IP SEC VPN 在帕洛阿尔托 IPSec 对等点之间相当频繁地退出
19550
Created On 05/20/22 13:29 PM - Last Modified 06/08/23 07:32 AM
Symptom
在两个帕洛阿尔托防火墙之间使用 IPSec IKEv2 时,隧道可能会因以下原因而关闭DPD如果满足以下条件:
- 第一个对等点正在使用静态IP与活性检查和NAT-遍历已启用
- 第二个对等点正在使用动态IP(例如ADSL) 与活性检查和NAT-遍历已启用。 此外,第二个对等方以被动模式工作。
导致隧道关闭的事件顺序如下:
- 当有口袋丢失时,对等点发起(对等点1)活性检查
- 即使连接在第一次活动检查请求后恢复,对等体 1 仍继续进行活动检查,直到隧道关闭。
- 当对等点 1 将隧道标记为关闭时,由于DPD,然后对等点 2 触发活性检查。
- 这种情况导致隧道下沉约 7-8 分钟,原因是DPD等待时间间隔。
Environment
全部hardware和VM平台
Cause
什么时候IKE发送数据包,它将数据包缓存在重传函数中。 如果没有回复,重传函数将再次发送缓存的数据包最多 10 次。 这通常工作正常,除非有NAT之间的设备FW和对等设备。 如你所知,NAT通过将端口映射到目的地来工作IP. 但如果NAT重传期间映射发生变化,重传函数不知道此更改并将继续使用旧端口/IP缓存中的映射,这会导致问题。
Resolution
为了克服这种情况,应在其中一个对等点上禁用活动检查(最好使用动态对等点IP).