Безопасность и VPN : Протоколы IPSec Negotiation/IKE

Сценарии EEM использовали Устранять неполадки Туннельных Откидных створок, Вызванных Недопустимыми Индексами параметра безопасности

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ описывает одну из наиболее распространенных проблем IPSec, которая является, что Сопоставления безопасности (SA) могут стать из синхронизования между одноранговыми устройствами. В результате устройство шифрования зашифрует трафик с SA, о которых не знает узел encryptor.

Примечание: Внесенный Anu M Чако, специалист службы технической поддержки Cisco.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Эти сведения в этом документе основываются на тестах, завершенных с Cisco Выпуск 15.1 (4) M4 IOS�. Сценарии и конфигурация должны работать с более ранними версиями программного обеспечения Cisco IOS также, так как оба апплета используют версию 3.0 встроенного диспетчера событий (EEM), которая поддерживается в Cisco IOS Release 12.4 (22) T или позже. Однако это не было протестировано.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Проблема

Пакеты отброшены на узле с этим сообщением, зарегистрированным к системному журналу:

*Mar 12 18:22:10.706: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet 
   has invalid spi for destaddr=213.163.222.7, prot=50, spi=0x68842105(1753489669), 
   srcaddr=11.1.1.3, input interface=Ethernet0/0

Для получения дальнейшей информации на недопустимых Индексах параметра безопасности (SPI), обратитесь к IPSec %RECVD_PKT_INV_SPI Восстановление Недопустимого SPI и Ошибки. Этот документ описывает, как устранить неполадки сценариев, в которых ошибка происходит периодически, который делает его трудно для сбора необходимых данных для устранения проблем.

Этот тип ошибки не походит на обычное устранение проблем VPN, где можно получить отладки, когда происходит проблема. Для устранения проблем неустойчивых туннельных откидных створок, вызванных недопустимыми SPI, необходимо сначала определить, как эти два головных узла вышли из синхронизования. Так как невозможно предсказать, когда следующий простой произойдет, сценарии EEM являются решением.

Решение

Так как важно знать то, что происходит, прежде чем это сообщение системного журнала вызвано, продолжите выполнять условные отладки на маршрутизаторе (ах) и передавать им к серверу системного журнала так, чтобы это не влияло на рабочий трафик. Если отладки включены в сценарии вместо этого, они генерируются после того, как сообщение системного журнала вызвано, который может не быть полезным. Вот список отладок, что вы могли бы хотеть работать на отправителе этого журнала и получателя:

debug crypto condition peer ipv4 <peer IP address>
debug crypto isakmp
debug crypto ipsec
debug crypto engine

Сценарий EEM разработан, чтобы сделать две вещи:

  1. Выключите отладки на получателе, когда они собраны в течение 18 секунд после того, как генерируется первое сообщение системного журнала. Таймер задержки, возможно, должен был бы модифицироваться, который зависит от суммы генерируемых отладок/журналов.

  2. В то же время это отключает отладки, имейте его, передают trap-сообщение SNMP к узлу, который тогда отключает отладки на одноранговом устройстве.

Конфигурация SNMP

Конфигурации Протокола SNMP показывают здесь:

Receiver:
========

snmp-server enable traps event-manager
snmp-server host 11.1.1.3 public event-manager 
snmp-server manager

Sender:
=======

snmp-server enable traps event-manager
snmp-server host 213.163.222.7 public event-manager
snmp-server manager

Заключительный сценарий

Сценарии для получателя и отправителя показывают здесь:

Receiver:
========

!--- To test if this output gets logged to the file called "hub"

sh ip int bri | tee /append disk0:hub.txt    
conf t
!
event manager applet command_hub
event syslog pattern "CRYPTO-4-RECVD_PKT_INV_SPI.*srcaddr=11.1.1.3"
action 1 cli command "enable"
action 2 syslog msg "command_hub is running ..." priority informational
action 3 cli command "show crypto sockets | append disk0:hub.txt"
action 4 cli command "show crypto isa sa | append disk0:hub.txt"
action 5 cli command "show crypto ipsec sa detail | append disk0:hub.txt"
action 6 cli command "show dmvpn detail | append disk0:hub.txt"
action 7 wait 18
action 8 cli command "undebug all"
action 8.1 snmp-trap intdata1 2323232 strdata ""
action 9 syslog priority informational msg "DONE ON HUB"
!
end

Sender: 
=======

conf t
!
event manager applet spoke_app
 event snmp-notification oid 1.3.6.1.4.1.9.10.91.1.2.3.1.9. 
    oid-val "2323232" op eq src-ip-address 213.163.222.7 maxrun 35
 action 1.0 syslog msg "Received trap from Hub..." 
 action 2.0 cli command "enable"
 action 3.0 cli command "undebug all"
 action 4.0 syslog msg "DONE ON SPOKE"
!
end

Журналы сценариев EEM

Список сообщений журнала сценариев EEM показывают здесь:

Receiver:
=======

*Mar 12 18:22:10.706: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet 
    has invalid spi for destaddr=213.163.222.7, prot=50, spi=0x68842105(1753489669), 
    srcaddr=11.1.1.3, input interface=Ethernet0/0
*Mar 12 18:22:10.727: %HA_EM-6-LOG: command_hub: command_hub is running ...
hub#
*Mar 12 18:22:30.026: %HA_EM-6-LOG: command_hub: DONE ON HUB

Sender:
=======

spoke#
*Mar 12 18:22:30.542: %HA_EM-6-LOG: spoke_app: Received trap from Hub...
*Mar 12 18:22:30.889: %HA_EM-6-LOG: spoke_app: DONE ON SPOKE

Проверка

Чтобы проверить, что проблема была решена, введите команду show debug.

Receiver:
=========
hub# show debug


Sender:
=======
spoke# show debug

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 116005