1. はじめに
本資料では ISR G2 ルータの ISM(Integrated Services Module)スロットに搭載する ISM-VPN モジュールのトラブルシューティングに関する情報を整理して紹介します。本資料作成で実機から収集した情報は 15.4(3)M7 に基づきます。バージョンによりコマンドの出力結果や動作が異なる場合がありますのでご注意ください。また ISM-VPN の情報に絞って記載したものとなり、ISR G2 の IPsec 関連の障害すべてをカバーする資料ではない点にもご注意ください。
2. ISM-VPN の動作条件
ISM-VPN の動作に必要最小の IOS バージョン、ライセンスおよび ISM-VPN が搭載可能なプラットフォームは以下となります。
- IOS: 15.2(1)T1 以降
- ライセンス: Securityk9 および HSEC-K9
- プラットフォーム: 1941, 2901, 2911, 2921, 2951, 3925, 3945
ハードウェアとして識別されているかは show inventory から確認できます。
Router#show inventory
NAME: "Internal Services Module - Crypto Engine on Slot 0", DESCR: "Internal Services Module - Crypto Engine"
PID: ISM-VPN-39 , VID: V02 , SN: XXXXXXXXXX
!--- Platform 毎に ISM-VPN-19, ISM-VPN-29, ISM-VPN-39 と型番が異なります。 |
ライセンスが有効であるかは show license feature などから確認できます。
Router#show license feature
Feature name Enforcement Evaluation Subscription Enabled RightToUse
ipbasek9 no no no yes no
securityk9 yes yes no yes yes
!---------- 中略 ----------!
hseck9 yes no no yes no |
hseck9 ライセンスは インストールすれば有効になるので Activationは不要です。
Activating the HSEC-K9 Feature License
http://www.cisco.com/c/en/us/td/docs/routers/access/sw_activation/SA_on_ISR.html#pgfId-1145483
3. ISM-VPN のステータスを確認するコマンド
稼動中の ISM-VPN のステータスを確認する代表的なコマンドを紹介します。これらも show tech-support に含まれています。show tech-support から ISM-VPN のステータスを調査するときに必要に応じて参照ください。
3.1. show crypto eli
IKE や IPsec セッション数のスナップショットを取得するコマンドになりますが、稼動中の Crypto Engine の情報が表示されるので、ISM-VPN が稼動しているかを把握することができます。
以下は ISM-VPN が有効、ISR G2 オンボードの Crypto Engine が無効であることを示しています。
Router#show crypto eli
Hardware Encryption : ACTIVE
Number of hardware crypto engines = 2 CryptoEngine ISM VPN Accelerator details: state = Active
Capability : DES, 3DES, AES, GCM, GMAC, RSA, IPv6, GDOI, FAILCLOSE, HA IKE-Session : 311 active, 5120 max, 0 failed
DH : 6 active, 5120 max, 0 failed
IPSec-Session : 574 active, 10230 max, 0 failed CryptoEngine Onboard VPN details: state = Disabled
Capability : IPPCP, DES, 3DES, AES, GCM, GMAC, IPv6, GDOI, FAILCLOSE, HA IPSec-Session : 0 active, 8000 max, 0 failed |
ISM-VPN を無効にしたり、実装していないときにはオンボードの Crypto Engine が有効になります。
Router#show crypto eli
Hardware Encryption : ACTIVE
Number of hardware crypto engines = 1 CryptoEngine Onboard VPN details: state = Active
Capability : IPPCP, DES, 3DES, AES, GCM, GMAC, IPv6, GDOI, FAILCLOSE, HA IPSec-Session : 256 active, 8000 max, 0 failed |
※ IKE や IPsec セッションの MAX 値は ISR G2 プラットフォームにより異なります。また MAX 値が、そのまま当該プラットフォームがサポートする IKE や IPsec SA 数ではないのでご注意ください。
3.2. show crypto engine configuration
Crypto Engine の設定情報を表示するコマンドとなります。こちらも主に ISM-VPN が有効となっているかどうかを確認するために使用します。
Router#show crypto engine configuration crypto engine name : Virtual Private Network (VPN) Module
crypto engine type : hardware
State : Disabled
Location : onboard 0
Product Name : Onboard-VPN
FW Version : 1
Time running : 264 seconds
Compression : Yes
DES : Yes
3 DES : Yes
AES CBC : Yes (128,192,256)
AES CNTR : No
Maximum buffer length : 4096
Maximum DH index : 0000
Maximum SA index : 0000
Maximum Flow index : 8000
Maximum RSA key size : 0000 crypto engine name : Virtual Private Network (VPN) Module
crypto engine type : hardware
State : Enabled
Location : slot 0
Product Name : ISM VPN Accelerator
UBOOT Ver : U-Boot 1.1.1 - ISRG2-Crypto-Engine - Version 2.7 (Build time: Mar 7 2011 - 09:12:23)
Firmware Ver: User : suprajap - View/Label: REVENTON_FW_COMMIT_IOS_472016 - Date: Jul 27 2016 Time : 15:07:41 HW State : READY
!---------- 以下省略 ----------! |
3.3. show crypto engine accelerator statistic
IPsec の暗号化処理に関する関連カウンタやメモリに関する情報を記録するコマンドになります。ISM-VPN から取得する場合と、オンボード Crypto Engine から取得する場合で、出力が全く異なるほか、ISM-VPN に関しては IOSバージョンが新しいほど、より多くの出力が含まれます。
Router#show crypto engine accelerator statistic
Device: ISM VPN Accelerator
Location: Service Adapter: 0
ISM-VPN Traffic Statistics
!---------- 中略 ----------!
ISM-VPN RX Exception statistics:
Invalid SA Handle : 0 Insufficient Memory : 0
Insufficient Hash Mem : 0 Invalid Cipher : 0
Invalid Auth : 0 SA Type Update Error : 0
SA Illegal SPI : 0 SA No Policy : 0
Pak Bundle Mismatch : 0 SA Generic Error : 0
Encr SA Vers Err : 0 Encr SA Direction Err : 0
Encr Invalid SA : 0 Encr Soft Lifetime Err : 0
Encr Hard Lifetime Err : 0 Encr Illegal Conf : 0
Encr Illegal Auth : 0 Encr Sequence Num Overfl: 0
!---------- 中略 ----------!
Crypto OB Deny ACL : 0 Crypto DF Pak Too big : 0
Crypto No SA Yet : 0 Crypto Pak Corrupt : 0
Crypto Nxt Hdr Mismatch : 0 Crypto Discard Pak : 0
INSERT METADATA Error : 0 SGT TAG Extraction Error: 0
Dummy send Fail : 0 Dummy send No SA : 0
Dummy Saw Packet : 0 Dummy err Pre-TX : 0
Dummy err No Template : 0 Unexpected Error : 0
IB Selector check : 0 TimeBased Replay Err : 0
Pak too big drop : 0 |
上記で紹介したコマンドで十分ですが、他にも "show crypto engine brief" や "show crypto engine ISM-VPN brief" などからも ISM-VPN のステータスは確認可能です。
4. ISM-VPN の Crash
ISM-VPN モジュールがクラッシュすると crashinfo が Ace_crashinfo_yyyymmdd-hhmmss という名称で生成されて Flash に保存されるので、メーカに解析依頼を出す場合には more コマンドから crashinfo を出力させたものをご用意ください。
Router#show flash0: | include Ace
240 60935 Jan 20 2017 19:24:41 +00:00 Ace_crashinfo_20170120-192440
Router#more flash0:Ace_crashinfo_20170120-192440
========================================
========== Core 0 Crash Dump ==========
========================================
!---------- 以下省略 ----------! |
5. ISM-VPN の無効・有効化手順
障害の切り分けの一環で ISM-VPN を無効化する場合があります。無効化するためにはグローバルコンフィギュレーションモードから "no crypto engine slot 0" を実行します。ISM-VPN を有効にするには "crypto engine slot 0" コマンドを実行します。
Router(config)#no crypto engine slot 0
Mar 21 13:17:10.063: %VPN_HW-6-INFO_LOC: Crypto engine: slot 0 State changed to: Disabled
Mar 21 13:17:10.063: %CRYPTO-6-GDOI_ON_OFF: GDOI is OFF
Mar 21 13:17:10.063: %CRYPTO-6-GDOI_ON_OFF: GDOI is OFF
!--- 既存セッションがダウンするので注意ください。
Router#show running-config | i crypto engine
no crypto engine slot 0
!--- 無効にすると running-config に反映されます。
Router(config)#crypto engine slot 0
Currently ISM VPN will NOT come up until system power-cycle or reload...
!--- 古いバージョンでは再有効化には再起動が必要になります。
OR
Router(config)#crypto engine slot 0
Start ISM-VPN module green power on ....
!--- 新しいバージョンでも既存セッションのダウン自体は発生します。
Router#show running-config | i crypto engine
!--- 有効になると running-config には表示されなくなります。 |
Crypto Engine が切り替わると既存の VPN セッションはすべてダウンして、張り直しが発生します。また IOS バージョンによってはルータの再起動を実行するまで有効になりません。ISM-VPN の無効・有効化作業はメンテナンスウィンドウに実施することを強く推奨します。
なお、オンボードの Crypto Engine を無効にしてアクセラレータを使用しない(ソフトウェア処理)にすることも設定としては可能ですが、このような切り分けが必要となったケースは ISR G2 ではほとんどないので、特にメーカから依頼がない限り、実施いただく必要はありません。
6. ISM-VPN の Debug コマンド
ISM-VPN 用の debug が用意されていますが、初期調査の段階で有効にする必要はありません。たとえば一般的な Tunnel Down の原因調査は、ISM-VPN が搭載されている場合であっても、まずは 通常の VPN 関連の debug を使用して調査を行います。
Router#debug crypto engine ism-vpn ?
init ace ISM-VPN init debugging
interrupt interrupt service debugging
polo ISM-VPN Polo Debugs
shim ISM-VPN Shim Debugs
ssl enable ssl debugs
tftp tftp download/upload debug
traffic ISM-VPN Traffic Debugs
<cr>
!--- Do not enable and use these debugs unless explicitly requested by TAC. |
