• 状态
  • 已锁定 已锁定
  • 回复 5 回复
  • 订户 0 订户
  • 视图 1000 视图
  • 用户 0 会员在此处
选项
选项
相关

This thread has been locked.

If you have a related question, please click the "Ask a related question" button in the top right corner. The newly created question will be automatically linked to this question.

[参考译文] 66AK2E02:PA2添加/删除 ESP 条目出现问题

admin
Guru**** 2616675 points
请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

https://e2e.ti.com/support/processors-group/processors/f/processors-forum/579916/66ak2e02-issue-with-pa2-add-delete-esp-entry

器件型号:66AK2E02

您好!

我正在 使用 SDK 版本3.01.01.04来开发 k2e 器件的 PA2。 当我尝试使用 Pa_delHandle 和 Pa_addIp 向 PA lut11表添加和删除 ESP 入口时。 Pa_addIp 和 Pa_delHandle 均不返回错误代码。

我每20秒重新密钥 IPsec 在重新键入时、由于 更改 SPI、我向 lut11添加了新的 ESP 条目、然后删除旧的条目。 256次重新键入(即256次添加和删除)后,不能将具有新 SPI 的 IPsec 数据包重定向到分配的队列或路由。  但是、当我收到具有旧 SPI 和 IP 地址的数据包(用于测试以确定我们是否可以删除旧 SPI)时 、它们已定向到相关路由或队列、因此这意味着我们无法删除具有旧 SPI 和 IP 地址的旧条目。 但是、删除 PA 条目后、PA LLD 不会返回任何错误代码。

 如何确保使用 PA LLD 删除或不删除 PA 条目?  

请帮我解决这个问题。

谢谢  

  • 0
    TI__Guru**** 2616675 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。
    您好!

    我已通知 RTOS 团队。 他们的反馈将在此处发布。

    此致、
    Yordan
  • 0
    TI__Guru**** 2616675 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好!

    我们已将 PA LLD 更新为最新版本的 SDK (pdk_k2e_4_0_4)。 问题 仍然存在。  您是否有来自 RTOS 团队的反馈?

    谢谢

  • 0
    TI__Guru**** 2616675 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。
    您好!

    您是否多次调用 Pa_addIp ()和 Pa_delHandle (),并且它始终返回 PA_OK? "我将新的 ESP 条目添加到 lut11、因为更改了 SPI、然后删除了旧的"========= >什么是 SPI 和 ESP? 每次删除条目并添加新条目时,每次 Pa_addIp()的区别是什么? 它们是否具有不同的 IP 地址?

    在256个循环之后、您是否看到添加和删除呼叫中的任何错误代码? 如果你每次得到 Pa_OK、我假设函数执行了他们预期的操作。 假设从新的开始、您有一个 IP 地址1条目、然后将其删除。 然后添加 IP 地址2、然后发送 IP 地址为1的数据包、您是否会收到它? 或者在256个循环之后必须看到该问题。 您是否有一个简单的 CCS 项目显示此问题、是否必须接收包含256个不同 IP 地址的数据包才能显示此问题?

    此致、Eric
  • 0
    TI__Guru**** 2616675 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。
    您好!
    我已在安全网关和 k2e 设备之间建立了 IPsec 隧道。 我使用 IKEv2进行密钥管理。 IKEv2定期更改 IPsec 隧道的密钥。 当 IKEv2更改 IPsec 密钥时,通过 IPsec 隧道的 ESP 数据包的 SPI 会发生变化。 因此、我必须删除旧的 PA 条目(包括旧的 ESP SPI)并将新的 ESP SPI 条目添加到 PA lut1_1表中。 当我添加新条目时、只有 SPI 发生更改、IP 地址不会更改。

    我添加一个 IP 地址1和 SPI1条目、然后添加另一个 IP 地址1和 SPI2条目、然后删除具有 IP 地址1和 SPI1的条目。 当 IKEv2更改 IPsec 隧道的密钥时,我添加一个包含 IP 地址1和 SPI3的条目,然后删除具有 IP 地址1和 SPI2的条目。 如果添加和删除计数不超过256、PA 会将数据包定向到 SA 的队列。

    在256个添加和删除呼叫之后或之前、LLD 未返回任何错误代码。 在256个呼叫之前、添加和删除成功路由到 SA 队列的 ESP 数据包。 但在256个添加和删除呼叫后、ESP 数据包(具有 SPI257等最新 SPI)不会定向到 SA 的队列。

    当我向 k2e 器件发送带有旧 SPI 的 ESP 数据包(我通过在任何错误代码中使用 PA_delHandle()删除该数据包)时、数据包会定向到 SA 的队列。 因此、这意味着我无法从 PA 的 lut1_1表中删除 entrys、但我可以将 entrys 添加到 PA 的 lut1_1表中、直到它完全填满为止。
  • 0
    TI__Guru**** 2616675 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好!

    感谢您的解释! 从"因此、这意味着我无法从 PA 的 lut1_1表中删除 entrys、但我可以将 entrys 添加到 PA 的 lut1_1表中、直到它完全填充。"=== >不执行全部256项添加,然后删除,

    • 如果您首先添加 IP 地址1和 SPI1
    • 然后、我添加另一个包含 IP 地址1和 SPI2的条目
    • 然后我删除具有 IP 地址1和 SPI1的条目。

    在此阶段,您能否将 IP 地址为1和 SPI 1的 ESP 数据包(我通过使用带有任何错误代码的 PA_delHandle()删除)发送到 k2e 设备, 这是否会传送到 SA 队列? 如果已发送、则表示之前的删除完全没有删除该条目。 如果未发送到 SA,则表示旧条目已删除。

    此致、Eric