Incidencia
La negociación de la fase 1 entre el par IPSec y el PAN se identifica como "ataque terrestre". Recepción de la siguiente entrada de error en ikemgr. log:
Negociación de IKE fase 1 es no como iniciador, de modo principal. No se pudo SA: 216.204.241.93[500]-216.203.80.108[500] mensaje id: 0x43D098BB. Debido al tiempo de espera de la negociación.
Detalles
Si se ha comprobado que los ID de proxy no coinciden, intente lo siguiente:
- Configurar un filtro fuente IP peer WAN a destino palo alto redes WAN IP
> depurar paquete de plan de bits-Diag conjunto filtro coincidencia fuente x. x. x. x destino y. y. y. y
- Encienda el filtro.
> paquete de plan de bits de depuración- Diag establecer filtro en
- Inicie un ping en la ruta inversa. En una máquina remota detrás del par VPN, ping a través del túnel VPN a un host detrás del cortafuegos pan.
Desde un host en la red peer remoto intente hacer ping a un host en la red local detrás del cortafuegos de pan (w. w. w. w. w) c:\ > ping w. w. w. w.
esto debe hacer que se cree el túnel e iniciar una nueva negociación IPSec Phase1.
- Ejecute el siguiente comando un par de veces:
> Mostrar contador global filtro Delta sí paquete-filtro sí
Busque gotas en la salida. Por ejemplo:
Contadores globales:
Tiempo transcurrido desde el último muestreo: 1,481 segundos
nombre valor tasa severidad categoría aspecto Descripción
-----------------------------------------------------------------------------------------
recurso de session_allocated 1 0 info sesión sesiones asignadas
recurso de session_freed 1 0 info sesión sesiones liberado
configuración de sesión de sesión de flujo de flow_policy_nat_land 1 gota 0: resultado de asignación de IP NAT en el ataque de tierra de la fuente
recursos de nat 0 info nat_dynamic_port_xlat 1 traducir el número total de dynamic_ip_port NAT llamado
recursos de nat 0 info nat_dynamic_port_release 1 el número total de lanzamiento NAT dynamic_ip_port llamado
-----------------------------------------------------------------------------------------
Total de contadores muestras: 5
-----------------------------------------------------------------------------------------
Resolución
En este caso, elcontador global ' flow_policy_nat_land ' muestra un ' Drop ', indicando un problema de configuración que provoca que el tráfico se caiga, causando este error de "timeout".
En la orden para resolver el ataque de tierra, vea: fuente mal configurada NAT y ataques de tierra
Propietario: vvasilasco