استكشاف مشاكل الاتصال بموقع IPSec

نظرة عامة

الاتصال ضروري للوصول إلى الشبكة الواسعة عبر سحابة كاتو للشبكات خلف IPSec. يمكن أن يؤدي نقص الاتصال بموقع IPSec إلى تعطيل وظائف الأعمال. يهدف الدليل إلى توجيه استكشاف الأعطال في هذا السيناريو.

الأعراض

يمكن تحديد فشل في اتصال IPSec بالطرق التالية. قد يلاحظ المسؤول الأعراض التالية:

  • IPsec الموقع غير متصل في CMA
  • تاريخ عدم الاستقرار في الاتصال
  • أداء ضعيف لحركة المرور العابرة عبر اتصال IPSec

الأسباب المحتملة

الأسباب المحتملة التي يمكنك تحديدها أثناء استكشاف الأعطال موضحة أدناه.

  • اتصال الأقران
    • يشمل هذا القدرة على أن تصل الأقران إلى بعضها باستمرار عبر L3.
  • عدم تطابق إعداد IPsec
    • قد تؤدي عدم تطابق مجموعات التحويل أو المصادقة إلى عدم تكوين الأنفاق على الإطلاق أو الفشل قبل اكتمال عملية إعادة مفاتيح
  • أداء تحت الطبقة
    • يعتمد IPSec على اتصال ثابت تحت الطبقة لتحقيق الأداء المطلوب داخل النفق.

ملاحظة: بالنسبة للحسابات التي تحتوي على مواقع IPsec، إذا كانت عناوين IP الخارجية لإحدى قواعد RPF تتداخل مع عناوين IP الخاصة بموقع IPsec، فتأكد من أن القاعدة تستبعد منافذ نفق IPsec على بروتوكول UDP/500 وUDP/4500.

استكشاف المشكلة

الخطوات لاستكشاف الأعراض التي قد يواجهها المسؤول مدرجة أدناه. هذه الخطوات تهدف إلى تحديد الأسباب المحتملة للمشكلات التي تواجهها. سيتم توضيح خطوات الحل لاحقاً في الدليل.

استكشاف موقع IPSec غير المتصل أو غير المستقر في CMA

جمع المعلومات من الأحداث

باستخدام الصفحة الرئيسية > صفحة الأحداث في CMA، يمكن للمسؤول الحصول بسرعة على تاريخ الأحداث المتعلقة بالاتصال لمواقع IPSec داخل الحساب. يمكن تصفية الأحداث إلى الأحداث ذات الصلة عن طريق اختيار إعداد حالة الاتصال بمواقع الاتصال أو عن طريق تصفية نوع الحدث "اتصال" ونوع فرعي "غير متصل". يمكنك تصفية الاسم الخاص بالموقع المعني باستخدام حقل الموقع المصدر أو استخدام قيمة بروتوكول النفق "IPSEC" لتصفية جميع مواقع IPSec.

 

 

عرض الطابع الزمني للحدث المناسب من الموقع المعني يمكن أن يساعد في تركيز التحقيق. هل تم تسجيل أي أحداث شبكية أوسع أو أحداث طاقة محلية تعرف وقوعها عند هذا الطابع الزمني؟ هل هناك أي تغييرات على مسار التدقيق تسبق ذلك قد تكون مترابطة؟

إذا لم يتم العثور على حدث فصل ولا يزال النفق غير مستقر، فمن الممكن أن تحدث المشكلة أثناء عملية إعادة مفاتيح بسبب عدم تطابق المعايير بين كاتو والنظراء البعيد. تابع الخطوات أدناه لمزيد من التحليل.

 

عرض تاريخ اتصال موقع IPSec

هام: إذا لم يكن هذا الملف متاحًا في CMA (الملف غير موجود)، فهذا يعني أن المرحلة الأولى (أو IKE_SA في IKEv2) لم يتم التفاوض عليها مع الزميل البعيد. تأكد من أن معايير IKE والمصادقة متطابقة بين النظيرين.

الجدول الزمني المتوفر في الشبكة > الموقع > تكوين الموقع > IPSec ضروري لاستكشاف مواقع IPSec المنفصلة

ستقدم CSV الذي يوفره زر الجدول الزمني تاريخاً لملفات السجلات ذات الصلة بالنفق. يمكن لهذه السجلات أن تقدم مؤشرات واضحة على المشكلات التي قد تسبب عدم الاتصال في اتصال IPSec. أمثلة شائعة للرسائل الإرشادية موضحة أدناه:

الرسائل التي تشير إلى أن محددات حركة المرور لا تتطابق هي دليل على عدم تطابق التكوين بين إعدادات المرحلة ٢ للنظراء، وتحديداً بالنسبة للشبكات الفرعية التي ستكون متاحة على كل جانب من جانب النظير البعيد إذا رأيت أخطاء تشير إلى أن هذا هو الحال، قم بالتنقل إلى حل عدم تطابق تكوين IPSec.

تدل الرسائل المذكورة أعلاه أيضًا على عدم تطابق التكوين، هذه المرة مع حمولات المصادقة. بالطبع، يجب أن تتطابق PSK مع هذه الحمولات لكي يكون الاتصال ناجحًا. إذا كانت هذه واضحة في أي محاولة اتصال، قم بالتنقل إلى حل عدم تطابق تكوين IPSec.

يعرض الجدول الزمني أعلاه محاولة اتصال مع نظير مُكون، لم يتلقى أي استجابة. يمكن رؤية أنه في هذا الجدول الزمني لم يحدث أي تفاعل مع النظير، وتم إغلاق SA بسبب عدم النشاط. عادةً يكون هذا هو الحال عندما لا تكون هناك إمكانية الوصول إلى النظير البعيد عبر L3. في هذه الحالات، قم بعرض حل اتصال الأقران.

 

يمكن العثور على قائمة كاملة من رسائل الخطأ الخاصة بالجدول الزمني المحتملة لـ IKEv1 و IKEv2 هنا.

 

استخدم التقاطات الحزم لاستكشاف الأعطال

ملاحظة: عند التقاط حزم، سيتم تجريد عنوان PoP IP الذي قمت بتكوينه للنفق خلف عنوان IP داخلي 10.x.y.z.

أيضًا، في الصفحة الشبكة > الموقع > تكوين الموقع > IPsec يوجد أداة التقاط الحزم. سيساعد ذلك في تقديم آثار حزم للمرور التحكم بين الزملاء. القضايا المُشَار إليها أعلاه تُظهَر أيضًا في لقطات الحزم هذه.

TS_UNACCEPTABLE

بالنسبة للشبكات الفرعية غير المتطابقة داخل مجموعة التحويل، ستنصح الحزم المعلوماتية بوجود خطأ. في هذا المثال IKEv2، تكون الرسالة المعلوماتية TS_UNACCEPTABLE عرضًا لعدم التوافق في التكوين داخل مجموعة التحويل. لإصلاح هذه المشكلة، انتقل إلى حل عدم تطابق تكوين IPsec.

NO_PROPOSAL_CHOSEN

بالنسبة للمعايير غير المطابقة داخل الجمعية الأمنية، سيشمل أي من الأقران خطًا داخل الحمولة. في هذا المثال IKEv2، الخطأ NO-PROPOSAL-CHOSEN يشير بوضوح إلى أن أحد الخوارزميات أو مجموعات DH المُكونة في CMA لا تتطابق مع تكوين النظير البعيد. يمكن أن يحدث هذا أثناء التأسيس المبدئي للنفق أو عملية إعادة مفاتيح.

AUTHENTICATION_FAILED

العرض أدناه يظهر مثال آخر لـ IKEv2، هذه المرة حيث لم يتوافق مفتاح PSK المستخدم للمصادقة:

حزم ذات اتجاه واحد

يمكن لتقاط الحزم أيضًا المساعدة في تحديد مشكلات الاتصال على مستوى IP مع الأقران. في المثال أدناه، يظهر التقاط الحزم حركة مرور صادرة باتجاه واحد فقط، مما يشير إلى أن النظير غير قابل للوصول. إذا رأى مسؤول استكشاف الأعطال نظيرًا غير قابل للوصول، انتقل إلى حل اتصال الأقران.

في أي من الحالات أعلاه أو مؤشرات أخرى لعدم توافق التكوين بين الأقران في IKEv1 أو IKEv2، توجه إلى حل عدم توافق تكوين IPSec.

استكشاف أداء ضعيف عبر VPN

إذا تم رؤية أداء ضعيف عبر VPN، فإن هذا يأخذ عادةً شكل فقدان الحزم، تأخر عالٍ أو فصل متكرر.

سيتم رؤية فقدان الحزم في حركة المرور التي تمر عبر النفق عبر التطبيقات التي يؤثر عليها ويمكن تأكيده عن طريق اختبار باستخدام مسبار ICMP من مضيف إلى آخر عبر اتصال IPSec.

سيكون تأخر وفصل الأنفاق واضحًا أيضًا في أداء التطبيقات ويمكن أيضًا تحديده عبر صفحة الشبكة > مراقبة الموقع > تحليلات الشبكة للموقع المعني.

إذا تم تحديد مشكلات الأداء، قم بالتنقل إلى حل أداء تحت الطبقة.

فقدان الحزم في Azure IPSec

عند تكوين IPSec مع Azure، يتم تحديد عرض النفق و الحزم في الثانية (PPS) بواسطة SKU الخاص بوابة VPN والخوارزميات المستخدمة. على سبيل المثال، وفقًا لـ وثائق مايكروسوفت، يمكن لبوابة VpnGw3 Generation2، عند استخدام GCMAES256، التعامل مع ما يصل إلى 140,000 حزم في الثانية (PPS).

إذا تجاوزت حركة المرور هذه الحدود، سيقوم Azure تلقائيًا بإسقاط الحزم الزائدة، مما قد يسبب انخفاضًا ملحوظًا في الأداء. أحد الأعراض الشائعة هو انخفاض في الانتاج، الذي قد يظهر في تحليلات الشبكة الخاصة بـ CMA بشكل انخفاض في حجم حركة المرور. ومع ذلك، الطريقة الأكثر دقة لتشخيص ذلك هي عن طريق مراقبة مقاييس بوابة VPN مباشرةً ضمن بوابة Azure، مما يوفر رؤى في الوقت الحقيقي عن سعة النفق و قيم PPS لاتصال VPN المتأثر.

للتخفيف من هذه المشكلة، يمكنك النظر في الترقية إلى SKU IPSec أعلى أو نشر vSocket الخاصة بـ Azure، كلاهما يمكن أن يعزز سعة نفق VPN لديك ويمنع فقدان الحزم بسبب زيادة حركة المرور.

 

حل المشاكل المكتشفة

حل اتصال الأقران

بالنسبة للسيناريوهات التي يكون فيها النظير IPSec لا يرسل حزمًا إلى PoP، يظهر ذلك عبر إدخالات الجدول الزمني أو التقاطات الحزم، يرجى التأكد من تكوين النظير البعيد للاتصال بنفس عنوان IP الذي تم تخصيصه للنفق في CMA.

إذا تم تأكيد هذا التكوين، تأكد من أن النظير البعيد يمكنه تجاوز الاتصالات المستترة بين NAT بواسطة الاستجابة لحركة المرور على المنفذ 4500 وكذلك المنفذ 500. يجب تمكين NAT-T (اجتياز NAT) في النظير البعيد.

إذا كان جهاز النظير البعيد مُكوّنًا للاستجابة لطلبات ICMP عبر الإنترنت، يمكنك أيضًا اختبار وصوله العام من خلال اختبار طلبات ICMP إلى IP العام الخاص بالجهاز.

التحقق من تغيرات الصحة الأخيرة لصفحة الحالة - إذا كانت PoP تعاني من مشاكل، قد يؤثر ذلك على نفق IPSec (كل نفق متصل بموقع PoP واحد خاص بكاتو). يمكنك مراقبة صحة PoP كاتو في صفحة الحالة.

إذا كان النظير البعيد هو بائع سحابة مثل Azure أو AWS، يمكنك أيضًا التحقق من صفحات الحالة الخاصة بهم.

إذا كان جهاز النظير لا يزال غير قابل للوصول لهذا الاتصال IPSec، قم بالاتصال بالمسؤول للتأكد من أنه يمكن الوصول إليه علنًا لاتصالات IPSec.

 

حل عدم توافق تكوين IPSec

تأكد من أن تكوين الزميل لمجموعة التحويل يتوافق مع التكوين في الصفحة الموقع > IPsec .

لتكوين جانب كاتو من النظير ليطابق مجموعة تحويل معينة من النظير، قم بتعديل التكوين كما هو موصوف في الوثائق المرتبطة لـ IKEv1 و IKEv2.

يجب أن تتطابق نطاقات IP (المحددات) على كلا جانبي النفق. في CMA، تأكد أن نطاقات IP تم تكوينها كما يلي:

  • نطاقات IP المحلية (جانب الزميل): انتقل إلى تكوين الموقع > الشبكات وحدد الشبكات الفرعية الموجودة خلف زميل IPsec (مثل جدار الحماية أو الموجه).
  • نطاقات IP البعيدة (جانب كاتو): انتقل إلى تكوين الموقع > IPsec > التوجيه وحدد نطاقات IP المحلية المُسموح بها للمرور عبر النفق (عادةً الشبكات من مواقع أخرى). إذا لم يتم تكوين هذا الحقل، يعتبر النفق كنفق معتمد على التوجيه بمعرِّفات ضمنية 0.0.0.0 <> 0.0.0.0.

بعض البائعين يتطلب أي جميع الشبكات الفرعية المشمولة في مجموعة التحويل أن تكون موجودة فقط في رسالة مجموعة تحويل واحدة. إذا كان هذا هو الحال بالنسبة لنظير، يجب على المسؤول استخدام خيار التكوين المتقدم "IKEv2 إرسال رسالة TS واحدة لكل حمولة" تحتالموقع > التكوين المتقدم

 

 

 

حل أداء تحت طبقة

  •  

التركيز على حل أداء تحت الطبقة هو لعزل الأداء ضد النظير البعيد.

اختبر قدرة النظير البعيد على التفاعل مع سيرفرات الويب العامة مثل 8.8.8.8. إذا كانت التأخير أو فقدان الحزمة متسقًا مع النفق، يمكن الاستنتاج أن المشكلة موجودة داخل بيئة النظير البعيد.

 

رفع الحالات لدعم كاتو

قدّم تذكرة دعم بالنتائج الخاصة بخطوات استكشاف الأخطاء المذكورة أعلاه. يرجى تضمين المعلومات التالية في التذكرة:

  • إدخالات الجدول الزمني المناسبة مع الطوابع الزمنية
  • التقاطات الحزم ذات الصلة
  • تأكيد تطابق مجموعات التحويل بما في ذلك روابط الشبكات الفرعية ومعايير المصادقة/التشفير

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات