Этот раздел содержит некоторые подсказки и советы, которые помогут вам в устранении неполадок. Рекомендуется с самого начала включить ведение протокола. Протоколы оказывают большую помощь при отслеживании работы туннелей и фильтров. (Подробные сведения приведены в разделе Средства ведения протокола.)
| Ошибка: | Вызов команды mktun приводит к возникновению следующей
ошибки:
insert_tun_man4(): ошибка записи : Запрошенный ресурс занят. Неполадка: Туннель, активизация которого запрошена, уже активен или обнаружен конфликт значений SPI. Исправление: Вызовите команду rmtun для деактивации туннеля, а затем команду mktun для его активизации. Проверьте, не совпадают ли значения SPI для туннеля, в работе которого обнаружен сбой, со значениям для других активных туннелей. Значения SPI для каждого туннеля должны быть различны. |
| Ошибка: | Вызов команды mktun приводит к возникновению следующей
ошибки:
Device ipsec_v4 находится в состоянии Defined.
Активизация туннеля для IP версии 4 не выполняется. Неполадка: Устройство системы защиты IP недоступно. Исправление: Вызовите следующую команду:
mkdev -l ipsec -t 4 Если эта же ошибка возникает при активизации туннеля для IP версии 6, следует изменить значение опции -t на 6. Устройства должны быть доступны. Для проверки состояния устройства системы защиты IP вызовите следующую команду: lsdev -Cc ipsec |
| Ошибка: | Вызов команды gentun приводит к возникновению следующей
ошибки:
Неправильный исходный IP-адрес Неполадка: Вы ввели недопустимый IP-адрес отправителя. Исправление: В случае туннелей для IP версии 4 проверьте, правильно ли вы ввели IP-адрес версии 4 для локального компьютера. При создании туннелей нельзя в качестве адреса источника указывать имя хоста; имена хостов можно использовать только для адресов назначения. В случае туннелей для IP версии 6 проверьте, правильно ли вы ввели IP-адрес версии 6. Если с помощью команды netstat -in вы обнаружите, что IP-адресов версии 6 не существует, запустите /usr/sbin/autoconf6 для подключения созданного автоматически локального адреса линии связи (с помощью адреса MAC) или ifconfig для присвоения адреса вручную. |
| Ошибка: | Вызов команды gentun приводит к возникновению следующей
ошибки:
Неправильный исходный IP-адрес Неполадка: Вы ввели недопустимый IP-адрес отправителя. Исправление: В случае туннелей для IP версии 4 проверьте, правильно ли вы ввели IP-адрес версии 4 для локального компьютера. При создании туннелей нельзя в качестве адреса источника указывать имя хоста; имена хостов можно использовать только для адресов назначения. В случае туннелей для IP версии 6 проверьте, правильно ли вы ввели IP-адрес версии 6. Если с помощью команды netstat -in вы обнаружите, что IP-адресов версии 6 не существует, запустите /usr/sbin/autoconf6 для подключения созданного автоматически локального адреса линии связи (с помощью адреса MAC) или ifconfig для присвоения адреса вручную. |
| Ошибка: | Вызов команды mktun приводит к возникновению следующей
ошибки:
insert_tun_man4(): ошибка записи: В системном вызове задан недопустимый параметр. Неполадка: Для создания туннеля использовано недопустимое сочетание заголовков ESP и AH, либо новый формат заголовка не применен там, где это необходимо. Исправление: Проверьте применяемые в туннеле алгоритмы идентификации. Учтите, что алгоритмы HMAC_MD5 и HMAC_SHA требуют использования нового формата заголовков. Новый формат заголовков можно изменить с помощью команды быстрого доступа SMIT ips4_basic или с помощью параметра -z команды chtun. Кроме того, помните, что алгоритм DES_CBC_4 нельзя использовать с новым форматом заголовков. |
| Ошибка: | При запуске системы защиты IP из Web-администратора системы появляется
сообщение об Ошибке.
Неполадка: Демоны защиты IP не запущены. Исправление: Введите команду ps -ef, чтобы узнать, какие демоны не запущены. С защитой IP связаны следующие демоны:
Демон cpsd работает, только если установлен код цифровых сертификатов (набор файлов gskit.rte или gskkm.rte) и средство Администратор ключей IBM настроено для хранения цифровых сертификатов. Если демоны не запущены, завершите работу защиты IP с помощью Web-администратора системы и перезапустите ее. При этом автоматически будут запущены нужные демоны. |
| Ошибка: | При попытке применения защиты IP появляется сообщение об ошибке:
Версия установленного bos.crypto устарела, требуется обновление. Неполадка: Файлы bos.net.ipsec.* были обновлены до новой версии, а соответствующие файлы bos.crypto.* - нет. Исправление: Обновите файлы bos.crypto.* до версии, соответствующей обновленным файлам bos.net.ipsec.* . |
В следующем разделе описаны возможные неполадки при работе с туннелями IKE.
Настройка туннелей IKE выполняется путем взаимодействия команды
ike или Web-администратора системы с тремя следующими
демонами:
| tmd | Администратор туннеля |
| isakmpd | Демон IKE |
| cpsd | Демон сертификатов proxy |
Для правильной настройки туннелей IKE туннели tmd и isakmpd должны работать. Если включена опция запуска средства защиты IP при загрузке системы, то эти демоны запускаются автоматически. В противном случае их нужно запустить с помощью Web-администратора системы.
Администратор туннеля передает демону isakmpd запрос на запуск туннеля. Если туннель уже существует или недопустим (например, для него указан недопустимый удаленный адрес), то передается сообщение об ошибке. Продолжительность согласования параметров зависит от быстродействия сети. Команда ike cmd=list позволяет просмотреть информацию о состоянии туннеля и определить, завершено ли согласование. Кроме того, процесс согласования можно отслеживать путем проверки сообщений, заносимых администратором туннеля в протокол syslog при выборе уровня ведения протокола debug, event или information.
Выполняется следующая последовательность операций:
В системе, принимающей запросы, демон isakmpd сообщает демону tmd об успешном согласовании параметров туннеля и добавляет новый туннель в таблицу ядра. В этом случае процесс начинается с шага 3 и продолжается до шага 7, причем демон tmd не передает запросы на соединение.
Демоны isakmpd, tmd и cpsd регистрируют события в системном протоколе. Включить ведение протокола для демона isakmpd позволяет команда ike cmd=log. В файле конфигурации /etc/isakmpd.conf можно указать уровень ведения протокола. Поддерживаются уровни none, errors, isakmp_events и information.
Примечание: В предыдущих версиях до AIX 5.1, демон isakmpd вел протокол в отдельном файле, что также было указано в /etc/isakmpd.conf.
Для ведения протокола может быть задан параметр файла настройки log_level. Демоны IKE применяют следующие уровни ведения протокола:
Опция задается в формате:
log_level
Код демона isakmpd инициализируется при отправке запроса или отвечает при обработке запроса. Если запрос принят, то между системами устанавливается туннель. Если запрос не принят или во время согласования параметров туннеля произошел тайм-аут, то isakmpd возвращает сообщение об ошибке. Об успешном завершении согласования можно узнать по сообщениям, записанным в протокол syslog демоном tmd. Ошибка, вызванная неправильным сертификатом, регистрируется в системном протоколе. Для определения причины ошибки необходимо проверить файл протокола, указанный в файле /etc/syslog.conf.
Средство ведения системного протокола добавляет в начало каждой строки дату и время, а также информацию о системе и программе. В следующем примере применяется имя системы googly и имя программы isakmpd:
Nov 20 09:53:50 googly isakmpd: ISAKMP_MSG_HEADER Nov 20 09:53:50 googly isakmpd: Icookie : 0xef06a77488f25315, Rcookie :0x0000000000000000 Nov 20 09:53:51 googly isakmpd: Next Payload : 1(SA), Maj Ver : 1, Min Ver : 0 Nov 20 09:53:51 googly isakmpd: Xchg Type : 2 (ID protected), Flag= 0, Encr : No,COMMIT : No Nov 20 09:53:51 googly isakmpd: Msg ID : 0x00000000
Для удобства, можно с помощью команды grep выбрать из протокола необходимые записи (например, все записи isakmpd), а с помощью команды cut - удалить информацию, добавленную в начало строки. Примеры протокола isakmpd, приведенные в данном разделе, были получены в результате такой же обработки.
Конфигурация защиты (SA) между двумя конечными системами настраивается с помощью обмена сообщениями IKE. Функция анализа данных представляет сообщения в доступном для пользователя формате. Для того чтобы включить ведение протокола, необходимо внести изменения в файл /etc/isakmpd.conf. Запись, соответствующая ведению протокола, в файле /etc/isakmpd.conf выглядит примерно следующим образом:
information
Тип данных IKE, регистрируемых функцией анализа данных определяется содержанием сообщения IKE. Возможные типы - данные SA, данные обмена ключами, данные запроса на сертификат, данные сертификата и данные подписи. Ниже приведен пример протокола анализа данных, в котором за заголовком ISAKMP_MSG_HEADER следует пять блоков данных:
ISAKMP_MSG_HEADER
Icookie : 0x9e539a6fd4540990, Rcookie : 0x0000000000000000
Next Payload : 1(SA), Maj Ver : 1, Min Ver : 0
Xchg Type : 4 (Aggressive), Flag= 0, Encr : No,COMMIT : No
Msg ID : 0x00000000
len : 0x10e(270)
SA Payload:
Next Payload : 4(Key Exchange), Payload len : 0x34(52)
DOI : 0x1(INTERNET)
bitmask : 1(SIT_IDENTITY_ONLY
Proposal Payload:
Next Payload : 0(NONE), Payload len : 0x28(40)
Proposal # : 0x1(1), Protocol-ID : 1(ISAKMP)
SPI size : 0x0(0), # of Trans : 0x1(1)
Transform Payload:
Next Payload : 0(NONE), Payload len : 0x20(32)
Trans # : 0x1(1), Trans.ID : 1(KEY_IKE)
Attr : 1(Encr.Alg ), len=0x2(2)
Value=0x1(1),(DES-cbc)
Attr : 2(Hash Alg ), len=0x2(2)
Value=0x1(1),(MD5)
Attr : 3(Auth Method ), len=0x2(2)
Value=0x3(3),(RSA Signature)
Attr : 4(Group Desc ), len=0x2(2)
Value=0x1(1),(default 768-bit MODP group)
Attr : 11(Life Type ), len=0x2(2)
Value=0x1(1),(seconds)
Attr : 12(Life Duration), len=0x2(2)
Value=0x7080(28800)
Key Payload:
Next Payload : 10(Nonce), Payload len : 0x64(100)
Key Data :
33 17 68 10 91 1f ea da 38 a0 22 2d 84 a3 5d 5d
a0 e1 1f 42 c2 10 aa 8d 9d 14 0f 58 3e c4 ec a3
9f 13 62 aa 27 d8 e5 52 8d 5c c3 cf d5 45 1a 79
8a 59 97 1f 3b 1c 08 3e 2a 55 9b 3c 50 cc 82 2c
d9 8b 39 d1 cb 39 c2 a4 05 8d 2d a1 98 74 7d 95
ab d3 5a 39 7d 67 5b a6 2e 37 d3 07 e6 98 1a 6b
Nonce Payload:
Next Payload : 5(ID), Payload len : 0xc(12)
Nonce Data:
6d 21 73 1d dc 60 49 93
ID Payload:
Next Payload : 7(Cert.Req), Payload len : 0x49(73)
ID type : 9(DER_DN), Protocol : 0, Port = 0x0(0)
Certificate Request Payload:
Next Payload : 0(NONE), Payload len : 0x5(5)
Certificate Encoding Type: 4(X.509 Certificate - Signature)
Каждый блок данных содержит поле Следующий блок данных, указывающее на следующий за текущим блок данных. Если текущий блок данных является последним в сообщении IKE, значение в поле Следующий блок данных равно нулю (нет).
Каждый блок данных в данном примере содержит информацию о текущих согласованиях. Например, блок данных SA содержит блоки данных запроса и преобразования, которые в свою очередь, содержат информацию об алгоритме шифрования, режиме идентификации, алгоритме хеширования, типе срока действия SA, и длительности SA, запрашиваемых инициатором у респондента.
Кроме того, блок данных SA состоит из одного или нескольких блоков данных запроса и одного или нескольких блоков данных преобразования. в поле Следующий блок данных блока данных запроса указано нулевое значение, если это единственный блок данных запроса, и значение 2, если за ним следует один или несколько блоков данных запроса. Точно так же, поле Следующий блок данных блока данных преобразования содержит нулевое значение, если это единственный блок данных преобразования, и значение 3, если за ним следуют другие блоки данных преобразования, как это показано в следующем примере:
ISAKMP_MSG_HEADER
Icookie : 0xa764fab442b463c6, Rcookie : 0x0000000000000000
Next Payload : 1(SA), Maj Ver : 1, Min Ver : 0
Xchg Type : 2 (ID protected), Flag= 0, Encr : No,COMMIT : No
Msg ID : 0x00000000
len : 0x70(112)
SA Payload:
Next Payload : 0(NONE), Payload len : 0x54(84)
DOI : 0x1(INTERNET)
bitmask : 1(SIT_IDENTITY_ONLY
Proposal Payload:
Next Payload : 0(NONE), Payload len : 0x48(72)
Proposal # : 0x1(1), Protocol-ID : 1(ISAKMP)
SPI size : 0x0(0), # of Trans : 0x2(2)
Transform Payload:
Next Payload : 3(Transform), Payload len : 0x20(32)
Trans # : 0x1(1), Trans.ID : 1(KEY_IKE)
Attr : 1(Encr.Alg ), len=0x2(2)
Value=0x5(5),(3DES-cbc)
Attr : 2(Hash Alg ), len=0x2(2)
Value=0x1(1),(MD5)
Attr : 3(Auth Method ), len=0x2(2)
Value=0x1(1),(Pre-shared Key)
Attr : 4(Group Desc ), len=0x2(2)
Value=0x1(1),(default 768-bit MODP group)
Attr : 11(Life Type ), len=0x2(2)
Value=0x1(1),(seconds)
Attr : 12(Life Duration), len=0x2(2)
Value=0x7080(28800)
Transform Payload:
Next Payload : 0(NONE), Payload len : 0x20(32)
Trans # : 0x2(2), Trans.ID : 1(KEY_IKE)
Attr : 1(Encr.Alg ), len=0x2(2)
Value=0x1(1),(DES-cbc)
Attr : 2(Hash Alg ), len=0x2(2)
Value=0x1(1),(MD5)
Attr : 3(Auth Method ), len=0x2(2)
Value=0x1(1),(Pre-shared Key)
Attr : 4(Group Desc ), len=0x2(2)
Value=0x1(1),(default 768-bit MODP group)
Attr : 11(Life Type ), len=0x2(2)
Value=0x1(1),(seconds)
Attr : 12(Life Duration), len=0x2(2)
Value=0x7080(28800)
Заголовок сообщения IKE протокола функции анализа данных содержит информацию о типе обмена (Основной режим или Агрессивный режим), длине всего сообщения, идентификаторе сообщения и т.д.
Блок данных запроса сертификата содержит запрос сертификата от отвечающей стороны. Отвечающая сторона отправляет сертификат отдельным сообщением. Ниже приведен пример блока данных сертификата и блока данных подписи, отправляемых узлу в процессе согласования SA. Данные сертификата и подписи приводятся в шестнадцатеричном формате.
ISAKMP_MSG_HEADER
Icookie : 0x9e539a6fd4540990, Rcookie : 0xc7e0a8d937a8f13e
Next Payload : 6(Certificate), Maj Ver : 1, Min Ver : 0
Xchg Type : 4 (Aggressive), Flag= 0, Encr : No,COMMIT : No
Msg ID : 0x00000000
len : 0x2cd(717)
Certificate Payload:
Next Payload : 9(Signature), Payload len : 0x22d(557)
Certificate Encoding Type: 4(X.509 Certificate - Signature)
Certificate: (len 0x227(551) in bytes
82 02 24 30 82 01 8d a0 03 02 01 02 02 05 05 8e
fb 3e ce 30 0d 06 09 2a 86 48 86 f7 0d 01 01 04
05 00 30 5c 31 0b 30 09 06 03 55 04 06 13 02 46
49 31 24 30 22 06 03 55 04 0a 13 1b 53 53 48 20
43 6f 6d 6d 75 6e 69 63 61 74 69 6f 6e 73 20 53
65 63 75 72 69 74 79 31 11 30 0f 06 03 55 04 0b
13 08 57 65 62 20 74 65 73 74 31 14 30 12 06 03
55 04 03 13 0b 54 65 73 74 20 52 53 41 20 43 41
30 1e 17 0d 39 39 30 39 32 31 30 30 30 30 30 30
5a 17 0d 39 39 31 30 32 31 32 33 35 39 35 39 5a
30 3f 31 0b 30 09 06 03 55 04 06 13 02 55 53 31
10 30 0e 06 03 55 04 0a 13 07 49 42 4d 2f 41 49
58 31 1e 30 1c 06 03 55 04 03 13 15 62 61 72 6e
65 79 2e 61 75 73 74 69 6e 2e 69 62 6d 2e 63 6f
6d 30 81 9f 30 0d 06 09 2a 86 48 86 f7 0d 01 01
01 05 00 03 81 8d 00 30 81 89 02 81 81 00 b2 ef
48 16 86 04 7e ed ba 4c 14 d7 83 cb 18 40 0a 3f
55 e9 ad 8f 0f be c5 b6 6d 19 ec de 9b f5 01 a6
b9 dd 64 52 34 ad 3d cd 0d 8e 82 6a 85 a3 a8 1c
37 e4 00 59 ce aa 62 24 b5 a2 ea 8d 82 a3 0c 6f
b4 07 ad 8a 02 3b 19 92 51 88 fb 2c 44 29 da 72
41 ef 35 72 79 d3 e9 67 02 b2 71 fa 1b 78 13 be
f3 05 6d 10 4a c7 d5 fc fe f4 c0 b8 b8 fb 23 70
a6 4e 16 5f d4 b1 9e 21 18 82 64 6d 17 3b 02 03
01 00 01 a3 0f 30 0d 30 0b 06 03 55 1d 0f 04 04
03 02 07 80 30 0d 06 09 2a 86 48 86 f7 0d 01 01
04 05 00 03 81 81 00 75 a4 ee 9c 3a 18 f2 de 5d
67 d4 1c e4 04 b4 e5 b8 5e 9f 56 e4 ea f0 76 4a
d0 e4 ee 20 42 3f 20 19 d4 25 57 25 70 0a ea 41
81 3b 0b 50 79 b5 fd 1e b6 0f bc 2f 3f 73 7d dd
90 d4 08 17 85 d6 da e7 c5 a4 d6 9a 2e 8a e8 51
7e 59 68 21 55 4c 96 4d 5a 70 7a 50 c1 68 b0 cf
5f 1f 85 d0 12 a4 c2 d3 97 bf a5 42 59 37 be fe
9e 75 23 84 19 14 28 ae c4 c0 63 22 89 47 b1 b6
f4 c7 5d 79 9d ca d0
Signature Payload:
Next Payload : 0(NONE), Payload len : 0x84(132)
Signature: len 0x80(128) in bytes
9d 1b 0d 90 be aa dc 43 95 ba 65 09 b9 00 6d 67
b4 ca a2 85 0f 15 9e 3e 8d 5f e1 f0 43 98 69 d8
5c b6 9c e2 a5 64 f4 ef 0b 31 c3 cb 48 7c d8 30
e3 a2 87 f4 7c 9d 20 49 b2 39 00 fa 8e bf d9 b0
7d b4 8c 4e 19 3a b8 70 90 88 2c cf 89 69 5d 07
f0 5a 81 58 2e 15 40 37 b7 c8 d6 8c 5c e2 50 c3
4d 19 7e e0 e7 c7 c2 93 42 89 46 6b 5f f8 8b 7d
5b cb 07 ea 36 e5 82 9d 70 79 9a fe bd 6c 86 36
| Ошибка: | Демон сервера сертификатов proxy cpsd не запускается.
Файл протокола содержит примерно следующую запись:
Sep 21 16:02:00 ripple CPS[19950]: Init():LoadCaCerts() failed, rc=-12 Неполадка: Не удалось открыть или найти базу данных сертификатов. Исправление: Убедитесь, что базы данных сертификатов Администратора ключей IBM находятся в каталоге /etc/security. База данных состоит из следующих файлов: ikekey.crl, ikekey.kdb, ikekey.rdb, ikekey.sth. Если отсутствует только файл ikekey.sth, это означает, что при создании базы данных Администратора ключей IBM не была выбрана опция сохранить пароль. Для применения цифровых сертификатов в системе защиты IP необходимо сохранить пароль. (Дополнительная информация приведена в разделе Создание базы данных ключей.) |
| Ошибка: | При получении сертификата Администратор ключей IBM сообщает о следующей
ошибке:
Обнаружены неверные данные с шифрованием Base64 Неполадка: В файле сертификата были обнаружены лишние данные, или данные были потеряны или испорчены. Исправление: Сертификат с шифрованием 'DER' должен помещаться между следующих строк (показано ниже). Перед или после строк BEGIN и END CERTIFICATE не должно быть посторонних символов.
-----BEGIN CERTIFICATE----- MIICMTCCAZqgAwIBAgIFFKZtANowDQYJKoZIhvcNAQEFBQAwXDELMAkGA1UEBhMC RkkxJDAiBgNVBAoTG1NTSCBDb21tdW5pY2F0aW9ucyBTZWN1cml0eTERMA8GA1UE CxMIV2ViIHRlc3QxFDASBgNVBAMTC1Rlc3QgUlNBIENBMB4XDTk5MDkyMTAwMDAw MFoXDTk5MTAyMTIzNTk1OVowOzELMAkGA1UEBhMCVVMxDDAKBgNVBAoTA0lCTTEe MBwGA1UEAxMVcmlwcGxlLmF1c3Rpbi5pYm0uY29tMIGfMA0GCSqGSIb3DQEBAQUA A4GNADCBiQKBgQC5EZqo6n7tZrpAL6X4L7mf4yXQSm+m/NsJLhp6afbFpPvXgYWC wq4pvOtvxgum+FHrE0gysNjbKkE4Y6ixC9PGGAKHnhM3vrmvFjnl1G6KtyEz58Lz BWW39QS6NJ1LqqP1nT+y3+Xzvfv8Eonqzno8mglCWMX09SguLmWoU1PcZQIDAQAB oyAwHjALBgNVHQ8EBAMCBaAwDwYDVR0RBAgwBocECQNhhzANBgkqhkiG9w0BAQUF AOBgQA6bgp4Zay34/fyAlyCkNNAYJRrN3Vc4NHN7IGjUziN6jK5UyB5zL37FERW hT9ArPLzK7yEZs+MDNvB0bosyGWEDYPZr7EZHhYcoBP4/cd0V5rBFmA8Y2gUthPi Ioxpi4+KZGHYyLqTrm+8Is/DVJaQmCGRPynHK35xjT6WuQtiYg== -----END CERTIFICATE----- Следующие опции позволяют выяснить причину и устранить данную неполадку.
|
| Ошибка: | При получении личного сертификата Администратор ключей IBM сообщает о
следующей ошибке:
Не удалось найти ключ запроса для сертификата Неполадка: Для получаемого сертификата нет запроса на личный сертификат. Исправление: Еще раз создайте запрос на личный сертификат и запросите новый сертификат. |
| Ошибка: | При настройке туннеля IKE Web-администратор системы сообщает о следующей
ошибке:
Ошибка 171 при выполнении операции с Туннелем управления ключами (Уровень 1): PUT_IRL_FAILED Неполадка: Причиной неполадки может быть неправильный тип идентификатора хоста, настроенный в окне IKE (вкладка Идентификация). Это происходит, если тип идентификатора хоста, выбранный из выпадающего списка, не совпадает с типом идентификатора, введенного в поле Идентификатор хоста. Например, если будет выбран тип идентификатора хоста Отличительное имя X.500, необходимо ввести в поле Идентификатор хоста отличительное имя в правильном формате. Исправление: Убедитесь, что введенное отличительное имя соответствует выбранному из выпадающего списка типу идентификатора хоста. |
| Ошибка: | Происходит ошибка при согласовании IKE. Файл протокола содержит
примерно следующую запись:
inet_cert_service::channelOpen():clientInitIPC():error,rc =2 (Не найден или каталог) Неполадка: Демон cpsd не работает. Исправление: Запустите защиту IP с помощью Web-администратора системы. При этом будет запущен соответствующий демон. |
| Ошибка: | Происходит ошибка при согласовании IKE. Файл протокола содержит
примерно следующую запись:
CertRepo::GetCertObj: DN не совпадает:
("/C=US/O=IBM/CN=ripple.austin.ibm.com")
Неполадка: Отличительное имя X.500, введенное при настройке туннеля IKE, не совпадает с отличительным именем X.500 в личном сертификате. Исправление: Измените с помощью Web-администратора системы определение туннеля IKE так, чтобы отличительное имя соответствовало указанному в сертификате. |
| Ошибка: | При настройке с помощью Web-администратора системы туннелей IKE на
вкладке Способ идентификации отключена опция Цифровой
сертификат.
Неполадка: Стратегия, связанная с данным туннелем, не применяет идентификацию режима подписи RSA. Исправление: Измените преобразование соответствующей стратегии на применение способа идентификации подписи RSA. Например, при настройке туннеля IKE можно выбрать стратегию управления ключами IBM_low_CertSig. |
Специальные средства позволяют отслеживать события ядра. Данные трассировки позволяют получить подробную информацию о событиях и обнаруженных ошибках туннеля или фильтра ядра.
Средство трассировки системы защиты IP можно вызвать с помощью меню SMIT Расширенная конфигурация системы защиты IP. Информация, сохраняемая этим средством трассировки, включает информацию об ошибках, фильтры, информацию о фильтрах, туннели, информацию о туннелях, упаковку/распаковку, информацию об упаковке, шифрование и информацию о шифровании. Трассировка ошибок спроектирована таким образом, что она служит источником самой важной информации. Информационная трассировка предоставляет большое количество информации и может влиять на производительность системы. Эта трассировка поможет вам определить причину неполадки. Кроме того, данные трассировки потребуются вам при обращении в техническую службу фирмы IBM. Для запуска средства трассировки служат команды быстрого доступа SMIT smit ips4_tracing (для IP версии 4) и smit ips6_tracing (для IP версии 6).
Команда ipsecstat служит для создания отчетов; пример такого отчета приведен ниже. Этот отчет показывает, что устройства системы защиты IP доступны; установлены три алгоритма идентификации и три алгоритма шифрования, а также что существует текущий отчет об активности пакетов. Эта информация поможет локализовать неполадку при анализе потока, контролируемого системой защиты IP.
Устройства защиты IP: ipsec_v4 Доступно ipsec_v6 Доступно Алгоритм идентификации: HMAC_MD5 -- Модуль идентификации MAC MD5 с хешированием HMAC_SHA -- Модуль идентификации MAC SHA с хешированием KEYED_MD5 -- Модуль идентификации Keyed MD5 с хешированием Алгоритм шифрования: CDMF -- Модуль шифрования CDMF DES_CBC_4 -- Модуль шифрования DES CBC 4 DES_CBC_8 -- Модуль шифрования DES CBC 8 3DES_CBC -- Модуль шифрования Triple DES CBC Статистика по защите IP - Общее число поступивших пакетов: 1106 Число поступивших пакетов AH:326 Число поступивших пакетов ESP: 326 Число пропущенных пакетов с маршрутизацией источника: 0 Общее число отправленных пакетов: 844 Число отправленных пакетов AH: 527 Число отправленных пакетов ESP: 527 Общее число не пропущенных поступивших пакетов: 12 Не пропущено фильтром: 12 Не вычислен AH: 0 Не вычислен ESP: 0 Сбой повтора AH:0 Сбой повтора ESP:0 Общее число не пропущенных отправленных пакетов:0 Не пропущено фильтром:0 Число записей, добавленных в кэш туннеля: 7 Число устаревших записей в кэше туннеля: 0 Число записей, удаленных из кэша туннеля: 6
Примечание: Начиная с версии AIX 4.3.3, CDMF не поддерживается, так как DES поддерживается повсеместно. Настройте туннели, применяющие CDMF на работу с DES или Triple DES.