IKEv2 与活性检查检测网络连接问题

IKEv2 与活性检查检测网络连接问题

111685
Created On 09/25/18 19:52 PM - Last Modified 03/26/21 16:59 PM


Resolution


IKEv2 已于 PAN-OS 7.0 引入。 有了这个版本 IKE ,它能够做一个活性检查通过阶段 SA 1,如果有任何问题与潜在的网络连接(例如,物理接口连接)。 默认情况下未启用此选项。 
IKEv2_11. png

IKEv2_12. png

活性检查的默认间隔是空闲时每 5 秒 SA 一次。失去连接后, firewall 将做10个活性重试与增加超时(秒)为每个重试如下
:1+2×4×8×16×32×64×64×64×64=319秒(约5分钟)

达到最大值后, firewall 将拆下第1阶段和第2阶段(儿童)SAs。目前,每次重试之间的重试次数和等待时间不能在 PAN-OS 7.0 中配置。 IKEv2_13. png

但是,请注意,相关的界面隧道状态将保持向上,并且由于此接口隧道的任何静态路由出口也将保持活动状态。 因此,要使备用路径的故障转移流量需要额外的功能,如第 2 阶段隧道监控、 policy 基于转发或动态路由协议(如 BGP 或 OSPF .

显示命令的输出:

> 显示vpn艾克萨细节网关 [ IKE GW 名称]

 

IKE 网关 GW, ID 35 2.2.2.2 +> 1.1.1.1
当前时间: 3月 01 13:49:56

IKE SA:
SPI8669654AB024E4AE:CABD66D702C02131 Init
状态: 已建立
SN: 4
认证: , PSK 同行PSK
建议: AES256- CBC /SHA256/DH5
ID本地: ipaddr:2.2.0 2.2
遥控器: ipaddr:1.1.1.1
ID_i: IPv4_address:2.2.2.2
ID_r: IPv4_address:1.1.1.1:
NAT未检测到
消息: ID rx 35, tx 37
活性检查:空闲 5 秒后发送信息包


当 IKEv2 活动检测到连接问题时, ikemgr.log 输出:

2016-03-01 14:27:06.890 +0800 debug: pan_ikev2_debug(protocols/ikev2/ikev2.c:6946): IKEv2 transmit { GW :6- I }: child id 150, retry cnt 1 limit 10
2016-03-01 14:27:08.890 +0800 debug: pan_ikev2_debug(protocols/ikev2/ikev2.c:6946): IKEv2 transmit { GW :6- I }: child id 150, retry cnt 2 limit 10
2016-03-01 14:27:12.890 +0800 debug: pan_ikev2_debug(protocols/ikev2/ikev2.c:6946): IKEv2 transmit { GW :6- I }: child id 150, retry cnt 3 limit 10
2016-03-01 14:27:20.890 +0800 debug: pan_ikev2_debug(protocols/ikev2/ikev2.c:6946): IKEv2 transmit { GW :6- I }: child id 150, retry cnt 4 limit 10
2016-03-01 14:27:36.890 +0800 debug: pan_ikev2_debug(protocols/ikev2/ikev2.c:6946): IKEv2 transmit { GW :6- I }: child id 150, retry cnt 5 limit 10
2016-03-01 14:28:08.890 +0800 debug: pan_ikev2_debug(protocols/ikev2/ikev2.c:6946):IKEv2传输 GW {:6-}: I 儿童ID 150, 重试 cnt 6 限制 10
2016-03-01 14:29:12.890 +0800 调试: pan_ikev2_debug (协议/ikev2/ikev2.c:6946): IKEv2 传输 GW \:6- I }: 儿童 ID 150, 重试 cnt 7 限制 10
2016-03-01 14:30:16.890 +0800 调试: pan_ikev2_debug (协议/ikev2/ikev2.c:6946): IKEv2 传输 GW \:6 - I }: 儿童 ID 150, 重试cnt 8限制10
2016-03-01 14:31:20.890+0800调试:pan_ikev2_debug(协议/ikev2/ikev2.c:6946):IKEv2传输 GW {:6-}: I 儿童ID 150,重试cnt 9限制10

2016-03-01 14:32:24 [PROTO_ERR]: ikev2.c:1005:ikev2_timeout(): 6:1.1.1.1.1[500] - 2.2.2.2[500]:(nil): 重新传输计数超过限制

 

2016-03-01 14:32:24 INFO [ * ike_sa.c:275:ikev2_abort (): 6:1.1.1.1[500] - 2.2.2[500]:(尼尔):中止 SA GW IKEv2:6
2016-03-01 14:32:24.890 +0800调试:pan_ikev2_debug(协议/ikev2/ikev2.c:6946): IKEv2 SA 状态 GW {:6-}: I SA 死于状态 ESTABLISHED ,来电者ikev2_abort

2016-03-01 14:32:24 DEBUG [ : ikev2.c:1174:ikev2_set_state (): 6:1.1.1.1[500] - 2.2.2[500]:(尼尔): ike_sa 0x827b210状态 - ike_sa 0x827b210 ESTABLISHED > DYING: func ikev2_set_state, 来电ikev2_set_sa_dying
2016-03-01 14:32:24.890 +0800 调试: ikev2_set_state (协议/ikev2/ikev2.c:1239): 保持再传输,而状态更改为 DYING , CID 150, 儿童0x827b210

 

 

Additional Information


有关 IKEv1 DPD 的信息以及如何启用第 2 阶段隧道监视器,请参阅 死对等检测和隧道监控

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClgcCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language