Cisco VPN Solutions Center: IPsec ソリューション プロビジョニング ガイド
IPsec Solution のトラブルシューティ ングのヒント
IPsec Solution のトラブルシューティングのヒント
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

IPsec Solution のトラブルシューティングのヒント

ルーティングとインターフェイスの問題

スタティック ルート使用時の GRE トンネルの制限

GRE トンネル インターフェイスの unnumbered 化

GRE トンネル インターフェイス上の OSPF MTU のミスマッチ

OSPF 要件とループバック インターフェイスのガイドライン

ダイナミック ルーティング プロトコル用のネットワーク文

デバイスの問題

複数の VPN コンソールによる 1 つのデバイスへの同時アクセス

ループバック アドレス サブネット マスクの推奨

サービス要求の問題

サービス要求の一部になっているデバイスを削除する場合

セカンダリ エッジ デバイスをサービス要求から削除する

サービス要求展開警告メッセージについて

タスク ログ エラーと警告メッセージ

VPNSC の時間帯について

IPsec Solution のトラブルシューティングのヒント

この章では、VPN Solutions Center: IPsec Solution 2.2 のトラブルシューティングのヒントを紹介します。

ルーティングとインターフェイスの問題

スタティック ルート使用時の GRE トンネルの制限

サービス プロバイダーが、2 台のエッジ デバイス ルータ間のスタティック ルートがプロビジョニングされた総称ルーティング カプセル化(GRE)トンネルを使用しており、さらにセカンダリ デバイスもスタティック ルータを使用したパラレル GRE トンネルで構成されている場合、GRE トンネル技術の制限によって次のような問題が発生する場合があります。

プライマリ デバイスとピア デバイス間のトンネルがなんらかの理由でダウンした場合、そのピア デバイスにはトンネルの障害が通知されません。そのトンネルに対応するルートは、サービスが停止していても、そのピア デバイスのルーティング テーブルに残っています。その結果、生存しているトラフィックが、無効なルート(プライマリ デバイスからピア デバイスへの障害が発生したスタティック ルート)を通して送信され続けます。したがって、これらのパケットは失われる可能性があります。セカンダリ GRE トンネルがアクティブになることはありません。

唯一の対処方法は、無効なスタティック ルートを手作業で削除することです。

GRE トンネル インターフェイスの unnumbered 化

VPN Solutions Center によって生成される GRE トンネルはすべて IP 番号が割り当てられていません(unnumbered)。VPN Solutions Center は、GRE トンネルの unnumbered 化に使用するインターフェイスを選択します。GRE トンネルの unnumbered 化に使用するインターフェイスは、ノンセキュアなループバック インターフェイス、またはループバック インターフェイスが検出されない場合は、最初に検出されたノンセキュアなインターフェイス、たとえば、Ethernet0 になります。プロバイダーは、この目的のために、カスタマーのアドレス空間にループバック インターフェイスを作成し、ノンセキュアなインターフェイスのリストに追加する必要があります。その理由は、すべての GRE トンネル インターフェイスが非ループバック インターフェイス(Ethernet0 など)に unnnumbered 化された場合、Ethernet0 がダウンすると、すべての GRE トンネル インターフェイスもダウンするためです。ループバック インターフェイスは、ダウンすることはありません。

GRE トンネル インターフェイス上の OSPF MTU のミスマッチ

GRE トンネルが作成される場合、デフォルトの Maximum Transfer Unit(MTU; 最大転送ユニット)サイズは 1,514 バイトです。このサイズは物理インターフェイスに関係なく固定されています。物理インターフェイスには、さまざまな MTU サイズがあります。ATM インターフェイスの場合には、MTU サイズは 4,470 バイトです。イーサネット インターフェイスの場合には、MTU は 1,500 バイトです。

OSPF ルーティング プロトコルが、さまざまな MTU サイズを持つ各種の物理インターフェイスを持つ GRE トンネルを通して動作する場合、MTU のミスマッチのために、初期化に失敗します。デフォルトでは、OSPF は、MTU サイズの相違が大きい場合、ネイバーからのアップデートを無視します。

デバイス上の物理インターフェイスに指定されている MTU にミスマッチがある場合は、すべての GRE トンネル インターフェイスに次のコマンドを追加する必要があります。

ip ospf mtu-ignore
 

OSPF 要件とループバック インターフェイスのガイドライン

OSPF をサービスのルーティング プロトコルとして選択する前に、次の事項を確認してください。

1. Area Border Router(ABR; エリア境界ルータ)があれば、サービス要求に指定されている OSPF 領域それぞれに対して 1 つのループバック インターフェイスを持っていることを確認してください。

2. このループバック インターフェイスは、カスタマー アドレス空間に一意の IP アドレスを持つ必要があります。

3. このループバック IP アドレスは、プライベート IP の場合もあります。

4. ABR エッジ デバイスでは、VPN Solutions Center ソフトウェアは、ノンセキュアなインターフェイスとして指定されているループバック インターフェイス上の OSPF をイネーブルにするだけです。

5. ループバック インターフェイスは、/32 IP アドレスを持つ必要があります。これは IP アドレスに 255.255.255.255 のサブネット マスクがあることを示します。


注意 OSPF に対するこれらのループバック インターフェイス要件が、上記の説明のように対処されていない場合、VPN Solutions Center はサービス要求を Invalid 状態に遷移します。

ダイナミック ルーティング プロトコル用のネットワーク文

ルーティング プロトコルが RIP または EIGRP である場合、VPN Solutions Center は、ノンセキュアなインターフェイスそれぞれに対して、またノンセキュアなループバック インターフェイスすべてに対して、そのルーティング プロトコルにネットワーク文を生成します。

OSPF がルーティング プロトコルとして指定されているサービス要求の場合は、次の事項に注意してください。

OSPF は、サービス要求に関与しているルータ(ABR があれば、除く)すべてのノンセキュアなインターフェイス(ノンセキュアなループバック インターフェイスを含む)全部で、イネーブルになります。

ABR の場合、OSPF がイネーブルになるのは、 ノンセキュアなループバック インターフェイス上に 限られます

デバイスの問題

複数の VPN コンソールによる 1 つのデバイスへの同時アクセス

VPN Console の複数のインスタンスが、同じデバイスに関するさまざまなサービス要求を同時に展開する必要がある場合、1 つの VPN コンソールだけがそのデバイスのロックを取得できます。他のサービス要求はすべて、次のいずれかを行うことになります。

ロックを保持しているサービス要求がロックを解放するまで待機する

そのデバイスに「Could not obtain lock」エラーというマークを付けて、残りのデバイスでサービス要求を続行する

この待機時間は、 csm.properties ファイル内のキーによって決まります。デフォルト値は 20 秒です。ロックを保持している 1 つのサービス要求がロックを解放するまですべてのサービス要求を待機させるのが望ましい場合は、待機時間を調整する必要があります。次の式を使用して待機時間を決めることができます。

N * average_SR_deployment_time
 

ここで、 N は同時に実行する必要のあるサービス要求の数です。

average_SR_deployment_time は、ある特定のサービス要求内のデバイスの数と、そのサービスの展開に要する時間によって決まります。つまり、そのサービス要求内のすべてのデバイスのアップロードとダウンロードになります。

ループバック アドレス サブネット マスクの推奨

エッジ デバイスでループバック アドレスを作成する場合、/32 アドレスを使用すること、つまり 255.255.255.255 というサブネット マスクを設定することを強く推奨します。同じサブネット内にある、これより小さいサブネット ループバック アドレス(たとえば、143.33.93.1/24 および 143.33.93.2/24)が使用される場合、これらに対して生成されるネットワーク文は同じ 143.33.93.0/24 になります。/32 ループバック アドレスを採用することのもう 1 つの利点は、ループバック アドレスが IP アドレスを保存していることにあります。

サービス要求の問題

サービス要求の一部になっているデバイスを削除する場合

展開されているサービス要求の一部になっているデバイスを削除しても、VPN Solutions Center によって作成されたアクセス リスト全体は削除されません。残されたアクセス リストを削除するには、Template Manager を使用するか手作業で、削除された各デバイスから、残されたアクセス リストを削除します。

展開前にセキュアなインターフェイス上にアクセス リストが存在せず、拡張サービスを Internet Access と指定する場合には、パフォーマンスを向上させるために、 Internet Access ではなく Ignore オプションを指定してください。Internet Access を指定すると、VPN Solutions Center は、アクセス リストを追加するか、セキュアなインターフェイスに適用されている既存のアクセス リストに IP permit any any を付加します。拡張サービスをサービス要求に指定する方法については、「VPN に対するサービス要求の定義」 を参照してください。

セカンダリ エッジ デバイスをサービス要求から削除する

展開されているサービス要求からセカンダリ エッジ デバイスを削除しても、削除されたセカンダリ デバイスから IPsec コンフィギュレーションは削除されません。これは、Service Model における制限です。

コンフィギュレーション ファイルをセカンダリ エッジ デバイスから削除するために、次のいずれの操作も実行できます。

コンフィギュレーション ファイルを手作業で削除する

1)まずプライマリ エッジ デバイスを削除し、2)サービス要求を展開し(これでプライマリ デバイスとセカンダリ デバイスの IPsec コンフィギュレーションが削除される)、その後で 3)プライマリ デバイスをサービス要求に追加する。

詳細については、「セカンダリ エッジ デバイスの割り当て」を参照してください。

サービス要求展開警告メッセージについて

サービス要求を展開しているときに、タスクが次の警告メッセージを表示して完了することがあります。

All tunnels for this SR have already been provisioned.Use the Force Deploy option in order to reprovision IPsec tunnels.

このメッセージは、このサービス要求がすでに 1 回プロビジョニングされており、このサービスの中のトンネルがすべて、すでに Deployed 状態にあることを示しています。同じサービス要求を再度展開することが、この警告を発生させます。

正常に展開されているサービスを再度展開する必要があるのでしょうか。この状況は、サービス要求に対してテンプレートを追加または削除してサービス要求を修正したが、VPN サービス定義はそのまま変更していない場合に発生することがあります。つまり、新しく組み込まれたサービス要求が、最初のサービス要求とまったく同じトポロジ、エッジ デバイス、およびトンネルを持っているということです。

この状況では、展開される新しいサービス要求が、この警告を生成し、サービス要求に割り当てられているテンプレートを引き続き生成します。すべてのトンネルがターゲット デバイスにすでに展開されているため、このサービスがターゲット デバイスの IPsec コンフィギュレーションに影響を与えることはありません。

サービス要求を再度プロビジョニングする必要がある場合には、「展開済みサービス要求の変更後の再展開」 の説明に従って Force Deploy オプションを使用します。

タスク ログ エラーと警告メッセージ

無効なサービス要求を展開すると、VPN Solutions Center は、そのタスクは正常に終了したが、エラー メッセージと警告メッセージが含まれていることを知らせるタスク ログを生成します。このタスク ログでは、用語「error」と「warning」は、ユーザではなくシステムに関係します。

Error 」は、現在のプロセスでシステム エラーが発生して、それ以上実行できないことを示します。このようなエラーには、データベース エラー、無効なコマンドライン パラメータ、無効な VPN Solutions Center コンフィギュレーション ファイル、ディスクの容量不足などがあります。

Warning 」は、現在のプロセスが正常に動作したが、結果が予期したものと異なることを示します。

VPNSC の時間帯について

データが収集されるデバイスすべての時刻と時間帯が同期していることを確認してください。この同期がセットアップされていない場合、一部のデータがまったく表示されない、またはデータが PE のタイムスタンプ(データに埋め込まれている)に正確に基づかないことがあります。


注意 VPN Solutions Center は、UNIX で作成されたカスタムの時間帯はサポートしません

VPN Solutions Center は、VPNSC がインストールされている Solaris ワークステーションの /usr/share/lib/zoneinfo ディレクトリにある時間帯をサポートするだけです。このディレクトリの内容は、通常、Solaris の各バージョンで異なります。VPNSC は、Solaris でサポートされている時間帯が設定されている形式は変更できません。


ヒント デバイスに設定されている時間帯がサポートされている時間帯であることの確認は、サービス プロバイダーに責任があります。