Detección de pares muertos y monitoreo de túneles
Symptom
Visión general
Dead Peer Detection ( DPD ) hace referencia a la funcionalidad documentada en RFC 3706, que es un método para detectar pares de Intercambio de claves de Internet IKE (/Phase1) muertos. La supervisión del túnel es una característica propietaria de palo alto networks que verifica el tráfico está pasando con éxito a través del túnel IPSec en cuestión enviando un PING abajo del túnel al destino configurado. La supervisión del túnel se puede utilizar conjuntamente con los "perfiles del monitor" para derribar la interfaz del túnel que permite el encaminamiento a la actualización para permitir el tráfico a la ruta a través de rutas secundarias. La supervisión del túnel no requiere DPD . La detección del punto muerto debe estar activa o inhabilitada en ambos lados del túnel, tener un lado con DPD habilitado y un lado con él inhabilitado puede causar problemas de VPN confiabilidad.
Resolution
Detalles
Detección de pares muertos
DPD es una función de supervisión utilizada para determinar la vivavidad de la Seguridad- SA (Asociación de Seguridad y IKE , Fase 1)
DPD se utiliza para detectar si el dispositivo del mismo nivel todavía tiene un IKE-SAarchivo . Periódicamente, enviará un paquete "" al par, que responderá con un acuse de recibo "ISAKMP R-U-THEREISAKMP R-U-THERE-ACK".
Las redes de Palo Alto no tienen actualmente un registro asociado con DPD los paquetes, pero se pueden detectar en una captura de paquetes de depuración. A continuación se muestra un PCAP dispositivo de un mismo nivel:
Mar 4 14:32:36 ike_st_i_n: Inicio, doi = 1, protocolo = 1, código = desconocido (36137), spi[0..16] = cd11b885 588eeb56 ..., datos[0..4] = 003d65fc 0000000000 ...
Mar 4 14:32:36 DPD ; Actualización de EoL (P2 Notificar
mar 4 14:32:36 Recibido IKE DPD R_U_THERE_ACK de IKE pares: 169.132.58.9
Mar 4 14:32:36 DPD : Peer 169.132.58.9 es UP status_val: 0.
El DPD intervalo de consulta y retardo se puede configurar cuando está habilitado en el dispositivo Palo Alto DPD Networks. DPD derribará la SA vez que se dé cuenta de que el par ya no está respondiendo.
Nota: El DPD "no es persistente" y solo se desencadena mediante una reintroducción de fase 2. Esto significa que si la Fase 2 está activa, Palo Alto Networks no comprobará si IKE-SA está activa. Para conseguir que la fase 2 active una reintroducción y active la DPD fase IKE-SA 1, habilite la supervisión del túnel.
Monitoreo de túneles
La supervisión del túnel se utiliza para verificar la Conectividad a través de un túnel IPSec. Si se crea un perfil de monitor de túnel, se especificará una de las dos opciones de acción si el túnel no está disponible: Espere recuperar o reprobar.
- Wait Recover le dice a la firewall espera de que el túnel se recupere y no tome medidas adicionales
- Fail over forzará el tráfico a un path de respaldo si uno está disponible
En ambos casos, el firewall intentará negociar nuevas claves IPSec para acelerar la recuperación.
A se puede establecer la opción de umbral para especificar el número de latidos cardíacos que se deben esperar antes de realizar la acción especificada. El rango es entre 2 y 100 y el valor por defecto es 5. También se puede configurar el intervalo entre los latidos cardíacos. El rango es entre 2 y 10 y el valor por defecto es 3.
Una vez creado el perfil de monitoreo del túnel, como se muestra a continuación, selecciónelo y ingrese la IP dirección del extremo remoto que se va a monitorear.
Propietario: panagent
Additional Information
Comprobación de la habitadencia del túnel Ikev2