Cisco MDS 9000 ファミリー トラブルシューティング ガイド Release 3.x
IPSec のトラブルシューティング
IPSec のトラブルシューティング
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

IPSec のトラブルシューティング

概要

IPSec の互換性

Microsoft Windows および Linux プラットフォームにサポートされている IPSec および IKE アルゴリズム

IKE で使用可能なトランスフォーム

IPSec で使用可能なトランスフォーム

ベスト プラクティス

ライセンスの要件

トラブルシューティングの初期チェックリスト

Fabric Manager の一般的なトラブルシューティング ツール

CLI の一般的なトラブルシューティング用コマンド

IPSec 問題

IKE 設定の互換性の確認

Fabric Manager を使用した IPSec 設定の互換性の確認

CLI を使用した IPSec 設定の互換性の確認

セキュリティ ポリシー データベースの互換性の確認

Fabric Manager を使用したインターフェイス ステータスの確認

CLI を使用したインターフェイス ステータスの確認

SA の確認

SA が鍵を再生成しない

SA のクリア

IPSec プロセスのデバッグ

IKE プロセスのデバッグ

IPSec プロセスからの統計情報の取得

IPSec のトラブルシューティング

この章では、Cisco MDS 9000 ファミリで IP セキュリティ(IPSec)およびインターネット キー エクスチェンジ(IKE)暗号方式のトラブルシューティングを行う方法について説明します。この章で説明する内容は、次のとおりです。

「概要」

「ベスト プラクティス」

「ライセンスの要件」

「トラブルシューティングの初期チェックリスト」

「IPSec 問題」

概要

IPSec は、参加ピア間のデータ保護、データ統合、およびデータ認証を提供するオープン規格のフレームワークです。IPSecは、Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)により開発されました。IPSecは、IPレイヤでのセキュリティ サービス(ホスト ペア間、セキュリティ ゲートウェイ ぺア間、またはセキュリティ ゲートウェイとホスト間の 1 つまたは複数のデータ フロー保護など)を提供します。IPSec は、トンネル モードで IKE およびカプセル化セキュリティ プロトコル(ESP)を使用する iSCSI および FCIP でサポートされています。

ここで説明する内容は、次のとおりです。

「IPSec の互換性」

「Microsoft Windows および Linux プラットフォームにサポートされている IPSec および IKE アルゴリズム」

「IKE で使用可能なトランスフォーム」

「IPSec で使用可能なトランスフォーム」

IPSec の互換性

IPSec 機能は、次の Cisco MDS 9000 ファミリ ハードウェアと互換性があります。

Cisco MDS 9200 スイッチまたは Cisco MDS 9500 ディレクタの Cisco 14/2- ポート マルチプロトコル サービス(MPS-14/2)モジュール

統合スーパーバイザ モジュールに MPS-14/2 機能を備えた Cisco MDS 9216i スイッチ。Cisco MDS 9216iスイッチの詳細については、『 Cisco MDS 9200 シリーズ ハードウェア インストレーション ガイド 』を参照してください。

IPSec機能は管理インターフェイスではサポートされていません。


) IPSec および IKE は、HP c-Class BladeSystem 用 Cisco ファブリック スイッチと IBM BladeCenter 用 Cisco ファブリック スイッチではサポートされていません。


IPSec 機能は次のファブリック設定と互換性があります。

接続された 2 台の Cisco MDS 9200 スイッチまたは Cisco MDS 9500 ディレクタ(Cisco MDS SAN-OS Release 2.0(1b) 以降が稼働)

任意の IPSec 互換デバイスに接続された Cisco MDS 9200 スイッチまたは Cisco MDS 9500 ディレクタ(Cisco MDS SAN-OS Release 2.0(1b) 以降が稼働)

Cisco SAN-OSに実装されたIPSec機能では、次の機能はサポートされていません。

Authentication Header(AH; 認証ヘッダー)

トランスポート モード

セキュリティ アソシエーション(SA)のバンドル

SA の手動設定

暗号マップにおけるホスト単位のSAオプション

SAアイドル タイムアウト

ダイナミック暗号マップ

IPv6


) このマニュアルでは、暗号マップという用語は、スタティック暗号マップだけを意味します。


IPSec と Microsoft iSCSI イニシエータを効果的に相互動作させるには、IPv4-ACL に TCP プロトコルおよびローカル iSCSI TCP ポート番号(デフォルトは 3260)を指定します。この設定により、ギガビット イーサネット インターフェイスのシャットダウン、VRRP のスイッチオーバー、およびポート障害のような中断のあとで、暗号化された iSCSI セッションを迅速に復旧できます。次の IPv4-ACL エントリ例では、MDS スイッチの IPv4 アドレスは 10.10.10.50、および暗号化された iSCSI セッションを実行するリモート Microsoft ホストは 10.10.10.16 です。

switch(config)# ip access-list aclmsiscsi2 permit tcp 10.10.10.50 0.0.0.0 range port 3260 3260 10.10.10.16 0.0.0.0

) Cisco MDS IKEv2 は、他の IKEv2 実装と相互動作しません。


Microsoft Windows および Linux プラットフォームにサポートされている IPSec および IKE アルゴリズム

表22-1 に、Microsoft Windows および Linux プラットフォームでサポートおよび検証されている、IPSec および IKE 暗号化認証アルゴリズムの設定を示します。

 

表22-1 Windows および Linux 用の IPSec および IKE

プラットフォーム
IKE
IPSec

Microsoft iSCSI イニシエータ(Microsoft Windows 2000 プラットフォームの Microsoft IPSec 実装)

3DES、SHA-1 または MD5、
DH グループ 2

3DES、SHA-1

Cisco iSCSI イニシエータ、
Linux プラットフォームの Free Swan IPSec の実装

3DES、MD5、DHグループ1

3DES、MD5

IKE で使用可能なトランスフォーム

表22-2 は、IKE で使用可能なトランスフォームの組み合わせです。

 

表22-2 IKEトランスフォーム設定パラメータ

パラメータ
許容値
デフォルト値

暗号アルゴリズム

56 ビット DES-CBC

168 ビット DES(3DES)

128 ビット AES

3DES

ハッシュ アルゴリズム

SHA-1(HMAC バリアント)

MD5(HMAC バリアント)

SHA-1

認証方式

事前共有鍵

デジタル証明書の RSA 署名

事前共有鍵

DH グループ ID

768 ビット DH

1024 ビット DH

1536 ビット DH

768 ビット DH(1)

IPSec で使用可能なトランスフォーム

表22-3 は、IPSec で使用可能なトランスフォームの組み合わせです。

 

表22-3 IPSec トランスフォーム設定パラメータ

パラメータ
許容値

暗号アルゴリズム

56 ビット DES-CBC

168 ビット DES

128 ビット AES-CBC

128 ビット AES-CTR 1

256 ビット AES-CBC

256 ビット AES-CTR 1

ハッシュ/認証アルゴリズム 1 (オプション)

SHA-1(HMAC バリアント)

MD5(HMAC バリアント)

AES-XCBC-MAC

1.AES カウンタ(CTR)モードを設定する場合、認証アルゴリズムも設定する必要があります。

ベスト プラクティス

ここでは、IPSec を実装するベスト プラクティスを示します。

デジタル証明書を使用して、設定を簡素化し、IPSec デバイス認証を自動化します。

可能な場合は、デフォルトの IPSec トランスフォーム セットを使用します。

複数のインターフェイスに適用できる汎用の暗号マップ セットを作成します。たとえば、同じ VLAN 内の複数のインターフェイスに、特定の VLAN のトラフィックを取得する暗号マップ セットを適用できます。

SA ライフタイム パラメータにはデフォルト値を使用します。

IPSec が使用するミラー イメージ暗号 ACL を設定し、オプションの使用を防止します。

IKEv1 を使用するには、FCIP トンネルの両側でイニシエータ バージョンの IKEv1 を設定します。

ライセンスの要件

IPSec には、ENTERPRISE_PKG ライセンスが必要です。

トラブルシューティングの初期チェックリスト

IPSec に関する問題のトラブルシューティングがある場合には、次の問題を確認します。

 

チェックリスト
確認済み

IPSec 用に IKE が設定されていることを確認します。

 

IPSec 用にイネーブルになっている場合、デジタル証明書設定を確認します。
第 24 章「デジタル証明書のトラブルシューティング」 を参照してください。

 

各ピアに対応する IKE ポリシーが定義されていることを確認します。

 

IKEv2 を再設定したあとで SA を更新したことを確認します。

 

ローカルに設定されたすべての暗号マップ ACL について、ミラー暗号 マップ ACL がピアに設定されていることを確認します。

 

Fabric Manager の一般的なトラブルシューティング ツール

Switches > Security > IPSec を選択して、IPSec にアクセスします。

Switches > Security > IKE を選択して、IKE にアクセスします。

CLI の一般的なトラブルシューティング用コマンド

IPSec 問題のトラブルシューティングを行うには、次のコマンドを使用します。

show crypto transform-set domain ipsec

show crypto global domain ipsec

show crypto global domain ipsec security-association lifetime

show crypto sad domain ipsec

IPSec 問題の詳細な情報を収集するには、次の内部コマンドを使用します。

show ipsec internal error ― エラー履歴のログを表示します。

show ipsec internal mem-stats detail ― メモリ使用率を表示します。

show ipsec internal event-history msgs ― メッセージ履歴のログを表示します。

ハードウェア アクセラレータから情報を収集するには、次のコマンドを使用します。

show ipsec internal crypto-accelerator interface gigabit 2/1 sad inbound/outbound sa-index ― ハードウェア アクセラレータからの SA の詳細情報を表示します。

show ipsec internal crypto-accelerator interface gigabit 2/1 stats ― ハードウェア アクセラレータからのインターフェイスごとの詳細情報を表示します。

IPSec 問題

ここでは、FCIP 設定で IKE および IPSec 問題をトラブルシューティングするのに必要な手順を説明します。図22-1 に、FCIP トンネル 2 がスイッチ MDS A と MDS C間で暗号化データを搬送するサンプルの FCIP 設定を示しています。

図22-1 単純な FCIP 構成

 

ここで説明する内容は、次のとおりです。

「IKE 設定の互換性の確認」

「Fabric Manager を使用した IPSec 設定の互換性の確認」

「CLI を使用した IPSec 設定の互換性の確認」

「セキュリティ ポリシー データベースの互換性の確認」

「Fabric Manager を使用したインターフェイス ステータスの確認」

「CLI を使用したインターフェイス ステータスの確認」

「SA の確認」

「SA が鍵を再生成しない」

「SA のクリア」

「IPSec プロセスのデバッグ」

「IKE プロセスのデバッグ」

「IPSec プロセスからの統計情報の取得」

IKE 設定の互換性の確認

図22-1 に示す MDS A および MDS C の IKE 設定の互換性を確認する手順は、次のとおりです。


ステップ 1 各スイッチで事前共有鍵が同一であることを確認します。両方のスイッチで、 show crypto ike domain ipsec key CLI コマンドを使用します。図22-1 に示す構成のコマンド出力は、次のとおりです。

MDSA# show crypto ike domain ipsec key
 
key ctct address 10.10.100.232
 
MDSC# show crypto ike domain ipsec key
 
key ctct address 10.10.100.231
 

ステップ 2 同じ暗号アルゴリズム、ハッシュ アルゴリズム、およびディッフィーヘルマン(DH)グループを持つ少なくとも 1 つの対応するポリシーが、各スイッチに設定されていることを確認します。両方のスイッチで、 show crypto ike domain ipsec policy コマンドを発行します。図22-1 に示す構成のコマンド出力は、次のとおりです。

MDSA# show crypto ike domain ipsec policy
Priority 1, auth pre-shared, lifetime 86300 secs, encryption 3des, hash md5, DH group 1
 
MDSC# show crypto ike domain ipsec policy
Priority 1, auth pre-shared, lifetime 86300 secs, encryption 3des, hash md5, DH group 1
 


 

Fabric Manager を使用した IPSec 設定の互換性の確認

Fabric Manager を使用して図22-1 に示す MDS A および MDS C の IPSec 設定の互換性を確認する手順は、次のとおりです。


ステップ 1 Switches > Security > IPSEC を選択し、CryptoMap Set Entry タブを選択します。MDS A および MDS C の Peer Address、IpFilter、Lifetime、および PFS フィールドが一致することを確認します。

ステップ 2 Transform Set タブを選択し、両方のスイッチでトランスフォーム セットが一致することを確認します。

ステップ 3 Interfacesタブを選択し、両方のスイッチで暗号マップ セットが正しいインターフェイスに適用されていることを確認します。

ステップ 4 Device Manager で、IP > ACLs を選択し、Switches > Security > IPSEC を選択し、CryptoMap Set Entry タブを選択します。MDS A および MDS C の Peer Address、IpFilter、Lifetime、および PFS フィールドが一致することを確認します。 の暗号マップで使用された ACL が両方のスイッチで互換性があることを確認します。


 

CLI を使用した IPSec 設定の互換性の確認

CLI を使用して図22-1 に示す MDS A および MDS C の IPSec 設定の互換性を確認する手順は、次のとおりです。


ステップ 1 show crypto map domain ipsec コマンドおよび show crypto transform-set domain ipsecコマンドを使用します。次のコマンド出力は、show crypto map domain ipsec コマンドの出力を参照して、両方のスイッチの ACL に互換性があることを確認します。 7 で説明するフィールドを表示します。

MDSA# show crypto map domain ipsec
Crypto Map “cmap-01” 1 ipsec
Peer = 10.10.100.232
IP ACL = acl1
permit ip 10.10.100.231 255.255.255.255 10.10.100.232 255.255.255.255
Transform-sets: tfs-02,
Security Association Lifetime: 3000 gigabytes/120 seconds
PFS (Y/N): Y
PFS Group: group5
Interface using crypto map set cmap-01:
GigabitEthernet7/1
 
 
MDSC# show crypto map domain ipsec
Crypto Map “cmap-01” 1 ipsec
Peer = 10.10.100.231
IP ACL = acl1
permit ip 10.10.100.232 255.255.255.255 10.10.100.231 255.255.255.255
Transform-sets: tfs-02,
Security Association Lifetime: 3000 gigabytes/120 seconds
PFS (Y/N): Y
PFS Group: group5
Interface using crypto map set cmap-01:
GigabitEthernet1/2
 
 
MDSA# show crypto transform-set domain ipsec
Transform set:tfs-01 {esp-3des null}
will negotiate {tunnel}
Transform set:tfs-02 {esp-3des esp-md5-hmac}
will negotiate {tunnel}
Transform set:ipsec_default_transform_set {esp-aes 128 esp-sha1-hmac}
will negotiate {tunnel}
 
MDSC# show crypto transform-set domain ipsec
Transform set:tfs-01 {esp-3des null}
will negotiate {tunnel}
Transform set:tfs-02 {esp-3des esp-md5-hmac}
will negotiate {tunnel}
Transform set:ipsec_default_transform_set {esp-aes 128 esp-sha1-hmac}
will negotiate {tunnel}
 

ステップ 2 show crypto map domain ipsec コマンドの出力を参照して、両方のスイッチの ACL に互換性があることを確認します。

ステップ 3 show crypto map domain ipsec コマンドの出力を参照して、両方のスイッチのピア設定が正しいことを確認します。

ステップ 4 show crypto transform-set domain ipsec コマンドの出力を参照して、両方のスイッチのトランスフォーム セットに互換性があることを確認します。

ステップ 5 show crypto map domain ipsec コマンドの出力を参照して、両方のスイッチで PFS 設定が同じであることを確認します。

ステップ 6 show crypto map domain ipsec コマンドの出力を参照して、SA ライフタイム設定が過剰な鍵の再作成を防止するのに十分大きいことを確認します(デフォルト設定で保証されます)。

ステップ 7 show crypto map domain ipsec コマンドの出力を参照して、暗号マップ セットが両方のスイッチの正しいインターフェイスに適用されていることを確認します。


 

セキュリティ ポリシー データベースの互換性の確認

両方のスイッチのセキュリティ ポリシー データベース(SPD)に互換性があることを確認する手順は、次のとおりです。


ステップ 1 両方のスイッチで show crypto spd domain ipsec コマンドを実行して、SPD を表示します。コマンドの出力は、次のとおりです。

MDSA# show crypto spd domain ipsec
Policy Database for interface:GigabitEthernet7/1, direction:Both
# 0: deny udp any port eq 500 any <-----------IKE 用のテスト ポリシーをクリア
# 1: deny udp any any port eq 500 <-----------IKE 用のテスト ポリシーをクリア
# 2: permit ip 10.10.100.231 255.255.255.255 10.10.100.232 255.255.255.255
# 127: deny ip any any <------------その他のすべてのトラフィック用のテスト ポリシーをクリア
 
 
MDSC# show crypto spd domain ipsec
Policy Database for interface:GigabitEthernet1/2, direction:Both
# 0: deny udp any port eq 500 any
# 1: deny udp any any port eq 500
# 2: permit ip 10.10.100.232 255.255.255.255 10.10.100.231 255.255.255.255
# 127: deny ip any any
 

ステップ 2 両方のスイッチで show ipsec internal crypto-accelerator interface gigabitethernet slot/port spd inbound コマンドを実行して、暗号アクセラレータから SPD 情報を表示します。


internal キーワードを含むコマンドを発行するには、network-admin グループのメンバになっているアカウントを使用する必要があります。


コマンドの出力例を、次に示します。

MDSA# show ipsec internal crypto-accelerator interface gigabitethernet 7/1 spd inbound
Inbound Policy 0 :
Source IP Address :*
Destination IP Address :*
Source port :500, Destination port :* Protocol UDP
Physical port:0/0, Vlan_id:0/0
Action cleartext
 
Inbound Policy 1 :
Source IP Address :*
Destination IP Address :*
Source port :*, Destination port :500 Protocol UDP
Physical port:0/0, Vlan_id:0/0
Action cleartext
 
Inbound Policy 2 :
Source IP Address :10.10.100.232/255.255.255.255
Destination IP Address :10.10.100.231/255.255.255.255
Source port :*, Destination port :* Protocol *
Physical port:0/1, Vlan_id:0/4095
Action ipsec
 
Inbound Policy 127 :
Source IP Address :*
Destination IP Address :*
Source port :*, Destination port :* Protocol *
Physical port:0/0, Vlan_id:0/0
Action cleartext
 
 
MDSC# show ipsec internal crypto-accelerator interface gigabitethernet 1/2 spd inbound
Inbound Policy 0 :
Source IP Address :*
Destination IP Address :*
Source port :500, Destination port :* Protocol UDP
Physical port:0/0, Vlan_id:0/0
Action cleartext
 
Inbound Policy 1 :
Source IP Address :*
Destination IP Address :*
Source port :*, Destination port :500 Protocol UDP
Physical port:0/0, Vlan_id:0/0
Action cleartext
 
Inbound Policy 2 :
Source IP Address :10.10.100.231/255.255.255.255
Destination IP Address :10.10.100.232/255.255.255.255
Source port :*, Destination port :* Protocol *
Physical port:1/1, Vlan_id:0/4095
Action ipsec
 
Inbound Policy 127 :
Source IP Address :*
Destination IP Address :*
Source port :*, Destination port :* Protocol *
Physical port:0/0, Vlan_id:0/0
Action cleartext
 


 

Fabric Manager を使用したインターフェイス ステータスの確認

Fabric Manager を使用してインターフェイスのステータスを確認する手順は、次のとおりです。


ステップ 1 Switches > Interfaces > GigabitEthernet を選択して、インターフェイスが動作し、IP アドレスが正しいことを確認します。

ステップ 2 ISLs > FCIP を選択し、Tunnels タブを選択します。各インターフェイスが正しいプロファイルを使用し、ピア インターネット アドレスが正しく設定され、FCIP トンネルに互換性があることを確認します。


 

CLI を使用したインターフェイス ステータスの確認

CLI を使用してインターフェイスのステータスを確認する手順は、次のとおりです。


ステップ 1 両方のスイッチで、show interface gigabitethernet コマンドを実行します。インターフェイスが動作し、IP アドレスが正しいことを確認します。必要に応じて、no shutdown コマンドを実行します。コマンドの出力は、次のとおりです。

MDSA# show interface gigabitethernet 7/1
GigabitEthernet7/1 is up
Hardware is GigabitEthernet, address is 0005.3001.804e
Internet address is 10.10.100.231/24
MTU 1500 bytes
Port mode is IPS
Speed is 1 Gbps
Beacon is turned off
Auto-Negotiation is turned on
5 minutes input rate 7728 bits/sec, 966 bytes/sec, 8 frames/sec
5 minutes output rate 7968 bits/sec, 996 bytes/sec, 8 frames/sec
7175 packets input, 816924 bytes
0 multicast frames, 0 compressed
0 input errors, 0 frame, 0 overrun 0 fifo
7285 packets output, 840018 bytes, 0 underruns
0 output errors, 0 collisions, 0 fifo
0 carrier errors
 
 
MDSC# show interface gigabitethernet 1/2
GigabitEthernet1/2 is up
Hardware is GigabitEthernet, address is 0005.3001.7f0f
Internet address is 10.10.100.232/24
MTU 1500 bytes
Port mode is IPS
Speed is 1 Gbps
Beacon is turned off
Auto-Negotiation is turned on
5 minutes input rate 7528 bits/sec, 941 bytes/sec, 8 frames/sec
5 minutes output rate 7288 bits/sec, 911 bytes/sec, 8 frames/sec
7209 packets input, 835518 bytes
0 multicast frames, 0 compressed
0 input errors, 0 frame, 0 overrun 0 fifo
7301 packets output, 827630 bytes, 0 underruns
0 output errors, 0 collisions, 0 fifo
0 carrier errors
 

ステップ 2 両方のスイッチで、show interface fcip コマンドを実行します。各インターフェイスが正しいプロファイルを使用し、ピア インターネット アドレスが正しく設定され、FCIP トンネルに互換性があることを確認します。必要に応じて、no shutdown コマンドを実行します。コマンドの出力は、次のとおりです。

MDSA# show interface fcip 1
fcip1 is trunking
Hardware is GigabitEthernet
Port WWN is 21:90:00:0d:ec:02:64:80
Peer port WWN is 20:14:00:0d:ec:08:5f:c0
Admin port mode is auto, trunk mode is on
Port mode is TE
Port vsan is 1
Speed is 1 Gbps
Trunk vsans (admin allowed and active) (1,100,200,302-303,999,3001-3060)
Trunk vsans (up) (1)
Trunk vsans (isolated) (100,200,302-303,999,3001-3060)
Trunk vsans (initializing) ()
Using Profile id 1 (interface GigabitEthernet7/1)
Peer Information
Peer Internet address is 10.10.100.232 and port is 3225
FCIP tunnel is protected by IPSec
Write acceleration mode is off
Tape acceleration mode is off
Tape Accelerator flow control buffer size is automatic
IP Compression is disabled
Special Frame is disabled
Maximum number of TCP connections is 2
Time Stamp is disabled
QOS control code point is 0
QOS data code point is 0
B-port mode disabled
TCP Connection Information
2 Active TCP connections
Control connection:Local 10.10.100.231:3225, Remote 10.10.100.232:65492
Data connection:Local 10.10.100.231:3225, Remote 10.10.100.232:65494
20 Attempts for active connections, 0 close of connections
TCP Parameters
Path MTU 1400 bytes
Current retransmission timeout is 200 ms
Round trip time:Smoothed 2 ms, Variance:3
Advertized window:Current:118 KB, Maximum:14 KB, Scale:6
Peer receive window:Current:128 KB, Maximum:128 KB, Scale:6
Congestion window:Current:14 KB, Slow start threshold:204 KB
Current Send Buffer Size:14 KB, Requested Send Buffer Size:0 KB
CWM Burst Size:50 KB
5 minutes input rate 2960 bits/sec, 370 bytes/sec, 4 frames/sec
5 minutes output rate 3184 bits/sec, 398 bytes/sec, 4 frames/sec
3628 frames input, 340644 bytes
3610 Class F frames input, 338396 bytes
18 Class 2/3 frames input, 2248 bytes
0 Reass frames
0 Error frames timestamp error 0
3624 frames output, 359140 bytes
3608 Class F frames output, 357332 bytes
16 Class 2/3 frames output, 1808 bytes
0 Error frames
 
 
MDSC# show interface fcip 1
fcip1 is trunking
Hardware is GigabitEthernet
Port WWN is 20:14:00:0d:ec:08:5f:c0
Peer port WWN is 21:90:00:0d:ec:02:64:80
Admin port mode is auto, trunk mode is on
Port mode is TE
Port vsan is 1
Speed is 1 Gbps
Trunk vsans (admin allowed and active) (1)
Trunk vsans (up) (1)
Trunk vsans (isolated) ()
Trunk vsans (initializing) ()
Using Profile id 1 (interface GigabitEthernet1/2)
Peer Information
Peer Internet address is 10.10.100.231 and port is 3225
FCIP tunnel is protected by IPSec
Write acceleration mode is off
Tape acceleration mode is off
Tape Accelerator flow control buffer size is automatic
IP Compression is disabled
Special Frame is disabled
Maximum number of TCP connections is 2
Time Stamp is disabled
QOS control code point is 0
QOS data code point is 0
B-port mode disabled
TCP Connection Information
2 Active TCP connections
Control connection:Local 10.10.100.232:65492, Remote 10.10.100.231:3225
Data connection:Local 10.10.100.232:65494, Remote 10.10.100.231:3225
22 Attempts for active connections, 1 close of connections
TCP Parameters
Path MTU 1400 bytes
Current retransmission timeout is 200 ms
Round trip time:Smoothed 2 ms, Variance:3
Advertized window:Current:128 KB, Maximum:14 KB, Scale:6
Peer receive window:Current:118 KB, Maximum:118 KB, Scale:6
Congestion window:Current:15 KB, Slow start threshold:204 KB
Current Send Buffer Size:14 KB, Requested Send Buffer Size:0 KB
CWM Burst Size:50 KB
5 minutes input rate 3192 bits/sec, 399 bytes/sec, 4 frames/sec
5 minutes output rate 2960 bits/sec, 370 bytes/sec, 4 frames/sec
3626 frames input, 359324 bytes
3610 Class F frames input, 357516 bytes
16 Class 2/3 frames input, 1808 bytes
1 Reass frames
0 Error frames timestamp error 0
3630 frames output, 340828 bytes
3612 Class F frames output, 338580 bytes
18 Class 2/3 frames output, 2248 bytes
0 Error frames
 


 

SA の確認

SA を確認する手順は、次のとおりです。


ステップ 1 show crypto sad domain ipsec コマンドを実行して、各スイッチの現在のピア、モード、および着信および発信インデックスを確認します。コマンドの出力例を、次に示します。

MDSA# show crypto sad domain ipsec
interface:GigabitEthernet7/1
Crypto map tag:cmap-01, local addr. 10.10.100.231
protected network:
local ident (addr/mask):(10.10.100.231/255.255.255.255)
remote ident (addr/mask):(10.10.100.232/255.255.255.255)
current_peer:10.10.100.232
local crypto endpt.:10.10.100.231, remote crypto endpt.:10.10.100.232
mode:tunnel, crypto algo:esp-3des, auth algo:esp-md5-hmac
tunnel id is:1
current outbound spi:0x822a202 (136487426), index:1
lifetimes in seconds::3600
lifetimes in bytes::483183820800
current inbound spi:0x38147002 (940863490), index:1
lifetimes in seconds::3600
lifetimes in bytes::483183820800
 
 
MDSC# show crypto sad domain ipsec
interface:GigabitEthernet1/2
Crypto map tag:cmap-01, local addr. 10.10.100.232
protected network:
local ident (addr/mask):(10.10.100.232/255.255.255.255)
remote ident (addr/mask):(10.10.100.231/255.255.255.255)
current_peer:10.10.100.231
local crypto endpt.:10.10.100.232, remote crypto endpt.:10.10.100.231
mode:tunnel, crypto algo:esp-3des, auth algo:esp-md5-hmac
tunnel id is:1
current outbound spi:0x38147002 (940863490), index:513
lifetimes in seconds::3600
lifetimes in bytes::483183820800
current inbound spi:0x822a202 (136487426), index:513
lifetimes in seconds::3600
lifetimes in bytes::483183820800
 

ステップ 2 SA インデックスを使用すると、暗号アクセラレータの SA を確認できます。show ipsec internal crypto-accelerator interface gigabitethernet slot/port sad [ inbound | outbound ] sa-index コマンドを実行して、着信または発信 SA 情報を表示します。hard limit bytes および soft limit bytes フィールドに、ライフタイムがバイト単位で表示されます。hard limit expiry secs および soft limit expiry secs フィールドに、ライフタイムが秒単位で表示されます。


internal キーワードを含むコマンドを発行するには、network-admin グループのメンバになっているアカウントを使用する必要があります。


コマンドの出力は、次のとおりです。

MDSA# show ipsec internal crypto-accelerator interface gigabitethernet 7/1 sad inbound 1
sw172.22.48.91# show ipsec internal crypto-accelerator interface gigabitethernet 7/1 sad inbound 1
Inbound SA 1 :
Mode :Tunnel, flags:0x492300000000000
 
IPsec mode is ESP
Encrypt algorithm is DES/3DES
Auth algorithm is MD5
Source ip address 10.10.100.232/255.255.255.255
Destination ip address 10.10.100.231/255.255.255.255
Physical port 0, mask:0x1
Misc select 0 mask:0x0
Vlan 0 mask:0xfff
Protocol 0 mask:0x0
Source port no 0 mask:0x0
Dest port no 0 mask:0x0
Hard limit 483183820800 bytes
Soft limit 401042571264 bytes
SA byte count 845208 bytes <----経過トラフィック
SA user byte count 845208 bytes <----経過トラフィック
Error count:auth:0, pad:0, replay:0
Packet count 7032
Hard limit expiry 1100652419 secs (since January 1, 1970), remaining 219 7 secs
Soft limit expiry 1100652386 secs (since January 1, 1970), remaining 216 4 secs
Sequence number:7033
Antireplay window:0xffffffff.0xffffffff.0xffffffff.0xffffffff
 
MDSC# show ipsec internal crypto-accelerator interface gigabitethernet 1/2 sad inbound 513
Inbound SA 513 :
Mode :Tunnel, flags:0x492300000000000
 
IPsec mode is ESP
Encrypt algorithm is DES/3DES
Auth algorithm is MD5
Source ip address 10.10.100.231/255.255.255.255
Destination ip address 10.10.100.232/255.255.255.255
Physical port 1, mask:0x1
Misc select 0 mask:0x0
Vlan 0 mask:0xfff
Protocol 0 mask:0x0
Source port no 0 mask:0x0
Dest port no 0 mask:0x0
Hard limit 483183820800 bytes
Soft limit 420369924096 bytes
SA byte count 873056 bytes <----経過トラフィック
SA user byte count 873056 bytes <----経過トラフィック
Error count:auth:0, pad:0, replay:0

パケット数 7137

Hard limit expiry 1100652419 secs (since January 1, 1970), remaining 214 1 secs
Soft limit expiry 1100652394 secs (since January 1, 1970), remaining 211 6 secs
Sequence number:7138
Antireplay window:0xffffffff.0xffffffff.0xffffffff.0xffffffff
 
 
MDSA# show ipsec internal crypto-accelerator interface gigabitethernet 7/1 sad outbound 1
Outbound SA 1 :
SPI 136487426 (0x822a202), MTU 1400, MTU_delta 4
Mode :Tunnel, flags:0x92100000000000
IPsec mode is ESP
Tunnel options index:0, ttl:0x40, flags:0x1
Encrypt algorithm is DES/3DES
Auth algorithm is MD5
Tunnel source ip address 10.10.100.231
Tunnel destination ip address 10.10.100.232
Hard limit 483183820800 bytes
Soft limit 376883380224 bytes
SA byte count 874544 bytes <----経過トラフィック
SA user byte count 874544 bytes <----経過トラフィック
Packet count 7150
Hard limit expiry 1100652419 secs (since January 1, 1970), remaining 208 9 secs
Soft limit expiry 1100652384 secs (since January 1, 1970), remaining 205 4 secs
Outbound MAC table index:1
 
Sequence number:7151
 
MDSC# show ipsec internal crypto-accelerator interface gigabitethernet 1/2 sad outbound 513
Outbound SA 513 :
SPI 940863490 (0x38147002), MTU 1400, MTU_delta 4
Mode :Tunnel, flags:0x92100000000000
IPsec mode is ESP
Tunnel options index:0, ttl:0x40, flags:0x1
Encrypt algorithm is DES/3DES
Auth algorithm is MD5
Tunnel source ip address 10.10.100.232
Tunnel destination ip address 10.10.100.231
Hard limit 483183820800 bytes
Soft limit 449360953344 bytes
SA byte count 855648 bytes <----経過トラフィック
SA user byte count 855648 bytes <----経過トラフィック
Packet count 7122
Hard limit expiry 1100652419 secs (since January 1, 1970), remaining 206 4 secs
Soft limit expiry 1100652397 secs (since January 1, 1970), remaining 204 2 secs
Outbound MAC table index:125
Sequence number:7123
 


 

SA が鍵を再生成しない

SAを作成した時点から、ライフタイム カウンタ(秒およびバイト単位)がカウントされます。制限時間が経過すると、SAは動作不能になり、トラフィックが存在する場合、自動的に再ネゴシエート(鍵が再生成)されます。トラフィックが存在しない場合、SA は鍵を再入力せず、トンネルは停止します。

ソフト ライフタイムが経過すると、鍵を再生成する処理が開始します。処理は、時間単位のライフタイムが経過する約 20 ~ 30 秒前、またはバイト単位のライフタイムの約 10 ~ 20% が残っているときに実行されます。

この問題のトラブルシューティングを行う手順は、次のとおりです。


ステップ 1 ソフト SA ライフタイムが経過したときにトラフィックがフローしていたことを確認します。

ステップ 2 設定にまだ互換性があることを確認します。


 

SA のクリア

特定の SA をクリアし、SA インデックス値を取得するには、clear crypto sa domain ipsec interface gigabitethernet slot/port outbound sa-index コマンドを実行します。

SA インデックス値を取得するには、show crypto sad domain ipsec コマンドを実行します。

IPSec プロセスのデバッグ

コンソールにデバッグ メッセージを出力するには、次のコマンドを使用します。

debug ipsec error(エラー メッセージ)

debug ipsec warning(警告メッセージ)

debug ipsec config(設定メッセージ)

debug ipsec flow(SA 関連メッセージ)

IKE プロセスのデバッグ

IKE プロセスの内部ステートを表示するには、次のコマンドを使用します。

show crypto ike domain ipsec initiator

show crypto ike domain ipsec sa

IPSec プロセスからの統計情報の取得

IPSec プロセスから統計情報を取得するには、show crypto global domain ipsec コマンドおよび show crypto global domain ipsec interface gigabitethernet slot/port コマンドを実行します。show crypto global domain ipsec コマンドの出力に、すべての SA の統計情報が表示されます。コマンドの出力は、次のとおりです。

 
MDSA# show crypto global domain ipsec
IPSec global statistics:
Number of crypto map sets:1
IKE transaction stats:0 num, 64 max
Inbound SA stats:1 num
Outbound SA stats:1 num
 
 

show crypto global domain ipsec interface gigabitethernet slot/port コマンドの出力に、インターフェイス レベルの統計情報が表示されます。コマンドの出力例を、次に示します。

MDSA# show crypto global domain ipsec interface gigabitethernet 7/1
IPSec interface statistics:
IKE transaction stats:0 num
Inbound SA stats:1 num, 512 max
Outbound SA stats:1 num, 512 max