IP SEC VPN Palo Alto IPSec ピア間でかなり頻繁に脱落している
19564
Created On 05/20/22 13:29 PM - Last Modified 06/08/23 07:32 AM
Symptom
2 つのパロアルト ファイアウォール間で IPSec IKEv2 を使用すると、トンネルがダウンする可能性があります。DPD次の条件が満たされている場合:
- 最初のピアは静的を使用していますIP生存チェックとNAT-トラバーサルが有効になっています
- 2 番目のピアはダイナミックを使用していますIP(そのようなADSL) 活性チェックありNAT-トラバーサルが有効です。 さらに、2 番目のピアはパッシブ モードで動作します。
トンネルがダウンする原因となる一連のイベントは次のとおりです。
- ポケット損失がある場合、ピアは (ピア 1) 活性チェックを開始します。
- 最初の活性チェック要求の後に接続が復元されても、ピア 1 はトンネルがダウンするまで引き続き活性チェックを続けます。
- ピア 1 がトンネルをダウンとしてマークすると、DPD 、次にピア 2 が活性チェックをトリガーします。
- この状況により、トンネルが約 7 ~ 8 分間ダウンします。DPD待ち時間の間隔。
Environment
全てhardwareとVMプラットフォーム
Cause
いつIKEパケットを送信すると、再送信関数でパケットをキャッシュします。 応答がない場合、再送信機能により、キャッシュされたパケットが最大 10 回まで再送信されます。 ない限り、これは通常正常に動作します。NAT間のデバイスFWおよびピア デバイス。 あなたが知っているように、NATポートを宛先にマッピングすることで機能しますIP. しかし、NAT再送信中にマッピングが変更された場合、再送信機能はこの変更を認識せず、古いポート/を使用し続けます。IP問題の原因となるキャッシュ内のマッピング。
Resolution
この状況を克服するには、ピアの 1 つで liveness チェックを無効にする必要があります (できれば、DynamicIP )。