エラー処理
エラー処理を機能させるには、GM と KS の両方で GETVPN の復元力(GM のエラー検出の機能)を有効にする必要があります。KS は、SPI(セキュリティ パラメータ インデックス)のグループ情報をエンコードし、TEK ポリシーを介してそれを GM にダウンロードします。
GETVPN 復元力 - GM エラー検出機能によって障害が検出されると、異常なパケットの送信元 IP アドレスを示す syslog メッセージが生成されます。
*Feb 10 21:01:56.043:
%GDOI-4-TIMEBASED_REPLAY_FAILED: An anti replay check has failed in
group GETVPN from sourceip-address
100.0.0.9.
my_pseudotime is 600006.78 secs,
peer_pseudotime is 500033.34 secs, replay_window is 100
(second)
*Feb 10 21:01:56.043:
%CRYPTO-4-PKT_REPLAY_ERR: decrypt: replay check failed
connection id=29, sequence
number=11
-
GM リカバリ機能のオン/オフ
-
リカバリの間隔
-
適用される GM リカバリの再登録の数
エラーが発生すると、GM は次に使用可能なキー サーバ(KS)に再登録し、最新のポリシーとキーを取得し、登録が完了するまで以前にダウンロードされたすべてのグループ ポリシーとキーを維持します。
たとえば、連携キー サーバ(COOP KS)の分割が発生すると、レベルを上げられた各 KS が独自の Key Encryption Key(KEK)とトラフィック暗号化キー(TEK)を生成します。GM は、無効な SPI パケットを受信すると、それをデコードします(KS は SPI のグループ情報をエンコードし、TEK ポリシーを介してそれを GM にダウンロードします)。それが現在の GETVPN グループに属していることが判明した場合は、リカバリ登録を開始します。
無効な SPI は、次の 2 つのカテゴリのいずれかに属している可能性があります。
-
正の無効な SPI:現在のグループに属しており、GM リカバリ登録が必要な、無効な SPI。
-
負の無効な SPI:リカバリ登録を必要としない無効な SPI。
正の無効な SPI の場合、リスト内の次のキーサーバー(KS)へのリカバリ登録が実行されます。このリカバリ登録は、リスト内の次の KS への各クライアント リカバリ間隔で、無効なステートフル パケット インスペクション(SPI)パケットまたは TBAR エラーごとに繰り返されます。リスト内のすべての KS が回復され、無効な SPI が含まれなくなると、その SPI は誤検出としてマークされ、それ以上のリカバリ登録は実行されません。KS は TBAR エラーに対して常にリカバリ登録を実行します。ただし、無効な SPI のために GM がリストのすべての KS を回復し、SPI がある KS がなくなると、その SPI は誤検出としてマークされ、その SPI のためにさらにリカバリ登録が実行されることはなくなります。
この GM リカバリの再登録機能がトリガーされたことを通知するため、syslog メッセージが生成されます。たとえば、GM が 300 秒ごとにコントロール プレーンのエラーをモニタするように設定している場合、リカバリ登録が発生すると、次の syslog が生成されます。
*Feb 23 19:06:28.600: %GDOI-5-GM_RECOVERY_REGISTER: received invalid GDOI packets; register to KS to refresh policy, keys, and PST.