站点到站点的 IPSec 在系统日志上仅在一个隧道上过度加密
Resolution
症状
在系统日志上的一个隧道上, 站点到站点的 IPSec 过多地重新加密, 而其他隧道不复制此行为。
原因
此问题有三可能的原因:
- 在隧道上未配置 IP 地址时启用隧道监视。隧道监视使用隧道 IP 地址作为隧道监视 ICMP 数据包的来源。
- 在未监视隧道 ip 地址和 ip 地址的相应代理 ID 的情况下启用隧道监视。对于基于访问控制列表 (ACL) 的 IPSec VPN, 需要对相应的隧道 IP 地址和要监视的 ip 地址进行代理 ID 对。
注: 在帕洛阿尔托网络防火墙之间, 隧道对隧道 IP 地址隧道的监视不需要代理 ID. - 这是可能的, 这不是一个问题, 帕洛阿尔托网络防火墙只是记录正常 rekey 的多条隧道。如果 rekey 间隔很短且有多个代理 ID 对, 则这是真的。
要在帕洛阿尔托网络防火墙上进行验证, 请使用以下 CLI 命令:
- 验证 ike 调试级别
> 调试 IKE 全局显示
在调试 时将 ike 调试级别更改为 "调试 ike 全局调试"- 观察 IKE 消息
>> 跟踪是 mp 日志 ikemgr.log - 故障排除后将调试级别恢复为正常.
在正常情况下调试 ike 全局
详细
对于问题 1: 在 IPSec 隧道上配置分配的 IP 地址, 如果不需要, 则禁用隧道监视。
对于问题 2: 配置用于监视的相应隧道 ip 地址和 ip 地址的代理 ID, 或者在不需要时禁用隧道监视。
对于问题 3: 检查 ike Phase1 和 ike Phase2 上的 rekey 间隔。
使用以下 CLI 命令显示 VPN 网关:
>> 显示 vpn 网关
GwID 名称对等地址/id 本地地址/id 协议建议
-------- ---- --------------- ---------------- -------- ---------
10 GW-1 1.1. 1.1 (ipaddr: 1.1. 1.1) 2.2. 2.2 (ipaddr: 2.2. 2.2) 主 [PSK] [DH2] [AES256] [SHA1] 300 秒 <== rekey too short rekey="" too=""></== rekey too short>
>> 显示 vpn 隧道
发散名称 (网关) 本地代理 ip Ptl: 端口远程代理 ip Ptl: 端口建议
---- ------------- -------------- -------- --------------- -------- ---------
100屯-1: ProxyPair1 (GW-1) 192.168.1. 0/24 0:0 192.168.31.0/24 0:0 ESP tunl [DH2] [AES256] [SHA1] 300 秒 <== rekey too short rekey="" too=""></== rekey too short>
100屯-1: ProxyPair2 (GW-1) 192.168.2. 0/24 0:0 192.168.32.0/24 0:0 ESP tunl [DH2] [AES256] [SHA1] 300 秒 <== rekey too short rekey="" too=""></== rekey too short>
100屯-1: ProxyPair3 (GW-1) 192.168.3. 0/24 0:0 192.168.33.0/24 0:0 ESP tunl [DH2] [AES256] [SHA1] 300 秒 <== rekey too short rekey="" too=""></== rekey too short>
<output cut=""></output>
100屯-1: ProxyPair24 (GW-1) 192.168.24.0/24 0:0 192.168.54.0/24 0:0 ESP tunl [DH2] [AES256] [SHA1] 300 秒 <== rekey too short rekey="" too=""></== rekey too short>
100屯-1: ProxyPair25 (GW-1) 192.168.25.0/24 0:0 192.168.55.0/24 0:0 ESP tunl [DH2] [AES256] [SHA1] 300 秒 <== rekey too short rekey="" too=""></== rekey too short>
观察下面的日志显示 SPI 密钥每3分钟 rekeyed 一次。由于 TUN-1 隧道上有多个代理 ID 对, 所以由于设置生存期 5mins, 经常出现会话密。日志看起来是连续的会话密, 实际上是在5mins 间隔内重新加密的不同隧道。所有多个代理 ID 都将 rekey 5mins, 从日志角度看似乎太多。
要验证, 请从显示频繁 rekey 的隧道中选取 SPI, 使用对等 VPN IP 地址进行匹配。
>> 显示日志系统方向等于向后 |匹配1.1.1。1
2014/02/24 13:43:04 信息 vpn TUN-1 ike-阴性 0 ike phase-2 协商以启动器、快速模式启动。已启动 SA: 2.2. 2.2 [500]-1.1. 1.1 [500] 消息 id:0x6F845F96。
2014/02/24 13:43:04 信息 vpn TUN-1 ike-阴性 0 ike phase-2 协商成功作为启动器, 快速模式. 已建立 SA: 2.2. 2.2 [500]-1.1. 1.1 [500] 消息 id:0x6F845F96, SPI:0xDBE7425F/0xC3D97F6B。
安装了 2014/02/24 13:43:04 信息 vpn TUN-1 ipsec-k 0 ipsec 密钥。已安装 SA: 2.2. 2.2 [500]-1.1. 1.1 [500] SPI:0xDBE7425F/0xC3D97F6B 寿命 300 Sec lifesize 128000 KB。
使用以下命令, 仅选择与 SPI 相关的日志:
>> grep 模式 0xDBE7425F mp 日志 ikemgr.log
已建立 SA: 2.2. 2.2 [500]-1.1. 1.1 [500] 消息 id:0xB6DF139C, SPI:0xDBE7425F/0xC3D97F6B
2014-02-24 13:43:04 [信息]: ike_pfkey: 339: sadb_log_add (): SADB_UPDATE ul_proto=255 src = 1.1. 1.1 [500] dst = 2.2. 2.2 [500] satype = ESP samode = tunl spi=0xDBE7425F authtype=SHA1 enctype=AES256 寿命软 time=300 bytes=0 硬 time=300 bytes=0
已安装 SA: 2.2. 2.2 [500]-1.1. 1.1 [500] SPI:0xDBE7425F/0xC3D97F6B 寿命 300 Sec lifesize 无限
已删除 SA: 2.2. 2.2 [500]-1.1. 1.1 [500] SPI:0xDBE7425F/0xC3D97F6B
2014-02-24 13:46:40 [信息]: SADB_DELETE ul_proto=0 src = 2.2. 2.2 [500] dst = 1.1. 1.1 [500] satype = ESP spi=0xDBE7425F
2014-02-24 13:46:40 [信息]: 收到 PFKEY_DELETE seq=0 satype = ESP spi=0xDBE7425F
开始: 13:43:04
尾页: 13:46:40
解决办法
近似地, rekey 每3分钟 + 为每条隧道将创造什么似乎是过度的 rekey 是正常的。增加 rekey 值以平衡或满足要求。
所有者: jlunario