Dead Peer Detection und TunnelÜberwachung
Symptom
Übersicht
Dead Peer Detection ( ) bezieht sich auf Funktionen, die DPD in RFC 3706dokumentiert sind, eine Methode zur Erkennung toter Internet Key Exchange ( IKE /Phase1)-Peers. Tunnelüberwachung ist eine proprietäre Funktion von Palo Alto Networks, die überprüft, ob der Datenverkehr erfolgreich über den betreffenden IPSec-Tunnel geleitet wird, indem ein PING Tunnel an das konfigurierte Ziel gesendet wird. Die Tunnelüberwachung kann in Verbindung mit "Monitor Profilen" genutzt werden, um die Tunnel Schnittstelle zu senken, so dass das Routing zu aktualisieren ist, um den Verkehr über sekundäre Routen zu ermöglichen. Die Tunnelüberwachung erfordert keine DPD . Die Dead Peer Detection muss auf beiden Seiten des Tunnels aktiv oder deaktiviert sein, da eine Seite aktiviert DPD und eine Seite deaktiviert VPN Zuverlässigkeitsprobleme verursachen kann.
Resolution
Details
Tote Peer-Detection
DPD ist eine Überwachungsfunktion zur Bestimmung der Lebendigkeit der Security- SA (Security Association und IKE , Phase 1)
DPD wird verwendet, um zu erkennen, ob das Peer-Gerät noch über eine gültige IKE-SA. In regelmäßigen Abständen wird ein "ISAKMP R-U-THERE"-Paket an den Peer gesendet, der mit einer ""ISAKMP R-U-THERE-ACK-Bestätigung antwortet.
Die Palo Alto-Netzwerke verfügen derzeit nicht über ein Protokoll, das Paketen zugeordnet DPD ist, kann aber in einer Debugpaketerfassung erkannt werden. Folgendes ist ein PCAP von einem Peer-Gerät:
4. März 14:32:36 ike_st_i_n: Start, doi = 1, Protokoll = 1, Code = unbekannt (36137), spi[0..16] = cd11b885 588eeb56 ..., data[0..4] = 003d65fc 00000000 ...
4. März 14:32:36 DPD ; Aktualisierung EoL (P2 Notify
Mar 4 14:32:36 Received IKE DPD R_U_THERE_ACK from IKE peer: 169.132.58.9
Mar 4 14:32:36 DPD : Peer 169.132.58.9 ist UP status_val: 0.
Das DPD Abfrage- und Verzögerungsintervall kann konfiguriert werden, wenn es DPD auf dem Palo Alto Networks-Gerät aktiviert ist. DPD wird die SA abreißen, sobald sie erkennt, dass der Peer nicht mehr reagiert.
Hinweis: Der DPD ist "nicht persistent" und wird nur durch einen Phase 2-Rekey ausgelöst. Das bedeutet, wenn Phase 2 ausläuft, überprüft Palo Alto Networks nicht, ob IKE-SA aktiv ist. Um Phase 2 zum Auslösen eines Rekeys und zum Auslösen der Überprüfung der Phase 1 zu DPD erhalten, aktivieren Sie die IKE-SA Tunnelüberwachung.
Tunnel Überwachung
Die Tunnelüberwachung wird verwendet, um die Konnektivität über einen IPSec-Tunnel zu überprüfen. Wenn ein Tunnel Monitor-Profil erstellt wird, wird es eine von zwei Aktions Optionen angeben, wenn der Tunnel nicht verfügbar ist: warten Sie wieder oder Scheitern Sie.
- Wait Recover weist die firewall an, auf die Wiederherstellung des Tunnels zu warten und keine zusätzlichen Maßnahmen zu ergreifen.
- Scheitern wird den Verkehr auf einen Back-up-Pfad zwingen, wenn einer verfügbar ist
In beiden Fällen versucht der, firewall neue IPSec-Schlüssel auszuhandeln, um die Wiederherstellung zu beschleunigen.
A Die Schwellenwertoption kann so eingestellt werden, dass die Anzahl der Takte angegeben wird, die gewartet werden sollen, bevor die angegebene Aktion ausgeführt wird. Die Reichweite liegt zwischen 2 und 100 und die Voreinstellung ist 5. Auch das Intervall zwischen den Herzschlägen kann konfiguriert werden. Die Reichweite liegt zwischen 2 und 10 und die Voreinstellung ist 3.
Nachdem das Tunnelüberwachungsprofil erstellt wurde, wie unten gezeigt, wählen Sie es aus und geben Sie die IP Adresse des zu überwachenden Entferntendes ein.
Besitzer: Panagent
Additional Information
Lebendigkeits-Check für Ikev2-Tunnel