お問い合わせ内容
C8000V/Cisco IOS-XEルータとus-east-2リージョンのCisco Secure Accessネットワーク間のIPSecネットワークトンネルでフラッピングが発生している。
すべてのトンネルグループが影響を受け、その結果、オンプレミスルータとCisco Secure Accessネットワークの間でトンネルがダウンします。
環境
- テクノロジー:ソリューションサポート(SSPT – 契約が必要)
- サブテクノロジー:セキュアアクセス – ネットワークトンネル(IPSEC、サイト間、プライベートリソース)
- 製品ファミリ:SECACCS
- ルータ:C8000V/Cisco IOS-XEルータ(オンプレミス)
- リモートエンドポイント:Cisco Secure Accessネットワーク(us-east-2リージョン)
- ソフトウェアバージョン:指定なし
- 確認されたエラーメッセージ、ログ、デバッグ
- 停止時に影響を受けるエンドユーザがいない
解決策
CNHE Splunkのログから
ポート = 1409
送信元IPアドレス= x.x.x.x
ポート = 1408
送信元IPアドレス= x.x.x.x
- リモートエンドポイントの変更が検出されました(ポートが更新されました)
- Cortexはこの更新で子のキー再生成をトリガーします
- 新しいポートを使用したキー再生成でクライアントから応答がないため、cortexは再試行を排除し、トンネルを終了します。
- トンネルがアップする新しいポートを使用したクライアントの再開始直後
CSA Splunkのログから。
2026-02-02T16:36:02.188+00:00 trigging child rekey for ike update with local IP: x.x.x.x, ike_spi:new_datanode:
2026-02-02T16:36:04.207+00:00メッセージID 0の要求を1つ再送信
2026-02-02T16:36:08.207+00:00メッセージID 0の要求を2つ再送信
2026-02-02T16:36:16.207+00:00メッセージID 0の要求を3つ再送信
2026-02-02T16:36:32.207+00:00メッセージID 0の要求を4つ再送信
2026-02-02T16:37:04.207+00:00メッセージID 0の要求を5回再送信
2026-02-02T16:38:08.208+00:00再送信が5回行われた後の放棄
2026-02-02T16:38:08.208+00:00終了IKE、子SAのキー再生成に失敗
デバッグログ1769305781091_vJY_CENTRAL_R2.log:
無効なSPIエラー – 頻繁に発生:
*Jan 24 07:55:04.209: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=x.x.x.x prot=50, spi=, srcaddr=x.x.x, input interface=Tunnel12
*Jan 24 07:56:06.829: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=x.x.x.x, prot=50, spi=, srcaddr=x.x.x, input interface=Tunnel11
トンネルフラッピング – ダウン/アップするトンネルの複数のインスタンス:
*Jan 24 08:33:12.069: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel12, changed state to down
*Jan 24 08:33:14.459: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel11, changed state to down
*Jan 24 08:33:15.275: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel11, changed state to up
原因
これは、ポートがフラッピングしている場合のクライアントの問題のように見えます。
Azureに変更を加えた後のフラッピングは、現時点では安定しているようです。
関連コンテンツ
フィードバック