Сообщения без ответов | Активные темы Текущее время: 18 май 2024, 03:02



Ответить на тему  [ Сообщений: 3 ] 
%IPSEC-3-HMAC_ERROR: IPSec SA receives HMAC error, DP Handle 
Автор Сообщение

Зарегистрирован: 24 дек 2020, 16:04
Сообщения: 18
Добрый день коллеги.

На виртуальной csr-1000v настроены два тунельных интерфейса к двум asr-1001x, одинаковые настройки только с разными ip ospf cost
Несколько недель назад при работе с одним из тунельных интерфейсов csr-1000v начали сыпаться ошибки:
%IPSEC-3-HMAC_ERROR: IPSec SA receives HMAC error, DP Handle 2
и прохождение трафика резко падает, после перезагрузки проблемного asr-1001x кол-во ошибок падает а потом через день или два резко возрастает и проблемы возобновляются.

asr-1001x - полностью идентичны вплоть до версии загрузчиков и прошивок.

С чем это может быть связано:
1 - Проблемы с каналом связи
2 - Проблемы с asr-1001x (ошибок в логах нет)
3 - Может начали портить пакеты провайдеры в связи с ограничениями (OpenVPN...)

Можно ли как то диагностировать эту проблему и узнать причину?


18 сен 2023, 14:53
Профиль

Зарегистрирован: 24 дек 2020, 16:04
Сообщения: 18
Нашел описание такой ошибки:

CSCuh49807Symptom: IPsec transform set with esp-md5-hmac is not supported in this release.
When esp-md5-hmac is used, though the IPsec tunnel is established, traffic can not pass through the tunnel.
Inbound traffic will be dropped with HMAC error. Outbound traffic will reach to the peer, but will
be dropped by the peer with HMAC error.
The following error message is displayed:%IOSXE-3-PLATFORM: F0: cpp_cp: QFP:0.0 Thread:000 TS:00000002356612773534 %IPSEC-3-HMAC_ERROR: IPSec SA receives HMAC error, DP Handle 5, src_addr 60.0.0.2, dest_addr 60.0.0.1, SPI 0xb98e9ee1
Conditions: Whenever esp-md5-hmac is used in an IPsec transform set.
Workaround: Use esp-sha-hmac, not esp-md5-hmac.

Но я как раз использую именно esp-sha-hmac


19 сен 2023, 09:38
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
Так сделайте GCM как в Suite B рекомендуется


22 сен 2023, 21:06
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 3 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB