Auth Reject-Unauthorized SAID錯誤消息和12.2(8)BC1中的BPI配置更改
簡介
CableLabs 
(管理有關有線電纜資料服務介面規範(DOCSIS)有線電纜資料機和有線電纜資料機終端系統(CMTS)的標準的機構)對CMTS允許DOCSIS 1.0有線電纜資料機在資料機與CMTS之間建立基線保密性介面(BPI)加密的方式進行了重要的變更。這些強制變更可能導致某些使用DOCSIS配置檔案的纜線資料機無法聯機,這些配置檔案適用於低於12.2(8)BC1的Cisco IOS®版本。此外,以下消息可能會在CMTS上生成:
%UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> Auth Reject - Unauthorized SAID. CM Mac Addr <0081.9607.3831>
解決此問題並遵守新更改的方法是確保至少一個BPI配置選項在電纜數據機下載的DOCSIS配置檔案中指定。
本文檔描述受此更改影響的系統中出現的症狀,以及如何快速更新DOCSIS配置檔案以符合新的BPI配置規範。
開始之前
慣例
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
必要條件
本文件沒有特定先決條件。
採用元件
本檔案中的資訊是根據以下軟體和硬體版本。
-
Cisco IOS版本12.2(8)BC1及更高版本。
-
所有Cisco CMTS產品,包括uBR10000、uBR7200和uBR7100系列CMTS。
-
所有版本的Cisco DOCSIS客戶端裝置(CPE)配置器工具。
-
本檔案僅適用於已布建為在DOCSIS 1.0模式下運作並使用DOCSIS 1.0模式BPI的纜線資料機。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您在即時網路中工作,請確保在使用任何命令之前瞭解其潛在影響。
配置基於DOCSIS 1.0的BPI的更改的詳細資訊
BPI規範的最新修訂版有一個新要求;如果在DOCSIS 1.0模式下調配的電纜數據機需要運行BPI,則DOCSIS配置檔案和隨後來自電纜數據機的註冊請求中必須存在BPI配置設定選項Type 17。
有關更改的更多詳細資訊,請參閱CableLabs工程更改通知RFI-N-02005。本文檔僅適用於CableLabs註冊參與者。如需詳細資訊,請參閱CableLabs 。
12.2(8)BC1之前的CMTS Cisco IOS版本不需要在DOCSIS 1.0模式下調配的電纜數據機使用BPI註冊到BPI配置選項。從12.2(8)BC1及更高版本開始,必須包含額外的BPI配置選項。
未使用基線隱私配置選項型別17時顯示的症狀
如果纜線資料機已設定為在DOCSIS 1.0模式下運作並使用BPI,但尚未指定BPI組態選項,則它們不會達到熟悉的online(pt)狀態。不過,它們似乎會達到線上狀態了。它們似乎會迅速離線。當纜線資料機開始與CMTS協商BPI引數時,CMTS的控制檯上可能會顯示以下錯誤消息:
uBR7246VXR# term mon !--- Necessary for a Telnet session. uBR7246VXR# 01:27:42: %UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> Auth Reject - Unauthorized SAID. CM Mac Addr <0090.9607.382f> 01:27:50: %UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> Auth Reject - Unauthorized SAID. CM Mac Addr <0090.9607.3831> 01:27:55: %UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> Auth Reject - Unauthorized SAID. CM Mac Addr <0050.7366.12fb> 01:27:57: %UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> Auth Reject - Unauthorized SAID. CM Mac Addr <0050.7366.2223>
通過應用調試來更仔細地分析纜線資料機無法執行BPI協商的原因,您可以看到CMTS宣稱纜線資料機未正確布建為執行BPI,儘管資料機本身嘗試發起BPI。
uBR7246# debug cable privacy CMTS privacy debugging is on May 23 01:39:27.214: CMTS Received AUTH REQ. May 23 01:39:27.214: Auth-Req contains 1 SID(s). May 23 01:39:27.214: SIDs are not provisioed to run Baseline Privacy. May 23 01:39:27.214: Unauthorized SID in the SID list May 23 01:39:27.214: Sending KEK REJECT. 01:31:06: %UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> Auth Reject - Unauthorized SAID. CM Mac Addr <0030.96f9.65d9>
注意:在上述偵錯中,已布建的錯誤拼寫為已布建。為了解決IOS版本12.2(8)BC1中出現的問題,我們提出了修飾性錯誤CSCdx67908(僅供註冊客戶使用)
如何配置基線隱私配置選項型別17
使用Cisco DOCSIS CPE Configurator工具,可在配置檔案中指定下列選項中的至少一個,修改在DOCSIS 1.0模式下運行的電纜數據機的DOCSIS配置檔案,以包括BPI配置選項。所有這些選項都可以在Cisco DOCSIS CPE Configurator工具的Baseline Privacy頁籤下找到。還列出了每個引數的預設值。
| 基線隱私配置選項 | 預設值 |
|---|---|
| 授權等待超時 | 10 |
| 重新授權等待超時 | 10 |
| 授權寬限時間 | 600 |
| 操作等待超時 | 10 |
| 重新生成金鑰等待超時 | 10 |
| TEK寬限時間 | 600 |
| 授權拒絕等待超時 | 60 |
請注意,SA Map Wait Timeout和SA Map Max Retries僅適用於在DOCSIS 1.1模式下運行的電纜數據機,因此不得在DOCSIS配置檔案中指定在DOCSIS 1.0模式下運行的電纜數據機。
註:雖然上述BPI配置選項型別17值是預設值,但是您仍需要在DOCSIS CPE配置器工具中指定這些值之一,以啟用BPI配置選項型別17。
下面列出兩個示例,討論如何使用Cisco DOCSIS CPE配置器工具使用各種工具設定其中的一個或多個值。也可以使用其他形式的DOCSIS配置檔案編輯器或構建器。
示例 — 僅指定一個引數
在本示例中,Cisco DOCSIS CPE Configurator GUI用於將Authorize Wait Timeout引數設定為預設值10。設定此值將在DOCSIS配置檔案中放置所需的BPI配置選項。
下圖顯示將BPI配置選項插入DOCSIS配置檔案的引數之一。
填寫此欄位後,選擇Apply -> OK按鈕。按正常方式儲存DOCSIS配置檔案。
示例 — 指定所有引數
在本示例中,Cisco DOCSIS CPE配置器GUI用於將作為BPI配置選項一部分的所有引數設定為預設值。請注意,未完成SA Map Wait Timeout和SA Map Max Retries欄位。這些欄位只適用於在DOCSIS 1.1模式下運行的電纜數據機,因此,對於在DOCSIS 1.0模式下運行的電纜數據機,不能在DOCSIS配置檔案中指定這些欄位。
下圖顯示屬於BPI配置選項的所有引數。
填寫這些欄位後,選擇Apply -> OK。按正常方式儲存DOCSIS配置檔案。
結論
思科致力確保uBR套件的CMTS產品儘可能貼近DOCSIS規範的最新版本。雖然在某些極少數情況下,此策略似乎會在短期內導致向後相容性的丟失或不便,但可確保長期而言,部署思科CMTS裝置的服務提供商能夠確保與類似合規的第三方DOCSIS產品的互操作性。
意見