12.2 (8) BC1中Auth Reject-Unauthorized SAID 错误消息和BPI配置更改
目录
简介
CableLabs 
(管理有关电缆数据服务接口规范(DOCSIS)电缆调制解调器和电缆调制解调器端接系统(CMTS)标准的机构)对CMTS允许DOCSIS 1.0电缆调制解调器在调制解调器和CMTS之间建立基线隐私接口(BPI)加密的方式进行了重要更改。这些强制性更改可能导致某些使用DOCSIS配置文件的电缆调制解调器无法联机,这些配置文件与12.2(8)BC1之前的Cisco IOS®版本配合使用。此外,CMTS上可能会生成以下消息:
%UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> Auth Reject - Unauthorized SAID. CM Mac Addr <0081.9607.3831>
解决此问题并遵守新更改的方法是确保至少一个BPI配置选项在电缆调制解调器下载的DOCSIS配置文件中指定。
本文描述受此更改影响的系统中出现的症状,以及如何快速更新DOCSIS配置文件以遵守新的BPI配置规范。
开始使用前
规则
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
先决条件
本文档没有任何特定的前提条件。
使用的组件
本文档中的信息基于以下软件和硬件版本。
-
思科IOS版本12.2(8)BC1及更高版本。
-
所有Cisco CMTS产品,包括uBR10000、uBR7200和uBR7100系列CMTS。
-
所有版本的Cisco DOCSIS客户端设备(CPE)配置器工具。
-
本文档仅适用于配置为在DOCSIS 1.0模式下运行并使用DOCSIS 1.0模式BPI的电缆调制解调器。
本文档中的信息都是基于特定实验室环境中的设备创建的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您是在真实网络上操作,请确保您在使用任何命令前已经了解其潜在影响。
基于 DOCSIS 1.0 的 BPI 的配置更改的详细信息
BPI规范的最新修订版有一个新要求;如果在DOCSIS 1.0模式下调配的电缆调制解调器需要运行BPI,DOCSIS配置文件中必须存在BPI配置设置选项Type 17和随后来自电缆调制解调器的注册请求。
可以在CableLabs Engineering Change Notice RFI-N-02005中找到有关变更的更多详细信息。本文档仅适用于CableLabs注册参与者。有关详细信息,请参阅CableLabs 。
12.2(8)BC1之前的CMTS Cisco IOS版本不需要在DOCSIS 1.0模式下调配电缆调制解调器,即可使用BPI注册到BPI配置选项。从12.2(8)BC1及更高版本开始,必须包含额外的BPI配置选项。
未使用基本保密配置选项类型 17 时的表现
如果电缆调制解调器已配置为在DOCSIS 1.0模式下运行并使用BPI,但尚未指定BPI配置选项,则它们不会达到熟悉的online(pt)状态。然而,它们似乎会进入在线状态。它们似乎很快就会离线。当电缆调制解调器开始与CMTS协商BPI参数时,CMTS的控制台上可能会出现以下错误消息:
uBR7246VXR# term mon !--- Necessary for a Telnet session. uBR7246VXR# 01:27:42: %UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> Auth Reject - Unauthorized SAID. CM Mac Addr <0090.9607.382f> 01:27:50: %UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> Auth Reject - Unauthorized SAID. CM Mac Addr <0090.9607.3831> 01:27:55: %UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> Auth Reject - Unauthorized SAID. CM Mac Addr <0050.7366.12fb> 01:27:57: %UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> Auth Reject - Unauthorized SAID. CM Mac Addr <0050.7366.2223>
通过应用调试来更仔细地分析电缆调制解调器无法执行BPI协商的原因,您可以看到CMTS声称电缆调制解调器未正确配置为运行BPI,尽管调制解调器本身尝试启动BPI。
uBR7246# debug cable privacy CMTS privacy debugging is on May 23 01:39:27.214: CMTS Received AUTH REQ. May 23 01:39:27.214: Auth-Req contains 1 SID(s). May 23 01:39:27.214: SIDs are not provisioed to run Baseline Privacy. May 23 01:39:27.214: Unauthorized SID in the SID list May 23 01:39:27.214: Sending KEK REJECT. 01:31:06: %UBR7200-3-AUTH_REJECT_UNAUTHORIZED_SAID: <132>CMTS[Cisco]:<66030104> Auth Reject - Unauthorized SAID. CM Mac Addr <0030.96f9.65d9>
注意:在上述调试中,调配的拼写错误,如所调配的。为了解决IOS版本12.2(8)BC1中出现的问题,我们引入了一个修饰漏洞CSCdx67908(仅限注册客户)
如何配置基本保密配置选项类型 17
使用Cisco DOCSIS CPE Configurator工具,可以在DOCSIS 1.0模式下运行的电缆调制解调器的DOCSIS配置文件进行修改,以包含BPI配置选项,方法是在配置文件中至少指定以下选项之一。所有这些选项都可以在Cisco DOCSIS CPE Configurator工具的Baseline Privacy选项卡下找到。还列出了每个参数的默认值。
| 基准隐私配置选项 | 默认值 |
|---|---|
| 授权等待超时 | 10 |
| 重新授权等待超时 | 10 |
| 授权宽限时间 | 600 |
| 运行等待超时 | 10 |
| 密钥刷新等待超时 | 10 |
| TEK 宽限时间 | 600 |
| 授权拒绝等待超时 | 60 |
请注意,SA Map Wait Timeout和SA Map Max Retries仅适用于在DOCSIS 1.1模式下运行的电缆调制解调器,因此不得在DOCSIS配置文件中指定在DOCSIS 1.0模式下运行的电缆调制解调器。
注:虽然上述BPI配置选项Type 17值是默认值,但是您仍然需要在DOCSIS CPE Configurator工具中指定这些值之一,以启用BPI配置选项Type 17。
下面列出两个示例,讨论如何使用Cisco DOCSIS CPE Configurator工具使用各种工具设置这些值中的一个或多个。也可以使用其他形式的DOCSIS配置文件编辑器或生成器。
示例 - 仅指定一个参数
在本示例中,Cisco DOCSIS CPE配置器GUI用于将Authorize Wait Timeout参数设置为默认值10。设置此值将在DOCSIS配置文件中放置所需的BPI配置选项。
下图显示了将BPI配置选项插入DOCSIS配置文件的参数之一。
填写此字段后,选择Apply -> OK按钮。正常保存DOCSIS配置文件。
示例 - 指定所有参数
在本示例中,Cisco DOCSIS CPE配置器GUI用于将作为BPI配置选项一部分的所有参数设置为默认值。请注意,未完成SA Map Wait Timeout和SA Map Max Retries字段。这些字段仅特定于在DOCSIS 1.1模式下运行的电缆调制解调器,因此,不能在DOCSIS 1.0模式下运行的电缆调制解调器的DOCSIS配置文件中指定。
下图显示属于BPI配置选项的所有参数。
填写这些字段后,选择Apply -> OK。正常保存DOCSIS配置文件。
结论
思科努力确保uBR的CMTS产品套件尽可能贴近DOCSIS规范的最新版本。虽然这种策略在某些罕见情况下似乎会在短期内导致向后兼容性的丢失或不便,但它可确保服务提供商长期部署思科CMTS设备后能够与同样合规的第三方DOCSIS产品实现互操作。
反馈