Cisco, чистка IPSEC SA
Версия от 13:10, 28 апреля 2021; Admin (обсуждение | вклад)
Ссылки по теме
Полного понимания еще нет, описал как есть.
Проверено на Cisco 880 для туннеля IPIP+IPSEC
# 1. Выключаем туннельные интерфейсы с ОБОИХ СТОРОН conf t int tun <номер_интерфейса> shutdown end # 2. Проверяем наличие зависших сессий show crypto session brief # 3. Проверяем наличие зависших сессий первой фазы ISAKMP SA с не нулевым <conn-id> и чистим их, зависшие ISAKMP SA не всегда удаляются с первого раза, у меня почему то удалялись только со второго # conn-id равное 0 должны исчезнуть через некоторое время после выключения туннельных интерфейсов с обоих сторон show crypto isakmp sa clear crypto isakmp <conn-id> # 4. Контрольная проверка текущих сессий show crypto session brief # 5. Включаем туннельные интерфейсы с обоих сторон # 6. Проверяем текущие сессии show crypto session brief
Состояния ISAKMP сессий
MM_SA_SETUP - не нормально, если долго висит MM_NO_STATE - не нормально QM_IDLE - нормально MM_KEY_EXCH - в процессе
Примечание
Команды ниже могут дополнительно выводить сессии для Virtual-Access интерфейсов. Я опирался на то что выводит brief. Не знаю, есть ли смысл пытаться удалять сессии для интерфейсов Virtual-Acсeess и возможно ли это. В моем случае, после всех чисток и включения интерфейсов эти сессии продолжали находиться в состоянии DOWN, при этом все работало.
show crypto session show crypto session detail
При работающих IPIP+IPSec туннелях, то что я не понял про IKE
# пустой список IKE SA и IKE session sh crypto ikev2 sa # все по нулям, кроме входящих IKEv2 sh crypto ikev2 stat
IPSec
# Что такое IPSec SA? Зачем создаются пустые IPSec SA для Virtual-Access интерфейсов? sh crypto ipsec sa # что это значит? sh crypto ipsec client ezvpn Easy VPN Remote Phase: 8 # показывает текущий lifetime для SA crypto ipsec security-association lifetime Security association lifetime: 4608000 kilobytes/3600 seconds # Нужно разобраться, что такое SPI sh crypto ipsec spi-lookup Active SPI table SPI Prot Local Address M Type 0ACAEC38 ESP 1.2.3.4 * IKE-based IPSec SA 3CB69E0E ESP 1.2.3.4 * IKE-based IPSec SA C963DE3E ESP 1.2.3.4 * IKE-based IPSec SA