如何打开 IPSec (VPN) 问题的案例

了解如何收集技术援助中心 (TAC) 为开始处理 IPSec (VPN) 问题所需的初步信息。有多个守护进程负责在管理平面上以及在数据平面上协商和安装 IPSec 隧道。

管理平面

• ikemgr: 负责1阶段和2阶段的谈判
• keymgr: 负责在 ikemgr 谈判后更新所有已配置的隧道的 SPI 表.

Dataplane

• mprelay: 负责将从 keymgr 获得的正确 SPIs 与相应的隧道相关联.

ipsec 隧道状态窗口, 可从WebGUI > 网络 > ipsec 隧道中访问.

在该窗口中, 您将看到在该防火墙上配置的所有 IPSec VPN 隧道的状态。

IPSec 隧道状态窗口, 显示此设备上每个隧道的 P1 和 P2 状态。

显示 IPSec 隧道状态的同一窗口的第二部分的详细信息。

下面是每个方案中需要的 IPSec 问题和信息的示例:

1阶段向下

请在问题发生时执行以下步骤, 如果可能, 则在 PA 防火墙为响应方 (IKE 会话正在从对等设备启动时)。请注意, 在 ikemgr 和 mprelay 上启用调试可能会增加 CPU 利用率。

1. 你能 ping 远程对等 IP 吗？
2. 是否有任何拒绝阻止 ike 的规则？
3. >> 测试路由的谎言-查找虚拟路由器<vr-name>ip < remote="" peer="" ip=""> </vr-name>
4. 把 IKE pcap 在管理平面上。此捕获将在对等方之间传输控制平面数据包以建立隧道。
   >> 调试 ike pcap 删除
   >> 调试 ike pcap on

5.  在 ikemgr 上启用调试

   > 调试 ike 全球上调试
6. 在
   调试时启用 mprelay >> 调试 mprelay上的调试
7. 在数据平面上为 IKE 通信获取一个数据包捕获。设置数据包筛选器, 以捕获在端口500开始时发送到对等设备 IP 地址的通信
   : 数据包捕获
8. 从对等设备启动隧道。
9. > 显示时钟
10. >> 显示计数器全局筛选器增量是数据包筛选器是 (多次运行此命令)
11. >> 显示会话所有筛选源<value>目标<value>应用程序 ike
    或
    >> 显示会话所有筛选源<value>目标<value>目标-端口 500
    > 显示会话 id <value></value> </value> </value> </value> </value>
12. >> 显示 vpn ike-sa 详细信息网关<name>(如果您运行的是泛 OS 7.x 和以上)
    > 显示 vpn ike-sa <name></name>网关</name>
13. 关闭管理平面上的调试和 pcaps
    >> 调试 dataplane 数据包诊断集捕获关闭
    >> 调试 ike pcap 关闭
    >> 调试 ike 全局在正常
    >> 调试 mprelay 信息
14. 导出 ike pcap 并将其附加到案例
    >> scp 导出调试-pcap 从 ikemgr. pcap 到
15. 将数据包捕获从管理平面附加到机箱。
16. 生成技术支持文件并将其附加到案例
    如何使用 WebGUI 和 CLI 生成和上载技术支持文件
17. 请指定问题的确切时间。
18. 提供对等设备 IPSec 配置, 以便我们可以比较它 (如果对等设备是 PA, 请重复上述步骤)。

2阶段向下

在发生问题时, 请执行以下步骤, 如果可能, 则在 PA 防火墙为响应方时。请注意, 在 ikemgr 和 mprelay 上启用调试可能会增加 CPU 利用率。

1. 是否有任何拒绝阻止 ipsec esp 或 ipsec esp udp 的所有规则？
2. 把 IKE pcap 在管理平面上。此捕获将在对等方之间传输控制平面数据包以建立隧道。
   >> 调试 ike pcap 删除
   >> 调试 ike pcap on
3. 在调试时启用 ikemgr
   >> 调试 ike 全局调试
4. 在调试时启用 mprelay
   >> 调试 mprelay上的调试
5. 从对等设备启动通信。
6. > 显示时钟 
7. >> 显示会话所有筛选源<value>目标<value>应用程序 ipsec-esp
   > 显示会话所有筛选源<value>目标<value>应用程序 ipsec-esp-udp-显示会话 id <value></value> </value> </value> </value> </value>
8. >> 显示 vpn ipsec-sa 隧道<tunnel-name>
   > 显示 vpn 流隧道-id <tunnel-id from="" previous="" command=""></tunnel-id> </tunnel-name>
9. 在管理平面上关闭调试和 pcaps。
   >> 调试 ike pcap 关闭
   >> 调试 ike 全局在正常
   >> 调试 mprelay 信息
10. 导出 ike pcap 并将其附加到案例
    >> scp 导出调试-pcap 从 ikemgr. pcap 到
11. 将数据包捕获从管理平面附加到机箱。
12. 生成技术支持文件并将其附加到案例
    如何使用 WebGUI 和 CLI 生成和上载技术支持文件
13. 请指定问题的确切时间。
14. 提供对等设备 IPSec 配置, 以便我们可以比较它 (如果对等设备是 PA, 请重复上述步骤)。

我们为什么需要这个信息？

为了达到1阶段和2阶段, 应该建立 IKE 和 ESP 会话。以上信息将让我们验证 IKE 和 ESP 数据包是否正在接收和传输。在 PA 防火墙是响应方时, 执行上述步骤非常重要, 因为这将为我们提供用于故障排除的有用信息。

• 隧道已上, 但交通没有通过
  1. 对有趣的流量进行分组捕获。
     入门教程： 网络数据包捕获
  2. 启动通信量。
  3. > 显示时钟
  4. >> 显示计数器全局筛选器增量是数据包筛选器是 (多次运行此命令)
  5. >> 显示会话所有筛选源<value>目标<value>
     > 显示会话 id <value></value> </value> </value>
  6. >> 显示 vpn ipsec-sa 隧道<tunnel-name>
     > 显示 vpn 流隧道-id <tunnel-id from="" previous="" command="">(多次运行此命令)</tunnel-id> </tunnel-name>
     

     admin@PA-5060> 显示 vpn ipsec-sa 隧道 sap-sap 
     
     GwID/客户端 IP 发散对等地址隧道 (网关) 算法 spi (in) spi (出) 寿命 (秒/KB)
     --------------- ---- ------------           ---------------                                ---------     -------  -------- ------------
                  90 207 10.1.1.1 sap sap (sap) ESP/3DES/SHA1 8AE5524F B198C409 25978/0
     
     显示 IPSec SA: 共找到1条隧道。找到1个 ipsec sa。
     
     admin@PA-5060> 显示 vpn 流隧道-id 207
     
     隧道 sap-sap
             编号: 207
             类型: IPSec
             网关号:90
             本地 ip: 10.1.1。2
             对等 ip: 10.1.1。1
             内部接口: 隧道10 
             外部接口: ethernet1/21
             状态: 活动
             会议: 145372
             隧道 mtu: 9128
             生存期: 25935 秒
             最新 rekey: 2865 秒前
             显示器: 关闭
             监视器数据包已看到: 0
             监视器数据包答复: 0
             en/建议醒酒需上下文:23       
             本地 spi: 8AE5524F
             远程 spi: B198C409
             密钥类型: 自动键
             协议: ESP
             验证算法: SHA1
             enc 算法: 3DES
             代理 id 本地 ip: 0.0. 0.0/0
             代理 id 远程 ip: 0.0. 0.0/0
             代理 id 协议: 0  
             代理 id 本地端口: 0   
             代理 id 远程端口: 0
             反重播检查: 否
             复制 tos: 否
             身份验证错误: 0
             解密错误: 0
             内部数据包警告: 0
             重播数据包: 0
             收到的数据包 
               当终身 expired:0
               当 lifesize expired:0
             发送顺序: 0
             接收顺序: 0
             encap 数据包: 387833
             建议醒酒需数据包: 1483008
             encap 字节: 71262032
             建议醒酒需字节: 2107755408
             密钥获取请求:12
             所有者状态: 0
             业主 cpuid: s1dp0
             所有权: 1
      
     

  7. 确认有一条传送到隧道的交通路线。
     >> 测试路由的谎言-查找虚拟路由器<vr-name>ip < destination="" ip="" behind="" remote="" peer=""> </vr-name>
  8. 生成技术支持文件并将其附加到案例
     https://live.paloaltonetworks.com/t5/Featured-Articles/How-to-Generate-and-Upload-a-Tech-Support-File-Using-the-WebGUI/ta-p/60757
  9. 指定问题的确切时间。

   

  • 我们为什么需要这个信息？

   

  如果通信量未通过 IPSec 隧道, 则需要查明问题是在传输 (加密) 通信量还是接收 (解密) 通信量。上面的命令将提供 encap 和建议醒酒需数据包计数器, 这将帮助我们缩小问题的范围。

   

  • 性能问题:

  请在问题发生时执行以下步骤。

  1. 对有趣的流量进行分组捕获。
     入门教程： 网络数据包捕获
  2. > 调试 dataplane 池统计信息
  3. >> 显示计数器全局筛选器增量是数据包筛选器是 (运行多次)
  4. >> 显示运行资源-监视器第二个最后 5 (运行多次)
  5. >> 调试 dataplane 战俘性能 (运行多次)
  6. >> 显示 vpn ipsec-sa 隧道<name>
     > 显示 vpn 流隧道-id (运行多次) </name>
  7. 生成技术支持文件并将其附加到案例
     如何使用 WebGUI 和 CLI 生成和上载技术支持文件
  8. 指定问题的确切时间。

   

  • 我们为什么需要这个信息？

  以上步骤将帮助我们了解问题发生时 PA 的负载情况, 以及 IPSec 隧道上是否存在任何错误。

  • 有用的知识库文章
    1. CLI 命令以状态、清除、还原和监视 IPSEC VPN Tunnel
    2. IPSec VPN 错误: IKE Phase-2 协商失败, 因为启动器, 快速模式
    3. 如何解决 IPSec VPN 连接问题
    4. 但没有 Decaps 递增的 VPN 隧道交通封装

   

--Alaauddin Shieha (ashieha)