デッド ピア検出とトンネル モニタリング
Symptom
概要
デッドピア検出 (DPD ) に記載されている機能を指します。RFC 3706 、これは無効な Internet Key Exchange を検出する方法です (IKE /Phase1) ピア。 トンネル監視は、トラフィックが問題の IPSec トンネルを正常に通過していることを確認するパロアルト ネットワーク独自の機能です。PING構成された宛先までトンネルを下ります。 トンネル監視を「プロファイルの監視」と組み合わせて使用すると、トンネル インターフェイスをダウンさせてルーティングを更新し、トラフィックがセカンダリ ルートを介してルーティングできるようにすることができます。 トンネル監視は必要ありませんDPD. Dead Peer Detection は、トンネルの両側でアクティブまたは無効にする必要があります。DPD有効にして一方を無効にした場合、VPN信頼性の問題。
Resolution
詳細
デッドピア検出
DPD セキュリティの活性を判断するために使用される監視機能です。SA (保安協会とIKE、フェーズ 1)
DPD ピア デバイスがまだ有効なIKE-SA. 定期的に「ISAKMP R-U-THERE 」パケットをピアに送信すると、ピアは「ISAKMP R-U-THERE-ACK 」の承認。
Palo Alto Networks には現在、関連するログがありませんDPDパケットですが、デバッグ パケット キャプチャで検出できます。 以下はPCAPピア デバイスから:
3 月 4 日 14:32:36 ike_st_i_n: 開始、doi = 1、プロトコル = 1、コード = 不明 (36137)、spi[0..16] = cd11b885 588eeb56 ...、data[0..4] = 003d65fc 00000000 ...
3 月 4 日 14:32:36DPD ; EoL の更新 (P2 通知
3 月 4 日 14:32:36 受信IKE DPDR_U_THERE_ACK からIKEピア: 169.132.58.9
3 月 4 日 14:32:36DPD : ピア 169.132.58.9 はUPステータス値: 0。
のDPDクエリと遅延間隔は、次の場合に構成できます。DPD Palo Alto Networks デバイスで有効になっています。 DPD を壊しますSAピアが応答しなくなったことを認識すると。
ノート:のDPD「永続的ではなく」、フェーズ 2 のキー再生成によってのみトリガーされます。 これは、フェーズ 2 が稼働している場合、Palo Alto Networks は次のことを確認しないことを意味します。IKE-SAアクティブです。 フェーズ 2 でキーの再生成をトリガーし、DPDフェーズ 1 を検証するIKE-SA、トンネル監視を有効にします。
トンネル監視
トンネル監視は、IPSec トンネルを介した接続を確認するために使用されます。 トンネル モニター プロファイルが作成されると、トンネルが利用できない場合の 2 つのアクション オプションのいずれかが指定されます。
- Wait Recover は、firewallトンネルが回復するのを待ち、追加のアクションを実行しない
- フェールオーバーは、バックアップ パスが利用可能な場合、トラフィックをバックアップ パスに強制します。
どちらの場合も、firewall回復を加速するために、新しい IPSec キーのネゴシエーションを試みます。
A しきい値オプションを設定して、指定されたアクションを実行する前に待機するハートビートの数を指定できます。 範囲は 2 ~ 100 で、デフォルトは 5 です。 ハートビート間の間隔も構成できます。 範囲は 2 ~ 10 で、デフォルトは 3 です。
以下に示すように、トンネル監視プロファイルが作成されたら、それを選択し、IP監視するリモート エンドのアドレス。
所有者: パンエージェント
Additional Information
Ikev2 トンネルの活性チェック