Cisco, чистка IPSEC SA

Материал из sysadm
Перейти к навигации Перейти к поиску

Ссылки по теме

Полного понимания еще нет, описал как есть.

Проверено на Cisco 880 для туннеля IPIP+IPSEC 

# 1. Выключаем туннельные интерфейсы с ОБОИХ СТОРОН
conf t
int tun <номер_интерфейса>
 shutdown
end

# 2. Проверяем наличие зависших сессий
show crypto session brief

# 3. Проверяем наличие зависших сессий первой фазы ISAKMP SA с не нулевым <conn-id> и чистим их, зависшие ISAKMP SA не всегда удаляются с первого раза, у меня почему то удалялись только со второго
# conn-id равное 0 должны исчезнуть через некоторое время после выключения туннельных интерфейсов с обоих сторон
show crypto isakmp sa
clear crypto isakmp <conn-id>

# 4. Контрольная проверка текущих сессий
show crypto session brief

# 5. Включаем туннельные интерфейсы с обоих сторон
# 6. Проверяем текущие сессии
show crypto session brief

Состояния ISAKMP сессий 

MM_SA_SETUP  - не нормально, если долго висит
MM_NO_STATE  - не нормально
QM_IDLE      - нормально
MM_KEY_EXCH  - в процессе


Примечание

Команды ниже могут дополнительно выводить сессии для Virtual-Access интерфейсов. Я опирался на то что выводит brief. Не знаю, есть ли смысл пытаться удалять сессии для интерфейсов Virtual-Acсeess и возможно ли это. В моем случае, после всех чисток и включения интерфейсов эти сессии продолжали находиться в состоянии DOWN, при этом все работало. 

show crypto session
show crypto session detail

При работающих IPIP+IPSec туннелях, то что я не понял про IKE 

# пустой список IKE SA и IKE session
sh crypto ikev2 sa

# все по нулям, кроме входящих IKEv2
sh crypto ikev2 stat

IPSec 

# Что такое IPSec SA? Зачем создаются пустые IPSec SA для Virtual-Access интерфейсов?
sh crypto ipsec sa

# что это значит?
sh crypto ipsec client ezvpn
  Easy VPN Remote Phase: 8

# показывает текущий lifetime для SA
crypto ipsec security-association lifetime
  Security association lifetime: 4608000 kilobytes/3600 seconds

# Нужно разобраться, что такое SPI
sh crypto ipsec spi-lookup 
  Active SPI table
       SPI Prot Local Address            M Type
  0ACAEC38 ESP  1.2.3.4            * IKE-based IPSec SA
  3CB69E0E ESP  1.2.3.4            * IKE-based IPSec SA
  C963DE3E ESP  1.2.3.4            * IKE-based IPSec SA
Источник — https://sysadm.mooo.com/index.php?title=Cisco,_чистка_IPSEC_SA&oldid=1067