在 OPL 系统上重新引导 XSCF 服务处理器后,IPsec 通信会丢失。在 XSCF 服务处理器上会看到以下错误消息:
XSCF> showdevices -d 0 Can't get device information from DomainID 0. |
在域上的 /var/adm/messages 文件中会看到以下消息:
Apr 7 11:19:20 domain-0 sckmd: [ID 205163 daemon.error] PF_KEY error: type=ADD, errno=17: File exists, diagnostic code=0: No diagnostic |
发生此问题的原因在于没有正确删除域中现有的安全关联 (Security Association, SA),因此添加新的 SA 失败。
解决方法 1:重新引导 XSCF 服务处理器两次。第一次删除一半 SA,第二次再将剩余的一半删除。第二次添加会成功,并且 IPsec 通信会重新建立。
解决方法 2:在每个域上删除 IPsec SA 两次,然后再重新引导服务处理器。
如果不将 IPsec 用于系统上的其他场合,ipseckey flush 将显示所有 SA。如果将 IPsec 用于其他场合,请执行以下步骤以显示所有 SA:
获取 IP 地址:
# /usr/platform/SUNW,SPARC-Enterprise/sbin/prtdscp Domain Address: 192.168.224.2 SP Address: 192.168.224.1 |
使用 ipseckey 和 prtdscp 实用程序删除 SPI 两次。
# ipseckey delete ah spi 0xff00 dst `/usr/platform/SUNW,SPARC-Enterprise/sbin/prtdscp -s` # ipseckey delete ah spi 0xff00 dst `/usr/platform/SUNW,SPARC-Enterprise/sbin/prtdscp -s` # ipseckey delete ah spi 0xff dst `/usr/platform/SUNW,SPARC-Enterprise/sbin/prtdscp -d` # ipseckey delete ah spi 0xff dst `/usr/platform/SUNW,SPARC-Enterprise/sbin/prtdscp -d` |
在服务处理器重新引导时,将会正确添加密钥。