نصوص EEM النصية المستخدمة لاستكشاف أخطاء النفق وإصلاحها والتي تتسبب فيها فهارس معلمات الأمان غير الصحيحة

المقدمة

يصف هذا المستند إحدى أكثر مشاكل IPsec شيوعا، وهي أن اقترانات الأمان (SAs) يمكن أن تصبح غير متزامنة بين الأجهزة النظيرة. ونتيجة لذلك، سيقوم جهاز التشفير بتشفير حركة مرور البيانات باستخدام وحدات التحكم في الوصول (SAs) التي لا يعرف عنها تشفير النظير.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند هذه المعلومات الواردة في هذا المستند إلى الاختبارات التي تم إكمالها مع الإصدار 15.1(4)M4 من Cisco IOS®. يجب أن تعمل البرامج النصية والتكوين مع إصدارات برنامج Cisco IOS السابقة أيضا، نظرا لأن كلا التطبيقين يستخدمان الإصدار 3.0 من مدير الأحداث المضمن (IM) والذي يتم دعمه في الإصدار 12.4(22)T من Cisco IOS أو الأحدث. غير أن ذلك لم يجرب.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

المشكلة

يتم إسقاط الحزم على النظير مع تسجيل هذه الرسالة إلى syslog:

*Mar 12 18:22:10.706: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet 
   has invalid spi for destaddr=213.163.222.7, prot=50, spi=0x68842105(1753489669), 
   srcaddr=11.1.1.3, input interface=Ethernet0/0

للحصول على معلومات تفصيلية حول فهارس معلمات الأمان (SPIs) غير الصالحة، ارجع إلى أخطاء IPSec ٪RECVD_PKT_INV_SPI والاسترداد غير الصحيح ل SPI. يوضح هذا المستند كيفية أستكشاف أخطاء السيناريوهات التي يحدث فيها الخطأ بشكل متقطع وإصلاحها، مما يجعل من الصعب جمع البيانات الضرورية لاستكشاف الأخطاء وإصلاحها.

هذا النوع من المشكلة ليس كأستكشاف أخطاء VPN وإصلاحها بشكل عادي، حيث يمكنك الحصول على تصحيح الأخطاء عند حدوث المشكلة. لاستكشاف أخطاء النفق المتقطع الناتجة عن واجهات SPI غير صحيحة وإصلاحها، يجب عليك أولا تحديد كيفية خروج محطتي الاستقبال والبث عن التزامن. وبما انه من المستحيل التنبؤ بموعد الانقطاع التالي، فإن مخطوطات IM هي الحل.

الحل

ونظرا لأنه من المهم معرفة ما يحدث قبل تشغيل رسالة syslog هذه، استمر في تشغيل تصحيح الأخطاء المشروط على الموجه (الموجهات) وإرسالها إلى خادم syslog حتى لا تؤثر على حركة مرور الإنتاج. إذا تم تمكين تصحيح الأخطاء في البرنامج النصي بدلا من ذلك، فإنها يتم إنشاؤها بعد تشغيل رسالة syslog والتي قد لا تكون مفيدة. فيما يلي قائمة بتصحيح الأخطاء التي قد ترغب في تشغيلها على مرسل هذا السجل والمتلقي:

debug crypto condition peer ipv4 <peer IP address>
debug crypto isakmp
debug crypto ipsec
debug crypto engine

إن نص حدس الذاكرة الذكية مصمم للقيام بأمرين:

1. قم بإيقاف تشغيل تصحيح الأخطاء على المستقبل عند تجميعها لمدة 18 ثانية بعد إنشاء رسالة syslog الأولى. قد يلزم تعديل مؤقت التأخير، والذي يعتمد على مقدار تصحيح الأخطاء/السجلات التي تم إنشاؤها.

2. وفي نفس الوقت، فإنها تقوم بتعطيل تصحيح الأخطاء، وجعله يرسل ملائمة SNMP إلى النظير، والذي يقوم بعد ذلك بتعطيل تصحيح الأخطاء على جهاز النظير.

تكوين SNMP

يتم عرض تكوينات بروتوكول إدارة الشبكة البسيط (SNMP) هنا:

Receiver:
========

snmp-server enable traps event-manager
snmp-server host 11.1.1.3 public event-manager 
snmp-server manager

Sender:
=======

snmp-server enable traps event-manager
snmp-server host 213.163.222.7 public event-manager
snmp-server manager

نص نهائي

يتم عرض البرامج النصية للمتلقي والمرسل هنا:

Receiver:
========

!--- To test if this output gets logged to the file called "hub"

sh ip int bri | tee /append disk0:hub.txt    
conf t
!
event manager applet command_hub
event syslog pattern "CRYPTO-4-RECVD_PKT_INV_SPI.*srcaddr=11.1.1.3"
action 1 cli command "enable"
action 2 syslog msg "command_hub is running ..." priority informational
action 3 cli command "show crypto sockets | append disk0:hub.txt"
action 4 cli command "show crypto isa sa | append disk0:hub.txt"
action 5 cli command "show crypto ipsec sa detail | append disk0:hub.txt"
action 6 cli command "show dmvpn detail | append disk0:hub.txt"
action 7 wait 18
action 8 cli command "undebug all"
action 8.1 snmp-trap intdata1 2323232 strdata ""
action 9 syslog priority informational msg "DONE ON HUB"
!
end

Sender: 
=======

conf t
!
event manager applet spoke_app
 event snmp-notification oid 1.3.6.1.4.1.9.10.91.1.2.3.1.9. 
    oid-val "2323232" op eq src-ip-address 213.163.222.7 maxrun 35
 action 1.0 syslog msg "Received trap from Hub..." 
 action 2.0 cli command "enable"
 action 3.0 cli command "undebug all"
 action 4.0 syslog msg "DONE ON SPOKE"
!
end

إي إم سكريبت لوكس

يتم عرض قائمة برسائل سجل برنامج IM النصي هنا:

Receiver:
=======

*Mar 12 18:22:10.706: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet 
    has invalid spi for destaddr=213.163.222.7, prot=50, spi=0x68842105(1753489669), 
    srcaddr=11.1.1.3, input interface=Ethernet0/0
*Mar 12 18:22:10.727: %HA_EM-6-LOG: command_hub: command_hub is running ...
hub#
*Mar 12 18:22:30.026: %HA_EM-6-LOG: command_hub: DONE ON HUB

Sender:
=======

spoke#
*Mar 12 18:22:30.542: %HA_EM-6-LOG: spoke_app: Received trap from Hub...
*Mar 12 18:22:30.889: %HA_EM-6-LOG: spoke_app: DONE ON SPOKE

التحقق

للتحقق من حل المشكلة، أدخل الأمر show debug.

Receiver:
=========
hub# show debug


Sender:
=======
spoke# show debug

معلومات ذات صلة

• الدعم التقني والمستندات - Cisco Systems