12.2(8)BC1의 인증 거부 - 권한 없는 SAID 오류 메시지 및 BPI 구성 변경

다운로드 옵션

PDF (667.4 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (165.6 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (197.3 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2005년 10월 4일 (화)

문서 ID:23895

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

DOCSIS(Data-over-Cable Service Interface Specifications) 케이블 모뎀 및 CMTS(Cable Modem Termination Systems)와 관련된 표준을 관리하는 기구인 CableLabs는 DOCSIS 1.0 케이블 모뎀이 모뎀과 CMTS 간에 BPI(Baseline Privacy Interface) 암호화를 설정할 수 있도록 CMTS가 허용하는 방식에 중요한 변화를 가져왔습니다. 이러한 필수 변경으로 인해 12.2(8)BC1 이전 버전의 Cisco IOS® 릴리스에서 작동하는 DOCSIS 구성 파일을 사용하는 일부 케이블 모뎀이 온라인 상태가 되지 않을 수 있습니다. 또한 CMTS에서 다음 메시지가 생성될 수 있습니다.

%UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> 
Auth Reject - Unauthorized SAID. CM Mac Addr <0081.9607.3831>

이 문제를 해결하고 새 변경 사항을 준수하는 방법은 케이블 모뎀에서 다운로드한 DOCSIS 구성 파일에 BPI 구성 옵션 중 하나 이상이 지정되어 있는지 확인하는 것입니다.

이 문서에서는 이러한 변경의 영향을 받는 시스템에서 나타나는 증상과 새로운 BPI 컨피그레이션 사양을 준수하도록 DOCSIS 컨피그레이션 파일을 신속하게 업데이트하는 방법에 대해 설명합니다.

시작하기 전에

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

사전 요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 아래의 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

Cisco IOS 릴리스 12.2(8)BC1 이상
uBR10000, uBR7200 및 uBR7100 Series CMTS를 포함한 모든 Cisco CMTS 제품
Cisco DOCSIS CPE(Customer Premises Equipment) Configurator 툴의 모든 릴리스.
이 문서는 DOCSIS 1.0 모드에서 작동하도록 프로비저닝되고 DOCSIS 1.0 모드 BPI를 사용하는 케이블 모뎀에만 적용됩니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 라이브 네트워크에서 작업 중인 경우, 사용하기 전에 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

DOCSIS 1.0 기반 BPI 구성 변경 사항 세부 정보

BPI 사양의 최신 개정에는 새로운 요구 사항이 있습니다. docsis 1.0 모드로 프로비저닝된 케이블 모뎀이 BPI를 실행해야 하는 경우 BPI 컨피그레이션 설정 옵션 유형 17이 DOCSIS 컨피그레이션 파일에 있어야 하며 케이블 모뎀의 후속 등록 요청이 있어야 합니다.

변경 사항에 대한 자세한 내용은 CableLabs Engineering Change Notice RFI-N-02005에서 확인할 수 있습니다. 이 문서는 등록된 CableLabs 참가자에게만 제공됩니다. 자세한 내용은 CableLabs 를 참조하십시오.

12.2(8)BC1 이전 버전의 CMTS Cisco IOS에서는 BPI 구성 옵션에 등록하기 위해 DOCSIS 1.0 모드로 프로비저닝된 케이블 모뎀이 필요하지 않았습니다. 12.2(8)BC1 이상에서는 추가 BPI 구성 옵션을 반드시 포함해야 합니다.

Baseline Privacy Configuration Option Type 17을 사용하지 않을 때 나타나는 증상

케이블 모뎀이 DOCSIS 1.0 모드에서 작동하고 BPI를 사용하도록 프로비저닝되었지만 BPI 컨피그레이션 옵션이 지정되지 않은 경우 친숙한 온라인(pt) 상태에 도달하지 않습니다. 그러나 그들은 온라인 상태에 도달할 것 같다. 이러한 디바이스는 빠르게 오프라인 상태가 될 수 있습니다. 케이블 모뎀이 CMTS와 BPI 매개변수 협상을 시작할 때 CMTS의 콘솔에 다음과 같은 오류 메시지가 나타날 수 있습니다.

uBR7246VXR# term mon    

 !--- Necessary for a Telnet session.

uBR7246VXR# 
01:27:42: %UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> 
   Auth Reject - Unauthorized SAID. CM Mac Addr <0090.9607.382f> 
01:27:50: %UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> 
   Auth Reject - Unauthorized SAID. CM Mac Addr <0090.9607.3831> 
01:27:55: %UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> 
   Auth Reject - Unauthorized SAID. CM Mac Addr <0050.7366.12fb> 
01:27:57: %UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> 
   Auth Reject - Unauthorized SAID. CM Mac Addr <0050.7366.2223>

디버그를 적용하여 케이블 모뎀이 BPI 협상을 수행할 수 없는 이유를 좀 더 자세히 분석하면, 모뎀 자체가 BPI를 시작하려고 하지만 CMTS에서 케이블 모뎀이 BPI를 실행하도록 올바르게 프로비저닝되지 않았다고 주장하는 것을 확인할 수 있습니다.

uBR7246# debug cable privacy 
CMTS privacy debugging is on 
May 23 01:39:27.214: CMTS Received AUTH REQ. 
May 23 01:39:27.214: Auth-Req contains 1 SID(s). 
May 23 01:39:27.214: SIDs are not provisioed to run Baseline Privacy. 
May 23 01:39:27.214: Unauthorized SID in the SID list 
May 23 01:39:27.214: Sending KEK REJECT. 
01:31:06: %UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> 
   Auth Reject - Unauthorized SAID. CM Mac Addr <0030.96f9.65d9>

참고: 위 디버그에서 provisioned는 provisioned로 잘못 입력되었습니다. IOS 버전 12.2(8)BC1에서 발생하는 이 문제를 해결하기 위해 코스메틱 버그인 CSCdx67908(등록된 고객만 해당)이 제기되었습니다

기본 프라이버시 구성 옵션을 구성하는 방법 옵션 유형 17

Cisco DOCSIS CPE Configurator 도구를 사용하면 DOCSIS 1.0 모드로 작동하는 케이블 모뎀의 DOCSIS 구성 파일을 수정하여 구성 파일에 다음 옵션 중 하나 이상을 지정하여 BPI 구성 옵션을 포함할 수 있습니다. 이 모든 옵션은 Cisco DOCSIS CPE Configurator 툴의 Baseline Privacy(베이스라인 개인정보 보호) 탭에서 찾을 수 있습니다. 각 매개변수의 기본값도 나열됩니다.

베이스라인 프라이버시 컨피그레이션 옵션	기본값
권한 부여 대기 시간 초과	10
재인증 대기 시간 초과	10
유예 시간 권한 부여	600
작동 대기 시간 초과	10
Rekey 대기 시간 초과	10
TEK 유예 시간	600
승인 거부 대기 시간 초과	60

SA Map Wait Timeout 및 SA Map Max Retries는 DOCSIS 1.1 모드에서 작동하는 케이블 모뎀에만 해당되므로 DOCSIS 1.0 모드에서 작동하는 케이블 모뎀에 대해 DOCSIS 컨피그레이션 파일에 지정하면 안 됩니다.

참고: 위의 BPI 구성 옵션 유형 17 값은 기본값이지만, BPI 구성 옵션 유형 17을 사용하려면 DOCSIS CPE Configurator 툴에서 해당 값 중 하나를 지정해야 합니다.

다음은 다양한 툴을 사용하여 Cisco DOCSIS CPE Configurator 툴을 사용하여 이러한 값 중 하나 이상을 설정하는 방법을 설명하는 두 가지 예입니다. 다른 형태의 DOCSIS 구성 파일 편집기나 빌더도 사용할 수 있습니다.

예 - 하나의 매개 변수만 지정

이 예에서는 Cisco DOCSIS CPE Configurator GUI를 사용하여 Authorize Wait Timeout 매개 변수를 기본값 10으로 설정합니다. 이 값을 설정하면 필요한 BPI 구성 옵션이 DOCSIS 구성 파일에 저장됩니다.

아래 그림에는 BPI 컨피그레이션 옵션을 DOCSIS 컨피그레이션 파일에 삽입하는 매개변수 중 하나가 나와 있습니다.

이 필드가 완료되면 적용 -> 확인 버튼을 선택합니다. DOCSIS 컨피그레이션 파일을 정상적으로 저장합니다.

예 - 모든 매개변수 지정

이 예에서는 Cisco DOCSIS CPE Configurator GUI를 사용하여 BPI 컨피그레이션 옵션의 일부인 모든 매개변수를 기본값으로 설정합니다. SA Map Wait Timeout 및 SA Map Max Retries 필드는 완료되지 않습니다. 이러한 필드는 DOCSIS 1.1 모드에서 작동하는 케이블 모뎀에만 해당하므로 DOCSIS 1.0 모드에서 작동하는 케이블 모뎀에 대한 DOCSIS 컨피그레이션 파일에 지정하면 안 됩니다.

아래 그림에는 BPI 컨피그레이션 옵션의 일부인 모든 매개변수가 나와 있습니다.

이러한 필드가 완료되면 적용 -> 확인을 선택합니다. DOCSIS 컨피그레이션 파일을 정상적으로 저장합니다.

결론

Cisco는 uBR CMTS 제품군이 DOCSIS 사양의 최신 버전에 최대한 가깝게 유지되도록 노력하고 있습니다. 이 전략은 몇 가지 드문 경우 이전 버전과의 호환성을 단기적으로 상실하거나 불편하게 만들 수 있지만, 장기적으로 Cisco CMTS 장비를 구축하는 서비스 공급자가 유사한 규정을 준수하는 서드파티 DOCSIS 제품과의 상호운용성을 보장할 수 있습니다.