Identificar e Solucionar Problemas de Registro Rejeitado de Membro do Grupo GETVPN para Incompatibilidade Longa de SA

Opções de download

  • PDF     (152.8 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (92.3 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (78.7 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:19 de novembro de 2020
ID do documento:215514

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve como solucionar o problema de rejeição do registro para a incompatibilidade de vida da Long Security Association (SA) entre o Group Encrypted Transport Virtual Private Network (GETVPN) Key Server (KS) e o Group Member (GM).

    Contribuído por Daniel Perez Vertti Vazquez, engenheiro do TAC da Cisco.

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • GETVPN
    • Internet Security Association and Key Management Protocol (ISAKMP)

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • GMs executando uma versão anterior à do Sistema Operacional de Internetwork (IOS) 15.3(2)T que não suportam o recurso de vida longa.
    • GMs executando uma versão anterior ao IOS XE 15.3(2)S que não suportam o recurso de vida longa.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Problema

    O recurso Longo tempo de vida de SA está incluído nas plataformas IOS da versão 15.3(2)T e do XE3.9 (15.3(2)S) em dispositivos IOS XE. Ele permite uma vida útil estendida para a chave de criptografia de tráfego (TEK - Traffic Encryption Key) e a chave de criptografia de chave (KEK - Key Encryption Key) de 24 horas para 30 dias. Quando o recurso Longo tempo de vida SA é usado no Servidor de chaves; é quando a vida útil da configuração do grupo GDOI é alterada para mais de um dia, o GETVPN KS verifica a versão de software de todos os GMs e bloqueia o registro para aqueles que não suportam o recurso.

    Note: O uso do Longo tempo de vida de SA requer o Advanced Encryption Standard-cipher block chinning (AES-CBC) ou Advanced Encryption Standard-Galois/Counter Mode (AES-GCM) com uma chave AES de 128 bits ou mais forte.

    O recurso de longa duração de SA é configurado no grupo Group Domain of Interpretação (GDOI) do Key Server.

    Os dispositivos podem concluir com êxito o túnel ISAKMP e autenticar-se uns com os outros.

    208752: Jun 10 22:19:14.380: ISAKMP-PAK: (82124):sending packet to 10.40.10.10 my_port 848 peer_port 848 (R) MM_KEY_EXCH
208753: Jun 10 22:19:14.380: ISAKMP: (82124):Sending an IKE IPv4 Packet.
208754: Jun 10 22:19:14.380: ISAKMP: (82124):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
208755: Jun 10 22:19:14.380: ISAKMP: (82124):Old State = IKE_R_MM5  New State = IKE_P1_COMPLETE

208756: Jun 10 22:19:14.380: ISAKMP: (82124):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
208757: Jun 10 22:19:14.380: ISAKMP: (82124):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE

    No entanto, quando o GM tenta obter chaves de criptografia, o KS detecta a versão do IOS no GM, não inclui suporte longo ao recurso de vida útil do SA e gera uma mensagem de erro para desativar a conexão.

    208758: Jun 10 22:19:14.433: ISAKMP-PAK: (82124):received packet from 10.40.10.10 dport 848 sport 848 Global (R) GDOI_IDLE
208759: Jun 10 22:19:14.433: ISAKMP: (82124):set new node 1548686329 to GDOI_IDLE
208760: Jun 10 22:19:14.433: ISAKMP: (82124):processing HASH payload. message ID = 1548686329
208761: Jun 10 22:19:14.433: ISAKMP: (82124):processing NONCE payload. message ID = 1548686329
208762: Jun 10 22:19:14.433: ISAKMP: (82124):GDOI Container Payloads:
208763: Jun 10 22:19:14.433:    ID
208764: Jun 10 22:19:14.433: ISAKMP: (82124):Node 1548686329, Input = IKE_MESG_FROM_PEER, IKE_GDOI_EXCH
208765: Jun 10 22:19:14.434: ISAKMP: (82124):Old State = IKE_KS_LISTEN  New State = IKE_KS_GET_SA_POLICY_AWAIT
208766: Jun 10 22:19:14.434: ISAKMP: (82124):GDOI Container Payloads:
208767: Jun 10 22:19:14.434:    SA
208768: Jun 10 22:19:14.434: ISAKMP-ERROR: (82124):GDOI processing Failed: Deleting node 
208769: Jun 10 22:19:14.434: ISAKMP-ERROR: (82124):deleting node 1548686329 error TRUE reason "GDOI QM rejected - failed to process QM" 
208770: Jun 10 22:19:21.280: %GDOI-4-REJECT_GM_VERSION_REGISTER: Reject registration of GM 10.40.10.10(ver 0x1000001) in group MYGETVPN as it cannot support these GETVPN features enabled:  Long-SA

    O GM tenta criar um novo túnel ISAKMP, mas não consegue terminar com o processo de registro. Neste ponto, você pode observar várias instâncias da mesma negociação.

    Router# sh crypto isakmp sa | i 10.80.127.20
10.80.127.20    10.40.10.10     MM_NO_STATE       2104 ACTIVE (deleted)

Router#show crypto gdoi
GROUP INFORMATION

    Group Name               : MYGETVPN
    Group Identity           : 1
    Rekeys received          : 0
    IPSec SA Direction       : Inbound Only

     Group Server list       : 10.80.127.20

    Group member             : 10.40.10.10      vrf: None
       Registration status   : Registering 
       Registering to        : 10.80.127.20
       Re-registers in       : 44 sec
       Succeeded registration: 0
       Attempted registration: 3
       Last rekey from       : 0.0.0.0
       Last rekey seq num    : 0
       Multicast rekey rcvd  : 0
       allowable rekey cipher: any
       allowable rekey hash  : any
       allowable transformtag: any ESP

    Rekeys cumulative
       Total received        : 0
       After latest register : 0
       Rekey Received        : never

 ACL Downloaded From KS UNKNOWN:

    Para fazer uma revisão adicional da compatibilidade de recursos, execute o comando show crypto gdoi feature long-sa-lifetime no KS. Esta saída mostra um exemplo de dois GMs, o primeiro já executa uma imagem do IOS com suporte para essa funcionalidade e o segundo é o GM afetado.

    Router# sh cry gdoi feature long-sa-lifetime
Group Name: GETVPN_GROUP             
    Key Server ID       Version   Feature Supported
        10.80.127.20      1.0.18         Yes

        Group Member ID      Version   Feature Supported
        10.40.10.9        1.0.17         Yes
        10.40.10.10       1.0.4          No

    Solução

    • O problema pode ser corrigido com uma atualização do GM para IOS 15.3(2) ou posterior. Um mapeamento entre as versões GDOI e IOS/IOS-XE pode ser encontrado no guia de design de GETVPN.
    • Uma segunda solução alternativa pode ser alterar o tempo de vida do rechaveamento no grupo GDOI para menos de 86400 segundos. Essa alteração de configuração não causa nenhuma interrupção para os membros do grupo de trabalho, pois não aciona nenhuma chave.
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Daniel Perez Vertti Vazquez
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos