死对等检测和隧道监控
Symptom
概述
死对等检测(DPD ) 指的是记录在RFC3706 ,这是一种检测无效互联网密钥交换的方法(IKE /Phase1) 同行。 隧道监控是帕洛阿尔托网络的一项专有功能,可通过发送PING沿着隧道到达配置的目的地。 隧道监控可以与“监控配置文件”结合使用,以关闭隧道接口,允许路由更新以允许流量跨辅助路由路由。 隧道监控不需要DPD. Dead Peer Detection 必须在隧道的两侧处于活动状态或禁用状态,其中一侧具有DPD启用和禁用它的一侧可能会导致VPN可靠性问题。
Resolution
细节
死亡同伴检测
DPD 是一种监控功能,用于确定安全性的活跃度-SA (安全协会和IKE, 阶段1)
DPD 用于检测对端设备是否还有有效的IKE-SA. 它会定期发送一个“ISAKMP R-U-THERE ” 数据包发送给对等方,后者将以“ISAKMP R-U-THERE-ACK ” 承认。
帕洛阿尔托网络目前没有与关联的日志DPD数据包,但可以在调试数据包捕获中检测到。 下面是一个PCAP来自对等设备:
3 月 4 日 14:32:36 ike_st_i_n:开始,doi = 1,协议 = 1,代码 = 未知 (36137),spi[0..16] = cd11b885 588eeb56 ...,数据 [0..4] = 003d65fc 00000000 ...
3 月 4 日 14:32:36DPD ;更新 EoL(P2 通知
3 月 4 日 14:32:36 收到IKE DPDR_U_THERE_ACK 来自IKE同行:169.132.58.9
3 月 4 日 14:32:36DPD : 对端 169.132.58.9 是UP状态值:0。
这DPD查询和延迟间隔可以配置时DPD在帕洛阿尔托网络设备上启用。 DPD 将拆除SA一旦它意识到对等方不再响应。
笔记:这DPD是“不持久的”并且仅由第 2 阶段密钥更新触发。 这意味着如果第 2 阶段启动,Palo Alto Networks 将不会检查是否IKE-SA活跃。 让第 2 阶段触发密钥更新,并触发DPD验证第一阶段IKE-SA, 启用隧道监控。
隧道监控
隧道监控用于验证跨 IPSec 隧道的连接性。 如果创建隧道监视器配置文件,它将在隧道不可用时指定两个操作选项之一:等待恢复或故障转移。
- 等待恢复告诉firewall等待隧道恢复而不采取额外行动
- 故障转移将强制流量到备用路径(如果可用)
在这两种情况下,firewall将尝试协商新的 IPSec 密钥以加速恢复。
A 可以设置阈值选项以指定在执行指定操作之前要等待的心跳数。 范围在 2 到 100 之间,默认值为 5。 心跳之间的间隔也可以配置。 范围在 2 到 10 之间,默认值为 3。
创建隧道监控配置文件后,如下所示,选择它并输入IP要监视的远程端的地址。
所有者: panagent
Additional Information
Ikev2 隧道的活性检查