Polling Question 1

Similar documents
IPSEC-VPN IPsec(Security Architecture for Internet Protocol) IP SA(Security Association, ) SA IKE IKE 1 1 ISAKMP SA( ) IKE 2 2 IPSec SA( 1 ) IPs

IPSEC(Si-RGX)

Invalid Security Parameter Index Recovery

パススルー IPSecトンネル インターフェイスに AVC トラフィックを有効に する 回避策

Configuring VPN from Proventia M Series Appliance to Cisco PIX 515E

インターネットVPN_IPoE_IPv6_fqdn

PowerPoint Presentation

橡sirahasi.PDF

技術情報:Si-R/Si-R brinシリーズ設定例 「Oracle Cloud Infrastructure Classic」との接続

Microsoft PowerPoint - Amazon VPCとのVPN接続.pptx

Si-R/Si-R brin シリーズ設定例

IPSEC(Si-RG)

Win XP SP3 Japanese Ed. NCP IPSec client Hub L3 SW SRX100 Policy base VPN fe-0/0/0 vlan.0 Win 2003 SVR /

動的ルーティングを使用してCisco IOS ルータとVPN 5000 コンセントレータ間のGRE Over IPSec を設定する方法

SGX808 IPsec機能

クラウド接続 「Windows Azure」との接続

ホワイトクラウド ASPIRE IPsec VPN 接続構成ガイド ASA5515 を用いた接続構成例 ソフトバンク株式会社

帯域を測ってみよう (適応型QoS/QoS連携/帯域検出機能)

Microsoft Azure AR4050S, AR3050S, AR2050V 接続設定例

Dynamic VPN Dynamic VPN IPSec VPN PC SRX IPSec VPN SRX PC IPSec 2 Copyright 2010 Juniper Networks, Inc.

設定例集_Rev.8.03, Rev.9.00, Rev.10.01対応

Microsoft PowerPoint - IPsec徹底入門.ppt

LAN

PowerPoint プレゼンテーション

SCREENOS NAT ScreenOS J-Series(JUNOS9.5 ) NAT ScreenOS J-Series(JUNOS9.5 ) NAT : Destination NAT Zone NAT Pool DIP IF NAT Pool Egress IF Loopback Grou

FW Migration Guide(ipsec2)

FW Migration Guide(ipsec1)

Agenda IPv4 over IPv6 MAP MAP IPv4 over IPv6 MAP packet MAP Protocol MAP domain MAP domain ASAMAP ASAMAP 2

Microsoft Word - VPNConnectionInstruction-rev1.3.docx

ISE 2.1 および AnyConnect 4.3 ポスチャ USB チェックの設定

初めてのBFD

ISE 2.0: ASA CLI TACACS+ 認証およびコマンド認可の設定例

EAP-PEAP とネイティブ Windows クライアントによる ASA IKEv2 リモート アクセスの設定

template.dvi

SRX License

Packet Tracer: 拡張 ACL の設定 : シナリオ 1 トポロジ アドレステーブル R1 デバイスインターフェイス IP アドレスサブネットマスクデフォルトゲートウェイ G0/ N/A G0/

オペレーティング システムでの traceroute コマンドの使用

IPv6 リンクローカル アドレスについて

VRF のデバイスへの設定 Telnet/SSH アクセス

目次 1 本マニュアルについて 概要 サービスご利用前の注意点 基本概念 基本構成図 設定手順 マネージメントツールへのアクセス Smart Device VPN のユーザ管理... 7

9.pdf

外部ルート向け Cisco IOS と NXOS 間の OSPF ルーティング ループ/最適でないルーティングの設定例

PIM-SSMマルチキャストネットワーク

IOS ゾーン ベースのポリシー ファイアウォールを使用した IOS ルータでの AnyConnect VPN クライアントの設定例

ASA および Cisco IOS グループ ロック機能と AAA 属性および WebVPN の設定例

目次 1. はじめに 接続設定例 ~ 基本的な設定 ~ ネットワーク構成 接続条件 XR の設定... 5 パケットフィルタ設定 VPN Client の設定 仮共有鍵の設定... 7

Autonomous アクセス ポイント上の WEP の設定例

dovpn-set-v100

ip nat outside source list コマンドを使用した設定例

第1回 ネットワークとは

ipsec-debug-00-j.pdf

IPsec徹底入門

F コマンド

Juniper Networks Corporate PowerPoint Template

L2TP_IPSec-VPN設定手順書_

xr-set_IPsec_v1.3.0

FutureNet NXR,WXR設定例集

ISDN を経由した PPP コールバックの設定

untitled

Real4Dumps Real4dumps - Real Exam Dumps for IT Certification Exams

アライドテレシス ディストリビューション・スイッチ AT-x600シリーズで実現するMicrosoft® NAP

IOS Embedded Packet Capture(EPC)機能検証結果報告 伊藤忠テクノソリューションズ株式会社 高原也寿明様

はじめに IRASⅡ(IPsec Remote Access ServiceⅡ) は インターネット暗号化技術により お客様ネットワークにセキュアなリモ-トアクセス環境を提供いたします IRASⅡハードウェアクライアントでは Cisco Systems の IOS ルータ機能を利用します 本マニュア

FUJITSU ULTRA LVD SCSI Host Bus Adapter Driver 3.0 説明書

SRT/RTX/RT設定例集

show debug ~ show ipv6 traffic コマンド

IPCOMとWindows AzureのIPsec接続について

アドレス プールの設定

シナリオ:サイトツーサイト VPN の設定

Cisco Umbrella Branch Cisco Umbrella Branch Cisco ISR Umbrella Branch

ループ防止技術を使用して OSPFv3 を PE-CE プロトコルとして設定する

Microsoft Word - FortiGate-iPhone_VPN_Setup-Guide_v1.0_J_ doc

株式会社スタッフ アンド ブレーン Rev. 1.0 ZyWALL USG シリーズ設定例 Android を利用した L2TP over IPSec VPN 接続 について 構成例 Android を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 回線終端装置 (

FS900S_B

詳細設定

最も一般的な手法: ファイアウォールによってノード間の MPI 通信がブロックされた場合の対応方法

BGP ( ) BGP4 community community community community July 3, 1998 JANOG2: What is BGP Community? 2

Catalyst 2948G-L3 と Catalyst 2900/3500XL または 2970 シリーズ スイッチ間での ISL トランクの設定

IP IPv4-IPv6

SRX IDP Full IDP Stateful Inspection 8 Detection mechanisms including Stateful Signatures and Protocol Anomalies Reassemble, normalize, eliminate ambi

Microsoft PowerPoint ppt [互換モード]

2ACL DC NTMobile ID ACL(Access Control List) DC Direction Request DC ID Access Check Request DC ACL Access Check Access Check Access Check Response DC

改訂履歴 版番号改訂日改訂者改訂内容 年 月 29 日ネットワールド 新規 I

ヤマハ ルーター ファイアウォール機能~説明資料~

マルチポイント GRE を介したレイヤ 2(L2omGRE)

ES1018V2_24V2_MG.book

Cisco Hyperlocation

なって削除されるが invalid-route-reactivateオプションをonで指定している場合 優先度が高い経路が消滅したときに無効になっていたRIP 由来の経路を再有効化する [ ノート ] スタティック経路の優先度は10000で固定である invalid-route-reactivate

CSS のスパニングツリー ブリッジの設定

アライドテレシス・コアスイッチ AT-x900 シリーズ で実現するエンタープライズ・VRRPネットワーク

Cisco Unified IP Phone のモデル情報、 ステータス、および統計の表示

I j

Untitled

CG-SSW indb

リング型IPカメラ監視ソリューション(マルチキャスト編)

IPIP(Si-RGX)

FQDN を使用した ACL の設定

Si-R180 ご利用にあたって

Amazon Web Services (AWS) - ARX640S 接続設定例

Express5800/R110a-1Hユーザーズガイド

Transcription:

Cisco Support Community Expert Series Webcast IPsec 基本とトラブルシューティング ~ IPsec Trouble Shooting ~ 北條弘紀 (Hiroki Houjyo) テクニカルアシスタンスセンター, テクニカルサービス July 1, 2015

ご参加ありがとうございます 本日の資料はこちらからダウンロードいただけます http://supportforums.cisco.com/ja/community/5356/webcast 直接ダウンロードする場合はこちら https://supportforums.cisco.com/ja/document/12545641

オーディオブロードキャストについて [Audio Broadcast( オーディオブロードキャスト )] ウィンドウが自動的に表示され コンピュータのスピーカーから音声が流れます [Audio Broadcast( オーディオブロードキャスト )] ウィンドウが表示されない場合は [Communicate( コミュニケート )] メニューから [Audio Broadcast( オーディオブロードキャスト )] を選択します イベントが開始されると自動的に音声が流れ始めます 音声接続に関する詳細はこちらをご参照ください 解決しない場合は QA ウィンドウよりお知らせください https://supportforums.cisco.com/ja/document/82876

ご質問方法 Webcast 中のご質問は全て画面右側の QA ウィンドウより All Panelist 宛に送信してください

エキスパートスピーカー 北條弘紀 (Hiroki Houjou) テクニカルアシスタンスセンター, テクニカルサービスカスタマーサポートエンジニア

IPsec 基本とトラブルシューティング ~ IPsec Trouble Shooting ~ Cisco Support Community Expert Series Webcast 名前 (Hiroki Houjou) テクニカルアシスタンスセンター, テクニカルサービス July 1, 2015

IPsec のトラブルシューティングを行った事がありますか? 投票質問 1 1. 定常的に行っており show/debug コマンドの出力についても ある程度は理解している 2. トラブルシューティングの為に必要なコマンドを理解している 3. 設定については理解している 4. IPsec の概要を理解している

アジェンダ IPsec の基本的な知識の確認 ISAKMP Phase 1 確立までのフロー ISAKMP Phase 2 確立までのフロー トラブルシューティング IPsec を経由するトラフィックの問題 良くあるお問い合わせ事例 IPsec Anti-Replay Check Failure ~%RECVD_PKT_INV_SPI パラメーターのミスマッチ %CRYPTO-4-RECVD_PKT_MAC_ERR: IPsec 接続の問題 主なコマンドの紹介

IPsec の基本的な知識の確認 Base knowledge of IPsec

IPsec の種類 Site-to-Site -crypto map -Static VTI(sVTI)* -GRE over IPsec* -DMVPN* -GETVPN* remote-access -crypto dynamic map* -Dynamic VTI(dVTI)* -EasyVPN* IPsec 接続は Site-to-site と remote-access に大別されます * 本 webcast では取扱いません

svti と Crypto map の違い 接続形態 コンフィグ ( 差分 ) svti 常時接続 #Tunnel interface は IPsec session が確立された後に UP crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco address 0.0.0.0! crypto ipsec transform-set cisco esp-aes 256 esp-sha-hmac mode tunnel! crypto ipsec profile cisco set transform-set cisco! interface Tunnel0 tunnel mode ipsec ipv4 tunnel protection ipsec profile cisco crypto map 暗号化が必要なトラフィックに応じて接続 #ACL に match したトラフィックにより IPsec session が確立される crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco address 0.0.0.0! crypto ipsec transform-set cisco esp-aes 256 esp-sha-hmac mode- tunnel! crypto map cisco 1 ipsec-isakmp set peer 20.75.0.2 set security-association idle-time 60 set transform-set cisco match address lo0! ip access-list extended lo0 permit ip host 1.1.1.1 host 1.1.1.2! interface GigabitEthernet0/0 crypto map cisco

IPsec を構成するプロトコルと技術 IPsec とは複数のプロトコルとテクノロジーを利用して セキュアな通信を行うプロトコルの名称となります IPsec ISAKMP (IKE) 鍵交換プロトコル ISAKMP によって各種パラメーターが決定される AH ESP

接続確立までのフロー ( 簡易 ) IPsec では接続を開始する機器を initiator 接続を受ける機器を Responder と呼びます initiator responder ISAKMP Phase1 の確立 ISAKMP Phase2 の確立 データを暗号化して通信 isakmp phase1 phase 2 以降に交換される鍵を保護する為に事前に暗号化されたトンネルを生成する =ISAKMP SA isakmp phase2 実際のデータを保護する為の暗号化されたトンネルを生成する =IPsec SA

ISAKMP Phase1 の Mode main mode 合計 6 つの ISAKMP メッセージの送受信でフェーズ 1 を構成します aggressive mode 合計 3 つの ISAKMP メッセージの送受信でフェーズ 1 を構成します main mode に比べ高速にネゴシエーションが完了する また Main モードでの制限が Aggressive mode を利用する事により緩和されます

ISAKMP Phase2 の mode Quick mode 合計 3 つの ISAKMP メッセージの送受信でフェーズ 2 を構成します Quick mode は Phase2 のみで利用可能なモードです

ISAKMP Phase 1 確立までのフロー ISAKMP Phase 1 and Deep dive

ログの取得環境 (site-to-site) 構成とアドレス debug は以下の物を利用しています ---------------------------- debug crypto isakmp debug crypto ipsec debug crypto kmi ---------------------------- Lo0: 1.1.1.1/32 Lo0: 1.1.1.2/32 IOS version : 15.5(2)T C2921 C2951 Gi0/0: 20.75.0.1/8 Gi0/2: 20.75.0.2/8

接続確立までのフロー (ISAKMP Phase1 Main Mode) initiator responder 1.SA パラメーターの提案 3.Phase1 用の鍵情報を送付 5. 認証用 ID の送付 / 認証 MM1 MM2 MM3 MM4 MM5 MM6 2.SA パラメーターの選択 4.Phase1 用の鍵情報を送付 6. 認証用 ID の送付 / 認証

ISAKMP Phase 2 確立までのフロー ISAKMP Phase 2 and Deep dive

接続確立までのフロー (ISAKMP Phase2 Quick Mode) -SA パラメータの提案 -Initator の鍵情報 -IPsec にて暗号化対象のトラフィック SA が確立されたことを確認 initiator QM1 QM2 QM3 responder -SA パラメータの選択 responder の鍵情報 -IPsec にて暗号化対象のトラフィック

トラブルシューティング Trouble shooting

トラブルシューティング ~ まず初めに 正しい判断をする為に 出来る限り多くの情報を集める事から始めます Cisco では SR 問診票として お客様にお問い合わせ頂く前に詳細を記載可能なテンプレートを用意致しております お客様にてトラブルシューティングを実施されます際も 有用なテンプレートとなっておりますので ご活用頂ければ幸いです http://www.cisco.com/cisco/web/support/jp/loc/contact/doc/template_sr.txt テンプレートの主な内容 - 発生時期は何時頃か - 収束した場合 いつ収束したのか - 発生前後での変化は何か - 発生した際の影響 - 発生頻度 - 構成 -IOSversion と機器 設定等の情報

トラブルシューティング ~IPsec で発生するトラブル IPsec のトラブルには主に以下の 2 つがあります -IPsec を経由するトラフィックの問題 Packet の drop 遅延等 -IPsec 接続の問題 IPsec が接続出来ない または接続断となってしまう問題 IPsec を経由するトラフィックの問題 IPsec 接続の問題

トラブルシューティング ~IPsec トラブルへのアプローチ 1. 発生している事象の詳細を確認 2. 発生している事象が接続に関連する問題なのか IPsec を経由する問題なのか切り分ける 3. 必要なログ ( 後述 ) の取得 ログ取得時の注意点 1: IPsec Site-to-Site は対となる 2 台の機器から構成されますので 1 台のみでは無く 対向機器の情報も収集する事により より事象を確認し易くなります ログ取得時の注意点 2: show tech-support のみでは調査が難しい show crypto ipsec client ezvpn show crypto map show crypto isakmp policy show crypto ipsec transform show crypto ipsec profile show crypto isakmp sa show crypto engine connection active show crypto ipsec sa show crypto key mypubkey rsa show crypto call admission statistics show crypto gkm show crypto gkm rekey sa show crypto gkm rekey sa detail show crypto gkm gm show crypto gkm gm acl show crypto gkm gm pubkey show crypto gkm gm rekey detail show crypto gkm gm replay show crypto gkm ipsec sa show crypto gkm ks show crypto gkm ks acl show crypto gkm ks coop show crypto gkm ks coop version show crypto gkm ks identifier detail show crypto gkm ks policy show crypto gkm ks rekey show crypto gkm ks replay show crypto gkm diagnose events show crypto gkm diagnose errors show crypto gkm ks member total show crypto gkm ks member total detail show crypto gkm ks member summary show crypto engine configuration show crypto engine accelerator statistic show crypto engine accel ring packet show crypto engine accel ring pool show crypto engine accel ring control show tech-support には IPsec 関連のコマンドが少ない また取得レベルも低い

トラブルシューティング ~ IPsec を経由するトラフィック Trouble shooting for through the IPsec

トラブルシューティング ~IPsec を経由するトラフィックの問題 前提 前提 : -show / debug コマンドではどのパケットが影響を受けているか確認する事が難しい - show / debug コマンドから packet のドロップや遅延の発生を確認する事は可能となる しかしながら show / debug にて確認が出来ない内部バス等でのパケットドロップまでは確認出来ない -drop/ 遅延しているパケットを特定する事により 発生原因の絞り込みが容易となる - 仮に不具合によって発生していた場合 事象の特定と修正には 再現性の確認が必須 アクション -show / debug コマンドによる packet のドロップや遅延の発生が発生しているか確認 - 後述のパケットキャプチャー方法を用いてドロップや遅延が発生しているパケットの特定と傾向性の有無を調査 - 後述の切り分けの実施 - 事象が確実に再現する環境を構成

トラブルシューティング ~IPsec を経由するトラフィックの問題 主な原因 パケットドロップの主な原因 性能限界 ライセンスに起因する問題 buffer memory の leak 等メモリーの枯渇 QoS Fragment DF bit MTU exceed invalid SPI( 後述 : 良くあるお問い合わせ事例 ) proxy address mismatch( 後述 : 良くあるお問い合わせ事例 ) IPsec Anti-Replay Check Failure ( 後述 : 良くあるお問い合わせ事例 ) パケット遅延の主な原因 QoS 輻輳

トラブルシューティング ~IPsec を経由するトラフィックの問題 取得するログ show tech-support crypto IPsec 関連の show command が入っています 半分は GDOI(GET-VPN) 関連なので GET-VPN 関連のトラブル時にも有用 show crypto tech-support は show version と show running-config を除いたコマンドが取得可能 show version show running-config show crypto isakmp sa count show crypto ipsec sa count show crypto isakmp sa detail show crypto ipsec sa detail show crypto session summary show crypto session detail show crypto isakmp peers show crypto ruleset detail show processes memory <IKMP の PID> show processes <IKMP の PID> show crypto eli all show cry engine accelerator statistic show cry isakmp diagnose error show cry isakmp diagnose error count show crypto call admission statistics show crypto gdoi show crypto gdoi rekey sa show crypto gdoi rekey sa detail show crypto gdoi gm show crypto gdoi gm acl show crypto gdoi gm pubkey show crypto gdoi gm rekey detail show crypto gdoi gm replay show crypto gdoi ipsec sa show crypto gdoi ks show crypto gdoi ks acl show crypto gdoi ks coop show crypto gdoi ks coop version show crypto gdoi ks identifier detail show crypto gdoi ks member show crypto gdoi ks policy show crypto gdoi ks rekey show crypto gdoi ks replay show crypto gdoi diagnose events show crypto gdoi diagnose errors recent

トラブルシューティング ~IPsec を経由するトラフィックの問題 取得するべきコマンド (ISR ルーター ) <show commands> # 事象発生前 / 事象発生中 ( 複数回 )/ 事象発生後に取得 show tech-support show crypto tech-support show crypto ruleset detail show crypto datapath ipv4 realtime non-zero show crypto datapath ipv6 realtime non-zero show crypto engine connection active show process cpu sort exc 0.00 show process cpu extended history show ip traffic show ip traffic <interface> show policy-map interface show ip route <debug commands> # 事象発生前から発生後まで取得 debug crypto isakmp detail debug crypto isakmp packet debug crypto isakmp error debug crypto isakmp stat debug crypto ipsec debug crypto ipsec error debug crypto ipsec states debug crypto ipsec message debug crypto ipsec hw-request debug crypto socket debug crypto engine error debug ip routing debug crypto engine packet detail <Ohters> パケットキャプチャー syslog

トラブルシューティング ~IPsec を経由するトラフィックの問題 取得するべきコマンド (ASR1000 ルーター ) # 事象発生前 / 事象発生中 ( 複数回 )/ 事象発生後に取得 show tech-support show crypto tech-support show crypto ruleset detail show crypto datapath ipv4 realtime non-zero show crypto datapath ipv6 realtime non-zero show crypto engine connection active show process cpu sort exc 0.00 show process cpu extended history show ip traffic show ip traffic <interface> show policy-map interface show ip route show platform show platform hardware crypto-device statistics show platform hardware crypto-device utilization show platform hardware qfp active infrastructure punt statistics type punt-drop show platform hardware qfp active statistics drop include Ipsec show platform hardware qfp active feature ipsec state show platform software ipsec FP active isakmp-sa all show platform software ipsec FP active encryption-processor statistics show platform software ipsec FP active inventory show platform software ipsec FP active pending-message all show platform software ipsec FP active spd-map all show platform software ipsec FP active spd-obj all show platform software ipsec FP active flow all <debug commands> # 事象発生前から発生後まで取得 debug crypto isakmp detail debug crypto isakmp packet debug crypto isakmp error debug crypto isakmp stat debug crypto ipsec debug crypto ipsec error debug crypto ipsec states debug crypto ipsec message debug crypto ipsec hw-request debug crypto socket debug crypto engine error debug ip routing debug crypto routing debug crypto verbose debug crypto engine error debug platform hardware qfp active feature ipsec client info debug platform hardware qfp active feature crypto-device pal all debug platform hardware qfp active feature tunnel client all debug platform software ipsec all <Ohters> パケットキャプチャー syslog

トラブルシューティング ~IPsec を経由するトラフィックの問題 パケットキャプチャー drop や遅延を確認する為には IPsec を構成する拠点間の LAN 側におけるパケットキャプチャーが有用 更に 経路上で取れれば best LAN 側 Router IPsec Router LAN 側 Capture

トラブルシューティング ~IPsec を経由するトラフィックの問題 パケットキャプチャーの為の手法 1 IPsec 通信と同等の処理を行いながら 暗号化を解く為に transform-set に esp-null を指定する事により パケットの中身を wireshark にて確認可能となります 例 ) C2921#show crypto ipsec transform-set Transform set default: { esp-aes esp-sha-hmac } will negotiate = { Transport, }, Transform set null: { esp-null esp-md5-hmac } will negotiate = { Tunnel, }, C2921# C2921#sh run inc trans crypto ipsec transform-set null esp-null esp-md5-hmac

トラブルシューティング ~IPsec を経由するトラフィックの問題 パケットキャプチャーの為の手法 1 元のパケット

トラブルシューティング ~IPsec を経由するトラフィックの問題 パケットキャプチャーの為の手法 1 wireshark でのデコード手順 Edit > Preferences > Protocol > ESP > Attempt detect decode encrypted ESP payloads:

トラブルシューティング ~IPsec を経由するトラフィックの問題 パケットキャプチャーの為の手法 1 wireshark でのデコード結果

トラブルシューティング ~IPsec を経由するトラフィックの問題 パケットキャプチャーの為の手法 2 crypto chip の処理前後での packet を出力する為以下の debug を有効化 C2921#debug crypto engine packet detail 出力結果 C2921#ping 1.1.1.2 so lo0 re 1 Type escape sequence to abort. Sending 1, 100-byte ICMP Echos to 1.1.1.2, timeout is 2 seconds: Packet sent with a source address of 1.1.1.1! Success rate is 100 percent (1/1), round-trip min/avg/max = 4/4/4 ms C2921# 45なので 16block Jun 25 は 10:10:47.304: Before encryption: IPv4/Header 20byte 0E9150D0: 45000064 00CA0000 E..d.J.. source/dest IP 0E9150E0: FF01B6CA 01010101 01010102 080043AD..6J...C- 0E9150F0: 00450000 00000000 0E082C50 ABCDABCD.E...,P+M+M 0E915100: ABCDABCD ABCDABCD ABCDABCD ABCDABCD +M+M+M+M+M+M+M+M デコード 0E915110: ABCDABCD ABCDABCD ABCDABCD ABCDABCD +M+M+M+M+M+M+M+M 0E915120: ABCDABCD ABCDABCD ABCDABCD ABCDABCD +M+M+M+M+M+M+M+M 0E915130: ABCDABCD ABCDABCD ABCDABCD 01020304 +M+M+M+M+M+M... 0E915140: 05060708 090A0A04 0000... Jun 25 10:10:47.308: After encryption: 0E925250: 450000A8 34004000 E..(4.@. 0E925260: FF321E8B 144B0001 144B0002 57A40C1D.2...K...K..W$.. -----------------snip---------------- 赤字がパケットの中身 ether header とプロトコルヘッダー (IP:0800) が除かれているので適当な ether header とプロトコルヘッダーを追加 Src MAC : 00 00 00 00 00 00 Dst MAC : 00 00 00 00 00 00 Protocol : 0800 -------------------------------------------- 45000064 00CA0000 FF01B6CA 01010101 01010102 080043AD 00450000 00000000 0E082C50 ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD 01020304 05060708 090A0A04 0000

トラブルシューティング ~IPsec を経由するトラフィックの問題 パケットキャプチャーの為の手法 2( 続き ) ether header と IP(0800) が除かれているので適当な ether header とプロトコルヘッダーを追加 Src MAC : 00 00 00 00 00 00 Dst MAC : 00 00 00 00 00 00 Protocol : 0800 -------------------------------------------- 45000064 00CA0000 FF01B6CA 01010101 01010102 080043AD 00450000 00000000 0E082C50 ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD ABCDABCD 01020304 05060708 090A0A04 0000 デコード 同様に暗号化後のパケットも復元出来ます

トラブルシューティング ~IPsec を経由するトラフィックの問題 その他パケットキャプチャーの為の手法 EPC(Embedded Packet Capture) https://supportforums.cisco.com/document/139686/configuration-example-embedded-packet-capturecisco-ios-and-ios-xe RITE(Router IP Traffic Export) http://www.cisco.com/c/en/us/td/docs/ios/12_4t/12_4t11/ht_rawip.html 機能の紹介と設定事例は URL をご参照下さい 尚 これらの機能は他のトラブルシューティングにも有用な機能となっておりますので ご活用頂ければ幸いです

トラブルシューティング ~IPsec を経由するトラフィックの問題 切り分け 切り分けに有用な手法 - 事象が発生する最小限の設定を確認複数の機能を利用している場合 IPsec 以外の機能により事象が発生している可能性があります また なるべくシンプルな設定にて事象を確認する事により 事象の発生原因の想定 または絞り込みが行い易くなります -IOS version の変更既知の不具合にて事象が発生していた場合 IOS のバージョンアップを行う事により事象を回避出来る可能性が御座います 不具合に対する修正は基本的に最新バージョンへ最初に適用する形となりますので 既知の不具合の切り分けには最新バージョンでの再現性の確認が重要となります -ISM-VPN を利用の場合 onboard accelerator へ変更 ISM-VPN をご利用の場合 オンボードの crypto chip を利用する処理とは異なる処理となりますので ISM-VPN module を無効化頂き onboard accelerator 処理を行わせる事により 事象の収束と ISM-VPN module が事象発生条件の一つである事がご確認頂けます ISM-VPN module 無効化のコマンド no crypto engine slot 0

トラブルシューティング ~ IPsec 接続の問題 Trouble shooting for IPsec connection

トラブルシューティング ~IPsec 接続の問題 前提 前提 : -show コマンドのみでは IPsec 接続確立までのステータスや接続断の原因がログに出力されない為調査が困難トラブルシューティングには debug ログが必須 -MM1からMM4 まではパケットが暗号化されていない為 パケットキャプチャーによっても一部の内容は確認可能アクション -debug ログから ISAKMP Phase 1 or 2 また MM/AM/QM のいずれのフェーズまで成功しているかを確認する事により 事象の発生原因を絞り込む -debug ログから接続断前後のログを確認して なぜセッションが切れたかを確認例 :DPD timeout

トラブルシューティング ~IPsec 接続の問題 主な原因 接続断の主な原因 性能限界 ライセンスに起因する問題 DPD timeout Tunnel source tracking Invalid SPI recovery の設定が適用されていない ( 後述 : 良くあるお問い合わせ事例 ) ISAKMP/IPsec Parameter の mismatch ( 後述 : 良くあるお問い合わせ事例 )

トラブルシューティング ~IPsec 接続の問題 取得するべきコマンド (ISR ルーター ) # 事象発生前 / 事象発生中 ( 複数回 )/ 事象発生後に取得 show tech-support show crypto tech-support show crypto ruleset detail show crypto datapath ipv4 realtime non-zero show crypto datapath ipv6 realtime non-zero show crypto engine connection active show process cpu sort exc 0.00 show process cpu extended history show ip traffic show ip traffic <interface> show policy-map interface show ip route <debug commands> # 事象発生前から発生後まで取得 debug crypto isakmp detail debug crypto isakmp packet debug crypto isakmp error debug crypto isakmp stat debug crypto ipsec debug crypto ipsec error debug crypto ipsec states debug crypto ipsec message debug crypto ipsec hw-request debug crypto socket debug crypto engine error debug ip routing <Ohters> パケットキャプチャー syslog

トラブルシューティング ~IPsec 接続の問題 取得するべきコマンド (ASR1000 ルーター ) # 事象発生前 / 事象発生中 ( 複数回 )/ 事象発生後に取得 show tech-support show crypto tech-support show crypto ruleset detail show crypto datapath ipv4 realtime non-zero show crypto datapath ipv6 realtime non-zero show crypto engine connection active show process cpu sort exc 0.00 show process cpu extended history show ip traffic show ip traffic <interface> show policy-map interface show ip route show platform show platform hardware crypto-device statistics show platform hardware crypto-device utilization show platform hardware qfp active infrastructure punt statistics type punt-drop show platform hardware qfp active statistics drop include Ipsec show platform hardware qfp active feature ipsec state show platform software ipsec FP active isakmp-sa all show platform software ipsec FP active encryption-processor statistics show platform software ipsec FP active inventory show platform software ipsec FP active pending-message all show platform software ipsec FP active spd-map all show platform software ipsec FP active spd-obj all show platform software ipsec FP active flow all <debug commands> # 事象発生前から発生後まで取得 debug crypto isakmp detail debug crypto isakmp packet debug crypto isakmp error debug crypto isakmp stat debug crypto ipsec debug crypto ipsec error debug crypto ipsec states debug crypto ipsec message debug crypto ipsec hw-request debug crypto socket debug crypto engine error debug ip routing debug crypto routing debug crypto verbose debug crypto engine error debug platform hardware qfp active feature ipsec client info debug platform hardware qfp active feature crypto-device pal all debug platform hardware qfp active feature tunnel client all debug platform software ipsec all <Ohters> パケットキャプチャー syslog

トラブルシューティング ~ 主なコマンドの紹介 show crypto isakmp sa detail ISAKMP Phase 1 の SA に関する詳細を表示するコマンド出力例 C2921#show crypto isakmp sa detail Codes: C - IKE configuration mode, D - Dead Peer Detection K - Keepalives, N - NAT-traversal T - ctcp encapsulation, X - IKE Extended Authentication psk - Preshared key, rsig - RSA signature renc - RSA encryption IPv4 Crypto ISAKMP SA C-id Local Remote I-VRF Status Encr Hash Auth DH Lifetime Cap. 1032 20.75.0.1 20.75.0.2 ACTIVE aes sha psk 1 23:40:12 Engine-id:Conn-id = SW:32 C-id : connection id Local : Local address Remote : Remote address Status : Status of ISAKMP SA Encr : Encryption algorithm Hash : Hash algorithm Authe : Authentication method DH : Diffi-hellman group Lifetime : lifetime of ISAKMP SA IPv6 Crypto ISAKMP SA

トラブルシューティング ~ 主なコマンドの紹介 show crypto ipsec sa detail ISAKMP Phase 2 の SA に関する詳細を表示するコマンド出力例 C2921#show crypto ipsec sa detail interface: GigabitEthernet0/0 Crypto map tag: cisco, local addr 20.75.0.1 protected vrf: (none) local ident (addr/mask/prot/port): (1.1.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (1.1.1.0/255.255.255.0/0/0) current_peer 20.75.0.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 7600, #pkts encrypt: 7600, #pkts digest: 7600 #pkts decaps: 7591, #pkts decrypt: 7591, #pkts verify: 7591 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #pkts no sa (send) 0, #pkts invalid sa (rcv) 0 #pkts encaps failed (send) 0, #pkts decaps failed (rcv) 0 #pkts invalid prot (recv) 0, #pkts verify failed: 0 #pkts invalid identity (recv) 0, #pkts invalid len (rcv) 0 #pkts replay rollover (send): 0, #pkts replay rollover (rcv) 0 ##pkts replay failed (rcv): 0 #pkts tagged (send): 0, #pkts untagged (rcv): 0 #pkts not tagged (send): 0, #pkts not untagged (rcv): 0 #pkts internal err (send): 0, #pkts internal err (recv) 0 各種カウンター赤字太線がエラー時にカウントアップされる 主なカウンター local crypto endpt.: 20.75.0.1, remote crypto endpt.: 20.75.0.2 plaintext mtu 1438, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0 current outbound spi: 0x8366EA60(2204559968) PFS (Y/N): N, DH group: none 上から順に MTU/ 現在利用している outbound の SA(SPI) PFS の利用有無と DH group

トラブルシューティング ~ 主なコマンドの紹介 show crypto ipsec sa detail( 続き ) inbound esp sas: spi: 0x4380CDA5(1132514725) transform: esp-256-aes esp-sha-hmac, in use settings ={Tunnel, } conn id: 4027, flow_id: Onboard VPN:2027, sibling_flags 80000040, crypto map: cisco sa timing: remaining key lifetime (k/sec): (4352389/36) IV size: 16 bytes replay detection support: Y Status: ACTIVE(ACTIVE) spi: 0x842AD8F1(2217400561) transform: esp-256-aes esp-sha-hmac, in use settings ={Tunnel, } conn id: 4029, flow_id: Onboard VPN:2029, sibling_flags 80000040, crypto map: cisco sa timing: remaining key lifetime (k/sec): (4155502/115) IV size: 16 bytes replay detection support: Y Status: ACTIVE(ACTIVE) inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x64D8D278(1691931256) transform: esp-256-aes esp-sha-hmac, in use settings ={Tunnel, } conn id: 4028, flow_id: Onboard VPN:2028, sibling_flags 80000040, crypto map: cisco ~~~~~~~~~~~~~~~~~~~~~~snip~~~~~~~~~~~~~~~~~~~~ ( 出力は IPsec SA rekey 時の出力 ) IPsec SA は inbound/outboud それぞれ 1つの SA を利用する為 出力は inbound/outbound に分かれて出力される灰色は旧 IPsec SA 黄色は新 IPsec SA 赤字の上から順に SPIの値利用している Algorithm IPsec のモード (Tunnel or Transport) connection id 等 IPsec SA の lifetime(killobyteと秒の残りの値 ) Anti replay の設定有無 IPsec SA のステータス ( 有効 / 無効 )

トラブルシューティング ~ 主なコマンドの紹介 show crypto call admission statistics ISAKAMP Phase1/2 の接続に関する統計情報等を表示出力例 C2921#show crypto call admission statistics --------------------------------------------------------------------- Crypto Call Admission Control Statistics --------------------------------------------------------------------- System Resource Limit: 0 Max IKE SAs: 0 Max in nego: 1000 Total IKE SA Count: 1 active: 1 negotiating: 0 Incoming IKE Requests: 5 accepted: 5 rejected: 0 Outgoing IKE Requests: 1115 accepted: 1115 rejected: 0 Rejected IKE Requests: 0 rsrc low: 0 Active SA limit: 0 In-neg SA limit: 0 IKE packets dropped at dispatch: 0 Max IPSEC SAs: 0 Total IPSEC SA Count: 1 active: 1 negotiating: 0 Incoming IPSEC Requests: 975 accepted: 975 rejected: 0 Outgoing IPSEC Requests: 51 accepted: 51 rejected: 0 IKE = ISAKMP Phase1 IPsec = ISAKMP Phase2 上から順にシステムのリソース制限値 Incoming/Outgoing IKE request の統計 (reject が増えているか否か ) Incoming/Outgoing Ipsec request の統計 (reject が増えているか否か ) Phase1.5 SAs under negotiation: 0

トラブルシューティング ~ 主なコマンドの紹介 show crypto engine connections active Crypto Chip での統計情報と ESP/AH パケットの sequence number を確認出力例 C2921#show crypto engine connections active Crypto Engine Connections ID Type Algorithm Encrypt Decrypt LastSeqN IP-Address 1032 IKE SHA+AES256 0 0 0 20.75.0.1 4037 IPsec AES256+SHA 0 5 5 20.75.0.1 4038 IPsec AES256+SHA 5 0 0 20.75.0.1 #1 #2 #3 #4 #5 #6 #7 #1-7 までの説明 #1 Connection ID #2 SA のタイプ #3 利用されているアルゴリズム #4 暗号化されたパケットのカウント #5 複合化されたパケットのカウント #6 Incoming パケットの最後のシーケンス番号 (Antireplay window 時等 ) #7 SA が bind されているインターフェイスの IP

トラブルシューティング ~ 主なコマンドの紹介 show crypto session detail ISAKMP/IPsec セッションの統計情報とライフタイムの残り時間を確認出力例 C2921#show crypto session detail Crypto session current status Code: C - IKE Configuration mode, D - Dead Peer Detection K - Keepalives, N - NAT-traversal, T - ctcp encapsulation X - IKE Extended Authentication, F - IKE Fragmentation R - IKE Auto Reconnect Interface: GigabitEthernet0/0 Uptime: 00:29:03 Session status: UP-ACTIVE Peer: 20.75.0.2 port 500 fvrf: (none) ivrf: (none) Phase1_id: 20.75.0.2 Desc: (none) Session ID: 0 IKEv1 SA: local 20.75.0.1/500 remote 20.75.0.2/500 Active Capabilities:(none) connid:1032 lifetime:23:30:56 IPSEC FLOW: permit ip 1.1.1.0/255.255.255.0 1.1.1.0/255.255.255.0 Active SAs: 4, origin: crypto map Inbound: #pkts dec'ed 7638 drop 0 life (KB/Sec) 4376838/114 Outbound: #pkts enc'ed 7647 drop 0 life (KB/Sec) 4376838/114

トラブルシューティング ~ 主なコマンドの紹介 show crypto mib ike flowmib history ISAKMP SA の過去の情報を確認可能出力例 C2921#show crypto mib ike flowmib history vrf Global Reason: Operator request Index: 1 Local type: ID_IPV4_ADDR Local address: 20.75.0.1 Remote type: ID_IPV4_ADDR Remote address: 20.75.0.2 Negotiation mode: Main Mode Diffie Hellman Grp: 1 Encryption algo: aes Hash algo: sha Auth method: psk Lifetime: 86400 Active time: 1d00h Policy priority: 1 Keepalive enabled: No In octets: 1128 In packets: 6 In drops: 0 In notifys: 1 In P2 exchanges: 2 In P2 exchg invalids: 0 In P2 exchg rejected: 0 In P2 SA delete reqs: 1 Out octets: 1538 Out packets: 9 Out drops: 0 Out notifys: 2 Out P2 exchgs: 4 Out P2 exchg invalids: 0 Out P2 exchg rejects: 0 Out P2 Sa delete requests: 1 ~~~~~~~~~~~~~~~~~~~snip~~~~~~~~~~~~~~~~~~~~ Reason: Peer lost Index: 3 Local type: ID_IPV4_ADDR Local address: 20.75.0.1 Remote type: ID_IPV4_ADDR Remote address: 20.75.0.2 Negotiation mode: Main Mode Diffie Hellman Grp: 1 Encryption algo: aes Hash algo: sha Auth method: psk Lifetime: 86400 Active time: 00:02:38 Policy priority: 1 Keepalive enabled: Yes In octets: 796 In packets: 4 In drops: 0 In notifys: 0 In P2 exchanges: 1 In P2 exchg invalids: 0 In P2 exchg rejected: 0 In P2 SA delete reqs: 0 Out octets: 1790 Out packets: 11 Out drops: 0 Out notifys: 6 Out P2 exchgs: 2 Out P2 exchg invalids: 0 Out P2 exchg rejects: 0 Out P2 Sa delete requests: 0

トラブルシューティング ~ 主なコマンドの紹介 show crypto mib ipsec flowmib history IPsec SA の過去の情報を確認可能出力例 C2921#show crypto mib ipsec flowmib history vrf Global ~~~~~~~~~~~~~~snip~~~~~~~~~~~~~~~~~~~~~~~~~ Reason: Other Index: 2 Local address: 20.75.0.1 Remote address: 20.75.0.2 IPSEC keying: IKE Encapsulation mode: 1 Lifetime (KB): 4608000 Lifetime (Sec): 3600 Active time: 00:00:30 Lifetime threshold (KB): 423559168 Lifetime threshold (Sec): 3590000 Total number of refreshes: 1 Expired SA instances: 2 Current SA instances: 2 In SA DH group: None In sa encrypt algorithm: aes In SA AH auth algorithm: None In SA ESP auth algo: ESP_HMAC_SHA In SA uncompress algorithm: None Out SA DH group: None Out SA encryption algorithm: aes Out SA auth algorithm: None Out SA ESP auth algorithm: ESP_HMAC_SHA Out SA uncompress algorithm: None In octets: 300 Decompressed octets: 0 In packets: 3 In drops: 0 In replay drops: 0 In authentications: 3 In authentication failures: 0 In decrypts: 3 In decrypt failures: 0 Out octets: 504 Out uncompressed octets: 0 Out packets: 3 Out drops: 0 Out authentications: 3 Out authentication failures: 0 Out encryptions: 3 Out encryption failures: 0 Compressed octets: 0 Decompressed octets: 0 Out uncompressed octets: 0

良くあるお問い合わせ事例 knowledge

良くあるお問い合わせ事例 IPsec Anti-Replay Check Failure knowledge IPsec Anti-Replay Check Failure

良くあるお問い合わせ事例 ~IPsec Anti-Replay Check Failure 概要と設定 出力されるログ %CRYPTO-4-PKT_REPLAY_ERR: decrypt: replay check failed connection id=<connection id>, sequence number=<sequence number> # メッセージは必ず受信側にて出力されます Anti-Replay Check とは通常 暗号化処理されたパケットは順番通り 送信され 対向にて受信される事が期待されています また QoS やその他輻輳等により多少のパケットの順番が変わる事は一般的に想定されます Anti-Replay Check の目的は 悪意を持った攻撃者が細工したパケットをルーターに送信する事により攻撃を行おうとした際に sequence number をチェックする事により攻撃を成立する事を防ぐ事です この機能はデフォルトで有効になっています 設定 C2921(config)#crypto ipsec security-association replay? disable Disable replay checking window-size Set replay window size. C2921(config)#crypto ipsec security-association replay wi C2921(config)#crypto ipsec security-association replay window-size? 1024 Window size of 1024 128 Window size of 128 256 Window size of 256 512 Window size of 512 64 Window size of 64 (default) C2921(config)#crypto ipsec security-association replay window-size 64 デフォルトの設定値 有効 / 無効 有効 window-size 64 packet

良くあるお問い合わせ事例 ~IPsec Anti-Replay Check Failure 発生原因の詳細 sequence number 1000 936 500 許容する sequence number のレンジ (936-1000) 許容する sequence number レンジ外の sequence number( 赤線 ) 0 time 通信開始 30 秒後に受信した ESP パケットの sequence number が 1000( 青太線 ) であった場合 輻輳等によるパケットの前後を考慮して sequence number 936-1000( 黄色線内 ) のパケットは受信して処理を行います この時 攻撃者が sequence number 500( 赤線 ) のパケットを送出して来た場合 上記 sequence number の範囲外のパケットとなる事から ルーターでは sequence number 500 のパケットをドロップします 結果 前頁で記載した syslog が表示され パケットは破棄されます 多量の通信が行われている環境では sequence number の増加速度は速くなり 単位時間当たりの Anti-replay check windowsize を拡大しない場合 Anti-Replay Check Failure が多発する一因となります

良くあるお問い合わせ事例 ~IPsec Anti-Replay Check Failure 回避策 設定による回避 Anti-Replay Check の無効化 C2921(config)#crypto ipsec security-association replay disable Anti-Replay Check Window-size の変更 C2921(config)#crypto ipsec security-association replay window-size 1024 優先制御による回避 ESP パケットを PQ や LLQ に割り当てる # 途中の経路上における設定変更が不可の機器にて QoS や輻輳等によりパケットの順序が著しく変わる場合は Anti-Replay Check を無効化する以外有用な方法はありません

良くあるお問い合わせ事例 ~IPsec Anti-Replay Check Failure コマンドによる確認 %CRYPTO-4-PKT_REPLAY_ERR: decrypt: replay check failed connection id=2011, sequence number=500 C2921#show crypto ipsec sa inc conn id peer inbound outbound current_peer 20.75.0.2 port 500 current outbound spi: 0xCE147246(3457446470) inbound esp sas: conn id: 2011, flow_id: Onboard VPN:11, sibling_flags 80004040, crypto map: cisco inbound ah sas: inbound pcp sas: outbound esp sas: conn id: 2012, flow_id: Onboard VPN:12, sibling_flags 80004040, crypto map: cisco 現在の connection id は 2011 C2921#show crypto ipsec sa peer 20.75.0.2 detail inc replay failed ##pkts replay failed (rcv): 1 1 パケットがエラー %CRYPTO-4-PKT_REPLAY_ERR: メッセージはパケット毎に出力される訳では無く 1 分間に 1 回のレートに制限されています 従って 連続的に 1 分間隔で出力される場合 Anti-Replay Check Failure の状態が継続している可能性が高いと判断出来ます

良くあるお問い合わせ事例 Invalid SPI knowledge Invalid SPI

良くあるお問い合わせ事例 ~%RECVD_PKT_INV_SPI 概要 出力されるログ %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=20.75.0.2, prot=50, spi=0xcde9d256(3454653014), srcaddr=20.75.0.1, input interface=gigabitethernet0/2 Invalid SPI とは通常 IPsec を構成するルーターでは outbound / inbound それぞれ 1 つの IPsec SA を利用して 通信を行います 当該メッセージが出力されたルーターで使用している SA 内の SPI 以外の SPI を持つパケットを受信した際に上記メッセージが表示されます Rekey 時に片方のルーターが新しい SPI を持つ IPsec SA を使いパケットを送出した後 対向側では新しい IPsec SA の利用準備が整っていない場合等に出力されます Rekey を行う機器の処理性能や負荷によっては通常これらのタイミングのズレが発生し 上記メッセージが表示される事は想定された動作となります 一方 継続的に出力される場合 それぞれのルーターにて IPsec SA を確認する必要があります 同様のケースとして 対向機器の電源障害によるリロード後 障害の発生していない機器から送出された IPsec SA により障害が発生した機器にて Invalid SPI が検出される事があります %CRYPTO-4-RECVD_PKT_INV_SPI メッセージはパケット毎に出力される訳では無く 1 分間に 1 回のレートに制限されています 従って 連続的に 1 分間隔で出力される場合 Invalid SPI の状態が継続している可能性が高いと判断出来ます

良くあるお問い合わせ事例 ~%RECVD_PKT_INV_SPI 発生原因の詳細 current SPI A next SPI B C2921 SPI missmatch SPI B を利用して暗号化された ESP パケット Old SPI A current SPI B C2951 C2951 は rekey 後に SPI B を利用してトラフィックを暗号化し対向の C2921 へ送信します C2921 はまだ SPI B への移行が完了しておらず SPI A を利用しています C2921 では利用している SPI と異なる SPI を利用する IPsec SA により暗号化されたパケットを受信した為 Invalid SPI として該当のパケットを破棄します

良くあるお問い合わせ事例 ~%RECVD_PKT_INV_SPI 回避策 設定による回避 Invalid SPI recovery の有効化 C2921(config)#crypto isakmp invalid-spi-recovery crypto isakmp invalid-spi-recovery が動作する条件 -ISAKMP SA が存在する状況での Invalid SPI crypto isakmp invalid spi-recovery の設定に関わらず DELETE notification が ISAKMP メッセージとして対向へ伝達される -ISAKMP SA が存在せず IPsec SA が存在する状況での Invalid SPI 未設定 crypto isakmp invalid-spi-recovery 設定がされていない場合は SA の lifetime まで通信が出来ない状況が継続する 設定済み crypto isakmp invalid-spi-recovery 設定済みの場合 新規 ISAKMP SA を構成し 新規 ISAKMP SA 上で DELETE notification メッセージを対向に送出

良くあるお問い合わせ事例 ~%RECVD_PKT_INV_SPI invalid SPI recovery の補足 invalid SPI recovery が機能する設定 -static crypto map -P2P GRE with TP -mgre TP that uses w/ static NHRP mapping -svti invalid SPI recovery が機能しない設定 -Dynamic crypto-map -mgre TP that uses w/ dynamic NHRP mapping etc

良くあるお問い合わせ事例 ~%RECVD_PKT_INV_SPI コマンドによる確認 出力されるログ %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=213.163.222.7, prot=50, spi=0x68842105(1753489669), srcaddr=11.1.1.3, input interface=ethernet0/0 C2951#show crypto ipsec sa inc spi outbound inbound current outbound spi: 0x644B28AD(1682647213) inbound esp sas: spi: 0x2A61CDC4(711052740) inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x644B28AD(1682647213) outbound ah sas: outbound pcp sas: C2951# C2951#show crypto isakmp sa detail Codes: C - IKE configuration mode, D - Dead Peer Detection K - Keepalives, N - NAT-traversal T - ctcp encapsulation, X - IKE Extended Authentication psk - Preshared key, rsig - RSA signature renc - RSA encryption IPv4 Crypto ISAKMP SA syslog に表示されている SPI(0x68842105) と実際に利用している SPI(0x2A61CDC4) が異なる C-id Local Remote I-VRF Status Encr Hash Auth DH Lifetime Cap. 9007 20.75.0.2 20.75.0.1 ACTIVE aes sha psk 1 23:11:02 Engine-id:Conn-id = SW:7 ISAKMP SA は残っている (ID 9007) IPv6 Crypto ISAKMP SA

良くあるお問い合わせ事例 ~%RECVD_PKT_INV_SPI ISAKMP SA が存在する状況での Invalid SPI(debug ログ ).Jun 25 05:02:45.277: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=20.75.0.2, prot=50, spi=0xcde9d256(3454653014), srcaddr=20.75.0.1, input interface=gigabitethernet0/2 C2951#.Jun 25 05:02:45.277: KMI: IPSEC key engine sending message KEY_ENG_DELETE_SAS to Crypto IKMP..Jun 25 05:02:45.277: KMI: Crypto IKMP received message KEY_ENG_DELETE_SAS from IPSEC key engine..jun 25 05:02:45.277: ISAKMP: set new node 1598432335 to QM_IDLE.Jun 25 05:02:45.277: ISAKMP:(9007): sending packet to 20.75.0.1 my_port 500 peer_port 500.Jun 25 05:03:09.919: ISAKMP:(9007): processing NONCE payload. message ID = (R) QM_IDLE 3292367273.Jun 25 05:02:45.281: ISAKMP:(9007):Sending an IKE IPv4 Packet..Jun 25 05:03:09.919: ISAKMP:(9007): processing ID payload. message ID = 3292367273.Jun 25 05:02:45.281: ISAKMP:(9007):purging node 1598432335.Jun 25 05:03:09.919: ISAKMP:(9007): processing ID payload. message ID = 3292367273.Jun 25 05:02:45.281: ISAKMP:(9007):Input = IKE_MESG_FROM_IPSEC, IKE_PHASE2_DEL.Jun 25 05:02:45.281: ISAKMP:(9007):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE.Jun 25 05:02:56.550: KMI: IPSEC key engine sending message KEY_ENG_DELETE_SAS to Crypto IKMP..Jun 25 05:02:56.550: KMI: Crypto IKMP received message KEY_ENG_DELETE_SAS from IPSEC key engine..jun 25 05:02:56.550: ISAKMP: set new node 1793253684 to QM_IDLE.Jun 25 05:02:56.550: ISAKMP:(9007): sending packet to 20.75.0.1 my_port 500 peer_port 500 IKE_GOT_SPI (R) QM_IDLE.Jun 25 05:03:09.919: ISAKMP:(9007):Old State = IKE_QM_SPI_STARVE New State =.Jun 25 05:02:56.550: ISAKMP:(9007):Sending an IKE IPv4 Packet. IKE_QM_IPSEC_INSTALL_AWAIT.Jun 25 05:02:56.550: ISAKMP:(9007):purging node 1793253684.Jun 25 05:03:09.919: IPSEC(key_engine): got a queue event with 1 KMI message(s).jun 25 05:02:56.550: ISAKMP:(9007):Input = IKE_MESG_FROM_IPSEC, IKE_PHASE2_DEL.Jun 25 05:02:56.550: ISAKMP:(9007):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE.Jun 25 05:03:09.919: ISAKMP (9007): received packet from 20.75.0.1 dport 500 sport 500 Global (R) QM_IDLE.Jun 25 05:03:09.919: ISAKMP: set new node -1002600023 to QM_IDLE.Jun 25 05:03:09.919: ISAKMP:(9007): processing HASH payload. message ID = 3292367273.Jun 25 05:03:09.919: ISAKMP:(9007): processing SA payload. message ID = 3292367273.Jun 25 05:03:09.919: ISAKMP:(9007):Checking IPSec proposal 1.Jun 25 05:03:09.919: ISAKMP: transform 1, ESP_AES.Jun 25 05:03:09.919: ISAKMP: attributes in transform:.jun 25 05:03:09.919: ISAKMP: encaps is 1 (Tunnel).Jun 25 05:03:09.919: ISAKMP: SA life type in seconds.jun 25 05:03:09.919: ISAKMP: SA life duration (basic) of 3600.Jun 25 05:03:09.919: ISAKMP: SA life type in kilobytes.jun 25 05:03:09.919: ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0.Jun 25 05:03:09.919: ISAKMP: authenticator is HMAC-SHA.Jun 25 05:03:09.919: ISAKMP: key length is 256.Jun 25 05:03:09.919: ISAKMP:(9007):atts are acceptable..jun 25 05:03:09.919: IPSEC(validate_proposal_request): proposal part #1.Jun 25 05:03:09.919: IPSEC(validate_proposal_request): proposal part #1, (key eng. msg.) INBOUND local= 20.75.0.2:0, remote= 20.75.0.1:0, local_proxy= 1.1.1.2/255.255.255.255/256/0, remote_proxy= 1.1.1.1/255.255.255.255/256/0, protocol= ESP, transform= esp-aes 256 esp-sha-hmac (Tunnel), lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 256, flags= 0x0.Jun 25 05:03:09.919: Crypto mapdb : proxy_match src addr : 1.1.1.2 dst addr : 1.1.1.1 protocol : 0 src port : 0 dst port : 0.Jun 25 05:03:09.919: (ipsec_process_proposal)map Accepted: cisco, 1.Jun 25 05:03:09.919: ISAKMP:(9007):QM Responder gets spi.jun 25 05:03:09.919: ISAKMP:(9007):Node 3292367273, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH.Jun 25 05:03:09.919: ISAKMP:(9007):Old State = IKE_QM_READY New State = IKE_QM_SPI_STARVE.Jun 25 05:03:09.919: KMI: Crypto IKMP sending message KEY_MGR_CREATE_IPSEC_SAS to IPSEC key engine..jun 25 05:03:09.919: ISAKMP:(9007):Node 3292367273, Input = IKE_MESG_INTERNAL,.Jun 25 05:03:09.919: KMI: IPSEC key engine received message KEY_MGR_CREATE_IPSEC_SAS from Crypto IKMP..Jun 25 05:03:09.919: Crypto mapdb : proxy_match src addr : 1.1.1.2 dst addr : 1.1.1.1 protocol : 256 src port : 0 dst port : 0.Jun 25 05:03:09.919: IPSEC(crypto_ipsec_create_ipsec_sas): Map found cisco, 1.Jun 25 05:03:09.919: IPSEC(crypto_ipsec_sa_find_ident_head): reconnecting with the same proxies and peer 20.75.0.1.Jun 25 05:03:09.919: KMI: IPSEC key engine sending message KEY_ENG_NOTIFY_QOS_GROUP to Crypto IKMP..Jun 25 05:03:09.919: IPSEC(create_sa): sa created, (sa) sa_dest= 20.75.0.2, sa_proto= 50, sa_spi= 0x2A61CDC4(711052740), sa_trans= esp-aes 256 esp-sha-hmac, sa_conn_id= 27 sa_lifetime(k/sec)= (4608000/3600), (identity) local= 20.75.0.2:0, remote= 20.75.0.1:0, local_proxy= 1.1.1.2/255.255.255.255/256/0, remote_proxy= 1.1.1.1/255.255.255.255/256/0.Jun 25 05:03:09.919: IPSEC(create_sa): sa created, (sa) sa_dest= 20.75.0.1, sa_proto= 50, sa_spi= 0x644B28AD(1682647213), sa_trans= esp-aes 256 esp-sha-hmac, sa_conn_id= 28 sa_lifetime(k/sec)= (4608000/3600), (identity) local= 20.75.0.2:0, remote= 20.75.0.1:0, local_proxy= 1.1.1.2/255.255.255.255/256/0, remote_proxy= 1.1.1.1/255.255.255.255/256/0.Jun 25 05:03:09.919: ISAKMP: Failed to find peer index node to update peer_info_list.jun 25 05:03:09.919: KMI: IPSEC key engine sending message KEY_ENG_NOTIFY_INCR_COUNT to Crypto IKMP..Jun 25 05:03:09.919: ISAKMP:(9007):Received IPSec Install callback... proceeding with the negotiation.jun 25 05:03:09.919: ISAKMP:(9007):Successfully installed IPSEC SA (SPI:0x2A61CDC4) on GigabitEthernet0/2.Jun 25 05:03:09.919: KMI: Crypto IKMP received message KEY_ENG_NOTIFY_QOS_GROUP from IPSEC key engine..jun 25 05:03:09.919: KMI: Crypto IKMP received message KEY_ENG_NOTIFY_INCR_COUNT from IPSEC key engine..jun 25 05:03:09.923: ISAKMP:(9007): sending packet to 20.75.0.1 my_port 500 peer_port 500 (R) QM_IDLE.Jun 25 05:03:09.923: ISAKMP:(9007):Sending an IKE IPv4 Packet..Jun 25 05:03:09.923: ISAKMP:(9007):Node 3292367273, Input = IKE_MESG_FROM_IPSEC, IPSEC_INSTALL_DONE.Jun 25 05:03:09.923: ISAKMP:(9007):Old State = IKE_QM_IPSEC_INSTALL_AWAIT New State = IKE_QM_R_QM2.Jun 25 05:03:09.927: ISAKMP (9007): received packet from 20.75.0.1 dport 500 sport 500 Global (R) QM_IDLE.Jun 25 05:03:09.927: KMI: Crypto IKMP sending message KEY_MGR_SA_ENABLE_OUTBOUND to IPSEC key engine..jun 25 05:03:09.927: ISAKMP:(9007):deleting node -1002600023 error FALSE reason "QM done (await)".jun 25 05:03:09.927: ISAKMP:(9007):Node 3292367273, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH.Jun 25 05:03:09.927: ISAKMP:(9007):Old State = IKE_QM_R_QM2 New State = IKE_QM_PHASE2_COMPLETE.Jun 25 05:03:09.927: IPSEC(key_engine): got a queue event with 1 KMI message(s).jun 25 05:03:09.927: KMI: IPSEC key engine received message KEY_MGR_SA_ENABLE_OUTBOUND from Crypto IKMP..Jun 25 05:03:09.927: IPSEC(key_engine_enable_outbound): rec'd enable notify from ISAKMP.Jun 25 05:03:09.927: IPSEC: Expand action denied, notify RP

良くあるお問い合わせ事例 ~%RECVD_PKT_INV_SPI ISAKMP SA が存在する状況での Invalid SPI( キャプチャー ) 出力されるログ %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=20.75.0.2, prot=50, spi=0xcde9d256(3454653014), srcaddr=20.75.0.1, input interface=gigabitethernet0/2 Packet Number 1-2 SPI(0x9cde9d256) を利用している為 drop される Packet Number 3 対向が利用している SPI を削除する様対向機器に通知 Packet Number 4-6 ISAKMP Phase Quick mode のやり取り Packet Number 5-6 新規作成した SPI を用いた SA にて暗号化されたパケットの送受信

良くあるお問い合わせ事例 ~%RECVD_PKT_INV_SPI ISAKMP SA が存在しない状況での Invalid SPI(debug ログ ).Jun 25 06:14:25.208: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=20.75.0.2, prot=50, spi=0x8631e0da(2251415770), srcaddr=20.75.0.1, input interface=gigabitethernet0/2.jun 25 06:14:25.208: KMI: IPSEC key engine sending message KEY_ENG_DELETE_SAS to Crypto IKMP..Jun 25 06:14:25.212: KMI: Crypto IKMP received message KEY_ENG_DELETE_SAS from IPSEC key engine..jun 25 06:14:25.212: ISAKMP: Created a peer struct for 20.75.0.1, peer port 500.Jun 25 06:14:25.212: ISAKMP: New peer created peer = 0x14FBC290 peer_handle = 0x8000000F.Jun 25 06:14:25.212: ISAKMP: Locking peer struct 0x14FBC290, refcount 1 for ike_initiate_sa_for_inv_spi_recovery.jun 25 06:14:25.212: ISAKMP: local port 500, remote port 500.Jun 25 06:14:25.212: ISAKMP:(0):found peer pre-shared key matching 20.75.0.1.Jun 25 06:14:25.212: ISAKMP:(0): Unknown DOI 0.Jun 25 06:14:25.212: ISAKMP:(0): constructed NAT-T vendor-rfc3947 ID.Jun 25 06:14:25.212: ISAKMP:(0): constructed NAT-T vendor-07 ID.Jun 25 06:14:25.212: ISAKMP:(0): constructed NAT-T vendor-03 ID.Jun 25 06:14:25.212: ISAKMP:(0): constructed NAT-T vendor-02 ID.Jun 25 06:14:25.212: ISAKMP : beginning Main Mode exchange for INV SPI RECOV.Jun 25 06:14:25.212: ISAKMP:(0): sending packet to 20.75.0.1 my_port 500 peer_port 500 (I) MM_NO_STATE.Jun 25 06:14:25.212: ISAKMP:(0):Sending an IKE IPv4 Packet..Jun 25 06:14:25.212: ISAKMP: Unlocking peer struct 0x14FBC290 for isadb_unlock_peer_delete_sa(), count 0.Jun 25 06:14:25.212: KMI: Crypto IKMP sending message KEY_MGR_SESSION_CLOSED to IPSEC key engine..jun 25 06:14:25.212: ISAKMP: Deleting peer node by peer_reap for 20.75.0.1: 14FBC290.Jun 25 06:14:25.212: ISAKMP:(0):purging SA., sa=0, delme=400388dc.jun 25 06:14:25.212: IPSEC(key_engine): got a queue event with 1 KMI message(s).jun 25 06:14:25.212: KMI: IPSEC key engine received message KEY_MGR_SESSION_CLOSED from Crypto IKMP..Jun 25 06:14:25.224: ISAKMP (0): received packet from 20.75.0.1 dport 500 sport 500 Global (N) NEW SA.Jun 25 06:14:25.224: ISAKMP: Created a peer struct for 20.75.0.1, peer port 500.Jun 25 06:14:25.224: ISAKMP: New peer created peer = 0x14FBC290 peer_handle = 0x80000010.Jun 25 06:14:25.224: ISAKMP: Locking peer struct 0x14FBC290, refcount 1 for ike_initiate_sa_for_inv_spi_recovery.jun 25 06:14:25.224: ISAKMP: local port 500, remote port 500.Jun 25 06:14:25.224: ISAKMP:(0):found peer pre-shared key matching 20.75.0.1.Jun 25 06:14:25.224: ISAKMP:(0): Unknown DOI 0.Jun 25 06:14:25.224: ISAKMP:(0): constructed NAT-T vendor-rfc3947 ID.Jun 25 06:14:25.224: ISAKMP:(0): constructed NAT-T vendor-07 ID.Jun 25 06:14:25.224: ISAKMP:(0): constructed NAT-T vendor-03 ID.Jun 25 06:14:25.224: ISAKMP:(0): constructed NAT-T vendor-02 ID.Jun 25 06:14:25.224: ISAKMP: Find a dup sa in the avl tree during calling isadb_insert sa = 400388DC.Jun 25 06:14:25.224: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH.Jun 25 06:14:25.224: ISAKMP:(0):Old State = IKE_I_MM1 New State = IKE_I_MM2 invalid-spi-recovery が設定されている為 新規 ISAKMP セッションを作成する ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~snip~~~~~~~~~~~~~~~~~~~~~~~~~~

良くあるお問い合わせ事例 ~%RECVD_PKT_INV_SPI ISAKMP SA が存在しない状況での Invalid SPI( キャプチャー ) 出力されるログ %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=20.75.0.2, prot=50, spi=0x8631e0da(2251415770), srcaddr=20.75.0.1, input interface=gigabitethernet0/2 packet number 1. Invalid SPI の原因となったパケット packet number 2-13 ISAKMP Phase1/2 のやり取り packet number 14-16 新規に作成された Ipsec セッションを通して パケットのやり取り

良くあるお問い合わせ事例パラメーターのミスマッチ knowledge Parameter mismatch

良くあるお問い合わせ事例 ~ パラメーターのミスマッチ 概要 パラメーターのミスマッチが発生すると ISAKMP Phase 1 or 2 の確立が不可となりますので 他ベンダーの機器と相互接続を行う際等は相互の機器の設定の確認とログから原因を特定します ISAKMP Phase 1 ISAKMP Phase 2 接続の確立 パラメーターミスマッチが発生 ISAKMP Phase 1 確立 パラメーターミスマッチが発生 処理順序

良くあるお問い合わせ事例 ~ パラメーターのミスマッチ 発生原因の詳細と主なパラメーター Phase1 パラメーターのミスマッチの主な発生原因は設定の間違いです また デフォルトの設定値が対向機器と異なる結果 事象が発生する事もあります 主に設定されているパラメーター C2921(config-isakmp)#? ISAKMP commands: authentication Set authentication method for protection suite default Set a command to its defaults encryption Set encryption algorithm for protection suite exit Exit from ISAKMP protection suite configuration mode group Set the Diffie-Hellman group hash Set hash algorithm for protection suite lifetime Set lifetime for ISAKMP security association no Negate a command or set its defaults C2921(config)#crypto isakmp key 0 cisco address 0.0.0.0 主なパラメーターの説明 ( 赤字 上から順に ) authenticaiton 認証方式の設定 encryption 暗号化アルゴリズム group Diffie-Hellman group hash ハッシュアルゴリズム lifetime( ミスマッチが起きても接続は可能 ) ISAKMP SA のライフタイム 短い方に合わせられる pre-sharedkey( 認証 ) 共有鍵を設定 C2921(config-crypto-map)#set? identity Identity restriction. ikev2-profile Specify ikev2 Profile ip Interface Internet Protocol config commands isakmp-profile Specify isakmp Profile nat Set NAT translation peer Allowed Encryption/Decryption peer. pfs Specify pfs settings reverse-route Reverse Route Injection. security-association Security association parameters transform-set Specify list of transform sets in priority order C2921(config)#crypto ipsec transform-set cisco esp-aes 256 esp-sha-hmac C2921(cfg-crypto-trans)#mode? transport transport (payload encapsulation) mode tunnel tunnel (datagram encapsulation) mode Phase2 主なパラメーターの説明 ( 赤字 上から順に ) peer 対向機器のアドレスを指定 pfs Perfect forward security に利用する Diffie-Hellman group security-association lifetime ( ミスマッチが起きても接続は可能 ) IPsec SA のライフタイム 短い方に合わせられる transform-set 暗号化 / ハッシュアルゴリズム ペイロードのカプセル化モードを指定その他 :match ip (access-group) 暗号化対象のアドレスを指定 >Proxy address として利用される

良くあるお問い合わせ事例 ~ パラメーターのミスマッチ 例 : proxy address のミスマッチ ~ 設定 C2921 側 C2921#show crypto map tag cisco Crypto Map IPv4 "cisco" 1 ipsec-isakmp Peer = 20.75.0.2 Extended IP access list lo0 access-list lo0 permit ip 1.1.1.0 0.0.0.255 1.1.1.0 0.0.0.255 Current peer: 20.75.0.2 Security association lifetime: 4608000 kilobytes/3600 seconds Responder-Only (Y/N): N PFS (Y/N): N Mixed-mode : Disabled Transform sets={ cisco: { esp-256-aes esp-sha-hmac }, } Interfaces using crypto map cisco: GigabitEthernet0/0 C2951 側 C2951#show crypto map tag cisco Crypto Map IPv4 "cisco" 1 ipsec-isakmp Peer = 20.75.0.1 Extended IP access list lo0 access-list lo0 permit ip host 1.1.1.2 host 1.1.1.1 Current peer: 20.75.0.1 Security association lifetime: 4608000 kilobytes/3600 seconds Responder-Only (Y/N): N PFS (Y/N): N Mixed-mode : Disabled Transform sets={ cisco: { esp-256-aes esp-sha-hmac }, } Interfaces using crypto map cisco: GigabitEthernet0/2 C2921 における IPsec 対象の通信は Src: 1.1.1.0/24 Dst: 1.1.1.0/24 C2951 における IPsec 対象の通信は Src: 1.1.1.2/32 Dst: 1.1.1.1/32 通常の ACL ではパケットはフィルターされる事無く互いの Loopback interface 同時の通信は行える

良くあるお問い合わせ事例 ~ パラメーターのミスマッチ 例 : proxy address のミスマッチ ~ 接続時のログ (debug) C2921-Initiator Jun 25 07:17:48.888: IPSEC:(SESSION ID = 18) (key_engine) request timer fired: count = 1, (identity) local= 20.75.0.1:0, remote= 20.75.0.2:0, local_proxy= 1.1.1.0/255.255.255.0/256/0, remote_proxy= 1.1.1.0/255.255.255.0/256/0 Jun 25 07:17:48.888: IPSEC(sa_request):, (key eng. msg.) OUTBOUND local= 20.75.0.1:500, remote= 20.75.0.2:500, local_proxy= 1.1.1.0/255.255.255.0/256/0, remote_proxy= 1.1.1.0/255.255.255.0/256/0, protocol= ESP, transform= esp-aes 256 esp-sha-hmac (Tunnel), lifedur= 3600s and 4608000kb, spi= 0x0(0), conn_id= 0, keysize= 256, flags= 0x0 C2951-Responder (key eng. msg.) INBOUND local= 20.75.0.2:0, remote= 20.75.0.1:0, local_proxy= 1.1.1.0/255.255.255.0/256/0, remote_proxy= 1.1.1.0/255.255.255.0/256/0, protocol= ESP, transform= esp-aes 256 esp-sha-hmac (Tunnel), lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 256, flags= 0x0 Jun 25 07:17:18.889: IPSEC(ipsec_process_proposal): proxy identities not supported Jun 25 07:17:18.889: ISAKMP:(9013): IPSec policy invalidated proposal with error 32 Jun 25 07:17:18.889: ISAKMP:(9013): phase 2 SA policy not acceptable! (local 20.75.0.2 remote 20.75.0.1) C2951 にて QM1 にて受信した proposal に含まれる暗号化対象のネットワークリストと C2951 に設定されている暗号化対象のネットワークリストが一致しなかった為 ISAKMP Phase 2 が確立出来ない

良くあるお問い合わせ事例 MAC error knowledge MAC error

良くあるお問い合わせ事例 ~%CRYPTO-4-RECVD_PKT_MAC_ERR: 概要 出力されるログ %CRYPTO-4-RECVD_PKT_MAC_ERR: decrypt: mac verify failed for connection id=2989 local=20.75.0.1 remote=20.75.0.2 spi=999cd43b seqno=00071328 Received Packet MAC Error とは IPsec を構成する受信側ルーターにて受信したフレームの検証を行う際 ハッシュ値の整合性が取れなかった場合に表示される 主な発生原因は IOS の不具合と通信経路上の問題 及び 攻撃者による改竄が挙げられる %CRYPTO-4-RECVD_PKT_MAC_ERR: メッセージはパケット毎に出力される訳では無く 30 秒間に 1 回のレートに制限されています 従って 連続的に 30 秒間隔で出力される場合 ハッシュが一致しない状態が継続している可能性が高いと判断出来ます

良くあるお問い合わせ事例 ~%CRYPTO-4-RECVD_PKT_MAC_ERR: コマンドによる確認と回避策 コマンドによる確認 C2951#show crypto ipsec sa detail inc verify current current_peer 20.75.0.1 port 500 #pkts decaps: 50185, #pkts decrypt: 50185, #pkts verify: 50184 #pkts invalid prot (recv) 0, #pkts verify failed: 1 current outbound spi: 0x27C5E4B7(667280567) #pkts verify failed: がカウントされた場合 Hash の不一致が発生している 回避策仮に弊社機器における不具合により発生していた場合 再現環境の構築それ以外の場合は途中経路の問題となるので 途中の経路を調査

Q & A 画面右側の Q&A ウィンドウから All Panelist 宛に送信してください

Ask the Expert with Hiroki Houjou 今日聞けなかった質問は 今回のエキスパートが担当するエキスパートに質問 ( 7 月 2 日 ~ 7 月 12 日まで開催 ) へお寄せください! Webcast の内容や Q&A ドキュメントは 本日より 5 営業日以内にこのサイトへ掲載いたします https://supportforums.cisco.com/ja/community/5356/webcast

今後の Webcast 予定 2015 年 8 月 25 日 ( 火 ) 10:00-11:30 テーマ : 未定 (Wireless 関連 ) 詳細やご登録は CSC トップページのバナーや Webcast サイトをご利用ください

コンテンツに関するご意見を募集しています! 掲載してほしい情報あったら役に立つ情報英語ではなく日本語でほしい情報などリクエストをお寄せください

http://www.facebook.com/ciscosupportcommunityjapan ソーシャルメディアでサポートコミュニティと繋がろう Twitter- http://bit.ly/csc-twitterhttps://twitter.com/cscjapan https://www.youtube.com/user/cscjapanmoderator Google+ http://bit.ly/csc-googleplus LinkedIn http://bit.ly/csc-linked-in Instgram http://bit.ly/csc-instagram Newsletter Subscription http://bit.ly/csc-newsletter

シスコ認定ラーニングパートナー スペシャリゼーションラーニングパートナーリンク データセンター NGN-SF http://ngn-sf.co.jp/ データセンター ネットワンシステムズ https://www.netone.co.jp/academy/index.h tml コラボレーショングローバルナレッジ http://www.globalknowledge.co.jp/ シスコ認定ラーニングパートナーでは皆様のソリューションを最適化するために Cisco の認定したカリキュラムを使ったトレーニングを提供しております また シスコ認定ラーニングパートナーの中でも シスコスペシャライズドパートナーは特にその専門分野においてのスキルを認められたパートナーのみが授与される認定資格となっております

ご参加ありがとうございましたアンケートにもご協力ください

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック