セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

IPsec %RECVD_PKT_INV_SPI エラーおよび無効なSPI 回復機能 情報

2013 年 8 月 22 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2013 年 3 月 20 日) | フィードバック


目次


概要

この資料は Security Association (SA)がピアデバイス間の同期化からなるとき IPsec 問題を記述したものです。

注: Atri Basu、Anu M Chacko、および Wen チャンによって貢献される、Cisco TAC エンジニア。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

問題

もっとも一般的な IPsec 問題の 1 つは SA がピアデバイス間の同期化からなることができることです。 その結果、暗号化デバイスはピアが約知らない SA のトラフィックを暗号化します。 これらのパケットは Syslog に記録 されるこのメッセージとのピアで廃棄されます:

Sep  2 13:27:57.707: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet
   has invalid spi for destaddr=20.1.1.2, prot=50, spi=0xB761863E(3076621886), 
   srcaddr=10.1.1.1

注: NAT-T を使うと、RECVD_PKT_INV_SPI メッセージは正しく Cisco バグ ID CSCsq59183登録 ユーザだけ)が固定であるまで報告されませんでした。 (IPsec は NAT-T の RECVD_PKT_INV_SPI メッセージを報告しません)

注: Cisco 集約 サービス ルータ(ASR)プラットフォームで、%CRYPTO-4-RECVD_PKT_INV_SPI メッセージは Cisco IOS ® XE リリース 2.3.2 (12.2(33)XNC2)まで設定されていません。 また ASR プラットフォームが付いているメモはこれらの例に示すようにグローバル な qfp ドロップ・ カウンタ 次の下に、この特定のドロップするよく登録されていた両方 IPsec 機能 ドロップ・ カウンタです:

Router# show platform hardware qfp active statistics drop | inc Ipsec                                        
  IpsecDenyDrop                              0               0                                   
  IpsecIkeIndicate                           0               0                    
  IpsecInput                                 0               0     <======
  IpsecInvalidSa                             0               0
  IpsecOutput                                0               0
  IpsecTailDrop                              0               0
  IpsecTedIndicate                           0               0               
Router# show platform hardware qfp active feature ipsec datapath drops all | in SPI        
        4  IN_US_V4_PKT_SA_NOT_FOUND_SPI                           64574     <======
        7  IN_TRANS_V4_IPSEC_PKT_NOT_FOUND_SPI                         0
       12  IN_US_V6_PKT_SA_NOT_FOUND_SPI                               0

最初に、この特定のメッセージが明らかなセキュリティの理由で分ごとに 1 のレートで Cisco IOS でレートリミットされして いることに注意することは重要です。 特定フロー(ソース/dst/spi)のためのこのメッセージがログに一度出て来る場合、ピアデバイスはかなり使用可能同じ SA ではないがだけ 1 ピアが新しい SA を使用し始めるかもしれない IPsec キーの再生成と同時にちょうど一時的 な 状態である可能性があります。 これはただ一時で、少数のパケットだけに影響を与えるので普通問題ではないです。 ただし、これが問題の可能性があるバグがずっとあります。 例に関しては、Cisco バグ ID CSCsl68327leavingcisco.com 登録 ユーザだけ) (キーの再生成の間のパケットロス)または CSCtr14840登録 ユーザだけ)を参照して下さい(ASR: フェーズ 2 キーの再生成の間のパケット破棄特定の条件下で)。

一方では、同じフローのための同じ SPI を報告するために同じメッセージの複数の例が観察されればこれらのメッセージのような問題があります:

Sep  2 13:36:47.287: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has 
   invalid spi for destaddr=20.1.1.2, prot=50, spi=0x1DB73BBB(498547643), 
   srcaddr=10.1.1.1
Sep  2 13:37:48.039: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has 
   invalid spi for destaddr=20.1.1.2, prot=50, spi=0x1DB73BBB(498547643), 
   srcaddr=10.1.1.1

これはトラフィックが blackholed で、SA が送信側デバイスで切れるか、または Dead Peer Detection (DPD)まで作動するまで回復 しないかもしれませんこと示す値。

無効なSPI リカバリ

この時点で、Cisco は無効なSPI 回復機能を有効に することを推奨します。 たとえば、暗号 isakmp 無効 spi リカバリ コマンドを入力して下さい。 知るこのコマンドがし、しないことをについて必要があるいくつかの事があります:

  • 最初に、無効なSPI リカバリはリカバリー メカニズムとして SA が同期化からあるときだけ動作します。 それによっては SA が初めの同期化からなぜのあるかこの条件から回復を助けますが根本的な原因が当たりません。 よりよく根本的な原因を理解することを、両トンネル エンドポイントの isakmp および ipsec デバッグが可能にする必要があります。 問題が頻繁に発生する場合、デバッグを得、根本的な原因を当たり、ちょうど問題を覆うことを試みて下さい。

  • 暗号 isakmp 無効 spi リカバリ コマンドが実際にすることをのよくある 誤解があります。 このコマンドなしで、Cisco IOS は既に既にそのピアでの IKE SA あっている場合送信 ピアに受け取った SA のために削除を知らせる送信 するとき無効なSPI リカバリ機能性の種類を行っています。 再度、これは暗号 isakmp 無効 spi リカバリ コマンドが回るかどうかに関係なく発生します。

  • 暗号 isakmp 無効 spi リカバリ コマンドで、それはルータが無効なSPI によって IPSecトラフィックを受信するそのピアでの IKE SA ない条件を当たることを試み。 そのケースでは、それはピアでの新しい IKE セッションを設定することを試み、それから削除を送信 するために新しく作成された IKE SA に知らせて下さい。 ただし、このコマンドはすべての暗号構成の下で動作しません。 このコマンドが動作する唯一のコンフィギュレーションはピアが明示的に定義される静的なピアがインスタンス化 する クリプト マップから得られる VTI のようなスタティック暗号マップ、であり。 無効なSPI リカバリがその設定を使用するかどうか広く使われた暗号構成の概略はここにあり、:

暗号構成 無効 spi リカバリか。
スタティック暗号マップ はい
ダイナミック暗号マップ いいえ
TP の P2P GRE はい
静的な NHRPマッピングと使用する mGRE TP はい
ダイナミック NHRPマッピングと使用する mGRE TP いいえ
sVTI はい
EzVPN クライアント N/A

断続的な無効なSPI エラーメッセージを解決して下さい

無効なSPI エラーメッセージは何倍も断続的に表示されます。 これは関連したデバッグを収集することは非常に困難になると同時に解決すること困難にします。 EEM スクリプトはこの場合非常に役立ちます。

詳細については、無効 な セキュリティパラメータ インデックスによって引き起こされるトンネル フラップを解決するのに使用される EEM スクリプトを参照して下さい。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 115801