よくある GETVPN 問 題 を 解 決 して 下 さい 目 次 概 要 前 提 条 件 要 件 使 用 するコンポーネント バックグラウンド 情 報 -GETVPN トラブルシューティング ツール コントロール プレーン デバッグツール show コマンド syslog グループ ドメイン オブ インタープリテーション(GDOI)イベント トレース GDOI 条 件 付 きデバッグ グローバル 暗 号 化 および GDOI デバッグ データ 平 らなデバッグツール トラブルシューティング ロギングファシリティ 準 備 および 他 の 最 良 の 方 法 IKE 確 立 を 解 決 して 下 さい 最 初 の 登 録 を 解 決 して 下 さい Policy-related 問 題 を 解 決 して 下 さい 政 策 問 題 は 登 録 ( 関 連 故 障 する 終 わりポリシー) 前 に 発 生 します 政 策 問 題 は 登 録 押 される POST 発 生 し グローバル な ポリシーに 関 係 します 政 策 問 題 は 登 録 POST 発 生 し グローバル な ポリシーおよびローカル オーバーライドのマージに 関 係 します キーの 再 生 成 問 題 を 解 決 して 下 さい 時 間 ベース 再 生 防 止 を 解 決 して 下 さい(TBAR) KS 冗 長 性 を 解 決 して 下 さい FAQ なぜ 拒 否 されるこのエラーメッセージ 認 証 %の 設 定 キーの 再 生 成 見 ますか 同 じのための GM として 機 能 するために 1 GETVPN グループのための KS でまた 設 定 されるルータ グループできますか 関 連 情 報 概 要 どんなデバッグを 共 通 グループによって 暗 号 化 される 転 送 する VPN (GETVPN)のほとんどのために 集 まることは 発 行 するかこの 資 料 に 記 述 されています Wen チャン Raffaele Brancaleoni および Atri Basuによって 貢 献 される Cisco TAC エンジニア 前 提 条 件 要 件 次 の 項 目 に 関 する 知 識 があることが 推 奨 されます GETVPN Syslog サーバ 使 用 使 用 するコンポーネント このドキュメントは 特 定 のソフトウェアやハードウェアのバージョンに 限 定 されるものではありません このドキュメントの 情 報 は 特 定 のラボ 環 境 にあるデバイスに 基 づいて 作 成 されたものです このドキュメントで 使 用 するすべ てのデバイスは クリアな(デフォルト) 設 定 で 作 業 を 開 始 しています ネットワークが 稼 働 中 の 場 合 は コマンドが 及 ぼす 潜 在 的 な 影 響 を 十 分 に 理 解 しておく 必 要 があります バックグラウンド 情 報 -GETVPN トラブルシューティング ツール GETVPN はトラブルシューティング プロセスを 楽 にするために 広 範 な 一 組 のトラブルシューティング ツールを 提 供 します どの ツールが 利 用 できる とき 各 トラブルシューティング タスクのために 適 切 な 理 解 することは 重 要 であり 解 決 するとき 実 稼 働 環 境 が 悪 影 響 を 及 ぼされないように 最 少 嵌 入 的 なメソッドから 開 始 することが 常 に 得 策 です そのプロセスを 助 けるために こ
のセクションは 利 用 可 能 ないくつかの 広 く 使 われたツールを 説 明 します: コントロール プレーン デバッグツール show コマンド Show コマンドは 広 く 使 われている GETVPN 環 境 で 動 作 時 オペレーションを 示 すためです syslog GETVPN に 拡 張 な 一 組 の 重 要 なプロトコルイベントおよびエラー 状 態 のための syslog メッセージがあります これはデバッグを 実 行 する 前 に 検 知 する 最 初 のインポート 常 にであるはずです グループ ドメイン オブ インタープリテーション(GDOI)イベント トレース この 機 能 はバージョン 15.1(3)T に 追 加 されました イベントトレースは 重 要 な GDOI イベントのための lightweight 常 時 接 続 トレースおよびエラーを 提 供 します 例 外 状 態 のトレースバックが 有 効 になっている 出 口 パス トレースもあります GDOI 条 件 付 きデバッグ この 機 能 はバージョン 15.1(3)T に 追 加 されました それは 特 にキー サーバで 可 能 性 のあるときのピアアドレスに 基 づいてあ る 特 定 のデバイスのためのフィルタ 処 理 されたデバッグを 可 能 にし 常 に 使 用 する 必 要 があります グローバル 暗 号 化 および GDOI デバッグ これらはさまざまな GETVPM デバッグすべてです Admin は 大 規 模 な 環 境 でデバッグした 場 合 必 要 があります 注 意 する GDOI デバッグによって 5 つのデバッグ レベルはそれ 以 上 のデバッグ 細 かさに 提 供 されます: GM1#debug crypto gdoi gm rekey? all-levels All levels detail Detail level error Error level event Event level packet Packet level terse Terse level Debug Level 得 られる 情 報 Error エラー 状 態 Terse ユーザおよびプロトコルの 問 題 に 関 する 重 要 なメッセージ イベント キー 再 生 成 の 送 受 信 などのイベントおよび 状 態 遷 移 詳 細 (Outcall Billing Detail) 最 も 詳 細 なデバッグ メッセージ 情 報 パケット 詳 細 なパケット 情 報 のダンプを 含 む コントローラの All of the above データ 平 らなデバッグツール いくつかのデータ 平 面 デバッグツールはここにあります: アクセス リスト IP Precedence アカウンティング NetFlow インターフェイス カウンタ 暗 号 カウンター IP Cisco Express Forwarding (CEF) グローバル な 機 能 ごとのドロップ カウンタ 組 み 込 みパケットキャプチャ(EPC) データ 平 らなデバッグ(IPパケットおよび CEF デバッグ) トラブルシューティング ロギングファシリティ 準 備 および 他 の 最 良 の 方 法 解 決 し 始 める 前 にここに 記 述 されているようにロギングファシリティを 準 備 したようにして 下 さい いくつかの 最 良 の 方 法 は またここにリストされています: ルータ 使 用 可 能 メモリ 量 をチェックし 大 きい 値 にロギングバッファデバッギングを 設 定 して 下 さい(10 MB または 多 くも し 可 能 なら) コンソール モニタおよび syslog サーバにロギングをディセーブルにして 下 さい
再 使 用 をバッファリングすること 当 然 のログ 損 失 を 防 ぐために show log コマンドでロギングバッファ コンテンツを 20 分 毎 にに 1 時 間 定 期 的 に 取 得 して 下 さい 必 要 となる 場 合 起 こるものは 何 でも show tech コマンドを 影 響 を 受 けたグループ メンバー(GMs)およびキー サーバ (KSs)から 入 力 し グローバルの show ip route コマンドの 出 力 を 検 査 すれば 各 バーチャルルーティングおよびフォワー ディング(VRF)は 含 みました デバッグされるすべてのデバイス 間 のクロックを 同 期 するために Network Time Protocol (NTP)を 使 用 して 下 さい デバ ッグおよびログメッセージ 両 方 のためのミリ 秒 (ミリ 秒 )タイムスタンプを 有 効 に して 下 さい: service timestamps debug datetime msec service timestamps log datetime msec showコマンド 出 力 がタイムスタンプ 付 きであることを 確 かめて 下 さい Router#terminal exec prompt timestamp コントロール プレーン イベントまたはデータ 平 らなカウンターのための showコマンド 出 力 を 集 めるとき 同 じ 出 力 の 複 数 の 繰 り 返 しを 常 に 集 めて 下 さい IKE 確 立 を 解 決 して 下 さい 登 録 手 続 が 最 初 に 開 始 されるとき GMs および KSs は GDOI トラフィックを 保 護 するためにインターネット キー エクスチェン ジ(IKE) セッションをネゴシエートします GM で IKE がうまく 確 立 されることを 確 認 して 下 さい: gm1#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status 172.16.1.9 172.16.1.1 GDOI_REKEY 1068 ACTIVE 172.16.1.1 172.16.1.9 GDOI_IDLE 1067 ACTIVE 注 : 登 録 のベースである GDOI_IDLE 状 態 は 最 初 の 登 録 の 後 でもう 必 要 とされないので すぐに 時 間 を 計 り 消 えま す KS で 見 るはずです: ks1#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status 172.16.1.1 172.16.1.9 GDOI_IDLE 1001 ACTIVE 注 : キーの 再 生 成 セッションは KS で 必 要 とされてとだけ 現 われます その 状 態 に 達 しない 場 合 これらのステップを 完 了 して 下 さい: 失 敗 の 原 因 についての 把 握 に 関 しては このコマンドからの 出 力 をチェックして 下 さい: router# show crypto isakmp statistics 前 の 手 順 が 有 用 ではない 場 合 通 常 IKE デバッグを 有 効 に する 場 合 プロトコル レベルの 把 握 を 得 ることができます: router# debug crypto isakmp 注 : * IKE は 使 用 されるのに 通 常 UDP/500 ポートで むしろ UDP/848 で 使 用 されません * 問 題 にこのレベルで 出 会 う 場 合 KS および 影 響 を 受 けた GM 両 方 にデバッグを 提 供 して 下 さい
グループのための Rivest-Shamir-Adleman (RSA) SIG への 依 存 が 原 因 で 鍵 変 更 します KS は 設 定 されるRSA キーがありグ ループ 設 定 で 規 定 されるものと 同 じ 名 前 を 持 たなければなりません これをチェックするために このコマンドを 入 力 して 下 さい: ks1# show crypto key mypubkey rsa 最 初 の 登 録 を 解 決 して 下 さい GM で 登 録 ステータスをチェックするために このコマンドの 出 力 を 検 査 して 下 さい: gm1# show crypto gdoi i Registration status Registration status : Registered gm1# 出 力 が 登 録 済 み 以 外 何 でも 示 したもので 場 合 これらのコマンドを 入 力 して 下 さい: GMs: shut down によって 暗 号 有 効 に される インターフェイス 注 意 : アウトオブバンド 管 理 が 有 効 に なることが 期 待 されます これらのデバッグを 有 効 に して 下 さい: gm1# debug crypto gdoi infra packet gm1# debug crypto gdoi gm packet KSs: KS 側 のデバッグを 有 効 に して 下 さい( 次 の セクションを 参 照 して 下 さい) KS デバッグが 準 備 ができているとき 暗 号 有 効 に なる unshut は 登 録 のための 待 機 インターフェイスし(プロセスを 加 速 するため GM のクリア 暗 号 gdoi コマンドを 発 行 して 下 さい) KS の RSA キーの 存 在 を 確 認 して 下 さい: ks1# show crypto key mypubkey rsa これらのデバッグを 有 効 に して 下 さい: ks1# debug crypto gdoi infra packet ks1# debug crypto gdoi ks packet Policy-related 問 題 を 解 決 して 下 さい 政 策 問 題 は 登 録 ( 関 連 故 障 する 終 わりポリシー) 前 に 発 生 します この 問 題 は GMs だけに 影 響 を 与 えます 従 って GM からこの 出 力 を 集 めて 下 さい: gm1# show crypto ruleset 注 : Cisco IOS XE か この 出 力 はソフトウェアでされないのパケット 分 類 以 来 空 常 にです 影 響 を 受 けたデバイスからの show tech コマンド 出 力 は 必 要 情 報 の 残 りを 提 供 したものです 政 策 問 題 は 登 録 押 される POST 発 生 し グローバル な ポリシーに 関 係 します 通 常 この 問 題 が 明 示 する 2 つの 方 法 があります: KS は GM にポリシーを 押 すことができません GMs の 中 のポリシーの 部 分 的 があります どちらかの 問 題 を 解 決 することに 役 立 つためにこれらのステップを 完 了 して 下 さい:
1. 影 響 を 受 けた GM で この 出 力 を 集 めて 下 さい: gm1# show crypto gdoi acl gm1# show crypto ruleset 2. GM のこれらのデバッグを 有 効 に して 下 さい: gm1# debug crypto gdoi infra packet gm1# debug crypto gdoi gm acls packet 3. 影 響 を 受 けた GM 登 録 が この 出 力 を 集 める KS: ks1# show crypto gdoi ks members ks1# show crypto gdoi ks policy 注 : どの KS GM がに 接 続 するか 識 別 するために 提 示 暗 号 gdoi group コマンドを 入 力 して 下 さい 4. 同 じ KS で これらのデバッグを 有 効 に して 下 さい: ks1# debug crypto gdoi infra packet ks1# debug crypto gdoi ks acls packet 5. GM を GM のこのコマンドで 登 録 させます: clear crypto gdoi 政 策 問 題 は 登 録 POST 発 生 し グローバル な ポリシーおよびローカル オーバーライドのマージに 関 係 します この 問 題 は 示 すメッセージの 形 でそれはまたその 逆 にも 暗 号 化 されるはずではないことをローカル ポリシーが 示 す 暗 号 化 された パケットは 受 信 されたことをそれ 自 身 を 繰 り 返 し 現 れます 前 のセクションおよび show tech コマンド 出 力 で 要 求 されるデータ すべてがこの 場 合 必 要 となります キーの 再 生 成 問 題 を 解 決 して 下 さい GMs: これらのデバッグを 収 集 して 下 さい: gm1# debug crypto gdoi infra packet gm1# debug crypto gdoi gm packet gm1# debug crypto gdoi gm rekey packet KSs: GM にまだ 型 GDOI_REKEY の IKE Security Association (SA)があることを 確 認 するためにこのコマンドを 入 力 して 下 さ い: gm1# show crypto isakmp sa 各 KS から show crypto key mypubkey rsa コマンド 出 力 を 集 めて 下 さい キーは 同 一 であると 期 待 されます 発 生 するものが KS に 表 示 するためにこれらのデバッグを 入 力 して 下 さい: ks1# debug crypto gdoi infra packet ks1# debug crypto gdoi ks packet ks1# debug crypto gdoi ks rekey packet 時 間 ベース 再 生 防 止 を 解 決 して 下 さい(TBAR) 従 って TBAR 機 能 はグループを 渡 るタイムキーピングを 必 要 とし GMs 疑 似 時 間 クロックを 絶 えず resynced ように 要 求 します これはキーの 再 生 成 か 2 時 間 毎 にの 間 に 最 初 に 来 るものはどれでも 実 行 された
注 : 適 切 に 関 連 させることができるようにすべての 出 力 およびデバッグは GMs および KS 両 方 から 同 時 に 収 集 する 必 要 が あります このレベルで 発 生 する 問 題 を 調 査 するために この 出 力 を 集 めて 下 さい GMs: gm1# show crypto gdoi gm1# show crypto gdoi replay KS: ks1# show crypto gdoi ks members ks1# show crypto gdoi ks replay より 多 くのダイナミックな 方 法 の TBAR タイムキーピングを 調 査 するために これらのデバッグを 有 効 に して 下 さい: GM: gm1# debug crypto gdoi gm rekey packet gm1# debug crypto gdoi replay packet (verbosity might need to be lowered) KS: ks1# debug crypto gdoi ks rekey packet ks1# debug crypto gdoi replay packet (verbosity might need to be lowered) Cisoc IOSバージョン 15.2(3)T の 時 点 で TBAR エラーを 記 録 するこれらのエラーに 斑 点 を 付 けることもっと 簡 単 にする 機 能 は 追 加 されました GM で TBAR エラーがあるかどうか 確 認 するためにこのコマンドを 使 用 して 下 さい: R103-GM#show crypto gdoi gm replay Anti-replay Information For Group GETVPN: Timebased Replay: Replay Value : 512.11 secs Input Packets : 0 Output Packets : 0 Input Error Packets : 0 Output Error Packets : 0 Time Sync Error : 0 Max time delta : 0.00secs TBAR Error History (sampled at 10pak/min): No TBAR errors detected TBAR 問 題 を 解 決 する 方 法 に 関 する 詳 細 については 時 間 によって 基 づく 再 生 防 止 失 敗 を 参 照 して 下 さい KS 冗 長 性 を 解 決 して 下 さい 協 同 組 合 (おり)は IKE セッション 従 って interkss 通 信 を 保 護 するために 以 前 に 記 述 されている IKE 確 立 のためのトラブルシ ューティング テクニックをいます 同 様 にここに 適 当 確 立 します おり 仕 様 トラブルシューティングはこのコマンドですべての KSs の 出 力 チェックを 含 みました 構 成 します: ks# show crypto gdoi ks coop 注 : おり KSs の 配 備 と 間 違 えられるもっとも 一 般 的 なすべての KSs のグループのための 同 じ RSA キーを(private およ びパブリック 両 方 )インポートすることを 忘 れることです これは 問 題 をの 間 に 鍵 変 更 します 引 き 起 こします KSs の 中 の 公 開 キーを 比 較 するためにチェックし 各 KS からの show crypto key mypubkey rsa コマンドの 出 力 を 比 較 して 下 さ い プロトコル レベルのトラブルシューティングが 必 要 となる 場 合 すべての KSs のこのデバッグを 含 みました 有 効 に して 下 さい: ks# debug crypto gdoi ks coop packet FAQ 拒 否 されるこのエラーメッセージ 認 証 %の 設 定 キーの 再 生 成 見 る 理 由 この 行 が 追 加 された 後 KS を 設 定 するときこのエラーメッセージが 表 示 されます: KS(gdoi-local-server)#rekey authentication mypubkey rsa GETVPN_KEYS
% Setting rekey authentication rejected. このエラーメッセージのための 原 因 は GETVPN_KEYS と 分 類 されるキーがないので 通 常 あります これを 固 定 するために コマン ドを 使 用 して 正 しいラベルでキーを 作 成 して 下 さい: crypto key generate rsa mod <modulus> label <label_name> 注 : これがおり 配 備 追 加 し 次 に 他 の KS の 同 じキーをインポートして 下 さいエクスポート 可 能 なキーワードを 端 に 同 じのための GM として 機 能 するために 1 GETVPN グループのための KS でまた 設 定 されるルータ グループ できますか いいえ すべての GETVPN 配 備 は 同 じグループのための GM として 加 わることができない 専 用 KS を 必 要 とします この 機 能 は ではないですこの 重 大 なネットワークデバイスの 健 全 性 のために 最 適 サポートされませんでしたり ので GM 機 能 性 ルーテ ィング QoS 等 を 暗 号 化 のようなすべての 可 能 性 のある 相 互 対 話 の KS に 追 加 する それは 全 体 の GETVPN 配 備 がはたらくこ とができるようにいつも 利 用 可 能 である 必 要 があります 関 連 情 報 Group Encrypted Transport VPN(GET VPN) -シスコシステムズ テクニカル サポートとドキュメント - Cisco Systems 1992-2015 Cisco Systems, Inc. All rights reserved. Updated: 2015 年 11 月 26 日 Document ID: 116958 http://www.cisco.com/cisco/web/support/jp/112/1121/1121916_116958-troubleshoot-getvpn-00.html