IKEv2 avec vérification de la vie pour détecter le problème de connectivité réseau

IKEv2 avec vérification de la vie pour détecter le problème de connectivité réseau

111666
Created On 09/25/18 19:52 PM - Last Modified 03/26/21 16:59 PM


Resolution


IKEv2 a été introduit en PAN-OS 7.0. Avec cette version de IKE , il est capable de faire une vérification de la vivacité à travers la phase 1 SA s’il ya un problème avec la connectivité réseau sous-jacente (par exemple, l’interface physique est connecté). Cette option n'est pas activée par défaut. 
IKEv2_11. png

IKEv2_12. png

L’intervalle par défaut de vérification de la luminosité est toutes les 5 secondes SA lorsqu’il est inactif.Lors de la perte de connexion, firewall le fera 10 retries de vivacité avec délai d’attente croissant (secondes) pour chaque nouvelle tentative comme suit:
1 + 2 + 4 + 8 + 16 + 32 + 64 + 64 + 64 + 64 = 319 secondes (environ 5 minutes) Après

retries maxium sont atteints, la firewall va détruire les phases 1 et 2 (enfant) SAs.Actuellement, le nombre de retries et le temps d’attente entre chaque nouvelle tentative ne sont pas configurables PAN-OS en 7.0. IKEv2_13. png

Veuillez noter que l’état du tunnel d’interface associé, cependant, restera en place et que toute sortie de routage statique vers ce tunnel d’interface restera également active. Par conséquent, afin d’échouer le trafic vers une trajectoire de sauvegarde nécessite une fonction supplémentaire telle que la phase 2 de surveillance du tunnel, policy le transfert basé, ou un protocole de routage dynamique tel BGP que ou OSPF .

Sortie de la commande d’exposition :

> vpn ike-sa passerelle de détail [ IKE GW nom]

 

IKEPasserelle GW , ID 35 2.2.2.2 => 1.1.1.1
Heure actuelle: Mar.01 13:49:56

IKE SA:
SPI: 8669654AB024E4AE:CABD66D702C02131 État init:
Établi
: SN4
Authentification: PSK , proposition par les PSK
pairs: AES256- CBC /SHA256/DH5
ID local: ipaddr:2.2.2.0 2.2
télécommande: ipaddr:1.1.1.1
ID_i: IPv4_address:2.2.2.2
ID_r: IPv4_address:1.1.1.1
NAT:
Message non détecté : ID rx 35, tx 37
Vérification de la vivacité : envoi d’un paquet d’information après 5 secondes d’inactivité


Sortie de ikemgr. log lorsque IKEv2 Lives détecte un problème de connectivité:

2016-03-01 14:27:06.890 +0800 debug: pan_ikev2_debug(protocols/ikev2/ikev2.c:6946): IKEv2 transmit { GW :6- I }: child id 150, retry cnt 1 limit 10
2016-03-01 14:27:08.890 +0800 debug: pan_ikev2_debug(protocols/ikev2/ikev2.c:6946): IKEv2 transmit { GW :6- I }: child id 150, retry cnt 2 limit 10
2016-03-01 14:27:12.890 +0800 debug: pan_ikev2_debug(protocols/ikev2/ikev2.c:6946): IKEv2 transmit { GW :6- I }: child id 150, retry cnt 3 limit 10
2016-03-01 14:27:20.890 +0800 debug: pan_ikev2_debug(protocols/ikev2/ikev2.c:6946): IKEv2 transmit { GW :6- I }: child id 150, retry cnt 4 limit 10
2016-03-01 14:27:36.890 +0800 debug: pan_ikev2_debug(protocols/ikev2/ikev2.c:6946): IKEv2 transmit { GW :6- I }: child id 150, retry cnt 5 limit 10
2016-03-01 14:28:08.890 +0800 debug: pan_ikev2_debug(protocols/ikev2/ikev2.c:6946) : IKEv2 transmettre { GW :6- I }: id enfant 150, retry cnt 6 limit 10
2016-03-01 14:29:12.890 +0800 debug: pan_ikev2_debug (protocols/ikev2/ikev2.c:6946): IKEv2 transmettre { GW :6- I }: id enfant 150, retry cnt 7 limit 10
2016-03-01 14:30:16.890 +0800 debug: pan_ikev2_debug (protocols/ikev2/ikev2.c:6946): IKEv2 transmettre { GW :6- I }: id enfant 150, retry cnt 8 limit 10
2016-03-01 14:31:20.890 +0800 debug: pan_ikev2_debug (protocols/ikev2/ikev2.c:6946): IKEv2 transmettre { GW :6- I }: child id 150, retry cnt 9 limit 10

2016-03-01 14:32:24 [PROTO_ERR]: ikev2.c:1005:ikev2_timeout(): 6:1.1.1[500] - 2.2.2.2[500]:(nil):le nombre de retransmissions a dépassé la limite

 

2016-03-01 14:32:24 [ INFO ]: ike_sa.c:275:ikev2_abort (): 6:1.1.1.1[500] - 2.2.2.2[500]:( SA GW IKEv2:6 2016-03-01
14:32:24.890 +0800 debug: pan_ikev2_debug (protocoles/ikev2/ikev2.c:6946): ... IKEv2 SA état { GW :6- I }: mourir de SA ESTABLISHED l’état , l’appelant ikev2_abort

2016-03-01 14:32:24 [ DEBUG ]: ikev2.c:1174:ikev2_set_state(): 6:1.1.1.1[500] - 2.2.2.2[500]:(nil): ike_sa 0x827b210 State ESTABLISHED -ike_sa 0x827b210 > DYING: func ikev2_set_state, appelant ikev2_set_sa_dying
2016-03-01 14:32:24.890 +0800 débog: ikev2_set_state (protocoles/ikev2/ikev2.c:1239): garder retransmettre pendant que l’état est changé DYING à , CID 150, enfant 0x827b210

 

 

Additional Information


Pour plus d’informations sur IKEv1 DPD et comment activer la phase 2 tunnel monitor, veuillez consulter la détection des pairs morts et la surveillance des tunnels

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClgcCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language