问题
IPSec 对等方和 PAN 之间的1阶段谈判被确定为 "土地攻击"。在 Ikemgr.log 中接收以下错误条目:
IKE 阶段 1 协商失败为引发剂,主模式。失败 SA: 216.204.241.93[500]-216.203.80.108[500] 消息 id: 0x43D098BB。由于谈判超时。
详细
如果已检查代理 id 是否不匹配, 请尝试以下操作:
- 将筛选源对等 WAN ip 配置为目标帕洛阿尔托网络 wan ip
>> 调试 dataplane 数据包诊断集筛选器匹配源 x.x.x. x 目标 y.y.y. y
- 打开过滤器。
>> 调试 dataplane 包诊断集筛选器在
- 在反向路径中启动 ping。在 vpn 对等器后面的远程计算机上, 通过 vpn 隧道 ping 到泛型防火墙后面的主机。
从远程对等网络上的主机尝试在 PAN 防火墙后面的本地网络上 ping 主机 (w.w.w. w)
c: \n ping w.w.w. w
这将导致创建隧道, 并启动一个新的 Phase1 IPSec 协商.
- 运行以下命令几次:
>> 显示计数器全局筛选器三角洲是包过滤器是
查找输出中的水滴。例如:
全局计数器:
自上次采样以来经过的时间: 1.481 秒
名称值率严重性类别方面说明
-----------------------------------------------------------------------------------------
session_allocated 1 0 信息会话资源分配的会话
session_freed 1 0 信息会话资源释放的会话
flow_policy_nat_land 1 0 滴流会话会话设置: 源土地攻击 NAT IP 分配结果
调用 nat_dynamic_port_xlat 1 0 信息 nat 资源总数 dynamic_ip_port NAT 的翻译
调用 nat_dynamic_port_release 1 0 信息 nat 资源 dynamic_ip_port NAT 释放的总数
-----------------------------------------------------------------------------------------
总计数器显示: 5
-----------------------------------------------------------------------------------------
解决办法
在这种情况下, "flow_policy_nat_land" 全局计数器显示一个 "drop", 表示导致通信被丢弃的配置问题, 导致此 "超时" 错误.
为了解决土地攻击, 请参阅: 配置错误的源 NAT 和土地攻击
所有者: vvasilasco