IPsec %RECVD_PKT_INV_SPI-Fehler und ungültige SPI-Wiederherstellungsfunktionen

Einführung

In diesem Dokument wird das IPsec-Problem beschrieben, wenn Sicherheitszuordnungen (SAs) nicht synchronisiert zwischen den Peer-Geräten sind.

Problem

Eines der häufigsten IPsec-Probleme ist, dass SAs nicht synchronisiert zwischen den Peer-Geräten werden können. So verschlüsselt ein verschlüsselendes Gerät Datenverkehr mit SAs, über die der Peer nicht Bescheid weiß. Diese Pakete werden vom Peer verworfen, und diese Meldung wird im Syslog angezeigt:

Sep  2 13:27:57.707: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet
   has invalid spi for destaddr=20.1.1.2, prot=50, spi=0xB761863E(3076621886),
   srcaddr=10.1.1.1

Hinweis: Bei NAT-T wurden RECVD_PKT_INV_SPI-Nachrichten erst korrekt gemeldet, wenn die Cisco Bug-ID CSCsq59183 behoben wurde. (IPsec meldet keine RECVD_PKT_INV_SPI-Nachrichten mit NAT-T.)

Hinweis: Auf der Cisco Aggregation Services Router (ASR)-Plattform wurden die Nachrichten %CRYPTO-4-RECVD_PKT_INV_SPI erst in Cisco IOS^® XE Version 2.3.2 (12.2(33)XNC2) implementiert. Beachten Sie auch bei der ASR-Plattform, dass dieser spezielle Drop sowohl unter dem globalen Quantum Flow Processor (QFP)-Drop-Zähler als auch unter dem IPsec-Feature-Drop-Zähler registriert wird, wie in den nächsten Beispielen gezeigt.

Router# show platform hardware qfp active statistics drop | inc Ipsec
  IpsecDenyDrop                              0               0
  IpsecIkeIndicate                           0               0
  IpsecInput                                 0               0     <======
  IpsecInvalidSa                             0               0
  IpsecOutput                                0               0
  IpsecTailDrop                              0               0
  IpsecTedIndicate                           0               0

Router# show platform hardware qfp active feature ipsec datapath drops all | in SPI
        4  IN_US_V4_PKT_SA_NOT_FOUND_SPI                           64574    <======
        7  IN_TRANS_V4_IPSEC_PKT_NOT_FOUND_SPI                         0
       12  IN_US_V6_PKT_SA_NOT_FOUND_SPI                               0

Es ist zu beachten, dass diese Meldung in Cisco IOS aus Sicherheitsgründen auf eine Rate von 1 pro Minute beschränkt ist. Wenn diese Meldung für einen bestimmten Datenfluss (SRC, DST oder SPI) nur einmal im Protokoll angezeigt wird, kann es sich nur um eine vorübergehende Bedingung handeln, die gleichzeitig mit dem IPsec-Schlüssel vorhanden ist, bei der ein Peer die neue SA verwenden könnte, während das Peer-Gerät nicht ganz bereit ist, dieselbe SA zu verwenden. Dies ist normalerweise kein Problem, da es nur vorübergehend ist und nur wenige Pakete betrifft. Allerdings gab es Fehler, bei denen dies ein Problem sein kann.

Tipp: Beispiele hierzu finden Sie unter Cisco Bug ID CSCsl68327 (Paketverlust während des erneuten Zugriffs), Cisco Bug ID CSCtr14840 (ASR: Paketverluste während Phase 2 unter bestimmten Bedingungen) oder Cisco Bug ID CSCty30063 (ASR verwendet neues SPI, bevor QM beendet wird).

Alternativ besteht ein Problem, wenn mehr als eine Instanz derselben Nachricht beobachtet wird, um denselben SPI für denselben Fluss zu melden, z. B. folgende Meldungen:

Sep  2 13:36:47.287: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet
 has invalid spi for destaddr=20.1.1.2, prot=50, spi=0x1DB73BBB(498547643),
 srcaddr=10.1.1.1
Sep  2 13:37:48.039: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet
 has invalid spi for destaddr=20.1.1.2, prot=50, spi=0x1DB73BBB(498547643),
 srcaddr=10.1.1.1

Dies ist ein Hinweis darauf, dass Datenverkehr schwarz verschwindet und möglicherweise nicht wiederhergestellt wird, bis die SAs auf dem sendenden Gerät ablaufen oder die Dead Peer Detection (DPD) aktiviert ist.

Lösung

Dieser Abschnitt enthält Informationen, mit denen Sie das im vorherigen Abschnitt beschriebene Problem beheben können.

Ungültige SPI-Wiederherstellung

Um dieses Problem zu beheben, empfiehlt Cisco, die ungültige SPI-Wiederherstellungsfunktion zu aktivieren. Geben Sie z. B. den Befehl crypto isakmp invalid-spi-restore ein. Im Folgenden finden Sie einige wichtige Hinweise zur Verwendung dieses Befehls:

• Erstens dient eine ungültige SPI-Wiederherstellung nur dann als Wiederherstellungsmechanismus, wenn die SAs nicht synchronisiert sind. Sie hilft bei der Wiederherstellung nach dieser Bedingung, behebt jedoch nicht das Problem, das die SAs von vornherein aus der Synchronisierung geraten ließ. Um die Ursache besser zu verstehen, müssen Sie ISAKMP- und IPsec-Debugging auf beiden Tunnelendpunkten aktivieren. Wenn das Problem häufig auftritt, rufen Sie das Debuggen ab, und versuchen Sie, die Ursache zu beheben (und nicht nur das Problem zu maskieren).
  
  
• Es gibt eine allgemeine Missverständnis über den Zweck und die Funktionalität des Befehls crypto isakmp invalid-spi-restore. Auch ohne diesen Befehl führt Cisco IOS bereits eine ungültige SPI-Wiederherstellungsfunktion aus, wenn es eine DELETE-Benachrichtigung an den sendenden Peer für die SA sendet, die empfangen wird, wenn bereits über eine IKE SA mit diesem Peer verfügt. Dies geschieht auch hier, unabhängig davon, ob der Befehl crypto isakmp invalid-spi-restore aktiviert ist.
  
  
• Der Befehl crypto isakmp invalid-spi-restore versucht, den Zustand zu behandeln, in dem ein Router IPsec-Datenverkehr mit ungültigem SPI empfängt und über keinen IKE SA mit diesem Peer verfügt. In diesem Fall wird versucht, eine neue IKE-Sitzung mit dem Peer einzurichten, und es wird eine DELETE-Benachrichtigung über die neu erstellte IKE SA gesendet. Dieser Befehl funktioniert jedoch nicht für alle Krypto-Konfigurationen. Die einzigen Konfigurationen, für die dieser Befehl funktioniert, sind statische Kryptokarten, bei denen der Peer explizit definiert ist, und statische Peers, die von instanziierten Kryptokarten abgeleitet werden, z. B. VTI. Im Folgenden finden Sie eine Zusammenfassung der häufig verwendeten Krypto-Konfigurationen und ob die ungültige SPI-Wiederherstellung mit dieser Konfiguration funktioniert:
  
  

Fehlerbehebung für periodische ungültige SPI-Fehlermeldungen

In vielen Fällen tritt die ungültige SPI-Fehlermeldung zeitweise auf. Dies erschwert die Fehlerbehebung, da es sehr schwierig wird, die relevanten Debugger zu erfassen. Embedded Event Manager (EEM)-Skripts können in diesem Fall sehr nützlich sein.

Hinweis: Weitere Informationen finden Sie im Cisco Dokument mit EEM-Skripts zur Fehlerbehebung bei Tunnelzugriffen, die durch ungültige Sicherheitsparameterindizes verursacht wurden.