Invalid Security Parameter Index Recovery

IP セキュリティ(IPsec)パケットの処理中に無効なセキュリティ パラメータ インデックス エラー(「Invalid SPI」として表示されます)が発生した場合、Invalid Security Parameter Index Recovery 機能によって、インターネット キー エクスチェンジ(IKE)セキュリティ アソシエーション(SA)を確立できます。「IKE」モジュールによって「Invalid SPI」エラーの通知が、発信側の IPsec ピアに対して送信され、セキュリティ アソシエーション データベース(SADB)の再同期化と、成功したパケット処理の再開が可能になります。

Invalid Security Parameter Index Recovery の前提条件

Invalid Security Parameter Index Recovery 機能を設定する前に、ルータ上で IKE および IPsec を有効化しておく必要があります。

Invalid Security Parameter Index Recovery の制約事項

IPsec ピアに対して「Invalid SPI」エラーを通知するために IKE SA を開始する場合、サービス妨害(DoS)攻撃が発生するリスクがあります。Invalid Security Parameter Index Recovery 機能には、そのようなリスクを最小化するためのメカニズムが内蔵されていますが、リスクが存在するため、Invalid Security Parameter Index Recovery 機能は、デフォルトでは有効化されていません。コマンドライン インターフェイス(CLI)を使用してコマンドをイネーブルにする必要があります。

Invalid Security Parameter Index Recovery に関する情報

機能の動作

ある IPsec ピアが「死ぬ」(たとえば、リブートが発生したり、IPsec ピアが何らかの理由によりリセットされたりした場合にピアが「死ぬ」可能性があります)と、IPsec の「ブラック ホール化」が発生します。ピアの 1 つ(受信側のピア)は完全にリセットされるため、そのピアでは他のピアとの IKE SA が失われます。一般に、IPsec ピアによって、SA を検出できないパケットが受信されると、そのピアによって、そのデータの発信者に対する IKE「INVALID SPI NOTIFY」メッセージの送信が試行されます。この通知は IKE SA を使用して送信されます。IKE SA が使用できない場合、受信側のピアによってパケットが廃棄されます。


Note

1 つの SA につきピアは 2 つだけです。しかし、SADB は複数の SA を持てます。これにより、各 SA は異なるピアとのアソシエーションを持ちます。

無効なセキュリティ パラメータ インデックス(SPI)が発生した場合、Invalid Security Parameter Index 機能によって、データの発信者に IKE SA が設定され、IKE「INVALID SPI NOTIFY」メッセージが送信されます。データを発信したピアによって「INVALID SPI NOTIFY」メッセージが「参照」され、無効な SPI を持つ IPsec SA が削除されます。発信側のピアからトラフィックがさらにある場合、IPsec SA は存在せず、新しい SA が設定されます。トラフィックが再び流れます。デフォルトの動作(つまり、Invalid Security Parameter Index 機能が設定されていない状態)では、無効な SPI エラーの原因となったデータ パケットは廃棄されます。発信側のピアによって、無効な SPI を持つ IPsec SA を使用したデータの送信が続けられ、受信側のピアによってトラフィックが廃棄され続けます(その結果、「ブラック ホール」が作成されます)。

IPsec モジュールでは IKE モジュールが使用され、他のピアに IKE「INVALID SPI NOTIFY」メッセージが送信されます。無効な SPI リカバリが行われると、IPsec SA の設定自体によっていくつかのパケットが廃棄されますが、意味のあるパケット廃棄は一切行われません。

Invalid Security Parameter Index Recovery 機能用にルータを設定するには、crypto isakmp invalid-spi-recovery コマンドを使用します。IKE SA は、このコマンドを設定しない限り開始されません。

Invalid Security Parameter Index Recovery の設定方法

Invalid Security Parameter Index Recovery の設定

Invalid Security Parameter Index Recovery 機能を設定するには、次の手順を実行します。

SUMMARY STEPS

  1. enable
  2. configure terminal
  3. crypto isakmp invalid-spi-recovery

DETAILED STEPS

  Command or Action Purpose

Step 1

enable

Example:


Router> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

configure terminal

Example:


Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

Step 3

crypto isakmp invalid-spi-recovery

Example:


Router (config)# crypto isakmp invalid-spi-recovery

IKE モジュール プロセスを開始します。それにより、IKE モジュールによって、受信側ピアに対して「Invalid SPI」エラーが発生したことが通知されます。

事前共有設定の確認

2 つのピア間におけるトラフィックに関する IPsec SA のステータスを確認するには、show crypto ipsec sa コマンドを使用します。IPsec SA が、あるピアでは使用可能で、他のピアでは使用不可の場合、「ブラック ホール化」の状況が発生します。この場合、無効な SPI エラーが受信側のピアのログに記録されます。コンソール ロギングをオンにするか、シスログ サーバを確認すると、これらのエラーもログに記録されていることがわかります。

次の図に、一般的な事前共有設定のトポロジを示します。ホスト 1 が発信側のピア(発信側)、ホスト 2 が受信側のピア(応答側)です。

Figure 1. 事前共有設定トポロジ

SUMMARY STEPS

  1. ホスト 1 とホスト 2 の間における IKE および IPsec SA を開始します。
  2. ルータ B 上の IKE および IPsec SA をクリアします。
  3. ホスト 1 からのトラフィックをホスト 2 に送信し、新しい IKE および IPsec SA が正しく確立されているかどうかを確認します。
  4. ルータ B に無効な SPI メッセージがないか確認します。

DETAILED STEPS

Step 1

ホスト 1 とホスト 2 の間における IKE および IPsec SA を開始します。

Router A

Example:


Router# show crypto isakmp sa
  f_vrf/i_vrf   dst            src             state       conn-id slot 
       / 10.2.2.2              10.1.1.1        QM_IDLE               1       0

ルータ B

Example:


Router# show crypto isakmp sa
  f_vrf/i_vrf   dst            src             state       conn-id slot 
       /        10.1.1.1       10.2.2.2        QM_IDLE               1       0

ルータ A

Example:


Router# show crypto ipsec sa interface fastethernet0/0
interface: FastEthernet0/0 
    Crypto map tag: testtag1, local addr. 10.1.1.1
   protected vrf: 
   local  ident (addr/mask/prot/port): (10.0.0.1/255.255.255.255/0/0) 
   remote ident (addr/mask/prot/port): (10.0.2.2/255.255.255.255/0/0) 
   current_peer: 10.2.2.2:500 
     PERMIT, flags={origin_is_acl,} 
    #pkts encaps: 10, #pkts encrypt: 10, #pkts digest: 10 
    #pkts decaps: 10, #pkts decrypt: 10, #pkts verify: 10 
    #pkts compressed: 0, #pkts decompressed: 0 
    #pkts not compressed: 0, #pkts compr. failed: 0 
    #pkts not decompressed: 0, #pkts decompress failed: 0 
    #send errors 0, #recv errors 0 
     local crypto endpt.: 10.1.1.1, remote crypto endpt.: 10.2.2.2 
     path mtu 1500, media mtu 1500 
     current outbound spi: 7AA69CB7 
     inbound esp sas: 
      spi: 0x249C5062(614223970) 
        transform: esp-des esp-sha-hmac , 
        in use settings ={Tunnel, } 
        slot: 0, conn id: 5123, flow_id: 1, crypto map: testtag1 
        crypto engine type: Hardware 
        sa timing: remaining key lifetime (k/sec): (4537831/3595) 
        IV size: 8 bytes 
        replay detection support: Y 
     inbound ah sas: 
      spi: 0xB16D1587(2976716167) 
        transform: ah-sha-hmac , 
        in use settings ={Tunnel, } 
        slot: 0, conn id: 5121, flow_id: 1, crypto map: testtag1 
        crypto engine type: Hardware 
        sa timing: remaining key lifetime (k/sec): (4537831/3595) 
        replay detection support: Y 
     inbound pcp sas: 
     outbound esp sas: 
      spi: 0x7AA69CB7(2057739447) 
        transform: esp-des esp-sha-hmac , 
        in use settings ={Tunnel, } 
        slot: 0, conn id: 5124, flow_id: 2, crypto map: testtag1 
        crypto engine type: Hardware 
        sa timing: remaining key lifetime (k/sec): (4537835/3595) 
        IV size: 8 bytes 
        replay detection support: Y 
     outbound ah sas: 
      spi: 0x1214F0D(18960141) 
        transform: ah-sha-hmac , 
        in use settings ={Tunnel, } 
        slot: 0, conn id: 5122, flow_id: 2, crypto map: testtag1 
        crypto engine type: Hardware 
        sa timing: remaining key lifetime (k/sec): (4537835/3594) 
        replay detection support: Y 
     outbound pcp sas:

ルータ B

Example:


Router# show crypto ipsec sa interface Fastethernet1/0
interface: FastEthernet1/0 
    Crypto map tag: testtag1, local addr. 10.2.2.2 
   protected vrf: 
   local  ident (addr/mask/prot/port): (10.0.2.2/255.255.255.255/0/0) 
   remote ident (addr/mask/prot/port): (10.0.0.1/255.255.255.255/0/0) 
   current_peer: 10.1.1.1:500 
     PERMIT, flags={origin_is_acl,} 
    #pkts encaps: 10, #pkts encrypt: 10, #pkts digest: 10 
    #pkts decaps: 10, #pkts decrypt: 10, #pkts verify: 10 
    #pkts compressed: 0, #pkts decompressed: 0 
    #pkts not compressed: 0, #pkts compr. failed: 0 
    #pkts not decompressed: 0, #pkts decompress failed: 0 
    #send errors 0, #recv errors 0 
     local crypto endpt.: 10.2.2.2, remote crypto endpt.: 10.1.1.1 
     path mtu 1500, media mtu 1500 
     current outbound spi: 249C5062 
     inbound esp sas: 
      spi: 0x7AA69CB7(2057739447) 
        transform: esp-des esp-sha-hmac , 
        in use settings ={Tunnel, } 
        slot: 0, conn id: 5123, flow_id: 1, crypto map: testtag1 
        crypto engine type: Hardware 
        sa timing: remaining key lifetime (k/sec): (4421281/3593) 
        IV size: 8 bytes 
        replay detection support: Y 
     inbound ah sas: 
      spi: 0x1214F0D(18960141) 
        transform: ah-sha-hmac , 
        in use settings ={Tunnel, } 
        slot: 0, conn id: 5121, flow_id: 1, crypto map: testtag1 
        crypto engine type: Hardware 
        sa timing: remaining key lifetime (k/sec): (4421281/3593) 
        replay detection support: Y 
     inbound pcp sas: 
     outbound esp sas: 
      spi: 0x249C5062(614223970) 
        transform: esp-des esp-sha-hmac , 
        in use settings ={Tunnel, } 
        slot: 0, conn id: 5124, flow_id: 2, crypto map: testtag1 
        crypto engine type: Hardware 
        sa timing: remaining key lifetime (k/sec): (4421285/3593) 
        IV size: 8 bytes 
        replay detection support: Y 
     outbound ah sas: 
      spi: 0xB16D1587(2976716167) 
        transform: ah-sha-hmac , 
        in use settings ={Tunnel, } 
        slot: 0, conn id: 5122, flow_id: 2, crypto map: testtag1 
        crypto engine type: Hardware 
        sa timing: remaining key lifetime (k/sec): (4421285/3592) 
        replay detection support: Y 
     outbound pcp sas:

Step 2

ルータ B 上の IKE および IPsec SA をクリアします。

Example:


Router# clear crypto isakmp
Router# clear crypto sa
Router# show crypto isakmp sa
  f_vrf/i_vrf   dst            src             state       conn-id slot 
       /        10.2.2.2.       10.1.1.1      MM_NO_STATE           1       0 (deleted)
Router# show crypto ipsec sa
interface: FastEthernet1/0 
    Crypto map tag: testtag1, local addr. 10.2.2.2 
   protected vrf: 
   local  ident (addr/mask/prot/port): (10.0.2.2/255.255.255.255/0/0) 
   remote ident (addr/mask/prot/port): (10.0.0.1/255.255.255.255/0/0) 
   current_peer: 10.1.1.1:500 
     PERMIT, flags={origin_is_acl,} 
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 
    #pkts compressed: 0, #pkts decompressed: 0 
    #pkts not compressed: 0, #pkts compr. failed: 0 
    #pkts not decompressed: 0, #pkts decompress failed: 0 
    #send errors 0, #recv errors 0 
     local crypto endpt.: 10.2.2.2, remote crypto endpt.: 10.1.1.1 
     path mtu 1500, media mtu 1500 
     current outbound spi: 0 
     inbound esp sas: 
     inbound ah sas: 
     inbound pcp sas: 
     outbound esp sas: 
     outbound ah sas: 
     outbound pcp sas:

Step 3

ホスト 1 からのトラフィックをホスト 2 に送信し、新しい IKE および IPsec SA が正しく確立されているかどうかを確認します。

Example:


ping 
Protocol [ip]: ip 
Target IP address: 10.0.2.2 
Repeat count [5]: 30 
Datagram size [100]: 100 
Timeout in seconds [2]: 
Extended commands [n]: no 
Sweep range of sizes [n]: n 
Type escape sequence to abort. 
Sending 30, 100-byte ICMP Echos to 10.0.2.2, timeout is 2 seconds: 
..!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
Success rate is 93 percent (28/30), round-trip min/avg/max = 1/3/8 ms 
RouterB# show crypto isakmp sa
  f_vrf/i_vrf   dst            src             state       conn-id slot 
       /        10.1.1.1       10.2.2.2     QM_IDLE               3       0 
       /        10.1.1.1       10.2.2.2      MM_NO_STATE           1       0 (deleted) 
RouterB# show crypto ipsec sa 
interface: FastEthernet1/0 
    Crypto map tag: testtag1, local addr. 10.2.2.2 
   protected vrf: 
   local  ident (addr/mask/prot/port): (10.0.2.2/255.255.255.255/0/0) 
   remote ident (addr/mask/prot/port): (10.0.0.1/255.255.255.255/0/0) 
   current_peer: 10.1.1.1:500 
     PERMIT, flags={origin_is_acl,} 
    #pkts encaps: 28, #pkts encrypt: 28, #pkts digest: 28 
    #pkts decaps: 28, #pkts decrypt: 28, #pkts verify: 28 
    #pkts compressed: 0, #pkts decompressed: 0 
    #pkts not compressed: 0, #pkts compr. failed: 0 
    #pkts not decompressed: 0, #pkts decompress failed: 0 
    #send errors 0, #recv errors 0 
     local crypto endpt.: 10.2.2.2, remote crypto endpt.: 10.1.1.1 
     path mtu 1500, media mtu 1500 
     current outbound spi: D763771F 
     inbound esp sas: 
      spi: 0xE7AB4256(3886760534) 
        transform: esp-des esp-sha-hmac , 
        in use settings ={Tunnel, } 
        slot: 0, conn id: 5127, flow_id: 3, crypto map: testtag1 
        crypto engine type: Hardware 
        sa timing: remaining key lifetime (k/sec): (4502463/3596) 
        IV size: 8 bytes 
        replay detection support: Y 
     inbound ah sas: 
      spi: 0xF9205CED(4179647725) 
        transform: ah-sha-hmac , 
        in use settings ={Tunnel, } 
        slot: 0, conn id: 5125, flow_id: 3, crypto map: testtag1 
        crypto engine type: Hardware 
        sa timing: remaining key lifetime (k/sec): (4502463/3596) 
        replay detection support: Y 
     inbound pcp sas: 
     outbound esp sas: 
      spi: 0xD763771F(3613619999) 
        transform: esp-des esp-sha-hmac , 
        in use settings ={Tunnel, } 
        slot: 0, conn id: 5128, flow_id: 4, crypto map: testtag1 
        crypto engine type: Hardware 
        sa timing: remaining key lifetime (k/sec): (4502468/3596) 
        IV size: 8 bytes 
        replay detection support: Y 
     outbound ah sas: 
      spi: 0xEB95406F(3952427119) 
        transform: ah-sha-hmac , 
        in use settings ={Tunnel, } 
        slot: 0, conn id: 5126, flow_id: 4, crypto map: testtag1 
        crypto engine type: Hardware 
        sa timing: remaining key lifetime (k/sec): (4502468/3595) 
        replay detection support: Y 
     outbound pcp sas: 
RouterA# show crypto isakmp sa
  f_vrf/i_vrf   dst            src             state       conn-id slot 
       /        10.2.2.2       10.1.1.1      MM_NO_STATE           1       0 (deleted) 
       /        10.2.2.2       10.1.1.1      QM_IDLE               2       0

Step 4

ルータ B に無効な SPI メッセージがないか確認します。

Example:


Router# show logging
Syslog logging: enabled (10 messages dropped, 13 messages rate-limited, 0 flushes, 0 overruns, xml disabled) 
    Console logging: disabled 
    Monitor logging: level debugging, 0 messages logged, xml disabled 
    Buffer logging: level debugging, 43 messages logged, xml disabled 
    Logging Exception size (8192 bytes) 
    Count and timestamp logging messages: disabled 
    Trap logging: level informational, 72 message lines logged 
Log Buffer (8000 bytes): 
*Mar 24 20:55:45.739: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for 
        destaddr=10.2.2.2, prot=51, spi=0x1214F0D(18960141), srcaddr=10.1.1.1 
*Mar 24 20:55:47.743: IPSEC(validate_proposal_request): proposal part #1, 
  (key eng. msg.) INBOUND local= 10.2.2.2, remote= 10.1.1.1, 
    local_proxy= 10.0.2.2/255.255.255.255/0/0 (type=1), 
    remote_proxy= 10.0.0.1/255.255.255.255/0/0 (type=1), 
    protocol= AH, transform= ah-sha-hmac , 
    lifedur= 0s and 0kb, 
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x2 
*Mar 24 20:55:47.743: IPSEC(validate_proposal_request): proposal part #2, 
  (key eng. msg.) INBOUND local= 10.2.2.2, remote= 10.1.1.1, 
    local_proxy= 10.0.2.2/255.255.255.255/0/0 (type=1), 
    remote_proxy= 10.0.0.1/255.255.255.255/0/0 (type=1), 
    protocol= ESP, transform= esp-des esp-sha-hmac , 
    lifedur= 0s and 0kb, 
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x2 
*Mar 24 20:55:47.743: IPSEC(kei_proxy): head = testtag1, map->ivrf = , kei->ivrf = 
*Mar 24 20:55:47.743: IPSEC(key_engine): got a queue event with 2 kei messages 
*Mar 24 20:55:47.743: IPSEC(spi_response): getting spi 4179647725 for SA 
        from 10.2.2.2        to 10.1.1.1     for prot 2 
*Mar 24 20:55:47.747: IPSEC(spi_response): getting spi 3886760534 for SA 
        from 10.2.2.2     to 10.1.1.1        for prot 3 
*Mar 24 20:55:48.071: IPSec: Flow_switching Allocated flow for flow_id 939524099 
*Mar 24 20:55:48.071: IPSec: Flow_switching Allocated flow for flow_id 939524100 
*Mar 24 20:55:48.135: IPSEC(key_engine): got a queue event with 4 kei messages 
*Mar 24 20:55:48.135: IPSEC(initialize_sas): , 
  (key eng. msg.) INBOUND local= 10.2.2.2, remote= 10.1.1.1, 
    local_proxy= 10.0.2.2/0.0.0.0/0/0 (type=1), 
    remote_proxy= 10.0.0.1/0.0.0.0/0/0 (type=1), 
    protocol= AH, transform= ah-sha-hmac , 
    lifedur= 3600s and 4608000kb, 
    spi= 0xF9205CED(4179647725), conn_id= 939529221, keysize= 0, flags= 0x2 
*Mar 24 20:55:48.135: IPSEC(initialize_sas): , 
  (key eng. msg.) OUTBOUND local= 10.2.2.2, remote= 10.1.1.1, 
    local_proxy= 10.0.2.2/0.0.0.0/0/0 (type=1), 
    remote_proxy= 10.0.0.1/0.0.0.0/0/0 (type=1), 
    protocol= AH, transform= ah-sha-hmac , 
    lifedur= 3600s and 4608000kb, 
    spi= 0xEB95406F(3952427119), conn_id= 939529222, keysize= 0, flags= 0xA 
*Mar 24 20:55:48.135: IPSEC(initialize_sas): , 
  (key eng. msg.) INBOUND local= 10.2.2.2, remote= 10.1.1.1, 
    local_proxy= 10.0.2.2/0.0.0.0/0/0 (type=1), 
    remote_proxy= 10.0.0.1/0.0.0.0/0/0 (type=1), 
    protocol= ESP, transform= esp-des esp-sha-hmac , 
    lifedur= 3600s and 4608000kb, 
    spi= 0xE7AB4256(3886760534), conn_id= 939529223, keysize= 0, flags= 0x2 
*Mar 24 20:55:48.135: IPSEC(initialize_sas): , 
  (key eng. msg.) OUTBOUND local= 10.2.2.2, remote= 10.1.1.1, 
    local_proxy= 10.0.2.2/0.0.0.0/0/0 (type=1), 
    remote_proxy= 10.0.0.1/0.0.0.0/0/0 (type=1), 
    protocol= ESP, transform= esp-des esp-sha-hmac , 
    lifedur= 3600s and 4608000kb, 
    spi= 0xD763771F(3613619999), conn_id= 939529224, keysize= 0, flags= 0xA 
*Mar 24 20:55:48.139: IPSEC(kei_proxy): head = testtag1, map->ivrf = , kei->ivrf = 
*Mar 24 20:55:48.139: IPSEC(mtree_add_ident): src 10.2.2.2, dest 10.1.1.1, dest_port 0 
*Mar 24 20:55:48.139: IPSEC(create_sa): sa created, 
  (sa) sa_dest= 10.1.1.1, sa_prot= 51, 
    sa_spi= 0xF9205CED(4179647725), 
    sa_trans= ah-sha-hmac , sa_conn_id= 939529221 
*Mar 24 20:55:48.139: IPSEC(create_sa): sa created, 
  (sa) sa_dest= 10.2.2.2, sa_prot= 51, 
    sa_spi= 0xEB95406F(3952427119), 
    sa_trans= ah-sha-hmac , sa_conn_id= 939529222 
*Mar 24 20:55:48.139: IPSEC(create_sa): sa created, 
  (sa) sa_dest= 10.1.1.1, sa_prot= 50, 
    sa_spi= 0xE7AB4256(3886760534), 
    sa_trans= esp-des esp-sha-hmac , sa_conn_id= 939529223 
*Mar 24 20:55:48.139: IPSEC(create_sa): sa created, 
  (sa) sa_dest= 10.2.2.2, sa_prot= 50, 
    sa_spi= 0xD763771F(3613619999), 
    sa_trans= esp-des esp-sha-hmac , sa_conn_id= 939529224 
ipseca-72a#

Invalid Security Parameter Index Recovery の設定例

Invalid Security Parameter Index Recovery:例

次に、Invalid Security Parameter Index Recovery がルータ A とルータ B に設定されている例を示します。次の例には、この例で使用されるトポロジが示されています。

ルータ A 


Router# show running-config
Building configuration... 
Current configuration : 2048 bytes 
! 
version 2.1 
no service pad 
service timestamps debug datetime msec localtime 
service timestamps log datetime msec localtime 
no service password-encryption 
service tcp-small-servers 
! 
hostname ipseca-71a 
! 
logging queue-limit 100 
no logging console 
enable secret 5 $1$4GZB$L2YOmnenOCNAu0jgFxebT/ 
enable password lab 
! 
clock timezone PST -8 
clock summer-time PDT recurring 
ip subnet-zero 
! 
! 
no ip domain lookup 
! 
ip cef 
ip audit notify log 
ip audit po max-events 100 
mpls ldp logging neighbor-changes 
no ftp-server write-enable 
! 
! 
no voice hpi capture buffer 
no voice hpi capture destination 
! 
! 
crypto isakmp policy 1 
 authentication pre-share 
 lifetime 180 
crypto isakmp key 0 1234 address 10.2.2.2
crypto isakmp invalid-spi-recovery 
! 
! 
crypto ipsec transform-set auth2 ah-sha-hmac esp-des esp-sha-hmac 
! 
crypto map testtag1 10 ipsec-isakmp 
 set peer 10.2.2.2 
 set transform-set auth2 
 match address 150 
! 
! 
controller ISA 5/1 
! 
! 
interface FastEthernet0/0 
 ip address 10.1.1.1 255.0.0.0 
 no ip route-cache cef 
 duplex full 
 speed 100 
 crypto map testtag1 
! 
interface FastEthernet0/1 
 ip address 10.0.0.1 255.0.0.0 
 no ip route-cache cef 
 duplex auto 
 speed auto 
! 
interface Serial1/0 
 no ip address 
 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 serial restart_delay 0 
 clockrate 128000 
! 
interface Serial1/1 
 no ip address 
 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 serial restart_delay 0 
 clockrate 128000 
! 
interface Serial1/2 
 no ip address 
 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 serial restart_delay 0 
! 
interface Serial1/3 
 no ip address 
 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 no keepalive 
 serial restart_delay 0 
 clockrate 128000 
! 
ip classless 
ip route 10.3.3.3 255.0.0.0 10.2.0.1 
no ip http server 
no ip http secure-server 
! 
! 
access-list 150 permit ip host 10.0.0.1 host 10.0.2.2 
dialer-list 1 protocol ip permit 
dialer-list 1 protocol ipx permit 
! 
! 
call rsvp-sync 
! 
! 
mgcp profile default 
! 
! 
line con 0 
 exec-timeout 0 0 
line aux 0 
line vty 0 4 
 password lab 
 login 
! 
! 
end 
ipseca-71a#

ルータ B


Router# show running-config
Building configuration... 
Current configuration : 2849 bytes 
! 
version 2.1 
no service pad 
service timestamps debug datetime msec localtime 
service timestamps log datetime msec localtime 
no service password-encryption 
service udp-small-servers 
service tcp-small-servers 
! 
hostname ipseca-72a 
! 
logging queue-limit 100 
no logging console 
enable secret 5 $1$kKqL$5Th5Qhw1ubDkkK90KWFxi1 
enable password lab 
! 
clock timezone PST -8 
clock summer-time PDT recurring 
ip subnet-zero 
! 
! 
no ip domain lookup 
! 
ip cef 
ip audit notify log 
ip audit po max-events 100 
mpls ldp logging neighbor-changes 
no ftp-server write-enable 
! 
! 
no voice hpi capture buffer 
no voice hpi capture destination 
! 
! 
mta receive maximum-recipients 0 
! 
! 
crypto isakmp policy 1 
 authentication pre-share 
 lifetime 180 
crypto isakmp key 0 1234 address 10.1.1.1 
crypto isakmp invalid-spi-recovery 
! 
! 
crypto ipsec transform-set auth2 ah-sha-hmac esp-des esp-sha-hmac 
! 
crypto map testtag1 10 ipsec-isakmp 
 set peer 10.1.1.1 
 set transform-set auth2 
 match address 150 
! 
! 
controller ISA 5/1 
! 
! 
interface FastEthernet0/0 
 no ip address 
 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 duplex half 
! 
interface FastEthernet1/0 
 ip address 10.2.2.2 255.0.0.0 
 no ip route-cache cef 
 duplex half 
 crypto map testtag1 
! 
interface FastEthernet1/1 
 ip address 10.0.2.2 255.0.0.0 
 no ip route-cache cef 
 duplex half 
! 
interface FastEthernet1/2 
 no ip address 
 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 duplex half 
! 
interface FastEthernet1/3 
 no ip address 
 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 duplex half 
! 
interface FastEthernet1/4 
 no ip address 
 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 duplex half 
! 
interface FastEthernet1/5 
 no ip address 
 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 duplex half 
! 
interface FastEthernet1/6 
 no ip address 
 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 duplex half 
! 
interface FastEthernet1/7 
 no ip address 
 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 duplex half 
! 
interface Serial3/0 
 no ip address 
 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 serial restart_delay 0 
! 
interface Serial3/1 
 no ip address 
 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 serial restart_delay 0 
 clockrate 128000 
! 
interface Serial3/2 
 no ip address 
 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 serial restart_delay 0 
! 
interface Serial3/3 
 no ip address 
 no ip route-cache 
 no ip mroute-cache 
 shutdown 
 no keepalive 
 serial restart_delay 0 
 clockrate 128000 
! 
ip classless 
ip route 10.0.0.0 255.0.0.0 10.2.0.1 
no ip http server 
no ip http secure-server 
!
!
access-list 150 permit ip host 10.0.2.2 host 10.0.0.1 
dialer-list 1 protocol ip permit 
dialer-list 1 protocol ipx permit 
!
!
call rsvp-sync 
!
!
mgcp profile default 
! 
dial-peer cor custom 
!
!
gatekeeper 
 shutdown 
!
!
line con 0 
 exec-timeout 0 0 
 stopbits 1 
line aux 0 
 stopbits 1 
line vty 0 4 
 password lab 
 login 
!
!
end

その他の参考資料

次の項では、Invalid Security Parameter Index Recovery に関連した参考資料を示します。

関連資料

関連項目

マニュアル タイトル

IKE の設定

「Configuring Internet Key Exchange for IPsec VPNs」

標準

標準

タイトル

この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。

--

MIB

MIB

MIB のリンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS XE ソフトウェア リリース、およびフィーチャ セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC

タイトル

この機能によりサポートされた新規 RFC または改訂 RFC はありません。またこの機能による既存 RFC のサポートに変更はありません。

--

シスコのテクニカル サポート

説明

リンク

シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

http://www.cisco.com/en/US/support/index.html

Invalid Security Parameter Index Recovery の機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
Table 1. Invalid Security Parameter Index Recovery の機能情報

機能名

リリース

機能情報

Invalid Special Parameter Index(SPI)Recovery

Cisco IOS XE Release 2.1

IPsec パケット処理で、無効な SPI が検出された場合は、Invalid Security Parameter Index Recovery 機能によって、IKE SA が確立されます。「IKE」モジュールによって「Invalid SPI」エラーの通知が、発信側の IPsec ピアに対して送信され、セキュリティ アソシエーション データベース(SADB)の再同期化と、成功したパケット処理の再開が可能になります。

次のコマンドが導入または変更されました。crypto isakmp invalid-spi-recovery.