在 OPL 系統上重新啟動 XSCF 服務處理器後,IPsec 通訊會遺失。在 XSCF 服務處理器上會看到以下錯誤訊息:
XSCF> showdevices -d 0 Can't get device information from DomainID 0. |
以下訊息可在網域上的 /var/adm/messages 檔案中看到:
Apr 7 11:19:20 domain-0 sckmd: [ID 205163 daemon.error] PF_KEY error: type=ADD, errno=17: File exists, diagnostic code=0: No diagnostic |
此問題之所以會發生,是因為網域上的現有安全性關聯 (SA) 未正確刪除,所以新增 SA 時會失敗。
解決方法 1:重新啟動 XSCF 服務處理器兩次。第一次重新啟動時刪除一半 SA,第二次重新啟動時刪除剩下的另一半。第二次增加便會成功且會重新建立 IPsec 通訊。
解決方法 2:在每個網域上刪除 IPsec SA 兩次,然後再重新啟動服務處理器。
如果您未將 IPsec 用於系統中的其他項目,則 ipseckey flush 將顯示所有的 SA。如果將 IPsec 用於其他項目,請執行以下步驟來顯示所有 SA:
取得 IP 位址:
# /usr/platform/SUNW,SPARC-Enterprise/sbin/prtdscp Domain Address: 192.168.224.2 SP Address: 192.168.224.1 |
使用 ipseckey 和 prtdscp 公用程式刪除 SPI 兩次:
# ipseckey delete ah spi 0xff00 dst `/usr/platform/SUNW,SPARC-Enterprise/sbin/prtdscp -s` # ipseckey delete ah spi 0xff00 dst `/usr/platform/SUNW,SPARC-Enterprise/sbin/prtdscp -s` # ipseckey delete ah spi 0xff dst `/usr/platform/SUNW,SPARC-Enterprise/sbin/prtdscp -d` # ipseckey delete ah spi 0xff dst `/usr/platform/SUNW,SPARC-Enterprise/sbin/prtdscp -d` |
當服務處理器重新啟動時,會正確增加金鑰。