rec'd IPSEC 数据包的 spi 无效

网络工程 虚拟专用网 网络安全
2021-07-30 15:27:12

我已经建立了一个实验室来使用 DMVPN 和 EIGRP。一切正常,直到我通过关闭冗余端口来测试。一旦我这样做了,即使在恢复所有端口之后,DMVPN 也永远不会恢复。我每分钟从每个集线器上的每个“站点”收到如下所示的错误(速率限制为 1 分钟 iirc)。我知道这是因为 ipsec SA 不同步,但我认为有一种方法可以让它们自动恢复。可以做些什么来同步这些?

%CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=1.1.1.2, prot=50, spi=0xE6F73833(3874961459), srcaddr=2.200.2.200



crypto isakmp policy 10
 encr aes
 authentication pre-share
crypto isakmp key test address 0.0.0.0 0.0.0.0
crypto isakmp invalid-spi-recovery
crypto ipsec transform-set DefaultCrypto esp-aes
crypto ipsec profile DMVPN
 set transform-set DefaultCrypto
3个回答

启用无效的 SPI 恢复命令仅适用于定义了 VPN 对等点的静态加密映射(和 VTI)。它不适用于动态加密映射或具有动态 NHRP (DMVPN) 的 mGRE。

如果问题仍然存在,请在每个 VPN 对等点运行 ISAKMP 和 IPsec 调试,并检查路由器日志以了解详细信息。也可以考虑使用 Cisco Embedded Event Manager (EEM) 进行故障排除。

还要注意路由问题:同一 VPN 流可能有多个相同错误消息的实例。因此,收敛时间受来自源的 SA 到期设置的影响。此外,Dead Peer Detection 可能会影响路由收敛和 VPN 连接。

如果在遇到无效 SPI 的设备上从 CLI 手动清除 SPI,会发生什么情况?那么 SA 会自动恢复吗?

clear crypto sa entry 1.1.1.2 esp $spi

将 $spi 替换为从中找到的 SPI 值 show crypto ipsec sa

我的预感是 SA 不同步但有很长的默认计时器(默认情况下 isakmp 是 24 小时,默认情况下 ipsec sa 是 8 小时)因此它们不会清除,除非在这些默认计时器到期之前执行手动干预。

请发布您的完整配置并提供 IPSec 输出show crypto sa等。

如果 IOS 太旧,错误 CSCsq59183 会错误地显示这些消息。

如果您提供 HUB 的 DMVPN 配置(至少,隧道接口配置)和至少一个 SPOKE,它也可以帮助我们帮助您。

其它你可能感兴趣的问题
上一篇启动内存低于推荐值的虚拟路由器会导致接口无法初始化吗? 下一篇基于 L3 子网隔离 VLAN