システムログ上の1つのトンネルだけで、サイト間の IPSec の過剰なキー
Resolution
問題の状況
システムログ上の1つのトンネルには、サイト間 IPSec の過剰なキーがあり、他のトンネルはこの動作を複製していません。
原因
この問題には、次の3つの原因が考えられます。
- トンネル内に IP アドレスが構成されていない間は、トンネルの監視が有効になります。トンネル監視 ICMP パケットを監視するトンネルのソースとしてトンネル IP アドレスを使用します。
- トンネルの監視は、トンネルの ip アドレスと ip アドレスに対応するプロキシ ID がない場合に有効になります。アクセス制御リスト (ACL) ベースの IPSec VPN では、対応するトンネル ip アドレスと監視されている ip アドレスのプロキシ ID ペアが必要です。
注:パロアルトネットワークファイアウォール間のトンネルの IP アドレストンネルの監視にトンネルのためのプロキシ ID の必要はありません。 - これは問題ではないことが可能であり、そのパロアルトネットワークファイアウォールは、単に複数のトンネルのための通常の rekey を記録している。これは、rekey の間隔が非常に短く、複数のプロキシ ID ペアがある場合に当てはまります。
パロアルトネットワークファイアウォールで確認するには、次の CLI コマンドを使用します。
- ike デバッグレベルの確認
> ike グローバル表示のデバッグ - ike デバッグレベルをデバッグに変更する
> デバッグ時に ike グローバルをデバッグする - IKE メッセージを観察するには
> 尾ははい mp-log ikemgr に従ってください - トラブルシューティング後にデバッグレベルを通常に戻す
> 正常に ike グローバルをデバッグする
詳細
問題 1: IPSec トンネルで割り当てられた IP アドレスを構成するか、必要でない場合はトンネルの監視を無効にします。
問題 2: 対応するトンネル ip アドレスおよび監視されている ip アドレスのプロキシ ID を構成するか、必要でない場合はトンネル監視を無効にします。
問題 3: ike Phase1 と ike Phase2 の rekey 間隔を確認します。
次の CLI コマンドを使用して、VPN ゲートウェイを表示します。
> vpn ゲートウェイの表示
GwID 名ピアアドレス/id ローカルアドレス/id プロトコル提案
-------- ---- --------------- ---------------- -------- ---------
10 GW は-1 1.1.1.1 (ipaddr: 1.1.1.1) 2.2.2.2 (ipaddr: 2.2.2.2) メイン [PSK] [DH2] [AES256] [SHA1] 300 秒 <== rekey too short rekey="" too=""></== rekey too short>
> vpn トンネルの表示
TnID 名 (ゲートウェイ) ローカルプロキシ ip Ptl: ポートリモートプロキシ ip Ptl: ポート提案
---- ------------- -------------- -------- --------------- -------- ---------
100 TUN-1: ProxyPair1 (GW-1) 192.168.1.0/24 0:0 192.168.31.0/24 0:0 ESP tunl [DH2] [AES256] [SHA1] 300 秒 <== rekey too short rekey="" too=""></== rekey too short>
100 TUN-1: ProxyPair2 (GW-1) 192.168.2.0/24 0:0 192.168.32.0/24 0:0 ESP tunl [DH2] [AES256] [SHA1] 300 秒 <== rekey too short rekey="" too=""></== rekey too short>
100 TUN-1: ProxyPair3 (GW-1) 192.168.3.0/24 0:0 192.168.33.0/24 0:0 ESP tunl [DH2] [AES256] [SHA1] 300 秒 <== rekey too short rekey="" too=""></== rekey too short>
<output cut=""></output>
100 TUN-1: ProxyPair24 (GW-1) 192.168.24.0/24 0:0 192.168.54.0/24 0:0 ESP tunl [DH2] [AES256] [SHA1] 300 秒 <== rekey too short rekey="" too=""></== rekey too short>
100 TUN-1: ProxyPair25 (GW-1) 192.168.25.0/24 0:0 192.168.55.0/24 0:0 ESP tunl [DH2] [AES256] [SHA1] 300 秒 <== rekey too short rekey="" too=""></== rekey too short>
次のログを観察すると、SPI キーが 3mins + ごとに rekeyed されていることがわかります。TUN-1 トンネルには複数のプロキシ ID ペアが存在するため、設定の有効期間5mins によってためが頻繁に発生します。ログは連続したためのように見え、実際には5mins 間隔内の異なるトンネルキーからです。すべての複数のプロキシ ID は、5mins を rekey し、ログの観点からあまりにも多くのように見えます。
確認するには、頻繁に rekey を展示しているトンネルから SPI を選んで、同輩-VPN-IP アドレスによってマッチを使用してください。
> ログシステムの方向を表示する逆に等しい |マッチ1.1.1.1
2014/02/24 13:43:04 情報 vpn TUN の-1 neg 0 ike フェーズ2ネゴシエーションは、イニシエータ、クイックモードとして開始されます。開始された SA: 2.2.2.2 [500]-1.1.1.1 [500] メッセージ id: 0x6F845F96。
2014/02/24 13:43:04 情報 vpn TUN の-1 neg 0 ike フェーズ2ネゴシエーションは、イニシエータ、クイックモードとして成功します。確立された SA: 2.2.2.2 [500]-1.1.1.1 [500] メッセージ id: 0x6F845F96、SPI: 0xDBE7425F/0xC3D97F6B。
2014/02/24 13:43:04 情報 vpn TUN の-1 の ipsec-k 0 ipsec キーがインストールされています。インストールされている SA: 2.2.2.2 [500]-1.1.1.1 [500] SPI: 0xDBE7425F/0xC3D97F6B 寿命300秒等身大128000キロバイト.
次のコマンドを使用して、SPI に関連するログのみを選択します。
> grep パターン 0xDBE7425F mp-ログ ikemgr
確立された SA: 2.2.2.2 [500]-1.1.1.1 [500] メッセージ id: 0xB6DF139C、SPI: 0xDBE7425F/0xC3D97F6B
2014-02-24 13:43:04 [INFO]: ike_pfkey c:339: sadb_log_add (): SADB_UPDATE ul_proto = 255 src = 1.1.1.1 [500] dst = 2.2.2.2 [500] satype = ESP サモード = tunl spi = 0xDBE7425F authtype = SHA1 enctype = AES256 寿命ソフト時間 = 300 バイト = 0 ハードタイム = 300 バイト = 0
インストールされている SA: 2.2.2.2 [500]-1.1.1.1 [500] SPI は: 0xDBE7425F/0xC3D97F6B 寿命300秒等身大無制限
削除された SA: 2.2.2.2 [500]-1.1.1.1 [500] SPI: 0xDBE7425F/0xC3D97F6B
2014-02-24 13:46:40 [INFO]: SADB_DELETE ul_proto = 0 src = 2.2.2.2 [500] dst = 1.1.1.1 [500] satype = ESP spi = 0xDBE7425F
2014-02-24 13:46:40 [情報]: 受信 PFKEY_DELETE seq = 0 satype = ESP spi = 0xDBE7425F
開始: 13:43:04
終了: 13:46:40
解決方法
約, rekey すべての3分 + すべてのトンネルのためには、過剰な rekey が正常であると思われるものが作成されます. rekey の値を増やして、要件のバランスをとるか、適合させます。
所有者: jlunario