Problemen met SDWAN cEdge IPsec Anti Replay oplossen

Inleiding

Dit document beschrijft het IPsec Anti-Replay-gedrag in SD-WAN IPsec voor Edges-routers en hoe u problemen met Anti-Replay kunt oplossen. 

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Cisco Software-defined Wide Area Network (SD-WAN)
• Internet Protocol Security (IPsec)

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• C8000V versie 17.06.01
• ASR1001-X Versie 17.06.03a
• vManage versie 20.7.1

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

IPsec-verificatie biedt ingebouwde anti-replay-bescherming tegen oude of gedupliceerde IPsec-pakketten met het volgnummer in de ESP-header gecontroleerd op de ontvanger. Anti-replay pakketdruppels is een van de meest voorkomende problemen met IPsec vanwege pakketten die buiten de bestelling of buiten het anti-replay-venster worden geleverd. Een algemene aanpak voor het oplossen van problemen met IPsec anti-replay drops is te vinden in Problemen oplossen met IPsec Anti-replay Check-fouten, en de algemene techniek is ook van toepassing op SD-WAN. Er bestaan echter enkele implementatieverschillen tussen traditionele IPsec en IPsec die worden gebruikt in de Cisco SD-WAN-oplossing. Dit artikel is bedoeld om deze verschillen en de aanpak op cEdge-platforms met Cisco IOS ® XE uit te leggen.

Overwegingen bij SD-WAN-replaydetectie

Groepssleutel vs. Paarsgewijze sleutel

In tegenstelling tot traditionele IPsec, waarbij IPsec SA's worden onderhandeld tussen twee peers met het gebruik van het IKE-protocol, maakt SD-WAN gebruik van een groepssleutelconcept. In dit model genereert een SD-WAN edge-apparaat periodiek data plane inbound SA per TLOC (Transport Locator) en verzendt deze SA's naar de SD-WAN-controller, die op zijn beurt de SA doorstuurt naar de rest van de edge-apparaten in de SD-WAN-structuur.

Zie SD-WAN Data Plane Security Overview voor een meer gedetailleerde beschrijving van de SD-WAN-activiteiten van het gegevensvliegtuig.

Opmerking: sinds Cisco IOS ® XE 16.12.1b / SD-WAN 19.2 worden paarsgewijze IPsec-sleutels ondersteund; zie Overzicht paarsgewijze IPsec-sleutels. Met Pairwise-toetsen werkt IPsec anti-replay-bescherming precies zoals traditionele IPsec. Dit artikel richt zich voornamelijk op replay check met het gebruik van het groepssleutelmodel.

Gecodeerde SPI

In de IPsec ESP-header is de SPI (Security Parameter Index) een 32-bits waarde die de ontvanger gebruikt om de SA te identificeren waarmee een inbound pakket wordt gedecodeerd. In SD-WAN kan deze inkomende SPI worden geïdentificeerd met show crypto ipsec sa:

cedge-2#show crypto ipsec sa | se inbound
     inbound esp sas:
      spi: 0x123(291)
        transform: esp-gcm 256 ,
        in use settings ={Transport UDP-Encaps, esn}
        conn id: 2083, flow_id: CSR:83, sibling_flags FFFFFFFF80000008, crypto map: Tunnel1-vesen-head-0
        sa timing: remaining key lifetime 9410 days, 4 hours, 6 mins
        Kilobyte Volume Rekey has been disabled
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

Opmerking: Hoewel de inkomende SPI hetzelfde is voor alle tunnels, heeft de ontvanger een andere SA en het bijbehorende replay-window-object dat is gekoppeld aan de SA voor elk peer edge-apparaat, omdat de SA wordt geïdentificeerd door de bron, het IP-adres van de bestemming, de bron, de bestemmingspoorten 4-tuple en het SPI-nummer. In wezen heeft elke peer zijn eigen anti-replay vensterobject.

Merk op dat in het daadwerkelijke pakket dat door het peer-apparaat wordt verzonden, de SPI-waarde verschilt van de vorige uitvoer. Hier is een voorbeeld van de uitvoer packet-trace met de optie Packet Copy ingeschakeld:

Packet Copy In
  45000102 0cc64000 ff111c5e ac127cd0 ac127cd1 3062303a 00eea51b 04000123
  00000138 78014444 f40d7445 3308bf7a e2c2d4a3 73f05304 546871af 8d4e6b9f

De werkelijke SPI in de ESP-header is 0x04000123. De reden hiervoor is dat de eerste bits in de SPI voor SD-WAN worden gecodeerd met aanvullende informatie en alleen de lage bits van het SPI-veld worden toegewezen voor de eigenlijke SPI. 

Traditionele IPsec:

 0                   1                   2                   3
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|               Security Parameters Index (SPI)                 | 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 

SD-WAN:

 0                   1                   2                   3
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
|  CTR  | MSNS|         Security Parameters Index (SPI)         | 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 

Waarbij:

• CTR (eerste 4 bits, bits 0-3) - Control Bits worden gebruikt om het specifieke type besturingspakketten aan te geven. Bijvoorbeeld controle bit 0x80000000 wordt gebruikt voor BFD.
• MSNS (volgende 3 bits, bits 4-6) - Multiple Sequence Number Space Index: Dit wordt gebruikt om de juiste sequentieteller in de sequentieteller-array te vinden om te controleren of het gegeven pakket opnieuw wordt afgespeeld. Voor SD-WAN maakt de 3-bit MSNS het mogelijk om 8 verschillende verkeersklassen in hun eigen sequentienummer ruimte toe te wijzen. Dit impliceert dat de effectieve SPI-waarde die kan worden gebruikt voor SA-selectie de gereduceerde lage orde 25 bits van de volledige 32-bits waarde van het veld is. 

Meervoudige sequentie nummerruimte voor QoS

Het is gebruikelijk om IPsec-replay-fouten te observeren in een omgeving waar pakketten buiten bedrijf worden geleverd vanwege QoS, bijvoorbeeld LLQ (Low Latency Queuing), omdat QoS altijd wordt uitgevoerd na IPsec-codering en -inkapseling. De Multiple Sequence Number Space-oplossing lost dit probleem op door meerdere reeksnummerruimten te gebruiken die zijn toegewezen aan verschillende QoS-verkeersklassen voor een bepaalde Security Association. De verschillende sequentienummer ruimte wordt geïndexeerd door de MSNS bits gecodeerd in het ESP pakket SPI veld zoals afgebeeld. Zie IPsec Anti Replay Mechanism for QoS voor een meer gedetailleerde beschrijving. 

Zoals eerder opgemerkt, impliceert deze implementatie van het Multiple Sequence Number dat de effectieve SPI-waarde die kan worden gebruikt voor SA-selectie de gereduceerde lage orde 25 bits is. Een andere praktische overweging wanneer de grootte van het replay-venster is geconfigureerd met deze implementatie, is de geconfigureerde grootte van het replay-venster voor het geaggregeerde replay-venster, dus de effectieve grootte van het replay-venster voor elke reeksnummerruimte is 1/8 van het aggregaat.

Configuratievoorbeeld:

config-t
 Security
  IPsec
  replay-window 1024
 Commit

Opmerking: de effectieve grootte van het replay-venster voor elke reeksnummerruimte is 1024/8 = 128!

Opmerking: Sinds de Cisco IOS ® XE. 17.2.1 is de totale grootte van het replay-venster verhoogd tot 8192, zodat elke reeksnummerruimte een maximaal replay-venster van 8192 / 8 = 1024 pakketten kan hebben.  

Op een cEdge-apparaat kan het laatste volgnummer dat voor elke volgnummerruimte is ontvangen, worden verkregen van de show crypto ipsec sa peer x.x.x.x.x platform IPsec-dataplanuitvoer:

cedge-2#show crypto ipsec sa peer 172.18.124.208 platform

<snip>

------------------ show platform hardware qfp active feature ipsec datapath crypto-sa 5 ------------------

 Crypto Context Handle: ea54f530
 peer sa handle: 0
 anti-replay enabled
 esn enabled
 Inbound SA
 Total SNS: 8
 Space                highest ar number
 ----------------------------------------
   0                               39444
   1                                   0
   2                                1355
   3                                   0
   4                                   0
   5                                   0
   6                                   0
   7                                   0
<snip>

In het voorbeeld is het hoogste anti-replay venster volgnummer (rechterkant van het anti-replay schuifvenster) voor MSNS van 0 (0x00) 39444, en dat voor MSNS van 2 (0x04) is 1335, en deze tellers worden gebruikt om te controleren of het volgnummer zich binnen het replay venster bevindt voor pakketten in dezelfde volgnummerruimte.

Opmerking: er zijn implementatieverschillen tussen het ASR1k-platform en de rest van de Cisco IOS ® XE-routeringsplatforms (ISR4k, ISR1k, CSR1kv, Catalyst8000 Series-routers). Als gevolg hiervan zijn er enkele verschillen in termen van de show-opdrachten en hun uitvoer voor deze platforms.

Het is mogelijk om de Anti-Replay-fouten te correleren en de uitgangen weer te geven om de SPI en de volgnummerindex te vinden zoals weergegeven in de afbeelding.

Met de vorige verkregen informatie, de rechterrand (bovenste venster) en het schuifvenster; zoals weergegeven in de afbeelding.

Opdrachten om het nieuw geconfigureerde venster voor opnieuw afspelen te forceren

In tegenstelling tot de reguliere IPsec (niet SD-WAN), heeft de rekey opdracht geen effect voor het anti-replay venster.

request platform software sdwan security ipsec-rekey

Met deze opdrachten wordt het geconfigureerde replay-venster geactiveerd: 

Waarschuwing: Zorg ervoor dat u de potentiële impact van een opdracht begrijpt, ze hebben invloed op de besturingsverbindingen en het gegevensvlak.

clear sdwan control connection

of

request platform software sdwan port_hop color <color>

interface Tunnelx
 shutdown
 no shutdown

Problemen met terugspeeldropfouten oplossen

Problemen met gegevensverzameling oplossen

Voor de IPsec anti-replay druppels is het belangrijk om de omstandigheden en mogelijke triggers van het probleem te begrijpen. Verzamel ten minste de set informatie voor de context:

• Apparaatinformatie voor zowel de afzender als de ontvanger voor de terugspeelpakketten, het omvat het type apparaat, cEdge vs. vEdge, softwareversie en configuratie.
• Probleemgeschiedenis. Hoe lang is de inzet al geweest?  Wanneer is het probleem begonnen? Recente wijzigingen in het netwerk of de verkeersomstandigheden.
• Elk patroon om de druppels opnieuw te spelen, bijvoorbeeld, is het sporadisch of constant? Tijdstip van het probleem en / of belangrijke gebeurtenis, gebeurt het alleen tijdens piekproductie-uren met veel verkeer, of alleen tijdens rekey, enzovoort.

Nadat de vorige informatie is verzameld, gaat u verder met de werkstroom Problemen oplossen.

Problemen oplossen met workflow

De algemene aanpak voor het oplossen van problemen met IPsec-replay is vergelijkbaar met de manier waarop deze wordt uitgevoerd voor traditionele IPsec. Houd rekening met de per-peer SA-sequentieruimte en Multiple Sequence Number Space zoals uitgelegd. Ga dan door deze stappen:

Stap 1. Identificeer eerst de peer voor de replay drop van de syslog en de drop rate. Verzamel voor dropstatistieken altijd meerdere tijdstempelgestuurde momentopnamen van de uitvoer, zodat de dropsnelheid kan worden gekwantificeerd:

*Feb 19 21:28:25.006: %IOSXE-3-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00001141238701410779 %IPSEC-3-REPLAY_ERROR: IPSec SA receives anti-replay error, DP Handle 6, src_addr 172.18.124.208, dest_addr 172.18.124.209, SPI 0x123

cedge-2#show platform hardware qfp active feature ipsec datapath drops
Load for five secs: 1%/0%; one minute: 1%; five minutes: 1%
No time source, *11:25:53.524 EDT Wed Feb 26 2020
------------------------------------------------------------------------
Drop Type  Name                                     Packets
------------------------------------------------------------------------
        4  IN_US_V4_PKT_SA_NOT_FOUND_SPI                              30
       19  IN_CD_SW_IPSEC_ANTI_REPLAY_FAIL                            41

Opmerking: Het is niet ongebruikelijk om af en toe terugspeeldalingen te zien als gevolg van het opnieuw bestellen van pakketbezorging in het netwerk, maar aanhoudende terugspeeldalingen hebben invloed op de service en ze kunnen worden onderzocht.

Stap 2a. Neem voor een relatief lage verkeerssnelheid een packet-trace met de voorwaarde ingesteld op het peer ipv4-adres met de optie copy packet. Onderzoek de volgnummers voor het pakket dat is gedaald tegen het huidige replay-venster (rechterkant) en volgnummers in de aangrenzende pakketten. Bevestig of het inderdaad om duplicaten of buiten het replay-venster gaat.

Stap 2b. Voor een hoge verkeerssnelheid zonder voorspelbare triggers configureert u een EPC-opname met circulaire buffer en EEM om de opname te stoppen wanneer replay-fouten worden gedetecteerd. Aangezien EEM momenteel niet wordt ondersteund op vManage vanaf 19.3, betekent dit dat de cEdge in de CLI-modus moet staan wanneer deze taak voor probleemoplossing wordt uitgevoerd.

Stap 3. Verzamel de show crypto ipsec sa peer x.x.x.x.x platform output op de ontvanger, idealiter op hetzelfde moment van de pakketopname of wanneer het pakketspoor wordt verzameld. Deze opdracht bevat de realtime gegevens van het replay-venster van het gegevenspaneel voor zowel de inkomende als uitgaande SA.

Stap 4. Als het pakket niet meer in orde is, neemt u tegelijkertijd opnames van zowel de verzender als de ontvanger om te bepalen of het probleem zich voordoet bij de bron of bij de onderliggende netwerkleveringslaag.

Stap 5. Als de pakketten worden gedropt, ook al zijn ze niet gedupliceerd of buiten het replay-venster, dan is het meestal indicatief voor een softwareprobleem op de ontvanger.

Voorbeeld probleemoplossing voor ASR1001-x

Probleembeschrijving:

HW: ASR1001-X
SW: 17 06 03 a

Meerdere anti-replay fouten ontvangen voor de sessie peer 10.62.33.91, daarom flapt de BFD-sessie voortdurend en wordt het verkeer tussen deze twee sites beïnvloed.  

Jul 26 20:31:20.879: %IOSXE-3-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:027 TS:00000093139972173042 %IPSEC-3-REPLAY_ERROR: IPSec SA receives anti-replay error, DP Handle 22, src_addr 10.62.33.91, dest_addr 10.62.63.251, SPI 0x106
Jul 26 20:32:23.567: %IOSXE-3-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:009 TS:00000093202660128696 %IPSEC-3-REPLAY_ERROR: IPSec SA receives anti-replay error, DP Handle 22, src_addr 10.62.33.91, dest_addr 10.62.63.251, SPI 0x106
Jul 26 20:33:33.939: %IOSXE-3-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:051 TS:00000093273031417384 %IPSEC-3-REPLAY_ERROR: IPSec SA receives anti-replay error, DP Handle 22, src_addr 10.62.33.91, dest_addr 10.62.63.251, SPI 0x106
Jul 26 20:34:34.407: %IOSXE-3-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:020 TS:00000093333499638628 %IPSEC-3-REPLAY_ERROR: IPSec SA receives anti-replay error, DP Handle 22, src_addr 10.62.33.91, dest_addr 10.62.63.251, SPI 0x106

Stap 1. Controleer of het venster Configurated Anti Replay 8192 is. 

cEdge#show sdwan security-info 
 security-info authentication-type deprecated
 security-info rekey 86400
 security-info replay-window 8192   
 security-info encryption-supported "AES_GCM_256 (and AES_256_CBC for multicast)"
 security-info fips-mode Disabled
 security-info pairwise-keying Disabled
 security-info pwk-sym-rekey Enabled
 security-info extended-ar-window Disabled
 security-info integrity-type "ip-udp-esp esp"

Opmerking: de effectieve grootte van het replay-venster voor elke reeksnummerruimte moet 8192/8 = 1024 zijn in dit voorbeeld. 

Stap 2. Controleer de effectieve grootte van het replay-venster voor peer 10.62.33.91 om de geconfigureerde waarde te vergelijken en te bevestigen.

show crypto ipsec sa peer 10.62.33.91 platform 
<snip>
------------------ show platform hardware qfp active feature ipsec sa 22 ------------------
<snip>
------------------ show platform software ipsec fp active encryption-processor 0 context c441ff4c ------------------
<snip>
       window size: 64                  <-- Effective Window Size
  window base(ESN): 0
   Multi-SNS window_top
-----------------------------------
  index: 0, win_top: 0x00000000010dc0
  index: 1, win_top: 0000000000000000
  index: 2, win_top: 0x00000000b65f00 
  index: 3, win_top: 0000000000000000
  index: 4, win_top: 0000000000000000
  index: 5, win_top: 0000000000000000
  index: 6, win_top: 0000000000000000
  index: 7, win_top: 0000000000000000
traffic hard limit: 12876354284605669376
        byte count: 0
        packet count: 11378618

De venstergrootte: 64 die in de uitvoer wordt weergegeven, komt niet overeen met het geconfigureerde replay-venster van 8192 (8192 //8 = 1024), wat betekent dat hoewel het is geconfigureerd, de opdracht geen effect heeft. 

Opmerking: Het effectieve replay-venster wordt alleen weergegeven op de ASR-platforms. Om er zeker van te zijn dat de werkelijke grootte van het anti-replay-venster gelijk is aan de geconfigureerde grootte, past u een van de opdrachten in de vorige sectie toe om de geconfigureerde venstergrootte te forceren.

Stap 3. Packet trace configureren en tegelijkertijd instellen en vastleggen van monitor (optioneel) voor inkomend verkeer vanaf sessiebron: 10.62.33.91, bestemming: 10.62.63.251

cEdge#debug platform packet-trace packet 2048 circular fia-trace data-size 2048
cEdge#debug platform packet-trace copy packet both size 2048 L3
cEdge#debug platform condition ipv4 10.62.33.91/32 in
cEdge#debug platform condition start

Stap 4. Overzicht pakkettracering verzamelen: 

cEdge#show platform packet summay

811     Te0/0/0.972         Te0/0/1.301    FWD 
812     Te0/0/0.972         Te0/0/1.301    FWD     
813     Te0/0/0.972         Te0/0/1.301    FWD 
814     Te0/0/0.972         Te0/0/1.301    FWD 
815     Te0/0/0.972         Te0/0/1.301    FWD 
816     Te0/0/0.972         Te0/0/0.972    DROP 56 (IpsecInput) 
817     Te0/0/0.972         Te0/0/0.972    DROP 56 (IpsecInput) 
818     Te0/0/0.972         Te0/0/0.972    DROP 56 (IpsecInput) 
819     Te0/0/0.972         Te0/0/0.972    DROP 56 (IpsecInput) 

837     Te0/0/0.972         Te0/0/1.301    FWD 
838     Te0/0/0.972         Te0/0/1.301    FWD  

Stap 5. Vouw enkele gedropte (IpsecInput) vastgelegde pakketten uit.

(IpsecInput) Packet drops: 

cEdge#sh platform pack pack 816
Packet: 816 CBUG ID: 973582
Summary
  Input : TenGigabitEthernet0/0/0.972
  Output : TenGigabitEthernet0/0/0.972
  State : DROP 56 (IpsecInput)
  Timestamp
    Start : 97495234494754 ns (07/26/2022 21:43:56.25110 UTC)
    Stop : 97495234610186 ns (07/26/2022 21:43:56.25225 UTC)
Path Trace
  Feature: IPV4(Input)
  Input : TenGigabitEthernet0/0/0.972
  Output : <unknown>
  Source : 10.62.33.91
  Destination : 10.62.63.251
  Protocol : 17 (UDP)
    SrcPort : 12367   
    DstPort : 12347
<snip>

Packet Copy In
45000072 ab314000 fd115c77 0a3e215b 0a3e3ffb 304f303b 005e0000 04000106
00b6dfed 00000000 d0a60d5b 6161b06e 453d0e3d 5ab694ce 5311bbb6 640ecd68
7ceb2726 80e39efd 70e5549e 57b24820 fb963be5 76d01ff8 273559b0 32382ab4
c601d886 da1b3b94 7a2826e2 ead8f308 c464

817 DROP:
-------------------------------
Packet: 817
<snip>
Packet Copy In
45000072 ab314000 fd115c77 0a3e215b 0a3e3ffb 304f303b 005e0000 04000106
00b6dfec 00000000 cc72d5dd ef73fe25 2440bed6 31378b78 3c506ee5 98e3dba4
bc9e6aa0 50ea98f6 7dee25c8 c1579ce0 1212290c 650f5947 57b9bc04 97c7996c
d4dbf3e6 25b33684 a7129b67 141a5e73 8736

SD-WAN maakt gebruik van UDP ingekapseld ESP:

• De UDP-header is 304f303b 00770000,
• De volgende is SPI (04000106)
• Daarom is 00b6e00d het volgnummer (SN).
• De MSNS-index is 2 (x0400106) als gevolg van 32-bits SPI (0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 1 1 1).

Stap 6. Controleer de MSNS-index

show crypto ipsec sa peer 10.62.33.91 platform 
<snip>
------------------ show platform hardware qfp active feature ipsec sa 22 ------------------
<snip>
------------------ show platform software ipsec fp active encryption-processor 0 context c441ff4c ------------------
<snip>
       window size: 64                  
  window base(ESN): 0
   Multi-SNS window_top
-----------------------------------
  index: 0, win_top: 0x00000000010dc0
  index: 1, win_top: 0000000000000000
  index: 2, win_top: 0x00000000b65f00 
  index: 3, win_top: 0000000000000000
  index: 4, win_top: 0000000000000000
  index: 5, win_top: 0000000000000000
  index: 6, win_top: 0000000000000000
  index: 7, win_top: 0000000000000000
traffic hard limit: 12876354284605669376
        byte count: 0
        packet count: 11378618

Het hoogste anti-replay venster volgnummer (rechterkant van het anti-replay schuifvenster) voor MSNS van 2 (0x04) is 0b65f00.

Stap 7. Vouw enkele vastgelegde pakketten met doorgestuurde (FWD) pakketten uit.

Doorgestuurde pakketten:

Packet: 838 
<snip>
Packet Copy In
 4564008e ab044000 fd115c24 0a3e215b 0a3e3ffb 304f303b 007a0000 04000106
 00b6e015 00000000 088bbd6a f4e4b35f b131143f ef1f91eb 659149f7 dbe6b025
 be7fbfd0 5fad1c71 014321f1 3e0d38f2 cc8d0e5f 1494e4fa 097c7723 dfc7ceef
 4a14f444 abcc1777 0bb9337f cd70c1da 01fc5262 848b657c 3a834680 b07b7092
 81f07310 4eacd656 ed36894a e468

Pakket: 837

Packet: 837 
<snip>
Packet Copy In
4564008e ab044000 fd115c24 0a3e215b 0a3e3ffb 304f303b 007a0000 04000106
00b6e014 00000000 76b2a256 8e835507 13d14430 ae16d62c c152cdfd 2657c20c
01d7ce1d b3dfa451 a2cbf6e9 32f267f9 e10e9dec 395a0f9e 38589adb aad8dfb8
a3b72c8d a96f2dce 2a1557ab 67959b6e 94bbbb0a cfc4fc9e 391888da af0e492c
80bebb0e 9d7365a4 153117a6 4089

Stap 8. Verzamel en verkrijg de sequentienummer informatie van meerdere pakketten doorgestuurd (FWD) voor, na en na de druppels.

FWD:
839 PKT: 00b6e003 FWD 
838 PKT: 00b6e001 FWD 
837 PKT: 00b6e000 FWD 
815 PKT: 00b6e044 FWD 
814 PKT: 00b6dfe8 FWD 
813 PKT: 00b6e00d FWD

DROP:
816 PKT: 00b6dfed DROP
817 PKT: 00b6dfec DROP
818 PKT: 00b6dfeb DROP
819 PKT: 00b6dfe9 DROP
820 PKT: 00b6dfea DROP

Stap 9. Converteer het volgnummer van hex naar decimaal en herschik ze om de berekening te vereenvoudigen:

REORDERED:
813 PKT: 00b6e00d FWD --- Decimal: 11984909 
814 PKT: 00b6dfe8 FWD --- Decimal: 11984872 
815 PKT: 00b6e044 FWD --- Decimal: 11984964 ***** Highest Value
816 PKT: 00b6dfed DROP--- Decimal: 11984877
817 PKT: 00b6dfec DROP--- Decimal: 11984876
818 PKT: 00b6dfeb DROP--- Decimal: 11984875
819 PKT: 00b6dfe9 DROP--- Decimal: 11984873
820 PKT: 00b6dfea DROP--- Decimal: 11984874
<snip>
837 PKT: 00b6e014 FWD --- Decimal: 11984916 
838 PKT: 00b6e015 FWD --- Decimal: 11984917
839 PKT: 00b6e016 FWD --- Decimal: 11984918

Opmerking: Als het volgnummer groter is dan het hoogste volgnummer in het venster, wordt de integriteit van het pakket gecontroleerd. Als het pakket de integriteitscontrole doorstaat, wordt het schuifvenster naar rechts verplaatst.

Stap 10. Bereken de delta tussen het hoogste volgnummer en het ontvangen volgnummer voor elk pakket:

Difference:

815 PKT: Decimal: 11984964 ***** Highest Value
--------------------------------------
    815(Highest)  -  X PKT  = Diff
--------------------------------------
816 PKT: 11984964 - 11984877 = 87 DROP
817 PKT: 11984964 - 11984876 = 88 DROP
818 PKT: 11984964 - 11984875 = 89 DROP
819 PKT: 11984964 - 11984873 = 91 DROP
820 PKT: 11984964 - 11984874 = 90 DROP
<snip>
837 PKT: 11984964 - 11984916 = 48 FWD 
838 PKT: 11984964 - 11984917 = 47 FWD 
839 PKT: 11984964 - 11984918 = 45 FWD 

In dit voorbeeld is het mogelijk om het schuifvenster te visualiseren met de venstergrootte 64 en de rechterrand 11984964 zoals weergegeven in de afbeelding: 

monitor caputure CAP match ipv4 host 10.62.33.91 host 10.62.63.251 buffer size 20 inter TenGigabitEthernet0/0/0 in
monitor caputure CAP star
monitor caputure CAP stop
monitor caputure CAP export bootflash:Anti-replay.pca

Gerelateerde informatie

• IPsec Anti-Replay Check Faults TechZone artikel
• IPsec Anti-Replay-venster Uitvouwen en uitschakelen
• Cisco Technical Support en downloads