révision de la spécification BPI a une nouvelle condition requise ; si un modem câble provisioned en mode de DOCSIS 1.0 doit exécuter le BPI, le type 17 d'option de paramètres de configuration BPI doit être présent dans le fichier de configuration DOCSIS et la demande d'enregistrement ultérieure du modem câble.

D'autres détails de la modification peuvent être trouvés dans l'avis RFI-N-02005 de changement technique de CableLabs. Ce document est seulement les participants inscrits disponibles de CableLabs. Référez-vous à CableLabsleavingcisco.com pour plus de détails.

Les releases du Cisco IOS CMTS précédent à 12.2(8)BC1 n'ont pas exigé des Modems câble, provisioned en mode de DOCSIS 1.0, pour employer le BPI pour s'inscrire à une option de configuration BPI. De 12.2(8)BC1 et plus tard, il est obligatoire d'inclure l'option de configuration supplémentaire BPI.

Symptômes affichés quand le type 17 d'option de configuration de sécurisation de base n'est pas utilisé

Si un modem câble provisioned pour fonctionner en mode de DOCSIS 1.0 et pour utiliser le BPI, mais aucune option de configuration BPI n'a été spécifiée, elles n'atteignent pas l'état (pinte) en ligne familier. Ils, cependant, sembleront atteindre l'état en ligne. Ils peuvent sembler tomber rapidement off-line. Les messages d'erreur suivants peuvent apparaître sur la console du CMTS pendant que les Modems câble commencent à être en pourparlers des paramètres BPI avec le CMTS :

uBR7246VXR# term mon    


!--- Necessary for a Telnet session.

uBR7246VXR# 
01:27:42: %UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> 
   Auth Reject - Unauthorized SAID. CM Mac Addr <0090.9607.382f> 
01:27:50: %UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> 
   Auth Reject - Unauthorized SAID. CM Mac Addr <0090.9607.3831> 
01:27:55: %UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> 
   Auth Reject - Unauthorized SAID. CM Mac Addr <0050.7366.12fb> 
01:27:57: %UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> 
   Auth Reject - Unauthorized SAID. CM Mac Addr <0050.7366.2223>

En s'appliquant un débogage à analysez plus étroitement pourquoi les Modems câble ne peuvent pas exécuter la négociation BPI, vous peut voir que le CMTS réclame que le modem câble pas provisioned correctement pour exécuter le BPI, bien que les essais du modem lui-même pour initier le BPI.

uBR7246# debug cable privacy 
CMTS privacy debugging is on 
May 23 01:39:27.214: CMTS Received AUTH REQ. 
May 23 01:39:27.214: Auth-Req contains 1 SID(s). 
May 23 01:39:27.214: SIDs are not provisioed to run Baseline Privacy. 
May 23 01:39:27.214: Unauthorized SID in the SID list 
May 23 01:39:27.214: Sending KEK REJECT. 
01:31:06: %UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> 
   Auth Reject - Unauthorized SAID. CM Mac Addr <0030.96f9.65d9>

Remarque: Dans ce qui précède mettez au point, provisioned est mal épelé comme provisioned. Une bogue cosmétique, CSCdx67908 (clients enregistrés seulement), a été élevée pour aborder cette question, qui se produit dans la version IOS 12.2(8)BC1

Comment configurer le type 17 d'option de configuration de sécurisation de base

Utilisant l'outil Configurator CPE de Cisco DOCSIS, des fichiers de configuration DOCSIS pour des Modems câble fonctionnant en mode de DOCSIS 1.0 peuvent être modifiés pour inclure l'option de configuration BPI en spécifiant au moins une des options suivantes dans le fichier de configuration. Toutes ces options sont trouvées sous l'onglet de sécurisation de base dans l'outil Configurator CPE de Cisco DOCSIS. Également répertoriées sont les valeurs par défaut pour chaque paramètre.

Option de configuration de sécurisation de base Valeur par défaut
Autorisez le délai d'attente 10
Reauthorize le délai d'attente 10
Autorisez le délai de grâce 600
Délai d'attente opérationnel 10
Délai d'attente de rekey 10
Délai de grâce TEK 600
Autorisez le délai d'attente d'anomalie 60

Notez que le délai d'attente de carte SA et des relances maximum de carte SA sont spécifiques aux Modems câble fonctionnant en mode de DOCSIS 1.1 seulement, et, ne doit pas donc être spécifié dans un fichier de configuration DOCSIS pour un modem câble fonctionnant en mode de DOCSIS 1.0.

Remarque: Bien que les valeurs ci-dessus du type 17 d'option de configuration BPI soient des par défaut, vous devez toujours spécifier une de ces valeurs dans l'outil Configurator CPE DOCSIS pour activer le type 17 d'option de configuration BPI.

Répertoriés ci-dessous sont deux exemples qui discutent comment utiliser de divers outils pour placer une ou plusieurs de ces valeurs utilisant l'outil Configurator CPE de Cisco DOCSIS. D'autres formes des éditeurs ou des builders de fichier de configuration DOCSIS peuvent également être utilisées.

Exemple - Spécifier seulement un paramètre

Dans cet exemple, le GUI de configurateur CPE de Cisco DOCSIS est utilisé pour placer le paramètre de délai d'attente d'autorisation à la valeur par défaut de 10. plaçant cette une valeur placera l'option de configuration exigée BPI dans le fichier de configuration DOCSIS.

Le graphique au-dessous des expositions une des paramètres qui inséreront l'option de configuration BPI dans le fichier de configuration DOCSIS.

/image/gif/paws/23895/bpi_changes_23895_1.jpg

Une fois que ce champ est terminé, choisi appliquez - > bouton CORRECT. Sauvegardez le fichier de configuration DOCSIS en tant que normale.

Exemple - Spécifier tous les paramètres

Dans cet exemple, le GUI de configurateur CPE de Cisco DOCSIS est utilisé pour placer tous les paramètres qui font partie de l'option de configuration BPI à leurs valeurs par défaut. Notez soigneusement que le délai d'attente de carte SA et les champs maximum de relances de carte SA ne sont pas terminés. Ces champs sont spécifiques aux Modems câble fonctionnant en mode de DOCSIS 1.1 seulement, et, ne doit pas donc être spécifié dans un fichier de configuration DOCSIS pour un modem câble fonctionnant en mode de DOCSIS 1.0.

Le graphique ci-dessous affiche tous les paramètres qui sont une partie de l'option de configuration BPI.

bpi_changes_23895_2.jpg

Une fois que ces champs sont terminés, choisi appliquez - > CORRECT. Sauvegardez le fichier de configuration DOCSIS en tant que normale.

Conclusion

Cisco tâche de s'assurer que la suite d'ubr des Produits CMTS est gardée aussi étroitement aux dernières versions de la spécification DOCSIS comme possible. Tandis que cette stratégie peut sembler entraîner une certaine perte à court terme ascendant de compatibilité ou de désagréments dans des quelques rares cas, elle s'assure que à long terme les fournisseurs de services déployant le matériel de Cisco CMTS peuvent être assurément de l'Interopérabilité avec les Produits pareillement conformes du tiers DOCSIS.


Informations connexes


Document ID: 23895