فهم شبكة SD-WAN والأنفاق التقليدية التي تعمل عبر بروتوكول SPI لاسترداد الاختلافات

المقدمة

يوضح هذا المستند كيفية إستعادة أنفاق SD-WAN وأنفاق الطرف الثالث من خطأ ٪RECVD_PKT_INV_SPI.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• شبكة منطقة واسعة معرفة ببرنامج Cisco Catalyst (SD-WAN)
• أمان بروتوكول الإنترنت (IPSec).
• اكتشاف إعادة التوجيه ثنائي الإتجاه (BFD).

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى:

• الحواف Cisco IOS® XE Catalyst SD-WAN.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

المشكلة

يعد مفهوم اقتران الأمان (SA) أساسيا ل IPSec. SA هي علاقة بين نقطتي نهاية تصف كيفية إستخدام نقاط النهاية لخدمات الأمان للاتصال بشكل آمن.

فهرسة معلمات الأمان (SPI) هي رقم 32 بت الذي يتم إختياره لتعريف SA معين بشكل فريد لأي جهاز متصل باستخدام IPSec.

أحد أكثر مشاكل IPsec شيوعا هو أنه يمكن أن تصبح SAs غير متزامنة بسبب قيمة SPI غير صحيحة، مما يتسبب بالتالي في حالة أسفل نفق IPSec حيث يتم إسقاط الحزم بواسطة النظير ويتم إستلام رسائل syslog في الموجه.

أنفاق الطرف الثالث:

 Jan  8 15:00:23.723 EDT: : %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=10.30.30.1, prot=50, spi=0x215EBFF1(605998893), srcaddr=10.40.40.1

لأنفاق SD-WAN:

 Jan 10 12:18:43.404 EDT: : %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=10.10.10.1, prot=50, spi=0x241BBFF1(605913993), srcaddr=10.20.20.1, input interface=Tunnel10001

تترافق هذه السجلات مع حالات سقوط في معالج التدفق الكمي (QFP) الذي ينتمي إلى معالج إعادة التوجيه (FP).

Router# show platform hardware qfp active feature ipsec datapath drops 
------------------------------------------------------------------------ 
Drop Type Name                                                   Packets 
------------------------------------------------------------------------ 
1 IN_V4_PKT_HIT_INVALID_SA                                             1 
4 IN_US_V4_PKT_SA_NOT_FOUND_SPI 9393888 <-- sub code error
19 IN_OCT_ANTI_REPLAY_FAIL                                           342

الحل

إسترداد أنفاق IPSec التقليدية

لاسترداد أنفاق IPSec التقليدية، من الضروري فرض إعادة التفاوض يدويا لعلاقة قيم SAs الحالية، ويتم تنفيذ ذلك من خلال مسح موجهات IPSec باستخدام أمر وضع EXEC:

Router# clear crypto sa peer 10.20.20.1

إسترداد أنفاق SD-WAN - السيناريو 1

يعمل أمر EXEC clear crypto sa peer فقط للأنفاق التقليدية ل IPSec بسبب وجود تبادل مفتاح الإنترنت (IKE)، والذي يفاوض الارتباط تلقائيا ويولد قيمة SPI جديدة. ومع ذلك، لا يمكن إستخدام هذا الأمر على نفق SD-WAN. والسبب وراء ذلك هو أنه في أنفاق SD-WAN، لا يتم إستخدام IKE.

ولهذا السبب، يتم إستخدام أمر مماثل لأنفاق SD-WAN:

Router# request platform software sdwan security ipsec-rekey 

يقوم الأمر request platform software sdwan security ipSec-rekey بإنشاء مفتاح جديد فورا، ثم يظهر النفق. وعلى العكس من ذلك، لا يؤثر الأمر على نفق IPSec تقليدي إذا كان موجودا.

ملاحظة: يؤثر هذا الأمر request platform software sdwan security ipSec-rekey في جميع أنفاق SD-WAN الموجودة مقابل مسح crypto sa peer الذي لا يؤثر إلا في SA المحددة.

إسترداد أنفاق SD-WAN - السيناريو 2

إذا تم إستخدام أمر واضح crypto sa peer لحذف أحد أنفاق SD-WAN بشكل خاطئ، يحدث الحذف بنجاح؛ ومع ذلك، لا يتم إنشاء قيمة SPI جديدة مرة أخرى، لأنه في نفق SD-WAN، يكون OMP هو الذي يشغل ذلك الإجراء ليس IKE. بمجرد ظهور هذه الحالة، حتى إذا ما كان الأمر request platforms software sdwan security ipSec-rekey يتم إصداره بعد مسح crypto sa peer، فإن النفق لا يظهر. ولا تزال عمليات التضمين والتكرير الخاصة بمادة SA صفرية، ومن ثم تظل دورة مادة BFD في حالة هبوط.

Router#clear crypto sa peer 10.20.20.1 
Router#show crypto ipsec sa peer 10.20.20.1 
interface: Tunnel10001 
Crypto map tag: Tunnel10001-vesen-head-0, local addr 10.10.10.1 

protected vrf: (none) 
local ident (addr/mask/prot/port): (10.10.10.1/255.255.255.255/0/12346) 
remote ident (addr/mask/prot/port): (10.20.20.1/255.255.255.255/0/12366) 
current_peer 10.20.20.1 port 500 
PERMIT, flags={origin_is_acl,} 
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 
#pkts compressed: 0, #pkts decompressed: 0 
#pkts not compressed: 0, #pkts compr. failed: 0 
#pkts not decompressed: 0, #pkts decompress failed: 0 
#send errors 0, #recv errors 0 

يقع خيار الاسترداد الوحيد بعد حذف SA مع أي من أوامر EXEC الثلاثة التالية:

Router# clear sdwan omp all 

يحد الأمر clear sdwan omp all جميع جلسات عمل BFD الموجودة في الجهاز.

Router# request platforms software sdwan port_hop <color>

ال clear sdwan تحكم توصيل يسبب أمر TLOC أن يستعمل التالي يتوفر رقم أيسر على ال محلي اللون يعين، أي يسبب رفرفة ليس فقط كل BFD جلسة من أن لون، غير أن التحكم توصيل من أن لون أيضا.

Router# clear sdwan control connections  

يساعد الأمر الأخير أيضا في الاسترداد، ومع ذلك، فإن تأثير الأمر على جميع إتصالات التحكم وجلسات عمل BFD الموجودة في الجهاز.