IKEv2 mit Lebenskraft prüfen, um Netzwerk-Konnektivität Problem zu erkennen

IKEv2 mit Lebenskraft prüfen, um Netzwerk-Konnektivität Problem zu erkennen

111698
Created On 09/25/18 19:52 PM - Last Modified 03/26/21 16:59 PM


Resolution


IKEv2 wurde in PAN-OS 7.0eingeführt. Mit dieser Version von IKE ist es in der Lage, eine Liveness-Prüfung durch Phase 1 zu machen, wenn ein Problem mit der zugrunde liegenden SA Netzwerkkonnektivität auftritt (z. B. ist eine physische Schnittstelle verbunden). Diese Option ist standardmäßig nicht aktiviert. 
IKEv2_11. png

IKEv2_12. png

Das Standardintervall der Liveness-Überprüfung beträgt alle 5 Sekunden, wenn SA sich der Leerlauf befindet.Bei Verbindungsverlust firewall werden 10 Liveness-Wiederholungen mit zunehmendem Timeout (Sekunden) für jeden Wiederholungsversuch wie folgt durchgeführt:
1 + 2 + 4 + 8 + 16 + 32 + 64 + 64 + 64 + 34 = 319 Sekunden (ca. 5 Minuten) Nachdem die

maxium-Wiederholungen erreicht wurden, werden die firewall SAs Phase 1 und Phase 2 (Kind) abreißen.Derzeit sind die Anzahl der Wiederholungen und die Wartezeit zwischen den einzelnen Wiederholungen nicht in PAN-OS 7.0 konfigurierbar. IKEv2_13. png

Bitte beachten Sie, dass der zugehörige Schnittstellentunnelstatus jedoch aktiviert bleibt und da auch statische Senderouten zu diesem Schnittstellentunnel aktiv bleiben. Um ein Failover zu einem Sicherungspfad durchzuführen, ist daher eine zusätzliche Funktion erforderlich, z. B. Phase 2-Tunnelüberwachung, policy -basierte Weiterleitung oder ein dynamisches Routingprotokoll wie BGP oder OSPF .

Ausgabe vom Show-Befehl:

> vpn ike-sa detail gateway anzeigen [ IKE GW Name]

 

IKEGateway GW , ID 35 2.2.2.2 => 1.1.1.1
Aktuelle Zeit: Mar.01 13:49:56

IKE SA:
SPI: 8669654AB024E4AE:CABD66D702C02131 Init
State: Established
: SN4
Authentifizierung: , PSK Peer PSK
Vorschlag: AES256- CBC /SHA256/DH5
ID lokal: ipaddr:2.2.2.2
remote: ipaddr:1.1.1 ID_i:
IPv4_address:2.2.2.2
ID_r: IPv4_address:1.1.1.1
: Nicht NATerkannt
Nachricht : ID rx 35, tx 37
Liveness-Prüfung: Senden eines Informationspakets nach Leerlauf 5 Sekunden


Ausgabe von ikemgr. log, wenn IKEv2 Lebendigkeit ein Konnektivitätsproblem erkennt:

2016-03-01 14:27:06.890 +0800 debug: pan_ikev2_debug(protokolle/ikev2/ikev2.c:6946): IKEv2 transmit GW I retry cnt 1 limit 10
2016-03-01 14:27:08.890 +0800 debug: pan_ikev2_debug(protocols/ikev2/ikev2.c:6946): IKEv2 transmit GW I retry cnt 2 limit 10
2016-03-01 14:27:12.890 +0800 debug: pan_ikev2_debug(protocols/ikev2/ikev2.c:6946): IKEv2 transmit GW I retry cnt 3 limit 10
2016-03-01 14:27:20.890 +0800 debug: pan_ikev2_debug(protokolle/ikev2/ikev2.c:6946): IKEv2 transmit - GW :6- I .: child id 150, retry cnt 4 limit 10
2016-03-01 14:27:36.89 0 +0800 debug: pan_ikev2_debug(protokolle/ikev2/ikev2.c:6946): IKEv2 transmit GW ':6- I ': child id 150, retry cnt 5 limit 10
2016-03-01 14:28:08.890 +0800 debug: pan_ikev2_debug(protocols/ikev2/ikev2.c:6946) : IKEv2 senden : GW 6- I n: child id 150, retry cnt 6 limit 10
2016-03-01 14:29:12.890 +0800 debug: pan_ikev2_debug(protocols/ikev2/ikev2.c:6946): IKEv2 transmit GW I retry cnt 7 limit 10
2016-03-01 14:30:16.890 +0800 debug: pan_ikev2_debug(protocols/ikev2/ikev2.c:6946): IKEv2 transmit GW I retry cnt 8 limit 10
2016-03-01 14:31:20.890 +0800 debug: pan_ikev2_debug(protocols/ikev2/ikev2.c:6946): IKEv2 transmit GW I

2016-03-01 14:32:24 [PROTO_ERR]: ikev2.c:1005:ikev2_timeout(): 6:1.1.1.1[500] - 2.2.2.2[500]:(nil): Die Anzahl derÜbertragungen überschritt die Grenze

 

2016-03-01 14:32:24 [ INFO ]: ike_sa.c:275:ikev2_abort(): 6:1.1.1.1[500] - 2.2.2.2[500]:(nilnil): ABBRUCH IKEv2 SA GW :6
2016-03-01 14:32:24.890 +0800 debug: pan_ikev2_debug(protokolle/ikev2/ikev2.c:6946): ... SAIKEv2-Zustand GW : :6- I - Sterben aus dem Zustand , SA ESTABLISHED Anrufer ikev2_abort

2016-03-01 14:32:24 [ DEBUG ]: ikev2.c:1174:ikev2_set_state(): 6:1.1.1.1[500] - 2.2.2.2[500]:(nil):ike_sa 0x827b210 Zustand ESTABLISHED -> : DYINGfunc ikev2_set_state, Aufruf ikev2_set_sa_dying
2016-03-01 14:32:24.890 +0800 debug: ikev2_set_state(protocols/ikev2/ikev2.c:1239): Weiterübertragen, während der Zustand in DYING , CID 150, child 0x827b210

 

 

Additional Information


Informationen zu IKEv1 DPD und zum Aktivieren des Phase 2-Tunnelmonitors finden Sie unter Dead Peer Detection and Tunnel Monitoring

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClgcCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language