IKEv2 con liveness comprobar para detectar problemas de conectividad de red

IKEv2 con liveness comprobar para detectar problemas de conectividad de red

111673
Created On 09/25/18 19:52 PM - Last Modified 03/26/21 16:59 PM


Resolution


IKEv2 se ha introducido en PAN-OS 7.0. Con esta versión de , es capaz de hacer una comprobación de IKE la vida a través de la fase 1 si hay algún problema con la conectividad de red subyacente SA (por ejemplo, la interfaz física está conectada). Esta opción no está activada de forma predeterminada. 
IKEv2_11. png

IKEv2_12. png

El intervalo predeterminado de comprobación de vivacidad es cada 5 segundos cuando SA está inactivo.Al perder la conexión, el firewall hará 10 reintentos de habitadencia con un tiempo de espera creciente (segundos) para cada reintento de la siguiente manera:
1 + 2 + 4 + 8 + 16 + 32 + 64 + 64 + 64 = 319 segundos (unos 5 minutos)

Después de que se alcancen los reintentos de maxium, se derribarán las firewall SAs de fase 1 y fase 2 (infantil).Actualmente, el número de reintentos y el tiempo de espera entre cada reintento no se pueden configurar en PAN-OS 7.0. IKEv2_13. png

Tenga en cuenta que el estatus asociado del túnel de interfaz, sin embargo, permanecerá arriba y como cualquier salida estática de ruteo a este túnel de interfaz también permanecerá activo. Por lo tanto, para conmutar por error el tráfico a una trayectoria de copia de seguridad requiere una función adicional tal como la supervisión del túnel de la fase 2, policy el reenvío -basado, o un Dynamic Routing Protocol tal BGP como o OSPF .

Salida del comando show:

> mostrar la puerta de enlace de detalles vpn ike-sa [ IKE GW nombre]

 

IKEPuerta de enlace GW , ID 35 2.2.2.2 = > 1.1.1.1
Hora actual: Mar.01 13:49:56

IKE SA:
SPI: 8669654AB024E4AE:CABD66D702C02131 Init
Estado: Establecido:
SN4
Autenticación: , propuesta de PSK pares: PSK
AES256- CBC /SHA256/DH5
ID local: ipaddr:2.2.2 Control remoto.2:
ipaddr:1.1.1.1
ID_i: IPv4_address:2.2.2.2
ID_r: IPv4_address:1.1.1.1
: Mensaje no NATdetectado
: ID rx 35, tx 37
Comprobación de la habitadencia: envío de paquetes informativos después de inactivo 5 segundos


Salida de ikemgr. log cuando IKEv2 liveness detecta un problema de conectividad:

2016-03-01 14:27:06.890 +0800 debug: pan_ikev2_debug(protocols/ikev2/ikev2.c:6946): IKEv2 transmit { GW :6- I }: child id 150, retry cnt 1 limit 10
2016-03-01 14:27:08.890 +0800 debug: pan_ikev2_debug(protocols/ikev2/ikev2.c:6946): IKEv2 transmit { GW :6- I }: child id 150, retry cnt 2 limit 10
2016-03-01 14:27:12.890 +0800 debug: pan_ikev2_debug(protocols/ikev2/ikev2.c:6946): IKEv2 transmit { GW :6- I }: child id 150, retry cnt 3 limit 10
2016-03-01 14:27:20.890 +0800 debug: pan_ikev2_debug(protocols/ikev2/ikev2.c:6946): IKEv2 transmit { GW :6- I }: child id 150, retry cnt 4 limit 10
2016-03-01 14:27:36.890 +0800 debug: pan_ikev2_debug(protocols/ikev2/ikev2.c:6946): IKEv2 transmit { GW :6- I }: child id 150, retry cnt 5 limit 10
2016-03-01 14:28:08.890 +0800 debug: pan_ikev2_debug(protocols/ikev2/ikev2.c:6946) : IKEv2 transmitir { GW :6- I }: niño id 150, reintentar cnt 6 límite 10
2016-03-01 14:29:12.890 +0800 debug: pan_ikev2_debug(protocols/ikev2/ikev2.c:6946): IKEv2 transmit { GW :6- I }: child id 150, reintentar cnt 7 límite 10
2016-03-01 14:30:16.890 +0800 debug: pan_ikev2_debug(protocols/ikev2/ikev2.c:6946): IKEv2 transmit { GW :6- I }: child id 150, reintento cnt 8 límite 10
2016-03-01 14:31:20.890 +0800 debug: pan_ikev2_debug(protocols/ikev2/ikev2.c:6946): IKEv2 transmite { GW :6- I }: child id 150, retry cnt 9 limit 10

2016-03-01 14:32:24 [PROTO_ERR]: ikev2.c:1005:ikev2_timeout(): 6:1.1.1.1[500] - 2.2.2.2[500]:(nil):la retransmisión superó el límite del

 

2016-03-01 14:32:24 [ INFO ]: ike_sa.c:275:ikev2_abort(): 6:1.1.1.1[500] - SA GW 2.2.2.2[500]:(2016-03-01
14:32:24.890 +0800: pan_ikev2_debug(protocols/ikev2/ikev2.c:6946): ... Estado IKEv2 SA { GW :6- I }: SA morir de estado ESTABLISHED , llamador ikev2_abort

2016-03-01 14:32:24 [ DEBUG ]: ikev2.c:1174:ikev2_set_state(): 6:1.1.1.1[500] - 2.2.2.2[500]:(nil):ike_sa 0x827b210 estado ESTABLISHED -> DYING: func ikev2_set_state, llamador ikev2_set_sa_dying
2016-03-01 14:32:24.890 +0800 debug: ikev2_set_state(protocols/ikev2/ikev2.c:1239): mantener retransmitir mientras el estado cambia a DYING , CID 150, niño 0x827b210

 

 

Additional Information


Para obtener información sobre IKEv1 DPD y cómo habilitar el Monitor de túnel de fase 2, consulte Detección de pares muertos y Monitoreo de túneles

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClgcCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language