如何打开 IPSec (VPN) 问题的案例
Resolution
了解如何收集技术援助中心 (TAC) 为开始处理 IPSec (VPN) 问题所需的初步信息。有多个守护进程负责在管理平面上以及在数据平面上协商和安装 IPSec 隧道。
管理平面
- ikemgr: 负责1阶段和2阶段的谈判
- keymgr: 负责在 ikemgr 谈判后更新所有已配置的隧道的 SPI 表.
Dataplane
- mprelay: 负责将从 keymgr 获得的正确 SPIs 与相应的隧道相关联.
ipsec 隧道状态窗口, 可从WebGUI > 网络 > ipsec 隧道中访问.
在该窗口中, 您将看到在该防火墙上配置的所有 IPSec VPN 隧道的状态。
IPSec 隧道状态窗口, 显示此设备上每个隧道的 P1 和 P2 状态。
显示 IPSec 隧道状态的同一窗口的第二部分的详细信息。
下面是每个方案中需要的 IPSec 问题和信息的示例:
1阶段向下
请在问题发生时执行以下步骤, 如果可能, 则在 PA 防火墙为响应方 (IKE 会话正在从对等设备启动时)。请注意, 在 ikemgr 和 mprelay 上启用调试可能会增加 CPU 利用率。
- 你能 ping 远程对等 IP 吗?
- 是否有任何拒绝阻止 ike 的规则?
- >> 测试路由的谎言-查找虚拟路由器<vr-name>ip < remote="" peer="" ip=""> </vr-name>
- 把 IKE pcap 在管理平面上。此捕获将在对等方之间传输控制平面数据包以建立隧道。
>> 调试 ike pcap 删除
>> 调试 ike pcap on 在 ikemgr 上启用调试
> 调试 ike 全球上调试- 在
调试时启用 mprelay >> 调试 mprelay上的调试 - 在数据平面上为 IKE 通信获取一个数据包捕获。设置数据包筛选器, 以捕获在端口500开始时发送到对等设备 IP 地址的通信
: 数据包捕获 - 从对等设备启动隧道。
- > 显示时钟
- >> 显示计数器全局筛选器增量是数据包筛选器是 (多次运行此命令)
- >> 显示会话所有筛选源<value>目标<value>应用程序 ike
或
>> 显示会话所有筛选源<value>目标<value>目标-端口 500
> 显示会话 id <value></value> </value> </value> </value> </value> - >> 显示 vpn ike-sa 详细信息网关<name>(如果您运行的是泛 OS 7.x 和以上)
> 显示 vpn ike-sa <name></name>网关</name> - 关闭管理平面上的调试和 pcaps
>> 调试 dataplane 数据包诊断集捕获关闭
>> 调试 ike pcap 关闭
>> 调试 ike 全局在正常
>> 调试 mprelay 信息 - 导出 ike pcap 并将其附加到案例
>> scp 导出调试-pcap 从 ikemgr. pcap 到 - 将数据包捕获从管理平面附加到机箱。
- 生成技术支持文件并将其附加到案例
如何使用 WebGUI 和 CLI 生成和上载技术支持文件 - 请指定问题的确切时间。
- 提供对等设备 IPSec 配置, 以便我们可以比较它 (如果对等设备是 PA, 请重复上述步骤)。
2阶段向下
在发生问题时, 请执行以下步骤, 如果可能, 则在 PA 防火墙为响应方时。请注意, 在 ikemgr 和 mprelay 上启用调试可能会增加 CPU 利用率。
- 是否有任何拒绝阻止 ipsec esp 或 ipsec esp udp 的所有规则?
- 把 IKE pcap 在管理平面上。此捕获将在对等方之间传输控制平面数据包以建立隧道。
>> 调试 ike pcap 删除
>> 调试 ike pcap on - 在调试时启用 ikemgr
>> 调试 ike 全局调试 - 在调试时启用 mprelay
>> 调试 mprelay上的调试 - 从对等设备启动通信。
- > 显示时钟
- >> 显示会话所有筛选源<value>目标<value>应用程序 ipsec-esp
> 显示会话所有筛选源<value>目标<value>应用程序 ipsec-esp-udp-显示会话 id <value></value> </value> </value> </value> </value> - >> 显示 vpn ipsec-sa 隧道<tunnel-name>
> 显示 vpn 流隧道-id <tunnel-id from="" previous="" command=""></tunnel-id> </tunnel-name> - 在管理平面上关闭调试和 pcaps。
>> 调试 ike pcap 关闭
>> 调试 ike 全局在正常
>> 调试 mprelay 信息 - 导出 ike pcap 并将其附加到案例
>> scp 导出调试-pcap 从 ikemgr. pcap 到 - 将数据包捕获从管理平面附加到机箱。
- 生成技术支持文件并将其附加到案例
如何使用 WebGUI 和 CLI 生成和上载技术支持文件 - 请指定问题的确切时间。
- 提供对等设备 IPSec 配置, 以便我们可以比较它 (如果对等设备是 PA, 请重复上述步骤)。
我们为什么需要这个信息?
为了达到1阶段和2阶段, 应该建立 IKE 和 ESP 会话。以上信息将让我们验证 IKE 和 ESP 数据包是否正在接收和传输。在 PA 防火墙是响应方时, 执行上述步骤非常重要, 因为这将为我们提供用于故障排除的有用信息。
- 隧道已上, 但交通没有通过
- 对有趣的流量进行分组捕获。
入门教程: 网络数据包捕获 - 启动通信量。
- > 显示时钟
- >> 显示计数器全局筛选器增量是数据包筛选器是 (多次运行此命令)
- >> 显示会话所有筛选源<value>目标<value>
> 显示会话 id <value></value> </value> </value> - >> 显示 vpn ipsec-sa 隧道<tunnel-name>
> 显示 vpn 流隧道-id <tunnel-id from="" previous="" command="">(多次运行此命令)</tunnel-id> </tunnel-name>admin@PA-5060> 显示 vpn ipsec-sa 隧道 sap-sap GwID/客户端 IP 发散对等地址隧道 (网关) 算法 spi (in) spi (出) 寿命 (秒/KB) --------------- ---- ------------ --------------- --------- ------- -------- ------------ 90 207 10.1.1.1 sap sap (sap) ESP/3DES/SHA1 8AE5524F B198C409 25978/0 显示 IPSec SA: 共找到1条隧道。找到1个 ipsec sa。 admin@PA-5060> 显示 vpn 流隧道-id 207 隧道 sap-sap 编号: 207 类型: IPSec 网关号:90 本地 ip: 10.1.1。2 对等 ip: 10.1.1。1 内部接口: 隧道10 外部接口: ethernet1/21 状态: 活动 会议: 145372 隧道 mtu: 9128 生存期: 25935 秒 最新 rekey: 2865 秒前 显示器: 关闭 监视器数据包已看到: 0 监视器数据包答复: 0 en/建议醒酒需上下文:23 本地 spi: 8AE5524F 远程 spi: B198C409 密钥类型: 自动键 协议: ESP 验证算法: SHA1 enc 算法: 3DES 代理 id 本地 ip: 0.0. 0.0/0 代理 id 远程 ip: 0.0. 0.0/0 代理 id 协议: 0 代理 id 本地端口: 0 代理 id 远程端口: 0 反重播检查: 否 复制 tos: 否 身份验证错误: 0 解密错误: 0 内部数据包警告: 0 重播数据包: 0 收到的数据包 当终身 expired:0 当 lifesize expired:0 发送顺序: 0 接收顺序: 0 encap 数据包: 387833 建议醒酒需数据包: 1483008 encap 字节: 71262032 建议醒酒需字节: 2107755408 密钥获取请求:12 所有者状态: 0 业主 cpuid: s1dp0 所有权: 1
- 确认有一条传送到隧道的交通路线。
>> 测试路由的谎言-查找虚拟路由器<vr-name>ip < destination="" ip="" behind="" remote="" peer=""> </vr-name> - 生成技术支持文件并将其附加到案例
https://live.paloaltonetworks.com/t5/Featured-Articles/How-to-Generate-and-Upload-a-Tech-Support-File-Using-the-WebGUI/ta-p/60757 - 指定问题的确切时间。
- 我们为什么需要这个信息?
如果通信量未通过 IPSec 隧道, 则需要查明问题是在传输 (加密) 通信量还是接收 (解密) 通信量。上面的命令将提供 encap 和建议醒酒需数据包计数器, 这将帮助我们缩小问题的范围。
- 性能问题:
请在问题发生时执行以下步骤。
- 对有趣的流量进行分组捕获。
入门教程: 网络数据包捕获 - > 调试 dataplane 池统计信息
- >> 显示计数器全局筛选器增量是数据包筛选器是 (运行多次)
- >> 显示运行资源-监视器第二个最后 5 (运行多次)
- >> 调试 dataplane 战俘性能 (运行多次)
- >> 显示 vpn ipsec-sa 隧道<name>
> 显示 vpn 流隧道-id (运行多次) </name> - 生成技术支持文件并将其附加到案例
如何使用 WebGUI 和 CLI 生成和上载技术支持文件 - 指定问题的确切时间。
- 我们为什么需要这个信息?
以上步骤将帮助我们了解问题发生时 PA 的负载情况, 以及 IPSec 隧道上是否存在任何错误。
- 有用的知识库文章
- 对有趣的流量进行分组捕获。
--Alaauddin Shieha (ashieha)