デッド ピア検出とトンネル モニタリング

詳細

デッドピア検出

DPD セキュリティの活性を判断するために使用される監視機能です。SA (保安協会とIKE、フェーズ 1)

DPD ピア デバイスがまだ有効なIKE-SA. 定期的に「ISAKMP R-U-THERE 」パケットをピアに送信すると、ピアは「ISAKMP R-U-THERE-ACK 」の承認。

Palo Alto Networks には現在、関連するログがありませんDPDパケットですが、デバッグ パケット キャプチャで検出できます。 以下はPCAPピア デバイスから:

3 月 4 日 14:32:36 ike_st_i_n: 開始、doi = 1、プロトコル = 1、コード = 不明 (36137)、spi[0..16] = cd11b885 588eeb56 ...、data[0..4] = 003d65fc 00000000 ...
3 月 4 日 14:32:36DPD ; EoL の更新 (P2 通知
3 月 4 日 14:32:36 受信IKE DPDR_U_THERE_ACK からIKEピア: 169.132.58.9
3 月 4 日 14:32:36DPD : ピア 169.132.58.9 はUPステータス値: 0。

のDPDクエリと遅延間隔は、次の場合に構成できます。DPD Palo Alto Networks デバイスで有効になっています。 DPD を壊しますSAピアが応答しなくなったことを認識すると。

ノート：のDPD「永続的ではなく」、フェーズ 2 のキー再生成によってのみトリガーされます。 これは、フェーズ 2 が稼働している場合、Palo Alto Networks は次のことを確認しないことを意味します。IKE-SAアクティブです。 フェーズ 2 でキーの再生成をトリガーし、DPDフェーズ 1 を検証するIKE-SA、トンネル監視を有効にします。

トンネル監視

トンネル監視は、IPSec トンネルを介した接続を確認するために使用されます。 トンネル モニター プロファイルが作成されると、トンネルが利用できない場合の 2 つのアクション オプションのいずれかが指定されます。

• Wait Recover は、firewallトンネルが回復するのを待ち、追加のアクションを実行しない
• フェールオーバーは、バックアップ パスが利用可能な場合、トラフィックをバックアップ パスに強制します。

どちらの場合も、firewall回復を加速するために、新しい IPSec キーのネゴシエーションを試みます。

A しきい値オプションを設定して、指定されたアクションを実行する前に待機するハートビートの数を指定できます。 範囲は 2 ～ 100 で、デフォルトは 5 です。 ハートビート間の間隔も構成できます。 範囲は 2 ～ 10 で、デフォルトは 3 です。

以下に示すように、トンネル監視プロファイルが作成されたら、それを選択し、IP監視するリモート エンドのアドレス。

所有者: パンエージェント