Polling Question 1

Transcription

1 Cisco Support Community Expert Series Webcast IPsec 基本とトラブルシューティング ~ IPsec Trouble Shooting ~ 北條弘紀 (Hiroki Houjyo) テクニカルアシスタンスセンター, テクニカルサービス July 1, 2015

2 ご参加ありがとうございます 本日の資料はこちらからダウンロードいただけます 直接ダウンロードする場合はこちら

3 オーディオブロードキャストについて [Audio Broadcast( オーディオブロードキャスト )] ウィンドウが自動的に表示され コンピュータのスピーカーから音声が流れます [Audio Broadcast( オーディオブロードキャスト )] ウィンドウが表示されない場合は [Communicate( コミュニケート )] メニューから [Audio Broadcast( オーディオブロードキャスト )] を選択します イベントが開始されると自動的に音声が流れ始めます 音声接続に関する詳細はこちらをご参照ください 解決しない場合は QA ウィンドウよりお知らせください

4 ご質問方法 Webcast 中のご質問は全て画面右側の QA ウィンドウより All Panelist 宛に送信してください

5 エキスパートスピーカー 北條弘紀 (Hiroki Houjou) テクニカルアシスタンスセンター, テクニカルサービスカスタマーサポートエンジニア

6 IPsec 基本とトラブルシューティング ~ IPsec Trouble Shooting ~ Cisco Support Community Expert Series Webcast 名前 (Hiroki Houjou) テクニカルアシスタンスセンター, テクニカルサービス July 1, 2015

7 IPsec のトラブルシューティングを行った事がありますか? 投票質問 1 1. 定常的に行っており show/debug コマンドの出力についても ある程度は理解している 2. トラブルシューティングの為に必要なコマンドを理解している 3. 設定については理解している 4. IPsec の概要を理解している

8 アジェンダ IPsec の基本的な知識の確認 ISAKMP Phase 1 確立までのフロー ISAKMP Phase 2 確立までのフロー トラブルシューティング IPsec を経由するトラフィックの問題 良くあるお問い合わせ事例 IPsec Anti-Replay Check Failure ~%RECVD_PKT_INV_SPI パラメーターのミスマッチ %CRYPTO-4-RECVD_PKT_MAC_ERR: IPsec 接続の問題 主なコマンドの紹介

9 IPsec の基本的な知識の確認 Base knowledge of IPsec

10 IPsec の種類 Site-to-Site -crypto map -Static VTI(sVTI)* -GRE over IPsec* -DMVPN* -GETVPN* remote-access -crypto dynamic map* -Dynamic VTI(dVTI)* -EasyVPN* IPsec 接続は Site-to-site と remote-access に大別されます * 本 webcast では取扱いません

11 svti と Crypto map の違い 接続形態 コンフィグ ( 差分 ) svti 常時接続 #Tunnel interface は IPsec session が確立された後に UP crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco address ! crypto ipsec transform-set cisco esp-aes 256 esp-sha-hmac mode tunnel! crypto ipsec profile cisco set transform-set cisco! interface Tunnel0 tunnel mode ipsec ipv4 tunnel protection ipsec profile cisco crypto map 暗号化が必要なトラフィックに応じて接続 #ACL に match したトラフィックにより IPsec session が確立される crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco address ! crypto ipsec transform-set cisco esp-aes 256 esp-sha-hmac mode- tunnel! crypto map cisco 1 ipsec-isakmp set peer set security-association idle-time 60 set transform-set cisco match address lo0! ip access-list extended lo0 permit ip host host ! interface GigabitEthernet0/0 crypto map cisco

12 IPsec を構成するプロトコルと技術 IPsec とは複数のプロトコルとテクノロジーを利用して セキュアな通信を行うプロトコルの名称となります IPsec ISAKMP (IKE) 鍵交換プロトコル ISAKMP によって各種パラメーターが決定される AH ESP

13 接続確立までのフロー ( 簡易 ) IPsec では接続を開始する機器を initiator 接続を受ける機器を Responder と呼びます initiator responder ISAKMP Phase1 の確立 ISAKMP Phase2 の確立 データを暗号化して通信 isakmp phase1 phase 2 以降に交換される鍵を保護する為に事前に暗号化されたトンネルを生成する =ISAKMP SA isakmp phase2 実際のデータを保護する為の暗号化されたトンネルを生成する =IPsec SA

14 ISAKMP Phase1 の Mode main mode 合計 6 つの ISAKMP メッセージの送受信でフェーズ 1 を構成します aggressive mode 合計 3 つの ISAKMP メッセージの送受信でフェーズ 1 を構成します main mode に比べ高速にネゴシエーションが完了する また Main モードでの制限が Aggressive mode を利用する事により緩和されます

15 ISAKMP Phase2 の mode Quick mode 合計 3 つの ISAKMP メッセージの送受信でフェーズ 2 を構成します Quick mode は Phase2 のみで利用可能なモードです

16 ISAKMP Phase 1 確立までのフロー ISAKMP Phase 1 and Deep dive

17 ログの取得環境 (site-to-site) 構成とアドレス debug は以下の物を利用しています debug crypto isakmp debug crypto ipsec debug crypto kmi Lo0: /32 Lo0: /32 IOS version : 15.5(2)T C2921 C2951 Gi0/0: /8 Gi0/2: /8

18 接続確立までのフロー (ISAKMP Phase1 Main Mode) initiator responder 1.SA パラメーターの提案 3.Phase1 用の鍵情報を送付 5. 認証用 ID の送付 / 認証 MM1 MM2 MM3 MM4 MM5 MM6 2.SA パラメーターの選択 4.Phase1 用の鍵情報を送付 6. 認証用 ID の送付 / 認証

19 ISAKMP Phase 2 確立までのフロー ISAKMP Phase 2 and Deep dive

20 接続確立までのフロー (ISAKMP Phase2 Quick Mode) -SA パラメータの提案 -Initator の鍵情報 -IPsec にて暗号化対象のトラフィック SA が確立されたことを確認 initiator QM1 QM2 QM3 responder -SA パラメータの選択 responder の鍵情報 -IPsec にて暗号化対象のトラフィック

21 トラブルシューティング Trouble shooting

22 トラブルシューティング ~ まず初めに 正しい判断をする為に 出来る限り多くの情報を集める事から始めます Cisco では SR 問診票として お客様にお問い合わせ頂く前に詳細を記載可能なテンプレートを用意致しております お客様にてトラブルシューティングを実施されます際も 有用なテンプレートとなっておりますので ご活用頂ければ幸いです テンプレートの主な内容 - 発生時期は何時頃か - 収束した場合 いつ収束したのか - 発生前後での変化は何か - 発生した際の影響 - 発生頻度 - 構成 -IOSversion と機器 設定等の情報

23 トラブルシューティング ~IPsec で発生するトラブル IPsec のトラブルには主に以下の 2 つがあります -IPsec を経由するトラフィックの問題 Packet の drop 遅延等 -IPsec 接続の問題 IPsec が接続出来ない または接続断となってしまう問題 IPsec を経由するトラフィックの問題 IPsec 接続の問題

24 トラブルシューティング ~IPsec トラブルへのアプローチ 1. 発生している事象の詳細を確認 2. 発生している事象が接続に関連する問題なのか IPsec を経由する問題なのか切り分ける 3. 必要なログ ( 後述 ) の取得 ログ取得時の注意点 1: IPsec Site-to-Site は対となる 2 台の機器から構成されますので 1 台のみでは無く 対向機器の情報も収集する事により より事象を確認し易くなります ログ取得時の注意点 2: show tech-support のみでは調査が難しい show crypto ipsec client ezvpn show crypto map show crypto isakmp policy show crypto ipsec transform show crypto ipsec profile show crypto isakmp sa show crypto engine connection active show crypto ipsec sa show crypto key mypubkey rsa show crypto call admission statistics show crypto gkm show crypto gkm rekey sa show crypto gkm rekey sa detail show crypto gkm gm show crypto gkm gm acl show crypto gkm gm pubkey show crypto gkm gm rekey detail show crypto gkm gm replay show crypto gkm ipsec sa show crypto gkm ks show crypto gkm ks acl show crypto gkm ks coop show crypto gkm ks coop version show crypto gkm ks identifier detail show crypto gkm ks policy show crypto gkm ks rekey show crypto gkm ks replay show crypto gkm diagnose events show crypto gkm diagnose errors show crypto gkm ks member total show crypto gkm ks member total detail show crypto gkm ks member summary show crypto engine configuration show crypto engine accelerator statistic show crypto engine accel ring packet show crypto engine accel ring pool show crypto engine accel ring control show tech-support には IPsec 関連のコマンドが少ない また取得レベルも低い

25 トラブルシューティング ~ IPsec を経由するトラフィック Trouble shooting for through the IPsec

26 トラブルシューティング ~IPsec を経由するトラフィックの問題 前提 前提 : -show / debug コマンドではどのパケットが影響を受けているか確認する事が難しい - show / debug コマンドから packet のドロップや遅延の発生を確認する事は可能となる しかしながら show / debug にて確認が出来ない内部バス等でのパケットドロップまでは確認出来ない -drop/ 遅延しているパケットを特定する事により 発生原因の絞り込みが容易となる - 仮に不具合によって発生していた場合 事象の特定と修正には 再現性の確認が必須 アクション -show / debug コマンドによる packet のドロップや遅延の発生が発生しているか確認 - 後述のパケットキャプチャー方法を用いてドロップや遅延が発生しているパケットの特定と傾向性の有無を調査 - 後述の切り分けの実施 - 事象が確実に再現する環境を構成

27 トラブルシューティング ~IPsec を経由するトラフィックの問題 主な原因 パケットドロップの主な原因 性能限界 ライセンスに起因する問題 buffer memory の leak 等メモリーの枯渇 QoS Fragment DF bit MTU exceed invalid SPI( 後述 : 良くあるお問い合わせ事例 ) proxy address mismatch( 後述 : 良くあるお問い合わせ事例 ) IPsec Anti-Replay Check Failure ( 後述 : 良くあるお問い合わせ事例 ) パケット遅延の主な原因 QoS 輻輳

28 トラブルシューティング ~IPsec を経由するトラフィックの問題 取得するログ show tech-support crypto IPsec 関連の show command が入っています 半分は GDOI(GET-VPN) 関連なので GET-VPN 関連のトラブル時にも有用 show crypto tech-support は show version と show running-config を除いたコマンドが取得可能 show version show running-config show crypto isakmp sa count show crypto ipsec sa count show crypto isakmp sa detail show crypto ipsec sa detail show crypto session summary show crypto session detail show crypto isakmp peers show crypto ruleset detail show processes memory <IKMP の PID> show processes <IKMP の PID> show crypto eli all show cry engine accelerator statistic show cry isakmp diagnose error show cry isakmp diagnose error count show crypto call admission statistics show crypto gdoi show crypto gdoi rekey sa show crypto gdoi rekey sa detail show crypto gdoi gm show crypto gdoi gm acl show crypto gdoi gm pubkey show crypto gdoi gm rekey detail show crypto gdoi gm replay show crypto gdoi ipsec sa show crypto gdoi ks show crypto gdoi ks acl show crypto gdoi ks coop show crypto gdoi ks coop version show crypto gdoi ks identifier detail show crypto gdoi ks member show crypto gdoi ks policy show crypto gdoi ks rekey show crypto gdoi ks replay show crypto gdoi diagnose events show crypto gdoi diagnose errors recent

29 トラブルシューティング ~IPsec を経由するトラフィックの問題 取得するべきコマンド (ISR ルーター ) <show commands> # 事象発生前 / 事象発生中 ( 複数回 )/ 事象発生後に取得 show tech-support show crypto tech-support show crypto ruleset detail show crypto datapath ipv4 realtime non-zero show crypto datapath ipv6 realtime non-zero show crypto engine connection active show process cpu sort exc 0.00 show process cpu extended history show ip traffic show ip traffic <interface> show policy-map interface show ip route <debug commands> # 事象発生前から発生後まで取得 debug crypto isakmp detail debug crypto isakmp packet debug crypto isakmp error debug crypto isakmp stat debug crypto ipsec debug crypto ipsec error debug crypto ipsec states debug crypto ipsec message debug crypto ipsec hw-request debug crypto socket debug crypto engine error debug ip routing debug crypto engine packet detail <Ohters> パケットキャプチャー syslog

30 トラブルシューティング ~IPsec を経由するトラフィックの問題 取得するべきコマンド (ASR1000 ルーター ) # 事象発生前 / 事象発生中 ( 複数回 )/ 事象発生後に取得 show tech-support show crypto tech-support show crypto ruleset detail show crypto datapath ipv4 realtime non-zero show crypto datapath ipv6 realtime non-zero show crypto engine connection active show process cpu sort exc 0.00 show process cpu extended history show ip traffic show ip traffic <interface> show policy-map interface show ip route show platform show platform hardware crypto-device statistics show platform hardware crypto-device utilization show platform hardware qfp active infrastructure punt statistics type punt-drop show platform hardware qfp active statistics drop include Ipsec show platform hardware qfp active feature ipsec state show platform software ipsec FP active isakmp-sa all show platform software ipsec FP active encryption-processor statistics show platform software ipsec FP active inventory show platform software ipsec FP active pending-message all show platform software ipsec FP active spd-map all show platform software ipsec FP active spd-obj all show platform software ipsec FP active flow all <debug commands> # 事象発生前から発生後まで取得 debug crypto isakmp detail debug crypto isakmp packet debug crypto isakmp error debug crypto isakmp stat debug crypto ipsec debug crypto ipsec error debug crypto ipsec states debug crypto ipsec message debug crypto ipsec hw-request debug crypto socket debug crypto engine error debug ip routing debug crypto routing debug crypto verbose debug crypto engine error debug platform hardware qfp active feature ipsec client info debug platform hardware qfp active feature crypto-device pal all debug platform hardware qfp active feature tunnel client all debug platform software ipsec all <Ohters> パケットキャプチャー syslog

31 トラブルシューティング ~IPsec を経由するトラフィックの問題 パケットキャプチャー drop や遅延を確認する為には IPsec を構成する拠点間の LAN 側におけるパケットキャプチャーが有用 更に 経路上で取れれば best LAN 側 Router IPsec Router LAN 側 Capture

32 トラブルシューティング ~IPsec を経由するトラフィックの問題 パケットキャプチャーの為の手法 1 IPsec 通信と同等の処理を行いながら 暗号化を解く為に transform-set に esp-null を指定する事により パケットの中身を wireshark にて確認可能となります 例 ) C2921#show crypto ipsec transform-set Transform set default: { esp-aes esp-sha-hmac } will negotiate = { Transport, }, Transform set null: { esp-null esp-md5-hmac } will negotiate = { Tunnel, }, C2921# C2921#sh run inc trans crypto ipsec transform-set null esp-null esp-md5-hmac

33 トラブルシューティング ~IPsec を経由するトラフィックの問題 パケットキャプチャーの為の手法 1 元のパケット

34 トラブルシューティング ~IPsec を経由するトラフィックの問題 パケットキャプチャーの為の手法 1 wireshark でのデコード手順 Edit > Preferences > Protocol > ESP > Attempt detect decode encrypted ESP payloads:

35 トラブルシューティング ~IPsec を経由するトラフィックの問題 パケットキャプチャーの為の手法 1 wireshark でのデコード結果

36 トラブルシューティング ~IPsec を経由するトラフィックの問題 パケットキャプチャーの為の手法 2 crypto chip の処理前後での packet を出力する為以下の debug を有効化 C2921#debug crypto engine packet detail 出力結果 C2921#ping so lo0 re 1 Type escape sequence to abort. Sending 1, 100-byte ICMP Echos to , timeout is 2 seconds: Packet sent with a source address of ! Success rate is 100 percent (1/1), round-trip min/avg/max = 4/4/4 ms C2921# 45なので 16block Jun 25 は 10:10:47.304: Before encryption: IPv4/Header 20byte 0E9150D0: CA0000 E..d.J.. source/dest IP 0E9150E0: FF01B6CA AD..6J...C- 0E9150F0: E082C50 ABCDABCD.E...,P+M+M 0E915100: ABCDABCD ABCDABCD ABCDABCD ABCDABCD +M+M+M+M+M+M+M+M デコード 0E915110: ABCDABCD ABCDABCD ABCDABCD ABCDABCD +M+M+M+M+M+M+M+M 0E915120: ABCDABCD ABCDABCD ABCDABCD ABCDABCD +M+M+M+M+M+M+M+M 0E915130: ABCDABCD ABCDABCD ABCDABCD M+M+M+M+M+M... 0E915140: A0A Jun 25 10:10:47.308: After encryption: 0E925250: A E..(4.@. 0E925260: FF321E8B 144B B A40C1D.2...K...K..W$ snip 赤字がパケットの中身 ether header とプロトコルヘッダー (IP:0800) が除かれているので適当な ether header とプロトコルヘッダーを追加 Src MAC : Dst MAC : Protocol : CA0000 FF01B6CA AD E082C50 ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD A0A

37 トラブルシューティング ~IPsec を経由するトラフィックの問題 パケットキャプチャーの為の手法 2( 続き ) ether header と IP(0800) が除かれているので適当な ether header とプロトコルヘッダーを追加 Src MAC : Dst MAC : Protocol : CA0000 FF01B6CA AD E082C50 ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD A0A デコード 同様に暗号化後のパケットも復元出来ます

38 トラブルシューティング ~IPsec を経由するトラフィックの問題 その他パケットキャプチャーの為の手法 EPC(Embedded Packet Capture) RITE(Router IP Traffic Export) 機能の紹介と設定事例は URL をご参照下さい 尚 これらの機能は他のトラブルシューティングにも有用な機能となっておりますので ご活用頂ければ幸いです

39 トラブルシューティング ~IPsec を経由するトラフィックの問題 切り分け 切り分けに有用な手法 - 事象が発生する最小限の設定を確認複数の機能を利用している場合 IPsec 以外の機能により事象が発生している可能性があります また なるべくシンプルな設定にて事象を確認する事により 事象の発生原因の想定 または絞り込みが行い易くなります -IOS version の変更既知の不具合にて事象が発生していた場合 IOS のバージョンアップを行う事により事象を回避出来る可能性が御座います 不具合に対する修正は基本的に最新バージョンへ最初に適用する形となりますので 既知の不具合の切り分けには最新バージョンでの再現性の確認が重要となります -ISM-VPN を利用の場合 onboard accelerator へ変更 ISM-VPN をご利用の場合 オンボードの crypto chip を利用する処理とは異なる処理となりますので ISM-VPN module を無効化頂き onboard accelerator 処理を行わせる事により 事象の収束と ISM-VPN module が事象発生条件の一つである事がご確認頂けます ISM-VPN module 無効化のコマンド no crypto engine slot 0

40 トラブルシューティング ~ IPsec 接続の問題 Trouble shooting for IPsec connection

41 トラブルシューティング ~IPsec 接続の問題 前提 前提 : -show コマンドのみでは IPsec 接続確立までのステータスや接続断の原因がログに出力されない為調査が困難トラブルシューティングには debug ログが必須 -MM1からMM4 まではパケットが暗号化されていない為 パケットキャプチャーによっても一部の内容は確認可能アクション -debug ログから ISAKMP Phase 1 or 2 また MM/AM/QM のいずれのフェーズまで成功しているかを確認する事により 事象の発生原因を絞り込む -debug ログから接続断前後のログを確認して なぜセッションが切れたかを確認例 :DPD timeout

42 トラブルシューティング ~IPsec 接続の問題 主な原因 接続断の主な原因 性能限界 ライセンスに起因する問題 DPD timeout Tunnel source tracking Invalid SPI recovery の設定が適用されていない ( 後述 : 良くあるお問い合わせ事例 ) ISAKMP/IPsec Parameter の mismatch ( 後述 : 良くあるお問い合わせ事例 )

43 トラブルシューティング ~IPsec 接続の問題 取得するべきコマンド (ISR ルーター ) # 事象発生前 / 事象発生中 ( 複数回 )/ 事象発生後に取得 show tech-support show crypto tech-support show crypto ruleset detail show crypto datapath ipv4 realtime non-zero show crypto datapath ipv6 realtime non-zero show crypto engine connection active show process cpu sort exc 0.00 show process cpu extended history show ip traffic show ip traffic <interface> show policy-map interface show ip route <debug commands> # 事象発生前から発生後まで取得 debug crypto isakmp detail debug crypto isakmp packet debug crypto isakmp error debug crypto isakmp stat debug crypto ipsec debug crypto ipsec error debug crypto ipsec states debug crypto ipsec message debug crypto ipsec hw-request debug crypto socket debug crypto engine error debug ip routing <Ohters> パケットキャプチャー syslog

44 トラブルシューティング ~IPsec 接続の問題 取得するべきコマンド (ASR1000 ルーター ) # 事象発生前 / 事象発生中 ( 複数回 )/ 事象発生後に取得 show tech-support show crypto tech-support show crypto ruleset detail show crypto datapath ipv4 realtime non-zero show crypto datapath ipv6 realtime non-zero show crypto engine connection active show process cpu sort exc 0.00 show process cpu extended history show ip traffic show ip traffic <interface> show policy-map interface show ip route show platform show platform hardware crypto-device statistics show platform hardware crypto-device utilization show platform hardware qfp active infrastructure punt statistics type punt-drop show platform hardware qfp active statistics drop include Ipsec show platform hardware qfp active feature ipsec state show platform software ipsec FP active isakmp-sa all show platform software ipsec FP active encryption-processor statistics show platform software ipsec FP active inventory show platform software ipsec FP active pending-message all show platform software ipsec FP active spd-map all show platform software ipsec FP active spd-obj all show platform software ipsec FP active flow all <debug commands> # 事象発生前から発生後まで取得 debug crypto isakmp detail debug crypto isakmp packet debug crypto isakmp error debug crypto isakmp stat debug crypto ipsec debug crypto ipsec error debug crypto ipsec states debug crypto ipsec message debug crypto ipsec hw-request debug crypto socket debug crypto engine error debug ip routing debug crypto routing debug crypto verbose debug crypto engine error debug platform hardware qfp active feature ipsec client info debug platform hardware qfp active feature crypto-device pal all debug platform hardware qfp active feature tunnel client all debug platform software ipsec all <Ohters> パケットキャプチャー syslog

45 トラブルシューティング ~ 主なコマンドの紹介 show crypto isakmp sa detail ISAKMP Phase 1 の SA に関する詳細を表示するコマンド出力例 C2921#show crypto isakmp sa detail Codes: C - IKE configuration mode, D - Dead Peer Detection K - Keepalives, N - NAT-traversal T - ctcp encapsulation, X - IKE Extended Authentication psk - Preshared key, rsig - RSA signature renc - RSA encryption IPv4 Crypto ISAKMP SA C-id Local Remote I-VRF Status Encr Hash Auth DH Lifetime Cap ACTIVE aes sha psk 1 23:40:12 Engine-id:Conn-id = SW:32 C-id : connection id Local : Local address Remote : Remote address Status : Status of ISAKMP SA Encr : Encryption algorithm Hash : Hash algorithm Authe : Authentication method DH : Diffi-hellman group Lifetime : lifetime of ISAKMP SA IPv6 Crypto ISAKMP SA

46 トラブルシューティング ~ 主なコマンドの紹介 show crypto ipsec sa detail ISAKMP Phase 2 の SA に関する詳細を表示するコマンド出力例 C2921#show crypto ipsec sa detail interface: GigabitEthernet0/0 Crypto map tag: cisco, local addr protected vrf: (none) local ident (addr/mask/prot/port): ( / /0/0) remote ident (addr/mask/prot/port): ( / /0/0) current_peer port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 7600, #pkts encrypt: 7600, #pkts digest: 7600 #pkts decaps: 7591, #pkts decrypt: 7591, #pkts verify: 7591 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #pkts no sa (send) 0, #pkts invalid sa (rcv) 0 #pkts encaps failed (send) 0, #pkts decaps failed (rcv) 0 #pkts invalid prot (recv) 0, #pkts verify failed: 0 #pkts invalid identity (recv) 0, #pkts invalid len (rcv) 0 #pkts replay rollover (send): 0, #pkts replay rollover (rcv) 0 ##pkts replay failed (rcv): 0 #pkts tagged (send): 0, #pkts untagged (rcv): 0 #pkts not tagged (send): 0, #pkts not untagged (rcv): 0 #pkts internal err (send): 0, #pkts internal err (recv) 0 各種カウンター赤字太線がエラー時にカウントアップされる 主なカウンター local crypto endpt.: , remote crypto endpt.: plaintext mtu 1438, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0 current outbound spi: 0x8366EA60( ) PFS (Y/N): N, DH group: none 上から順に MTU/ 現在利用している outbound の SA(SPI) PFS の利用有無と DH group

47 トラブルシューティング ~ 主なコマンドの紹介 show crypto ipsec sa detail( 続き ) inbound esp sas: spi: 0x4380CDA5( ) transform: esp-256-aes esp-sha-hmac, in use settings ={Tunnel, } conn id: 4027, flow_id: Onboard VPN:2027, sibling_flags , crypto map: cisco sa timing: remaining key lifetime (k/sec): ( /36) IV size: 16 bytes replay detection support: Y Status: ACTIVE(ACTIVE) spi: 0x842AD8F1( ) transform: esp-256-aes esp-sha-hmac, in use settings ={Tunnel, } conn id: 4029, flow_id: Onboard VPN:2029, sibling_flags , crypto map: cisco sa timing: remaining key lifetime (k/sec): ( /115) IV size: 16 bytes replay detection support: Y Status: ACTIVE(ACTIVE) inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x64D8D278( ) transform: esp-256-aes esp-sha-hmac, in use settings ={Tunnel, } conn id: 4028, flow_id: Onboard VPN:2028, sibling_flags , crypto map: cisco ~~~~~~~~~~~~~~~~~~~~~~snip~~~~~~~~~~~~~~~~~~~~ ( 出力は IPsec SA rekey 時の出力 ) IPsec SA は inbound/outboud それぞれ 1つの SA を利用する為 出力は inbound/outbound に分かれて出力される灰色は旧 IPsec SA 黄色は新 IPsec SA 赤字の上から順に SPIの値利用している Algorithm IPsec のモード (Tunnel or Transport) connection id 等 IPsec SA の lifetime(killobyteと秒の残りの値 ) Anti replay の設定有無 IPsec SA のステータス ( 有効 / 無効 )

48 トラブルシューティング ~ 主なコマンドの紹介 show crypto call admission statistics ISAKAMP Phase1/2 の接続に関する統計情報等を表示出力例 C2921#show crypto call admission statistics Crypto Call Admission Control Statistics System Resource Limit: 0 Max IKE SAs: 0 Max in nego: 1000 Total IKE SA Count: 1 active: 1 negotiating: 0 Incoming IKE Requests: 5 accepted: 5 rejected: 0 Outgoing IKE Requests: 1115 accepted: 1115 rejected: 0 Rejected IKE Requests: 0 rsrc low: 0 Active SA limit: 0 In-neg SA limit: 0 IKE packets dropped at dispatch: 0 Max IPSEC SAs: 0 Total IPSEC SA Count: 1 active: 1 negotiating: 0 Incoming IPSEC Requests: 975 accepted: 975 rejected: 0 Outgoing IPSEC Requests: 51 accepted: 51 rejected: 0 IKE = ISAKMP Phase1 IPsec = ISAKMP Phase2 上から順にシステムのリソース制限値 Incoming/Outgoing IKE request の統計 (reject が増えているか否か ) Incoming/Outgoing Ipsec request の統計 (reject が増えているか否か ) Phase1.5 SAs under negotiation: 0

49 トラブルシューティング ~ 主なコマンドの紹介 show crypto engine connections active Crypto Chip での統計情報と ESP/AH パケットの sequence number を確認出力例 C2921#show crypto engine connections active Crypto Engine Connections ID Type Algorithm Encrypt Decrypt LastSeqN IP-Address 1032 IKE SHA+AES IPsec AES256+SHA IPsec AES256+SHA #1 #2 #3 #4 #5 #6 #7 #1-7 までの説明 #1 Connection ID #2 SA のタイプ #3 利用されているアルゴリズム #4 暗号化されたパケットのカウント #5 複合化されたパケットのカウント #6 Incoming パケットの最後のシーケンス番号 (Antireplay window 時等 ) #7 SA が bind されているインターフェイスの IP

50 トラブルシューティング ~ 主なコマンドの紹介 show crypto session detail ISAKMP/IPsec セッションの統計情報とライフタイムの残り時間を確認出力例 C2921#show crypto session detail Crypto session current status Code: C - IKE Configuration mode, D - Dead Peer Detection K - Keepalives, N - NAT-traversal, T - ctcp encapsulation X - IKE Extended Authentication, F - IKE Fragmentation R - IKE Auto Reconnect Interface: GigabitEthernet0/0 Uptime: 00:29:03 Session status: UP-ACTIVE Peer: port 500 fvrf: (none) ivrf: (none) Phase1_id: Desc: (none) Session ID: 0 IKEv1 SA: local /500 remote /500 Active Capabilities:(none) connid:1032 lifetime:23:30:56 IPSEC FLOW: permit ip / / Active SAs: 4, origin: crypto map Inbound: #pkts dec'ed 7638 drop 0 life (KB/Sec) /114 Outbound: #pkts enc'ed 7647 drop 0 life (KB/Sec) /114

51 トラブルシューティング ~ 主なコマンドの紹介 show crypto mib ike flowmib history ISAKMP SA の過去の情報を確認可能出力例 C2921#show crypto mib ike flowmib history vrf Global Reason: Operator request Index: 1 Local type: ID_IPV4_ADDR Local address: Remote type: ID_IPV4_ADDR Remote address: Negotiation mode: Main Mode Diffie Hellman Grp: 1 Encryption algo: aes Hash algo: sha Auth method: psk Lifetime: Active time: 1d00h Policy priority: 1 Keepalive enabled: No In octets: 1128 In packets: 6 In drops: 0 In notifys: 1 In P2 exchanges: 2 In P2 exchg invalids: 0 In P2 exchg rejected: 0 In P2 SA delete reqs: 1 Out octets: 1538 Out packets: 9 Out drops: 0 Out notifys: 2 Out P2 exchgs: 4 Out P2 exchg invalids: 0 Out P2 exchg rejects: 0 Out P2 Sa delete requests: 1 ~~~~~~~~~~~~~~~~~~~snip~~~~~~~~~~~~~~~~~~~~ Reason: Peer lost Index: 3 Local type: ID_IPV4_ADDR Local address: Remote type: ID_IPV4_ADDR Remote address: Negotiation mode: Main Mode Diffie Hellman Grp: 1 Encryption algo: aes Hash algo: sha Auth method: psk Lifetime: Active time: 00:02:38 Policy priority: 1 Keepalive enabled: Yes In octets: 796 In packets: 4 In drops: 0 In notifys: 0 In P2 exchanges: 1 In P2 exchg invalids: 0 In P2 exchg rejected: 0 In P2 SA delete reqs: 0 Out octets: 1790 Out packets: 11 Out drops: 0 Out notifys: 6 Out P2 exchgs: 2 Out P2 exchg invalids: 0 Out P2 exchg rejects: 0 Out P2 Sa delete requests: 0

52 トラブルシューティング ~ 主なコマンドの紹介 show crypto mib ipsec flowmib history IPsec SA の過去の情報を確認可能出力例 C2921#show crypto mib ipsec flowmib history vrf Global ~~~~~~~~~~~~~~snip~~~~~~~~~~~~~~~~~~~~~~~~~ Reason: Other Index: 2 Local address: Remote address: IPSEC keying: IKE Encapsulation mode: 1 Lifetime (KB): Lifetime (Sec): 3600 Active time: 00:00:30 Lifetime threshold (KB): Lifetime threshold (Sec): Total number of refreshes: 1 Expired SA instances: 2 Current SA instances: 2 In SA DH group: None In sa encrypt algorithm: aes In SA AH auth algorithm: None In SA ESP auth algo: ESP_HMAC_SHA In SA uncompress algorithm: None Out SA DH group: None Out SA encryption algorithm: aes Out SA auth algorithm: None Out SA ESP auth algorithm: ESP_HMAC_SHA Out SA uncompress algorithm: None In octets: 300 Decompressed octets: 0 In packets: 3 In drops: 0 In replay drops: 0 In authentications: 3 In authentication failures: 0 In decrypts: 3 In decrypt failures: 0 Out octets: 504 Out uncompressed octets: 0 Out packets: 3 Out drops: 0 Out authentications: 3 Out authentication failures: 0 Out encryptions: 3 Out encryption failures: 0 Compressed octets: 0 Decompressed octets: 0 Out uncompressed octets: 0

53 良くあるお問い合わせ事例 knowledge

54 良くあるお問い合わせ事例 IPsec Anti-Replay Check Failure knowledge IPsec Anti-Replay Check Failure

55 良くあるお問い合わせ事例 ~IPsec Anti-Replay Check Failure 概要と設定 出力されるログ %CRYPTO-4-PKT_REPLAY_ERR: decrypt: replay check failed connection id=<connection id>, sequence number=<sequence number> # メッセージは必ず受信側にて出力されます Anti-Replay Check とは通常 暗号化処理されたパケットは順番通り 送信され 対向にて受信される事が期待されています また QoS やその他輻輳等により多少のパケットの順番が変わる事は一般的に想定されます Anti-Replay Check の目的は 悪意を持った攻撃者が細工したパケットをルーターに送信する事により攻撃を行おうとした際に sequence number をチェックする事により攻撃を成立する事を防ぐ事です この機能はデフォルトで有効になっています 設定 C2921(config)#crypto ipsec security-association replay? disable Disable replay checking window-size Set replay window size. C2921(config)#crypto ipsec security-association replay wi C2921(config)#crypto ipsec security-association replay window-size? 1024 Window size of Window size of Window size of Window size of Window size of 64 (default) C2921(config)#crypto ipsec security-association replay window-size 64 デフォルトの設定値 有効 / 無効 有効 window-size 64 packet

56 良くあるお問い合わせ事例 ~IPsec Anti-Replay Check Failure 発生原因の詳細 sequence number 許容する sequence number のレンジ ( ) 許容する sequence number レンジ外の sequence number( 赤線 ) 0 time 通信開始 30 秒後に受信した ESP パケットの sequence number が 1000( 青太線 ) であった場合 輻輳等によるパケットの前後を考慮して sequence number ( 黄色線内 ) のパケットは受信して処理を行います この時 攻撃者が sequence number 500( 赤線 ) のパケットを送出して来た場合 上記 sequence number の範囲外のパケットとなる事から ルーターでは sequence number 500 のパケットをドロップします 結果 前頁で記載した syslog が表示され パケットは破棄されます 多量の通信が行われている環境では sequence number の増加速度は速くなり 単位時間当たりの Anti-replay check windowsize を拡大しない場合 Anti-Replay Check Failure が多発する一因となります

57 良くあるお問い合わせ事例 ~IPsec Anti-Replay Check Failure 回避策 設定による回避 Anti-Replay Check の無効化 C2921(config)#crypto ipsec security-association replay disable Anti-Replay Check Window-size の変更 C2921(config)#crypto ipsec security-association replay window-size 1024 優先制御による回避 ESP パケットを PQ や LLQ に割り当てる # 途中の経路上における設定変更が不可の機器にて QoS や輻輳等によりパケットの順序が著しく変わる場合は Anti-Replay Check を無効化する以外有用な方法はありません

58 良くあるお問い合わせ事例 ~IPsec Anti-Replay Check Failure コマンドによる確認 %CRYPTO-4-PKT_REPLAY_ERR: decrypt: replay check failed connection id=2011, sequence number=500 C2921#show crypto ipsec sa inc conn id peer inbound outbound current_peer port 500 current outbound spi: 0xCE147246( ) inbound esp sas: conn id: 2011, flow_id: Onboard VPN:11, sibling_flags , crypto map: cisco inbound ah sas: inbound pcp sas: outbound esp sas: conn id: 2012, flow_id: Onboard VPN:12, sibling_flags , crypto map: cisco 現在の connection id は 2011 C2921#show crypto ipsec sa peer detail inc replay failed ##pkts replay failed (rcv): 1 1 パケットがエラー %CRYPTO-4-PKT_REPLAY_ERR: メッセージはパケット毎に出力される訳では無く 1 分間に 1 回のレートに制限されています 従って 連続的に 1 分間隔で出力される場合 Anti-Replay Check Failure の状態が継続している可能性が高いと判断出来ます

59 良くあるお問い合わせ事例 Invalid SPI knowledge Invalid SPI

60 良くあるお問い合わせ事例 ~%RECVD_PKT_INV_SPI 概要 出力されるログ %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr= , prot=50, spi=0xcde9d256( ), srcaddr= , input interface=gigabitethernet0/2 Invalid SPI とは通常 IPsec を構成するルーターでは outbound / inbound それぞれ 1 つの IPsec SA を利用して 通信を行います 当該メッセージが出力されたルーターで使用している SA 内の SPI 以外の SPI を持つパケットを受信した際に上記メッセージが表示されます Rekey 時に片方のルーターが新しい SPI を持つ IPsec SA を使いパケットを送出した後 対向側では新しい IPsec SA の利用準備が整っていない場合等に出力されます Rekey を行う機器の処理性能や負荷によっては通常これらのタイミングのズレが発生し 上記メッセージが表示される事は想定された動作となります 一方 継続的に出力される場合 それぞれのルーターにて IPsec SA を確認する必要があります 同様のケースとして 対向機器の電源障害によるリロード後 障害の発生していない機器から送出された IPsec SA により障害が発生した機器にて Invalid SPI が検出される事があります %CRYPTO-4-RECVD_PKT_INV_SPI メッセージはパケット毎に出力される訳では無く 1 分間に 1 回のレートに制限されています 従って 連続的に 1 分間隔で出力される場合 Invalid SPI の状態が継続している可能性が高いと判断出来ます

61 良くあるお問い合わせ事例 ~%RECVD_PKT_INV_SPI 発生原因の詳細 current SPI A next SPI B C2921 SPI missmatch SPI B を利用して暗号化された ESP パケット Old SPI A current SPI B C2951 C2951 は rekey 後に SPI B を利用してトラフィックを暗号化し対向の C2921 へ送信します C2921 はまだ SPI B への移行が完了しておらず SPI A を利用しています C2921 では利用している SPI と異なる SPI を利用する IPsec SA により暗号化されたパケットを受信した為 Invalid SPI として該当のパケットを破棄します

62 良くあるお問い合わせ事例 ~%RECVD_PKT_INV_SPI 回避策 設定による回避 Invalid SPI recovery の有効化 C2921(config)#crypto isakmp invalid-spi-recovery crypto isakmp invalid-spi-recovery が動作する条件 -ISAKMP SA が存在する状況での Invalid SPI crypto isakmp invalid spi-recovery の設定に関わらず DELETE notification が ISAKMP メッセージとして対向へ伝達される -ISAKMP SA が存在せず IPsec SA が存在する状況での Invalid SPI 未設定 crypto isakmp invalid-spi-recovery 設定がされていない場合は SA の lifetime まで通信が出来ない状況が継続する 設定済み crypto isakmp invalid-spi-recovery 設定済みの場合 新規 ISAKMP SA を構成し 新規 ISAKMP SA 上で DELETE notification メッセージを対向に送出

63 良くあるお問い合わせ事例 ~%RECVD_PKT_INV_SPI invalid SPI recovery の補足 invalid SPI recovery が機能する設定 -static crypto map -P2P GRE with TP -mgre TP that uses w/ static NHRP mapping -svti invalid SPI recovery が機能しない設定 -Dynamic crypto-map -mgre TP that uses w/ dynamic NHRP mapping etc

64 良くあるお問い合わせ事例 ~%RECVD_PKT_INV_SPI コマンドによる確認 出力されるログ %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr= , prot=50, spi=0x ( ), srcaddr= , input interface=ethernet0/0 C2951#show crypto ipsec sa inc spi outbound inbound current outbound spi: 0x644B28AD( ) inbound esp sas: spi: 0x2A61CDC4( ) inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x644B28AD( ) outbound ah sas: outbound pcp sas: C2951# C2951#show crypto isakmp sa detail Codes: C - IKE configuration mode, D - Dead Peer Detection K - Keepalives, N - NAT-traversal T - ctcp encapsulation, X - IKE Extended Authentication psk - Preshared key, rsig - RSA signature renc - RSA encryption IPv4 Crypto ISAKMP SA syslog に表示されている SPI(0x ) と実際に利用している SPI(0x2A61CDC4) が異なる C-id Local Remote I-VRF Status Encr Hash Auth DH Lifetime Cap ACTIVE aes sha psk 1 23:11:02 Engine-id:Conn-id = SW:7 ISAKMP SA は残っている (ID 9007) IPv6 Crypto ISAKMP SA

65 良くあるお問い合わせ事例 ~%RECVD_PKT_INV_SPI ISAKMP SA が存在する状況での Invalid SPI(debug ログ ).Jun 25 05:02:45.277: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr= , prot=50, spi=0xcde9d256( ), srcaddr= , input interface=gigabitethernet0/2 C2951#.Jun 25 05:02:45.277: KMI: IPSEC key engine sending message KEY_ENG_DELETE_SAS to Crypto IKMP..Jun 25 05:02:45.277: KMI: Crypto IKMP received message KEY_ENG_DELETE_SAS from IPSEC key engine..jun 25 05:02:45.277: ISAKMP: set new node to QM_IDLE.Jun 25 05:02:45.277: ISAKMP:(9007): sending packet to my_port 500 peer_port 500.Jun 25 05:03:09.919: ISAKMP:(9007): processing NONCE payload. message ID = (R) QM_IDLE Jun 25 05:02:45.281: ISAKMP:(9007):Sending an IKE IPv4 Packet..Jun 25 05:03:09.919: ISAKMP:(9007): processing ID payload. message ID = Jun 25 05:02:45.281: ISAKMP:(9007):purging node Jun 25 05:03:09.919: ISAKMP:(9007): processing ID payload. message ID = Jun 25 05:02:45.281: ISAKMP:(9007):Input = IKE_MESG_FROM_IPSEC, IKE_PHASE2_DEL.Jun 25 05:02:45.281: ISAKMP:(9007):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE.Jun 25 05:02:56.550: KMI: IPSEC key engine sending message KEY_ENG_DELETE_SAS to Crypto IKMP..Jun 25 05:02:56.550: KMI: Crypto IKMP received message KEY_ENG_DELETE_SAS from IPSEC key engine..jun 25 05:02:56.550: ISAKMP: set new node to QM_IDLE.Jun 25 05:02:56.550: ISAKMP:(9007): sending packet to my_port 500 peer_port 500 IKE_GOT_SPI (R) QM_IDLE.Jun 25 05:03:09.919: ISAKMP:(9007):Old State = IKE_QM_SPI_STARVE New State =.Jun 25 05:02:56.550: ISAKMP:(9007):Sending an IKE IPv4 Packet. IKE_QM_IPSEC_INSTALL_AWAIT.Jun 25 05:02:56.550: ISAKMP:(9007):purging node Jun 25 05:03:09.919: IPSEC(key_engine): got a queue event with 1 KMI message(s).jun 25 05:02:56.550: ISAKMP:(9007):Input = IKE_MESG_FROM_IPSEC, IKE_PHASE2_DEL.Jun 25 05:02:56.550: ISAKMP:(9007):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE.Jun 25 05:03:09.919: ISAKMP (9007): received packet from dport 500 sport 500 Global (R) QM_IDLE.Jun 25 05:03:09.919: ISAKMP: set new node to QM_IDLE.Jun 25 05:03:09.919: ISAKMP:(9007): processing HASH payload. message ID = Jun 25 05:03:09.919: ISAKMP:(9007): processing SA payload. message ID = Jun 25 05:03:09.919: ISAKMP:(9007):Checking IPSec proposal 1.Jun 25 05:03:09.919: ISAKMP: transform 1, ESP_AES.Jun 25 05:03:09.919: ISAKMP: attributes in transform:.jun 25 05:03:09.919: ISAKMP: encaps is 1 (Tunnel).Jun 25 05:03:09.919: ISAKMP: SA life type in seconds.jun 25 05:03:09.919: ISAKMP: SA life duration (basic) of 3600.Jun 25 05:03:09.919: ISAKMP: SA life type in kilobytes.jun 25 05:03:09.919: ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0.Jun 25 05:03:09.919: ISAKMP: authenticator is HMAC-SHA.Jun 25 05:03:09.919: ISAKMP: key length is 256.Jun 25 05:03:09.919: ISAKMP:(9007):atts are acceptable..jun 25 05:03:09.919: IPSEC(validate_proposal_request): proposal part #1.Jun 25 05:03:09.919: IPSEC(validate_proposal_request): proposal part #1, (key eng. msg.) INBOUND local= :0, remote= :0, local_proxy= / /256/0, remote_proxy= / /256/0, protocol= ESP, transform= esp-aes 256 esp-sha-hmac (Tunnel), lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 256, flags= 0x0.Jun 25 05:03:09.919: Crypto mapdb : proxy_match src addr : dst addr : protocol : 0 src port : 0 dst port : 0.Jun 25 05:03:09.919: (ipsec_process_proposal)map Accepted: cisco, 1.Jun 25 05:03:09.919: ISAKMP:(9007):QM Responder gets spi.jun 25 05:03:09.919: ISAKMP:(9007):Node , Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH.Jun 25 05:03:09.919: ISAKMP:(9007):Old State = IKE_QM_READY New State = IKE_QM_SPI_STARVE.Jun 25 05:03:09.919: KMI: Crypto IKMP sending message KEY_MGR_CREATE_IPSEC_SAS to IPSEC key engine..jun 25 05:03:09.919: ISAKMP:(9007):Node , Input = IKE_MESG_INTERNAL,.Jun 25 05:03:09.919: KMI: IPSEC key engine received message KEY_MGR_CREATE_IPSEC_SAS from Crypto IKMP..Jun 25 05:03:09.919: Crypto mapdb : proxy_match src addr : dst addr : protocol : 256 src port : 0 dst port : 0.Jun 25 05:03:09.919: IPSEC(crypto_ipsec_create_ipsec_sas): Map found cisco, 1.Jun 25 05:03:09.919: IPSEC(crypto_ipsec_sa_find_ident_head): reconnecting with the same proxies and peer Jun 25 05:03:09.919: KMI: IPSEC key engine sending message KEY_ENG_NOTIFY_QOS_GROUP to Crypto IKMP..Jun 25 05:03:09.919: IPSEC(create_sa): sa created, (sa) sa_dest= , sa_proto= 50, sa_spi= 0x2A61CDC4( ), sa_trans= esp-aes 256 esp-sha-hmac, sa_conn_id= 27 sa_lifetime(k/sec)= ( /3600), (identity) local= :0, remote= :0, local_proxy= / /256/0, remote_proxy= / /256/0.Jun 25 05:03:09.919: IPSEC(create_sa): sa created, (sa) sa_dest= , sa_proto= 50, sa_spi= 0x644B28AD( ), sa_trans= esp-aes 256 esp-sha-hmac, sa_conn_id= 28 sa_lifetime(k/sec)= ( /3600), (identity) local= :0, remote= :0, local_proxy= / /256/0, remote_proxy= / /256/0.Jun 25 05:03:09.919: ISAKMP: Failed to find peer index node to update peer_info_list.jun 25 05:03:09.919: KMI: IPSEC key engine sending message KEY_ENG_NOTIFY_INCR_COUNT to Crypto IKMP..Jun 25 05:03:09.919: ISAKMP:(9007):Received IPSec Install callback... proceeding with the negotiation.jun 25 05:03:09.919: ISAKMP:(9007):Successfully installed IPSEC SA (SPI:0x2A61CDC4) on GigabitEthernet0/2.Jun 25 05:03:09.919: KMI: Crypto IKMP received message KEY_ENG_NOTIFY_QOS_GROUP from IPSEC key engine..jun 25 05:03:09.919: KMI: Crypto IKMP received message KEY_ENG_NOTIFY_INCR_COUNT from IPSEC key engine..jun 25 05:03:09.923: ISAKMP:(9007): sending packet to my_port 500 peer_port 500 (R) QM_IDLE.Jun 25 05:03:09.923: ISAKMP:(9007):Sending an IKE IPv4 Packet..Jun 25 05:03:09.923: ISAKMP:(9007):Node , Input = IKE_MESG_FROM_IPSEC, IPSEC_INSTALL_DONE.Jun 25 05:03:09.923: ISAKMP:(9007):Old State = IKE_QM_IPSEC_INSTALL_AWAIT New State = IKE_QM_R_QM2.Jun 25 05:03:09.927: ISAKMP (9007): received packet from dport 500 sport 500 Global (R) QM_IDLE.Jun 25 05:03:09.927: KMI: Crypto IKMP sending message KEY_MGR_SA_ENABLE_OUTBOUND to IPSEC key engine..jun 25 05:03:09.927: ISAKMP:(9007):deleting node error FALSE reason "QM done (await)".jun 25 05:03:09.927: ISAKMP:(9007):Node , Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH.Jun 25 05:03:09.927: ISAKMP:(9007):Old State = IKE_QM_R_QM2 New State = IKE_QM_PHASE2_COMPLETE.Jun 25 05:03:09.927: IPSEC(key_engine): got a queue event with 1 KMI message(s).jun 25 05:03:09.927: KMI: IPSEC key engine received message KEY_MGR_SA_ENABLE_OUTBOUND from Crypto IKMP..Jun 25 05:03:09.927: IPSEC(key_engine_enable_outbound): rec'd enable notify from ISAKMP.Jun 25 05:03:09.927: IPSEC: Expand action denied, notify RP

66 良くあるお問い合わせ事例 ~%RECVD_PKT_INV_SPI ISAKMP SA が存在する状況での Invalid SPI( キャプチャー ) 出力されるログ %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr= , prot=50, spi=0xcde9d256( ), srcaddr= , input interface=gigabitethernet0/2 Packet Number 1-2 SPI(0x9cde9d256) を利用している為 drop される Packet Number 3 対向が利用している SPI を削除する様対向機器に通知 Packet Number 4-6 ISAKMP Phase Quick mode のやり取り Packet Number 5-6 新規作成した SPI を用いた SA にて暗号化されたパケットの送受信

67 良くあるお問い合わせ事例 ~%RECVD_PKT_INV_SPI ISAKMP SA が存在しない状況での Invalid SPI(debug ログ ).Jun 25 06:14:25.208: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr= , prot=50, spi=0x8631e0da( ), srcaddr= , input interface=gigabitethernet0/2.jun 25 06:14:25.208: KMI: IPSEC key engine sending message KEY_ENG_DELETE_SAS to Crypto IKMP..Jun 25 06:14:25.212: KMI: Crypto IKMP received message KEY_ENG_DELETE_SAS from IPSEC key engine..jun 25 06:14:25.212: ISAKMP: Created a peer struct for , peer port 500.Jun 25 06:14:25.212: ISAKMP: New peer created peer = 0x14FBC290 peer_handle = 0x F.Jun 25 06:14:25.212: ISAKMP: Locking peer struct 0x14FBC290, refcount 1 for ike_initiate_sa_for_inv_spi_recovery.jun 25 06:14:25.212: ISAKMP: local port 500, remote port 500.Jun 25 06:14:25.212: ISAKMP:(0):found peer pre-shared key matching Jun 25 06:14:25.212: ISAKMP:(0): Unknown DOI 0.Jun 25 06:14:25.212: ISAKMP:(0): constructed NAT-T vendor-rfc3947 ID.Jun 25 06:14:25.212: ISAKMP:(0): constructed NAT-T vendor-07 ID.Jun 25 06:14:25.212: ISAKMP:(0): constructed NAT-T vendor-03 ID.Jun 25 06:14:25.212: ISAKMP:(0): constructed NAT-T vendor-02 ID.Jun 25 06:14:25.212: ISAKMP : beginning Main Mode exchange for INV SPI RECOV.Jun 25 06:14:25.212: ISAKMP:(0): sending packet to my_port 500 peer_port 500 (I) MM_NO_STATE.Jun 25 06:14:25.212: ISAKMP:(0):Sending an IKE IPv4 Packet..Jun 25 06:14:25.212: ISAKMP: Unlocking peer struct 0x14FBC290 for isadb_unlock_peer_delete_sa(), count 0.Jun 25 06:14:25.212: KMI: Crypto IKMP sending message KEY_MGR_SESSION_CLOSED to IPSEC key engine..jun 25 06:14:25.212: ISAKMP: Deleting peer node by peer_reap for : 14FBC290.Jun 25 06:14:25.212: ISAKMP:(0):purging SA., sa=0, delme=400388dc.jun 25 06:14:25.212: IPSEC(key_engine): got a queue event with 1 KMI message(s).jun 25 06:14:25.212: KMI: IPSEC key engine received message KEY_MGR_SESSION_CLOSED from Crypto IKMP..Jun 25 06:14:25.224: ISAKMP (0): received packet from dport 500 sport 500 Global (N) NEW SA.Jun 25 06:14:25.224: ISAKMP: Created a peer struct for , peer port 500.Jun 25 06:14:25.224: ISAKMP: New peer created peer = 0x14FBC290 peer_handle = 0x Jun 25 06:14:25.224: ISAKMP: Locking peer struct 0x14FBC290, refcount 1 for ike_initiate_sa_for_inv_spi_recovery.jun 25 06:14:25.224: ISAKMP: local port 500, remote port 500.Jun 25 06:14:25.224: ISAKMP:(0):found peer pre-shared key matching Jun 25 06:14:25.224: ISAKMP:(0): Unknown DOI 0.Jun 25 06:14:25.224: ISAKMP:(0): constructed NAT-T vendor-rfc3947 ID.Jun 25 06:14:25.224: ISAKMP:(0): constructed NAT-T vendor-07 ID.Jun 25 06:14:25.224: ISAKMP:(0): constructed NAT-T vendor-03 ID.Jun 25 06:14:25.224: ISAKMP:(0): constructed NAT-T vendor-02 ID.Jun 25 06:14:25.224: ISAKMP: Find a dup sa in the avl tree during calling isadb_insert sa = DC.Jun 25 06:14:25.224: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH.Jun 25 06:14:25.224: ISAKMP:(0):Old State = IKE_I_MM1 New State = IKE_I_MM2 invalid-spi-recovery が設定されている為 新規 ISAKMP セッションを作成する ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~snip~~~~~~~~~~~~~~~~~~~~~~~~~~

68 良くあるお問い合わせ事例 ~%RECVD_PKT_INV_SPI ISAKMP SA が存在しない状況での Invalid SPI( キャプチャー ) 出力されるログ %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr= , prot=50, spi=0x8631e0da( ), srcaddr= , input interface=gigabitethernet0/2 packet number 1. Invalid SPI の原因となったパケット packet number 2-13 ISAKMP Phase1/2 のやり取り packet number 新規に作成された Ipsec セッションを通して パケットのやり取り

69 良くあるお問い合わせ事例パラメーターのミスマッチ knowledge Parameter mismatch

70 良くあるお問い合わせ事例 ~ パラメーターのミスマッチ 概要 パラメーターのミスマッチが発生すると ISAKMP Phase 1 or 2 の確立が不可となりますので 他ベンダーの機器と相互接続を行う際等は相互の機器の設定の確認とログから原因を特定します ISAKMP Phase 1 ISAKMP Phase 2 接続の確立 パラメーターミスマッチが発生 ISAKMP Phase 1 確立 パラメーターミスマッチが発生 処理順序

71 良くあるお問い合わせ事例 ~ パラメーターのミスマッチ 発生原因の詳細と主なパラメーター Phase1 パラメーターのミスマッチの主な発生原因は設定の間違いです また デフォルトの設定値が対向機器と異なる結果 事象が発生する事もあります 主に設定されているパラメーター C2921(config-isakmp)#? ISAKMP commands: authentication Set authentication method for protection suite default Set a command to its defaults encryption Set encryption algorithm for protection suite exit Exit from ISAKMP protection suite configuration mode group Set the Diffie-Hellman group hash Set hash algorithm for protection suite lifetime Set lifetime for ISAKMP security association no Negate a command or set its defaults C2921(config)#crypto isakmp key 0 cisco address 主なパラメーターの説明 ( 赤字 上から順に ) authenticaiton 認証方式の設定 encryption 暗号化アルゴリズム group Diffie-Hellman group hash ハッシュアルゴリズム lifetime( ミスマッチが起きても接続は可能 ) ISAKMP SA のライフタイム 短い方に合わせられる pre-sharedkey( 認証 ) 共有鍵を設定 C2921(config-crypto-map)#set? identity Identity restriction. ikev2-profile Specify ikev2 Profile ip Interface Internet Protocol config commands isakmp-profile Specify isakmp Profile nat Set NAT translation peer Allowed Encryption/Decryption peer. pfs Specify pfs settings reverse-route Reverse Route Injection. security-association Security association parameters transform-set Specify list of transform sets in priority order C2921(config)#crypto ipsec transform-set cisco esp-aes 256 esp-sha-hmac C2921(cfg-crypto-trans)#mode? transport transport (payload encapsulation) mode tunnel tunnel (datagram encapsulation) mode Phase2 主なパラメーターの説明 ( 赤字 上から順に ) peer 対向機器のアドレスを指定 pfs Perfect forward security に利用する Diffie-Hellman group security-association lifetime ( ミスマッチが起きても接続は可能 ) IPsec SA のライフタイム 短い方に合わせられる transform-set 暗号化 / ハッシュアルゴリズム ペイロードのカプセル化モードを指定その他 :match ip (access-group) 暗号化対象のアドレスを指定 >Proxy address として利用される

72 良くあるお問い合わせ事例 ~ パラメーターのミスマッチ 例 : proxy address のミスマッチ ~ 設定 C2921 側 C2921#show crypto map tag cisco Crypto Map IPv4 "cisco" 1 ipsec-isakmp Peer = Extended IP access list lo0 access-list lo0 permit ip Current peer: Security association lifetime: kilobytes/3600 seconds Responder-Only (Y/N): N PFS (Y/N): N Mixed-mode : Disabled Transform sets={ cisco: { esp-256-aes esp-sha-hmac }, } Interfaces using crypto map cisco: GigabitEthernet0/0 C2951 側 C2951#show crypto map tag cisco Crypto Map IPv4 "cisco" 1 ipsec-isakmp Peer = Extended IP access list lo0 access-list lo0 permit ip host host Current peer: Security association lifetime: kilobytes/3600 seconds Responder-Only (Y/N): N PFS (Y/N): N Mixed-mode : Disabled Transform sets={ cisco: { esp-256-aes esp-sha-hmac }, } Interfaces using crypto map cisco: GigabitEthernet0/2 C2921 における IPsec 対象の通信は Src: /24 Dst: /24 C2951 における IPsec 対象の通信は Src: /32 Dst: /32 通常の ACL ではパケットはフィルターされる事無く互いの Loopback interface 同時の通信は行える

73 良くあるお問い合わせ事例 ~ パラメーターのミスマッチ 例 : proxy address のミスマッチ ~ 接続時のログ (debug) C2921-Initiator Jun 25 07:17:48.888: IPSEC:(SESSION ID = 18) (key_engine) request timer fired: count = 1, (identity) local= :0, remote= :0, local_proxy= / /256/0, remote_proxy= / /256/0 Jun 25 07:17:48.888: IPSEC(sa_request):, (key eng. msg.) OUTBOUND local= :500, remote= :500, local_proxy= / /256/0, remote_proxy= / /256/0, protocol= ESP, transform= esp-aes 256 esp-sha-hmac (Tunnel), lifedur= 3600s and kb, spi= 0x0(0), conn_id= 0, keysize= 256, flags= 0x0 C2951-Responder (key eng. msg.) INBOUND local= :0, remote= :0, local_proxy= / /256/0, remote_proxy= / /256/0, protocol= ESP, transform= esp-aes 256 esp-sha-hmac (Tunnel), lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 256, flags= 0x0 Jun 25 07:17:18.889: IPSEC(ipsec_process_proposal): proxy identities not supported Jun 25 07:17:18.889: ISAKMP:(9013): IPSec policy invalidated proposal with error 32 Jun 25 07:17:18.889: ISAKMP:(9013): phase 2 SA policy not acceptable! (local remote ) C2951 にて QM1 にて受信した proposal に含まれる暗号化対象のネットワークリストと C2951 に設定されている暗号化対象のネットワークリストが一致しなかった為 ISAKMP Phase 2 が確立出来ない

74 良くあるお問い合わせ事例 MAC error knowledge MAC error

75 良くあるお問い合わせ事例 ~%CRYPTO-4-RECVD_PKT_MAC_ERR: 概要 出力されるログ %CRYPTO-4-RECVD_PKT_MAC_ERR: decrypt: mac verify failed for connection id=2989 local= remote= spi=999cd43b seqno= Received Packet MAC Error とは IPsec を構成する受信側ルーターにて受信したフレームの検証を行う際 ハッシュ値の整合性が取れなかった場合に表示される 主な発生原因は IOS の不具合と通信経路上の問題 及び 攻撃者による改竄が挙げられる %CRYPTO-4-RECVD_PKT_MAC_ERR: メッセージはパケット毎に出力される訳では無く 30 秒間に 1 回のレートに制限されています 従って 連続的に 30 秒間隔で出力される場合 ハッシュが一致しない状態が継続している可能性が高いと判断出来ます

76 良くあるお問い合わせ事例 ~%CRYPTO-4-RECVD_PKT_MAC_ERR: コマンドによる確認と回避策 コマンドによる確認 C2951#show crypto ipsec sa detail inc verify current current_peer port 500 #pkts decaps: 50185, #pkts decrypt: 50185, #pkts verify: #pkts invalid prot (recv) 0, #pkts verify failed: 1 current outbound spi: 0x27C5E4B7( ) #pkts verify failed: がカウントされた場合 Hash の不一致が発生している 回避策仮に弊社機器における不具合により発生していた場合 再現環境の構築それ以外の場合は途中経路の問題となるので 途中の経路を調査

77 Q & A 画面右側の Q&A ウィンドウから All Panelist 宛に送信してください

78 Ask the Expert with Hiroki Houjou 今日聞けなかった質問は 今回のエキスパートが担当するエキスパートに質問 ( 7 月 2 日 ~ 7 月 12 日まで開催 ) へお寄せください! Webcast の内容や Q&A ドキュメントは 本日より 5 営業日以内にこのサイトへ掲載いたします

79 今後の Webcast 予定 2015 年 8 月 25 日 ( 火 ) 10:00-11:30 テーマ : 未定 (Wireless 関連 ) 詳細やご登録は CSC トップページのバナーや Webcast サイトをご利用ください

80 コンテンツに関するご意見を募集しています! 掲載してほしい情報あったら役に立つ情報英語ではなく日本語でほしい情報などリクエストをお寄せください

81 ソーシャルメディアでサポートコミュニティと繋がろう Twitter- Google+ LinkedIn Instgram Newsletter Subscription

82 シスコ認定ラーニングパートナー スペシャリゼーションラーニングパートナーリンク データセンター NGN-SF データセンター ネットワンシステムズ tml コラボレーショングローバルナレッジ シスコ認定ラーニングパートナーでは皆様のソリューションを最適化するために Cisco の認定したカリキュラムを使ったトレーニングを提供しております また シスコ認定ラーニングパートナーの中でも シスコスペシャライズドパートナーは特にその専門分野においてのスキルを認められたパートナーのみが授与される認定資格となっております

83 ご参加ありがとうございましたアンケートにもご協力ください

84