OPL 시스템에서 XSCF 서비스 프로세서를 재부트한 후에는 IPsec 통신이 손실됩니다. XSCF 서비스 프로세서에 다음 오류 메시지가 표시됩니다.
XSCF> showdevices -d 0 Can't get device information from DomainID 0. |
도메인의 /var/adm/messages 파일에 다음 메시지가 표시됩니다.
Apr 7 11:19:20 domain-0 sckmd: [ID 205163 daemon.error] PF_KEY error: type=ADD, errno=17: File exists, diagnostic code=0: No diagnostic |
도메인에서 기존 보안 연결(Security Aoosication, SA)이 제대로 삭제되지 않아 새 SA가 실패했으므로 이 문제가 발생합니다.
해결 방법 1: XSCF 서비스 프로세서를 두 번 재부트합니다. 처음에는 SA 절반이 삭제되고 두 번째에 나머지 절반이 삭제됩니다. 두 번째 추가가 성공하여 IPsec 통신이 재설정됩니다.
해결 방법 2: 서비스 프로세서를 재부트하기 전에 각 도메인에서 IPsec SA를 두 번 삭제합니다.
시스템에서 다른 용도로 IPsec을 사용하지 않는 경우 ipseckey flush가 모든 SA를 표시합니다. 다른 용도로 IPsec을 사용하는 경우 다음 단계를 수행하여 모든 SA를 표시합니다.
IP 주소를 얻습니다.
# /usr/platform/SUNW,SPARC-Enterprise/sbin/prtdscp Domain Address: 192.168.224.2 SP Address: 192.168.224.1 |
ipseckey 및 prtdscp 유틸리티를 사용하여 SPI를 두 번 삭제합니다.
# ipseckey delete ah spi 0xff00 dst `/usr/platform/SUNW,SPARC-Enterprise/sbin/prtdscp -s` # ipseckey delete ah spi 0xff00 dst `/usr/platform/SUNW,SPARC-Enterprise/sbin/prtdscp -s` # ipseckey delete ah spi 0xff dst `/usr/platform/SUNW,SPARC-Enterprise/sbin/prtdscp -d` # ipseckey delete ah spi 0xff dst `/usr/platform/SUNW,SPARC-Enterprise/sbin/prtdscp -d` |
서비스 프로세서가 재부트되면 키가 올바르게 추가됩니다.