-1

请帮助我解决 Cisco881G 设备的问题。

我公司购买了 Cisco881G。从盒子里我们有 npe 固件:c880data-universalk9_npe-mz.152-3.T1.bin 知道这个固件不能加密。我尝试将固件更新为 c880data-universalk9-mz.152-3.T1.bin 您可以看到这是相同的固件,但没有 npe。更新后我重新启动设备并面临问题。设备无法正常启动并创建文件 crashinfo_20130902-140731-UTC。我尝试了其他固件,但结果是一样的。在文件 crashinfo 中我们可以看到:

*Jan  2 00:00:02.811: %LICENSE-6-EULA_ACCEPT_ALL: The Right to Use End User License Agreement is accepted
*Jan  2 00:00:02.847: %IOS_LICENSE_IMAGE_APPLICATION-6-LICENSE_LEVEL: Module name = c880-data Next reboot level = advsecurity and License = No valid license found
*Sep  2 14:07:30.055: %IFMGR-7-NO_IFINDEX_FILE: Unable to open nvram:/ifIndex-table No such file or directory
*Sep  2 14:07:30.163: %VPN_HW-6-INFO_LOC: Crypto engine: onboard 0  State changed to: Initialized 

*Sep  2 14:07:30.283: %VPN_HW-6-INFO_LOC: Crypto engine: onboard 0  State changed to: Enabled 
*Sep  2 14:07:30.311: SEC_POST: AES-192 decryption output mismatch!
*Sep  2 14:07:30.311: SEC_POST: POST Test for AES-192 Failed
*Sep  2 14:07:30.311: %VPN_HW-0-SELF_TEST_FAILURE: Hardware Crypto self-test failed (SEC2.0 POST(Power-On-Self-Test) Failed!)
*Sep  2 14:07:31.435: %SYS-3-LOGGER_FLUSHED: System was paused for 00:00:01 to ensure console debugging output.

请帮助我了解我遇到问题的原因以及此消息的含义。在此先感谢您的帮助。

4

1 回答 1

-1

这意味着板载加密引擎已损坏/出现故障/禁用,并且没有按应有的方式返回开机测试结果。可能是路由器是在不允许有效负载加密的区域建造出售的,并且在制造过程中被思科物理禁用,或者芯片刚刚坏了,经销商在没有加密的情况下加载它以使其在启动时通过 POST .

请参阅此处的思科文档:

http://www.cisco.com/en/US/prod/collat​​eral/iosswrel/ps8802/ps5460/product_bulletin_c25-566278_ps10537_Products_Bulletin.html

  1. 镜像名称中带有universalk9_npe”标识的通用镜像:Cisco Software Activation 提供的强加密能力满足出口加密能力的要求。但是,一些国家有进口要求,要求平台不支持任何强加密有效载荷加密等功能。为满足这些国家/地区的进口要求,“npe”通用映像不支持任何强大的有效载荷加密。此映像支持基于区域的防火墙、通过 SECNPE-K9 许可证进行入侵防御等安全功能。

IOS 15 使用 CSA 来禁止出口弹药级加密包,但主板上可能有一个跳线或开关来禁用板载加密协处理器。

与思科提供的固件相比,还要仔细检查它随附的固件的 SHA;该设备可能是伪造的。

于 2013-09-03T22:41:10.003 回答