المقدمة
يصف هذا المستند كيفية أستكشاف أخطاء رفض التسجيل وإصلاحها فيما يتعلق بعدم توافق العمر الافتراضي لاقتران الأمان الطويل (SA) بين خادم مفتاح الشبكة الخاصة الظاهرية للنقل المشفر للمجموعة (GETVPN) وعضو المجموعة (GM) وإصلاحها.
تمت المساهمة من قبل دانيال بيريز فيرتي فازكيز، مهندس مركز المساعدة الفنية من Cisco.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- Getvpn
- بروتوكول إدارة المفاتيح وارتباط أمان الإنترنت (ISAKMP)
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- GMs التي تقوم بتشغيل إصدار أقدم من نظام تشغيل الشبكة البينية (IOS) 15.3(2)T التي لا تدعم ميزة العمر الافتراضي الطويل.
- GMs التي تقوم بتشغيل إصدار أقدم من IOS XE 15.3(2)S التي لا تدعم ميزة العمر الافتراضي الطويل.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
المشكلة
يتم تضمين ميزة "العمر الطويل ل SA" في أنظمة IOS الأساسية من الإصدار 15.3(2)T ومن الطراز XE3.9 (15.3(2)S) في أجهزة IOS XE. وهو يسمح بمد العمر لمفتاح تشفير حركة المرور (TEK) ومفتاح تشفير المفاتيح (KEK) من 24 ساعة إلى 30 يوما. عند إستخدام ميزة العمر الافتراضي الطويل SA في الخادم الرئيسي، وهذا عندما يتم تغيير العمر الافتراضي في تكوين مجموعة GDOI إلى أكثر من يوم واحد، يتحقق GETVPN KS من إصدار البرنامج لجميع GMs ويحظر التسجيل لمن لا يدعم الميزة.
ملاحظة: يتطلب إستخدام طول العمر الافتراضي لبروتوكول الغلاف الآمن (SA) وجود تسلسل كتلة قياسي للتشفير المتقدم (AES-CBC) أو وضع معيار التشفير المتقدم-Galois/العداد (AES-GCM) بمفتاح AES بمقدار 128 بت أو أقوى.
تم تكوين ميزة مدة البقاء الطويلة ل SA في مجموعة مجال التفسير (GDOI) الخاصة بخادم المفتاح.
يمكن للأجهزة إكمال نفق ISAKMP والمصادقة مع بعضها البعض بنجاح.
208752: Jun 10 22:19:14.380: ISAKMP-PAK: (82124):sending packet to 10.40.10.10 my_port 848 peer_port 848 (R) MM_KEY_EXCH
208753: Jun 10 22:19:14.380: ISAKMP: (82124):Sending an IKE IPv4 Packet.
208754: Jun 10 22:19:14.380: ISAKMP: (82124):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
208755: Jun 10 22:19:14.380: ISAKMP: (82124):Old State = IKE_R_MM5 New State = IKE_P1_COMPLETE
208756: Jun 10 22:19:14.380: ISAKMP: (82124):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
208757: Jun 10 22:19:14.380: ISAKMP: (82124):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE
ومع ذلك، عندما يحاول GM الحصول على مفاتيح التشفير، يكتشف KS أن إصدار IOS في GM لا يتضمن دعم ميزة "مدة البقاء الطويلة" ويولد رسالة خطأ لقطع الاتصال.
208758: Jun 10 22:19:14.433: ISAKMP-PAK: (82124):received packet from 10.40.10.10 dport 848 sport 848 Global (R) GDOI_IDLE
208759: Jun 10 22:19:14.433: ISAKMP: (82124):set new node 1548686329 to GDOI_IDLE
208760: Jun 10 22:19:14.433: ISAKMP: (82124):processing HASH payload. message ID = 1548686329
208761: Jun 10 22:19:14.433: ISAKMP: (82124):processing NONCE payload. message ID = 1548686329
208762: Jun 10 22:19:14.433: ISAKMP: (82124):GDOI Container Payloads:
208763: Jun 10 22:19:14.433: ID
208764: Jun 10 22:19:14.433: ISAKMP: (82124):Node 1548686329, Input = IKE_MESG_FROM_PEER, IKE_GDOI_EXCH
208765: Jun 10 22:19:14.434: ISAKMP: (82124):Old State = IKE_KS_LISTEN New State = IKE_KS_GET_SA_POLICY_AWAIT
208766: Jun 10 22:19:14.434: ISAKMP: (82124):GDOI Container Payloads:
208767: Jun 10 22:19:14.434: SA
208768: Jun 10 22:19:14.434: ISAKMP-ERROR: (82124):GDOI processing Failed: Deleting node
208769: Jun 10 22:19:14.434: ISAKMP-ERROR: (82124):deleting node 1548686329 error TRUE reason "GDOI QM rejected - failed to process QM"
208770: Jun 10 22:19:21.280: %GDOI-4-REJECT_GM_VERSION_REGISTER: Reject registration of GM 10.40.10.10(ver 0x1000001) in group MYGETVPN as it cannot support these GETVPN features enabled: Long-SA
تحاول GM إنشاء نفق ISAKMP جديد ولكن لا يمكنها إنهاء عملية التسجيل. عند هذه النقطة يمكنك ملاحظة مثيلات متعددة لنفس التفاوض.
Router# sh crypto isakmp sa | i 10.80.127.20
10.80.127.20 10.40.10.10 MM_NO_STATE 2104 ACTIVE (deleted)
Router#show crypto gdoi
GROUP INFORMATION
Group Name : MYGETVPN
Group Identity : 1
Rekeys received : 0
IPSec SA Direction : Inbound Only
Group Server list : 10.80.127.20
Group member : 10.40.10.10 vrf: None
Registration status : Registering
Registering to : 10.80.127.20
Re-registers in : 44 sec
Succeeded registration: 0
Attempted registration: 3
Last rekey from : 0.0.0.0
Last rekey seq num : 0
Multicast rekey rcvd : 0
allowable rekey cipher: any
allowable rekey hash : any
allowable transformtag: any ESP
Rekeys cumulative
Total received : 0
After latest register : 0
Rekey Received : never
ACL Downloaded From KS UNKNOWN:
لإجراء مراجعة إضافية لتوافق الميزات، قم بتشغيل الأمر show crypto gdoi feature long-sa-life في KS. يوضح هذا الإخراج مثالا على محولين gm، حيث يشغل الأول صورة IOS بالفعل مع دعم هذه الوظيفة، في حين يشغل الثاني صورة gm المتأثرة.
Router# sh cry gdoi feature long-sa-lifetime
Group Name: GETVPN_GROUP
Key Server ID Version Feature Supported
10.80.127.20 1.0.18 Yes
Group Member ID Version Feature Supported
10.40.10.9 1.0.17 Yes
10.40.10.10 1.0.4 No
الحل
- يمكن إصلاح المشكلة باستخدام ترقية GM إلى IOS 15.3(2) أو إصدار أحدث. يمكن العثور على تخطيط بين إصدارات GDOI وإصدارات IOS/IOS-XE في دليل تصميم GETVPN.
- الحل الثاني يمكن أن يكون تغيير العمر الحقيقي في مجموعة GDOI إلى أقل من 86400 ثانية. لا يتسبب تغيير التكوين هذا في أي تعطيل لأعضاء مجموعة العمل لأنه لا يؤدي إلى تشغيل أي مفتاح.
التعليقات