拠点のインターネットVPN開通日、端末からPingが飛ばないと報告があり、
確認すると設置したルータのWANアドレスにもPingが飛びませんでした。


まず疑ったこと
・フレッツONUの電源が落ちている
・フレッツ回線の異常
・LANケーブルの接続場所を間違えている

上記の事項は確認すると問題ないことがわかり、機器の再起動をしたりしても問題が解決されずに焦りました。


そこで対向VPNルータのログを見ると、以下のようなログを吐いることを確認しました。

%CRYPTO-4-IKMP_BAD_MESSAGE: IKE message from xxx.xxx.xxx.xxx failed its sanity check or is malformed


VPNのIKEで失敗?とエラーをグーグルで検索。

http://www.cisco.com/cisco/web/support/JP/100/1008/1008513_ipsec-debug-00-j.html
>この debug エラーは、ピア同士の事前共有鍵が一致しない場合に表示されます。この問題を修正するには、両方の側の事前共有鍵を確認します。


ルータ設定時の”key config-key password-encrypt XXXXXX”をコピペミスった可能性が高いことが判明。

現地で作業している人に電話で再設定を伝えましたが、しばらくしても同じエラーが出て繋がりません。




再起動しないと駄目なのかなと、コンフィグ保存して再起動を指示したところ・・・パスワードが書き換わったのか、今度はルータにログインが出来なくなったと連絡が。


仕方が無いので、ルータの初期化手順を電話で伝えて、一旦初期化してもらいました。

初期化後、key config-key password-encryptの設定及びルータの再設定をすると、今度はすんなり接続が完了。


コピペした際に、半角スペースとか気が付かないうちに設定されていたのでしょうかね



関連記事
日本通信
業績予想の上方修正に関するお知らせ (14/3/24)

と日経のサイトを見ていたら掲示がありました。

http://www.nikkei.com/markets/ir/irftp/data/tdnr/tdnetg3/20140324/8lddpr/140120140324025647.pdf

日本通信って上場していたんですね。
MVNOが各社好調そうなのは分かっていたのだから、仕込んでいけば良かったかな。


ただ、OCNとかBIGLOBEのMVNOのサービスも4月から値下げするみたいなので、競争激化→利益率低下というのも目に浮かぶので、手を出すのはちょっとこわいかも。
関連記事

VTPドメインを削除する方法について

 24, 2014 20:46

Switch(config)#no vtp ?
file Configure IFS filesystem file where VTP configuration is stored.
interface Configure interface as the preferred source for the VTP IP updater
address.
mode Configure VTP device mode
password Set the password for the VTP administrative domain
pruning Set the adminstrative domain to permit pruning
version Set the adminstrative domain to VTP version

Switch(config)#

コマンドはないですね。

VTPドメインを削除するにはvlan.datを削除して再起動すれば消えることを確認していますけれど、再起動を伴わずに削除する方法はないのかな。


Switch#delete vlan.dat
Delete filename [vlan.dat]?
Delete flash:vlan.dat? [confirm]
Switch#reload
・・・
Switch#sh vtp status
VTP Version : running VTP1 (VTP2 capable)
Configuration Revision : 0
Maximum VLANs supported locally : 255
Number of existing VLANs : 5
VTP Operating Mode : Server
VTP Domain Name :
VTP Pruning Mode : Disabled
VTP V2 Mode : Disabled
VTP Traps Generation : Disabled
MD5 digest : 0x57 0xCD 0x40 0x65 0x63 0x59 0x47 0xBD
Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00
Local updater ID is 0.0.0.0 (no valid interface found)
Switch#
関連記事

VTPの設定テスト

 24, 2014 19:45
VLANが作成できない件で、手持ちのCatalyst2960を2台使って、VTPの動作テストを実施しました。


VTP設定項目
・VTP Operating Mode : Server
・VTP Domain Name : TEST
・VTP V2 Mode : Enabled


片方でVLAN作成すると、もう一方で自動でVLANが適用されることを確認。
(VTPの正常動作)


片方でVTPのバージョンを1にすると、もう一方もVTPのバージョンが1に自動で変更されることを確認。
そのため、バージョンの不一致は起きず、VLAN作成に支障はない。

Catalyst同士の接続を切り離し、片方をバージョン1、もう一方をバージョン2に設定後に再接続すると、自動でバージョン2で統一されることを確認。


Catalyst同士の接続を切り離し、片方をバージョン1にしVTP Domain NameをTEST2に変更、もう一方をバージョン2に設定後に再接続すると、VTPドメインが異なるので同期はされないことを確認。
ドメインが異なるので、VLANの作成に支障はない。(片方には作成したVLANは同期されない)



2台だけの結果を見ると、VTPドメインが同じなら問題が起きなさそうに見えますが、Transparentとか複数台接続が絡んでいるんでしょうかね。

もう少し調査が必要です。
関連記事


L3SWでVLANを新規に定義しようとすると、下記のエラーが出力されてVLANの作成ができていません。


(config)#vlan 100
(config-vlan)#exit
% Applying VLAN changes may take few minutes. Please wait...

VLAN 1003 parent VLAN missing
APPLY VLAN changes failed.
(config)#


エラー内容で調査すると、そのものが見つかりました。
http://www.cisco.com/cisco/web/support/JP/100/1008/1008382_3-j.html#vlan1003

VTPのバージョンを揃えろ、という事なのですが、L3SWと接続された機器の設定をひと通り確認しても、VTPのバージョン違いというのは見つけられずに困っています・・・


どの機器が悪さをしているか確認できる方法はないのでしょうかね。

試しに他のL2SWでVLANを作成してみても、同様のエラーが出力され現状では打つ手なしの状況。

困りました。
関連記事


WHAT'S NEW?