Сообщения этой группы позволяют контролировать процессы создания, уничтожения и замены IPsec-контекстов. Сообщения о загрузке контекстов содержат детальную информацию о параметрах контекста, включая IP-параметры (адреса, порты), SPI, режимы и др.
Если сообщение содержит IP-параметры (selector), то они выводятся в следующем порядке:
· локальный адрес/диапазон адресов
· локальный порт
· удаленный адрес/диапазон адресов
· удаленный порт
· IP- протокол.
Под локальным адресом понимается адрес источника (source) для исходящих пакетов.
Примеры сообщений группы sa_major
Превышено ограничение SA по трафику:
SA 55 expired
Пора начинать rekeying SA (пройден барьер по трафику):
requesting rekeying for SA 33
Сообщения о загрузке новых SA:
loaded SA 12: flags 0x1, IPsec flags 0x18, selector 5.4.3.2->2.3.4.5, tunnel 5.4.3.2->8.9.1.2, type 51, SPI 0xabababba
Следующее сообщение говорит о замене IPsec SA без прерывания обработки трафика:
loaded replacement for SA 55: SA 69: flags 0x0, IPsec flags, 0x38, selector 3.4.5.1->2.3.4.0-2.3.4.255 proto 17, tunnel 3.4.5.1->1.3.4.1, type 50, SPI 0x3b7f44e0
Расшифровка type:
51 – AH
50 - ESP
Расшифровка некоторых[12] битов flags:
0x1 – входящий
0x100 - включен path MTU discovery
0x200 - включена повторная маршрутизация (reroute)
0x400 - необходима сборка IP-пакетов из фрагментов перед инкапсуляцией
Расшифровка битов ipsec flags:
0x1 – туннельный режим
0x2 – сбрасывать DF-bit
0x4 - устанавливать DF-bit
0x8 – включена защита от replay-атак
0x10 – включена проверка целостности
0x20 – включено шифрование
0x40 – испольуется UDP-encapsulation (NAT traversal)
Загрузка связки SA (SA bundle):
loaded bundle: chain 12, filter 98, flags 0x0, selector 3.4.5.1:98->3.4.5.2:99 proto 17, SA list 4 5
Расшифровка битов flags:
0x1 - пакеты, которые ожидают обработки данным SA bundle, должны быть уничтожены
0x2 - источником запроса на создание SA bundle был драйвер
Cообщение о загрузке SA bundle, не содержащее списка SA, означает ошибку создания SA bundle приложением (демоном).
Запрос SA bundle (обычно для его обработки требуется IKE-обмен):
SA request: filter chain 59, filter 12, selector 5.4.3.2:1->1.2.3.4:5 proto 17, expected SA selector 5.4.3.2->1.2.3.4 proto 17
Пакет ожидает SA bundle.
waiting for SA: 10.0.59.1:1680->12.1.1.1:23, proto 17, len 90, if eth0
SA заблокирован (превышено ограничение по времени/трафику), ожидается завершение процесса rekeying:
disabled SA 33
Удаление SA:
removed SA 33
Пришло подтверждение загрузки SA у партнера, SA активируется:
application request to enable SA 33 processed
Автоматическое обновление SA приостановлено из-за отсутствия трафика, но при первом пакете начнется смена ключей (обновление SA).
first packet will trigger rekeying of SA 33
Сообщения, возникающие при ошибочном/странном[13] поведении Продукта:
can't add bundle: filter id 299 is not found in chain 11
can't add bundle: SA id 33 not found
can't load SA: unable to unpack
can't load replacement for SA 33: SA not found
can't load replacement for SA 33: can't unpack
can't remove SA 33: sa not found
can't disable SA 33: sa not found
can't enable SA 33: sa not found
rekey trigger: can't find SA 33
can't add bundle: non-empty "drop" response
can't add bundle: illegal request size 11
can't add bundle: filter id 2 in chain 2 is not an IPsec filter
can't add bundle: filter chain id 22 is empty
can't add bundle: filter chain id 22 not found
can't add bundle: filter id 23, chain 18: request 1.2.3.4->4.3.2.1 not found
can't add bundle: filter 80 is dead
can't add bundle: SA 24 is already in a bundle
Примеры сообщений группы sa_minor[14]
destroyed SA 12
replacing SA 12 with SA 13
can't enable sa 13: it's already enabled
enabled sa 14, but didn't activate it
enabled sa 15