セキュリティ : Group Encrypted Transport VPN

よくある GETVPN 問題を解決して下さい

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

どんなデバッグを共通グループによって暗号化される転送する VPN (GETVPN)のほとんどのために集まることは発行するかこの資料に記述されています。

Wen チャン、Raffaele Brancaleoni、および Atri Basu によって貢献される、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • GETVPN
  • Syslog サーバ 使用

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

バックグラウンド情報- GETVPN トラブルシューティング ツール

GETVPN はトラブルシューティング プロセスを楽にするために広範な一組のトラブルシューティング ツールを提供します。 どのツールが利用できる、とき各トラブルシューティング タスクのために適切な理解することは重要であり。 解決するとき、実稼働環境が悪影響を及ぼされないように最少嵌入的なメソッドから開始することが常に得策です。 そのプロセスを助けるために、このセクションは利用可能 ないくつかの広く使われたツールを説明します:

コントロール プレーン デバッグツール

show コマンド

Show コマンドは広く使われている GETVPN 環境で動作時オペレーションを示すためです。

syslog

GETVPN に拡張 な一組の重要なプロトコル イベントおよびエラー状態のための syslog メッセージがあります。 これはデバッグを実行する前に検知 する最初のインポート常にであるはずです。

グループ ドメイン オブ インタープリテーション(GDOI)イベント トレース

この機能はバージョン 15.1(3)T に追加されました。 イベントトレースは重要な GDOI イベントのための lightweight、常時接続トレースおよびエラーを提供します。 例外状態のトレースバックが有効になっている出口パス トレースもあります。

GDOI 条件付きデバッグ

この機能はバージョン 15.1(3)T に追加されました。 それは、特にキー サーバで可能性のあるときのピアアドレスに基づいてある特定のデバイスのためのフィルタ処理されたデバッグを可能にし常に使用する必要があります。

グローバル暗号化および GDOI デバッグ

これらはさまざまな GETVPM デバッグすべてです。 Admin は大規模 な環境でデバッグした場合必要があります注意する。 GDOI デバッグによって、5 つのデバッグ レベルはそれ以上のデバッグ 細かさに提供されます:

GM1#debug crypto gdoi gm rekey ?
all-levels All levels
detail Detail level
error Error level
event Event level
packet Packet level
terse Terse level
Debug Level得られる情報
Errorエラー状態
Terseユーザおよびプロトコルの問題に関する重要なメッセージ
イベントキー再生成の送受信などのイベントおよび状態遷移
詳細(Outcall Billing Detail)最も詳細なデバッグ メッセージ情報
パケット詳細なパケット情報のダンプを含む
AllAll of the above

データ平らなデバッグツール

いくつかのデータ平面デバッグツールはここにあります:

  • アクセス リスト
  • IP Precedence アカウンティング
  • NetFlow
  • インターフェイス カウンタ
  • 暗号カウンター
  • IP Cisco Express Forwarding (CEF) グローバル な、機能ごとのドロップ カウンタ
  • 組み込みパケットキャプチャ(EPC)
  • データ平らなデバッグ(IPパケットおよび CEF デバッグ)

トラブルシューティング

ロギングファシリティ準備および他の最良 の 方法

解決し始める前にここに記述されているようにロギングファシリティを準備したようにして下さい。 いくつかの最良 の 方法はまたここにリストされています:

  • ルータ 使用可能メモリ量をチェックし、大きい値にロギングバッファデバッギングを設定して下さい(10 MB または多くもし可能なら)。

  • コンソール、モニタおよび syslog サーバにロギングをディセーブルにして下さい。

  • 再使用をバッファリングすること当然のログ損失を防ぐために show log コマンドでロギングバッファ コンテンツを、20 分毎にに 1 時間、定期的に取得して下さい。

  • 必要となる場合、起こるものは何でも、show tech コマンドを影響を受けたグループ メンバー(GMs)およびキー サーバ(KSs)から入力し、グローバルの show ip route コマンドの出力を検査すれば各バーチャルルーティングおよびフォワーディング(VRF)は含みました。

  • デバッグされるすべてのデバイス間のクロックを同期するために Network Time Protocol (NTP)を使用して下さい。 デバッグおよびログメッセージ両方のためのミリ秒(ミリ秒)タイムスタンプを有効に して下さい:
    service timestamps debug datetime msec
    service timestamps log datetime msec


  • showコマンド出力がタイムスタンプ付きであることを確かめて下さい。
    Router#terminal exec prompt timestamp


  • コントロール プレーン イベントまたはデータ平らなカウンターのための showコマンド出力を集めるとき、同じ出力の複数の繰り返しを常に集めて下さい。

IKE 確立を解決して下さい

登録 手続が最初に開始されるとき、GMs および KSs は GDOI トラフィックを保護するためにインターネット キー エクスチェンジ(IKE) セッションをネゴシエートします。

  • GM で、IKE がうまく確立されることを確認して下さい:
    gm1#show crypto isakmp sa
    IPv4 Crypto ISAKMP SA
    dst src state conn-id status
    172.16.1.9 172.16.1.1 GDOI_REKEY 1068 ACTIVE
    172.16.1.1 172.16.1.9 GDOI_IDLE 1067 ACTIVE

    : 登録のベースである GDOI_IDLE 状態は最初の登録の後でもう必要とされないので、すぐに時間を計り、消えます。



  • KS で、見るはずです:
    ks1#show crypto isakmp sa
    IPv4 Crypto ISAKMP SA
    dst src state conn-id status
    172.16.1.1 172.16.1.9 GDOI_IDLE 1001 ACTIVE

    : キーの再生成 セッションは KS で必要とされてとだけ現われます。



その状態に達しない場合これらのステップを完了して下さい:

  • 失敗の原因についての把握に関しては、このコマンドからの出力をチェックして下さい:
    router# show crypto isakmp statistics
  • 前の手順が有用ではない場合、通常 IKE デバッグを有効に する場合プロトコル レベルの把握を得ることができます:
    router# debug crypto isakmp


    * IKE は使用されるのに、通常 UDP/500 ポートで、むしろ UDP/848 で使用されません。
    *問題にこのレベルで出会う場合、KS および影響を受けた GM 両方にデバッグを提供して下さい。



  • グループのための Rivest-Shamir-Adleman (RSA) SIG への依存が原因で鍵変更します、KS は設定される RSA キーがありグループ設定で規定 されるものと同じ名前を持たなければなりません。

    これをチェックするために、このコマンドを入力して下さい:

    ks1# show crypto key mypubkey rsa

最初の登録を解決して下さい

GM で、登録ステータスをチェックするために、このコマンドの出力を検査して下さい:

gm1# show crypto gdoi | i Registration status
Registration status  : Registered
gm1#

出力が登録済み以外何でも示したもので場合、これらのコマンドを入力して下さい:

GMs:

  • shut down によって暗号有効に される インターフェイス。

    注意: アウトオブバンド管理が有効に なることが期待されます。



  • これらのデバッグを有効に して下さい:
    gm1# debug crypto gdoi infra packet
    gm1# debug crypto gdoi gm packet


  • KS 側のデバッグを有効に して下さい(次の セクションを参照して下さい)。

  • KS デバッグが準備ができているとき、暗号有効に なる unshut は、登録のための待機インターフェイスし(プロセスを加速するため、GM のクリア暗号 gdoi コマンドを発行して下さい)。

KSs:

  • KS の RSA キーの存在を確認して下さい:
    ks1# show crypto key mypubkey rsa


  • これらのデバッグを有効に して下さい:
    ks1# debug crypto gdoi infra packet
    ks1# debug crypto gdoi ks packet

Policy-related 問題を解決して下さい

政策問題は登録(関連故障する終わりポリシー)前に発生します

この問題は GMs だけに影響を与えます、従って GM からこの出力を集めて下さい:

gm1# show crypto ruleset

: Cisco IOS XEか。、この出力はソフトウェアでされないのパケット分類以来空常にです。

影響を受けたデバイスからの show tech コマンド出力は必要情報の残りを提供したものです。

政策問題は登録押される POST 発生し、グローバル な ポリシーに関係します

通常この問題が明示する 2 つの方法があります:

  • KS は GM にポリシーを押すことができません。
  • GMs の中のポリシーの部分的があります。

どちらかの問題を解決することに役立つためにこれらのステップを完了して下さい:

  1. 影響を受けた GM で、この出力を集めて下さい:
    gm1# show crypto gdoi acl 
    gm1# show crypto ruleset


  2. GM のこれらのデバッグを有効に して下さい:
    gm1# debug crypto gdoi infra packet 
    gm1# debug crypto gdoi gm acls packet


  3. 影響を受けた GM 登録が、この出力を集める KS:
    ks1# show crypto gdoi ks members
    ks1# show crypto gdoi ks policy


    : どの KS GM がに接続するか識別するために、提示暗号 gdoi group コマンドを入力して下さい。



  4. 同じ KS で、これらのデバッグを有効に して下さい:
    ks1# debug crypto gdoi infra packet
    ks1# debug crypto gdoi ks acls packet


  5. GM を GM のこのコマンドで登録させます:
    clear crypto gdoi

政策問題は登録 POST 発生し、グローバル な ポリシーおよびローカル オーバーライドのマージに関係します

この問題は示すメッセージの形でそれはまたその逆にも暗号化されるはずではないことをローカル ポリシーが示す暗号化されたパケットは受信されたことをそれ自身を繰り返し現れます。 前のセクションおよび show tech コマンド出力で要求されるデータすべてがこの場合必要となります。

キーの再生成問題を解決して下さい

GMs:

  • これらのデバッグを収集して下さい:
    gm1# debug crypto gdoi infra packet 
    gm1# debug crypto gdoi gm packet
    gm1# debug crypto gdoi gm rekey packet


  • GM にまだ型 GDOI_REKEY の IKE Security Association (SA)があることを確認するためにこのコマンドを入力して下さい:
    gm1# show crypto isakmp sa

KSs:

  • KS から show crypto key mypubkey rsa コマンド出力を集めて下さい。 キーは同一であると期待されます。

  • 発生するものが KS に表示するためにこれらのデバッグを入力して下さい:
    ks1# debug crypto gdoi infra packet 
    ks1# debug crypto gdoi ks packet
    ks1# debug crypto gdoi ks rekey packet

時間ベース 再生防止を解決して下さい(TBAR)

従って TBAR 機能はグループを渡るタイムキーピングを必要とし、GMs 疑似時間クロックを絶えず resynced ように要求します。 これはキーの再生成か 2 時間毎にの間に最初に来るものはどれでも、実行された。

: 適切に関連させることができるようにすべての出力およびデバッグは GMs および KS 両方から同時に収集する必要があります。

このレベルで発生する問題を調査するために、この出力を集めて下さい。

  • GMs:
    gm1# show crypto gdoi 
    gm1# show crypto gdoi replay


  • KS:
    ks1# show crypto gdoi ks members 
    ks1# show crypto gdoi ks replay

より多くのダイナミックな方法の TBAR タイムキーピングを調査するために、これらのデバッグを有効に して下さい:

  • GM:
    gm1# debug crypto gdoi gm rekey packet 
    gm1# debug crypto gdoi replay packet (verbosity might need to be lowered)


  • KS:
    ks1# debug crypto gdoi ks rekey packet
    ks1# debug crypto gdoi replay packet (verbosity might need to be lowered)

Cisoc IOSバージョン 15.2(3)T の時点で、TBAR エラーを記録するこれらのエラーに斑点を付けることもっと簡単にする機能は追加されました。 GM で、TBAR エラーがあるかどうか確認するためにこのコマンドを使用して下さい:

R103-GM#show crypto gdoi gm replay
Anti-replay Information For Group GETVPN:
  Timebased Replay:
    Replay Value             : 512.11 secs
    Input Packets            : 0        Output Packets           : 0
    Input Error Packets    : 0        Output Error Packets   : 0
    Time Sync Error         : 0        Max time delta            : 0.00secs

TBAR Error History (sampled at 10pak/min):
    No TBAR errors detected

TBAR 問題を解決する方法に関する詳細については時間によって基づく再生防止失敗を参照して下さい。

KS 冗長性を解決して下さい

協同組合(おり)は IKE セッション従って interKSs 通信を保護するために以前に記述されている IKE 確立のためのトラブルシューティング テクニックをいます同様にここに適当確立します。

おり仕様トラブルシューティングはこのコマンドですべての KSs の出力チェックを含みました構成します:

ks# show crypto gdoi ks coop

: おり KSs の配備と間違えられるもっとも一般的なすべての KSs のグループのための同じ RSA キーを(private およびパブリック両方)インポートすることを忘れることです。 これは問題をの間に鍵変更します引き起こします。 KSs の中の公開キーを比較するためにチェックし、各 KS からの show crypto key mypubkey rsa コマンドの出力を比較して下さい。

プロトコル レベルのトラブルシューティングが必要となる場合、すべての KSs のこのデバッグを含みました有効に して下さい:

ks# debug crypto gdoi ks coop packet

FAQ

」拒否されるこのエラーメッセージ「認証%の設定キーの再生成見る理由

この行が追加された後 KS を設定するときこのエラーメッセージが表示されます:

KS(gdoi-local-server)#rekey authentication mypubkey rsa GETVPN_KEYS
% Setting rekey authentication rejected.

このエラーメッセージのための原因は GETVPN_KEYS と分類されるキーがないので通常あります。 これを固定するために、コマンドを使用して正しいラベルでキーを作成して下さい:

crypto key generate rsa mod <modulus> label <label_name> 

: これがおり配備追加し、次に他の KS の同じキーをインポートして下さいエクスポート可能なキーワードを端に

同じのための GM として機能するために 1 GETVPN グループのための KS でまた設定されるルータ グループできますか。

いいえ。 すべての GETVPN 配備は同じグループのための GM として加わることができない専用 KS を必要とします。 この機能は、ではないですこの重大なネットワークデバイスの健全性のために最適サポートされませんでしたり、ので GM 機能性、ルーティング、QoS、等を暗号化のようなすべての可能性のある 相互対話の KS に追加する。 それは全体の GETVPN 配備がはたらくことができるようにいつも利用可能である必要があります。

関連情報



Document ID: 116958