Détection morte des pairs et surveillance des tunnels
Symptom
Aperçu
Dead Peer Detection ( DPD ) se réfère à la fonctionnalité documentée dans RFC 3706, qui est une méthode de détection des morts Internet Key Exchange ( IKE /Phase1) pairs. Tunnel Monitoring est une fonctionnalité propriétaire de Palo Alto Networks qui vérifie que le trafic passe avec succès à travers le tunnel IPSec en question en envoyant un PING tunnel vers la destination configurée. La surveillance de tunnels peut être utilisée conjointement avec les «profils de moniteur» pour faire descendre l'interface de tunnel permettant le routage à la mise à jour pour permettre au trafic de route sur les itinéraires secondaires. La surveillance des tunnels ne nécessite pas DPD . La détection par les pairs morts doit être active ou désactivée des deux côtés du tunnel, le fait d’avoir un côté DPD avec activé et un côté avec elle désactivé peut causer des problèmes de VPN fiabilité.
Resolution
Détails
Détection des pairs morts
DPD est une fonction de surveillance utilisée pour déterminer la vivacité de la Security- SA (Security Association et IKE , Phase 1)
DPD est utilisé pour détecter si le périphérique homologue a toujours un IKE-SAfichier . Périodiquement, il enverra un paquet « » à l’homologue, qui répondra avec un accusé de réception « ISAKMP R-U-THEREISAKMP R-U-THERE-ACK ».
Les réseaux Palo Alto n’ont pas actuellement de journal associé aux DPD paquets, mais peuvent être détectés dans une capture de paquets de débogage. Ce qui suit est un à PCAP partir d’un appareil par les pairs:
Mar 4 14:32:36 ike_st_i_n: Démarrer, doi = 1, protocole = 1, code = inconnu (36137), spi[0.16] = cd11b885 588eeb56 ..., données[0.4] = 003d65fc 00000000 ...
Mar 4 14:32:36 DPD ; mise à jour EoL (P2 Notify
Mar 4 14:32:36 IKE DPD Reçu R_U_THERE_ACK par les IKE pairs: 169.132.58.9
Mars 4 14:32:36 DPD : Peer 169.132.58.9 UP est status_val: 0.
DPDL’intervalle de requête et de délai peut être configuré lorsqu’il DPD est activé sur l’appareil Palo Alto Networks. DPD démolira la fois SA qu’il se rend compte que le pair ne répond plus.
Note: Le DPD n’est « pas persistant » et n’est déclenché que par une phase 2 rekey. Cela signifie que si la phase 2 est en place, Palo Alto Networks ne vérifiera pas si IKE-SA est actif. Pour obtenir la phase 2 pour déclencher un rekey, et déclencher le DPD pour valider la phase 1 , permettre la surveillance du IKE-SA tunnel.
Surveillance du tunnel
La surveillance des tunnels est utilisée pour vérifier la connectivité à travers un tunnel IPSec. Si un profil de moniteur de tunnel est créé, il spécifie l'une des deux options d'action si le tunnel n'est pas disponible: attendre la récupération ou basculer.
- Wait Recover dit à firewall l’attendre que le tunnel se rétablisse et ne pas prendre de mesures supplémentaires
- Le basculement forcera le trafic vers un chemin de sauvegarde si celui-ci est disponible
Dans les deux cas, le firewall va essayer de négocier de nouvelles clés IPSec pour accélérer la récupération.
A l’option de seuil peut être définie pour spécifier le nombre de battements de cœur à attendre avant de prendre l’action spécifiée. La plage est comprise entre 2 et 100 et la valeur par défaut est 5. L'intervalle entre les pulsations peut également être configuré. La plage est comprise entre 2 et 10 et la valeur par défaut est 3.
Une fois que le profil de surveillance du tunnel est créé, comme indiqué ci-dessous, sélectionnez-le et IP entrez l’adresse de l’extrémité éloignée à surveiller.
propriétaire : panagent
Additional Information
Vérification de la vivacité pour le tunnel Ikev2