Auth Reject-Unauthorized SAID エラー メッセージと 12.2(8)BC1 における BPI 設定変更

概要

データオーバーケーブル サービス インターフェイス仕様（DOCSIS）ケーブル モデムとケーブル モデム終端システム（CMTS）に関連する標準を規定する団体である CableLabs は、CMTS が DOCSIS 1.0 ケーブル モデムに、モデムと CMTS 間のベースライン プライバシー インターフェイス（BPI）の暗号化の確立を許可する方法に重要な変更を加えました。 これらの必須の変更により、12.2(8)BC1 より前の Cisco IOS® のリリースで動作する DOCSIS コンフィギュレーション ファイルを使用している一部のケーブル モデムは、オンラインにできなくなる可能性があります。また、CMTS で次のメッセージが生成される場合があります。

%UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> 
Auth Reject - Unauthorized SAID. CM Mac Addr <0081.9607.3831> 

この問題を解決し、新しい変更に準拠する方法は、ケーブルモデムによってダウンロードされたDOCSISコンフィギュレーションファイルに、少なくとも1つのBPI設定オプションが指定されていることを確認することです。

このドキュメントでは、この変更の影響を受けるシステムで見られる症状と、新しいBPIコンフィギュレーション仕様に準拠するためにDOCSISコンフィギュレーションファイルを迅速に更新する方法について説明します。

はじめに

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

前提条件

このドキュメントに関しては個別の前提条件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

• Cisco IOSリリース12.2(8)BC1以降。

• uBR10000、uBR7200、uBR7100シリーズCMTSを含むすべてのCisco CMTS製品

• Cisco DOCSIS Customer Premises Equipment(CPE)コンフィギュレータツールのすべてのリリース。

• このドキュメントは、DOCSIS 1.0モードで動作し、DOCSIS 1.0モードBPIを使用するようにプロビジョニングされたケーブルモデムにのみ適用されます。

このマニュアルの情報は、特定のラボ環境に置かれたデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。実稼動中のネットワークで作業をしている場合、実際にコマンドを使用する前に、その潜在的な影響について理解しておく必要があります。

DOCSIS 1.0 ベースのBPI 設定への変更について

BPI仕様の最新リビジョンには、新しい要件があります。docsis 1.0モードでプロビジョニングされたケーブルモデムでBPIを実行する必要がある場合は、DOCSISコンフィギュレーションファイルとケーブルモデムからの後続のRegistration RequestにBPI構成設定オプションType 17が存在している必要があります。

変更の詳細については、CableLabs Engineering Change Notice(RFI-N-02005)を参照してください。このドキュメントは、登録されたCableLabs参加者のみが利用できます。詳細は、『CableLabs』を参照 してください。

12.2(8)BC1より前のCMTS Cisco IOSリリースでは、BPIを使用してBPI設定オプションに登録するために、DOCSIS 1.0モードでプロビジョニングされたケーブルモデムは必要ありませんでした。12.2(8)BC1以降では、追加のBPI設定オプションを含める必要があります。

ベースライン・プライバシー・コンフィギュレーション・オプション・タイプ17 が使用されない場合の徴候

ケーブルモデムがDOCSIS 1.0モードで動作し、BPIを使用するようにプロビジョニングされていても、BPI設定オプションが指定されていない場合、通常のonline(pt)状態には達しません。ただし、online状態に到達するように見えます。すぐにオフラインになったように見えることがあります。ケーブルモデムがCMTSとBPIパラメータのネゴシエーションを開始すると、CMTSのコンソールに次のエラーメッセージが表示される場合があります。

uBR7246VXR# term mon    

 !--- Necessary for a Telnet session.

uBR7246VXR# 
01:27:42: %UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> 
   Auth Reject - Unauthorized SAID. CM Mac Addr <0090.9607.382f> 
01:27:50: %UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> 
   Auth Reject - Unauthorized SAID. CM Mac Addr <0090.9607.3831> 
01:27:55: %UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> 
   Auth Reject - Unauthorized SAID. CM Mac Addr <0050.7366.12fb> 
01:27:57: %UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> 
   Auth Reject - Unauthorized SAID. CM Mac Addr <0050.7366.2223>

ケーブルモデムがBPIネゴシエーションを実行できない理由をより詳細に分析するためにデバッグを適用すると、モデム自体がBPIを開始しようとしますが、ケーブルモデムがBPIを実行するように正しくプロビジョニングされていないとCMTSが主張することがわかります。

uBR7246# debug cable privacy 
CMTS privacy debugging is on 
May 23 01:39:27.214: CMTS Received AUTH REQ. 
May 23 01:39:27.214: Auth-Req contains 1 SID(s). 
May 23 01:39:27.214: SIDs are not provisioed to run Baseline Privacy. 
May 23 01:39:27.214: Unauthorized SID in the SID list 
May 23 01:39:27.214: Sending KEK REJECT. 
01:31:06: %UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> 
   Auth Reject - Unauthorized SAID. CM Mac Addr <0030.96f9.65d9>

注：上記のデバッグでは、provisionedのスペルがprovisionedと誤っています。IOSバージョン12.2(8)BC1で発生するこの問題に対処するために、表面的な不具合CSCdx67908(登録ユーザ専用)が発生しています

ベースラインプライバシー設定オプションタイプ17 を設定する方法

Cisco DOCSIS CPE Configuratorツールを使用すると、DOCSIS 1.0モードで動作するケーブルモデム用のDOCSISコンフィギュレーションファイルに次のオプションの少なくとも1つを指定して、BPI設定オプションを含むように変更できます。これらのオプションはすべて、Cisco DOCSIS CPE Configuratorツールの[Baseline Privacy] タブにあります。また、各パラメータのデフォルト値も示します。

ベースラインプライバシー設定オプション	デフォルト値
Authorize Wait Timeout	10
Reauthorize Wait Timeout	10
猶予期間の承認	600
Operational Wait Timeout	10
Rekey Wait Timeout	10
TEK 猶予期間	600
Authorize Reject Wait Timeout	60

SA Map Wait TimeoutとSA Map Max Retriesは、DOCSIS 1.1モードで動作するケーブルモデムだけに固有の値なので、DOCSIS 1.0モードで動作するケーブルモデム用のDOCSISコンフィギュレーションファイルでは指定しないでください。

注：上記のBPI設定オプションType 17の値はデフォルトですが、BPI設定オプションType 17を有効にするには、DOCSIS CPE Configuratorツールでそれらの値のいずれかを指定する必要があります。

次に、Cisco DOCSIS CPE Configuratorツールを使用して、さまざまなツールを使用してこれらの値の1つまたは複数を設定する方法を説明する2つの例を示します。他の形式のDOCSISコンフィギュレーションファイルエディタまたはビルダを使用することもできます。

例- 1 つのパラメータだけの指定

この例では、Cisco DOCSIS CPE Configurator GUIを使用して、Authorize Wait Timeoutパラメータをデフォルト値の10に設定しています。この値を設定すると、必要なBPI設定オプションがDOCSISコンフィギュレーションファイルに配置されます。

次の図は、DOCSISコンフィギュレーションファイルにBPI設定オプションを挿入するパラメータの1つを示しています。

このフィールドに入力したら、[Apply] -> [OK] ボタンを選択します。DOCSISコンフィギュレーションファイルを通常どおり保存します。

例- すべてのパラメータの指定

この例では、Cisco DOCSIS CPE Configurator GUIを使用して、BPI設定オプションに含まれるすべてのパラメータをデフォルト値に設定します。[SA Map Wait Timeout] フィールドと[SA Map Max Retries] フィールドが入力されていないことに注意してください。これらのフィールドは、DOCSIS 1.1モードでのみ動作するケーブルモデムに固有のものなので、DOCSIS 1.0モードで動作するケーブルモデム用のDOCSISコンフィギュレーションファイルでは指定しないでください。

次の図は、BPI設定オプションの一部であるすべてのパラメータを示しています。

これらのフィールドに入力したら、[Apply] > [OK]を選択します。DOCSISコンフィギュレーションファイルを通常どおり保存します。

結論

シスコでは、CMTS製品のuBRスイートをDOCSIS仕様の最新バージョンにできるだけ近い状態に維持するよう努めています。この戦略は、まれに、下位互換性の短期的な喪失や不都合を引き起こしているように見える場合がありますが、Cisco CMTS機器を導入している長期的なサービスプロバイダーは、同様に準拠したサードパーティのDOCSIS製品との相互運用性を保証できます。

関連情報

• Cisco CMTS での DOCSIS 1.0 ベースライン プライバシ
• CableLabs Cable Modem Projectsホームページ
• テクニカルサポート - Cisco Systems