استكشاف مشاكل الاتصال بموقع IPSec

نظرة عامة

الاتصال ضروري للوصول إلى الشبكة الواسعة عبر سحابة كاتو للشبكات خلف IPSec. يمكن أن يؤدي نقص الاتصال بموقع IPSec إلى تعطيل وظائف الأعمال. يهدف الدليل إلى توجيه استكشاف الأعطال في هذا السيناريو.

الأعراض

يمكن تحديد فشل في اتصال IPSec بالطرق التالية. قد يلاحظ المسؤول الأعراض التالية:

  • تم قطع اتصال موقع IPSec في CMA 
  • تاريخ عدم الاستقرار في الاتصال
  • أداء ضعيف لحركة المرور العابرة عبر اتصال IPSec

الأسباب المحتملة

الأسباب المحتملة التي يمكنك تحديدها أثناء استكشاف الأعطال موضحة أدناه.

  • اتصال الأقران
    • يشمل هذا القدرة على أن تصل الأقران إلى بعضها باستمرار عبر L3.
  • عدم تطابق إعداد IPsec
    • قد تؤدي عدم تطابق مجموعات التحويل أو المصادقة إلى عدم تكوين الأنفاق على الإطلاق أو الفشل قبل اكتمال عملية إعادة مفاتيح
  • أداء تحت الطبقة
    • يعتمد IPSec على اتصال ثابت تحت الطبقة لتحقيق الأداء المطلوب داخل النفق.

استكشاف المشكلة

الخطوات لاستكشاف الأعراض التي قد يواجهها المسؤول مدرجة أدناه. هذه الخطوات تهدف إلى تحديد الأسباب المحتملة للمشكلات التي تواجهها. سيتم توضيح خطوات الحل لاحقاً في الدليل.

استكشاف موقع IPSec غير المتصل أو غير المستقر في CMA

جمع المعلومات من الأحداث

باستخدام الصفحة الرئيسية > صفحة الأحداث في CMA، يمكن للمسؤول الحصول بسرعة على تاريخ الأحداث المتعلقة بالاتصال لمواقع IPSec داخل الحساب. يمكن تصفية الأحداث إلى الأحداث ذات الصلة عن طريق اختيار إعداد حالة الاتصال بمواقع الاتصال أو عن طريق تصفية نوع الحدث "اتصال" ونوع فرعي "غير متصل". يمكنك تصفية الاسم الخاص بالموقع المعني باستخدام حقل الموقع المصدر أو استخدام قيمة بروتوكول النفق "IPSEC" لتصفية جميع مواقع IPSec.

 

 

عرض الطابع الزمني للحدث المناسب من الموقع المعني يمكن أن يساعد في تركيز التحقيق. هل تم تسجيل أي أحداث شبكية أوسع أو أحداث طاقة محلية تعرف وقوعها عند هذا الطابع الزمني؟ هل هناك أي تغييرات على مسار التدقيق تسبق ذلك قد تكون مترابطة؟

إذا لم يتم العثور على حدث فصل ولا يزال النفق غير مستقر، فمن الممكن أن تحدث المشكلة أثناء عملية إعادة مفاتيح بسبب عدم تطابق المعايير بين كاتو والنظراء البعيد. تابع الخطوات أدناه لمزيد من التحليل.

 

عرض تاريخ اتصال موقع IPSec

الجدول الزمني المتوفر في الشبكة > الموقع > تكوين الموقع > IPSec ضروري لاستكشاف مواقع IPSec المنفصلة

هام: إذا كان هذا الملف غير متاح في CMA (لم يتم العثور على ملف)، فهذا يعني أن المرحلة الأولى (أو IKE_SA في IKEv2) لم يتم التفاوض معها مع النظراء البعيدين تأكد من أن معايير IKE والمصادقة متطابقة بين النظيرين.

ستقدم CSV الذي يوفره زر الجدول الزمني تاريخاً لملفات السجلات ذات الصلة بالنفق. يمكن لهذه السجلات أن تقدم مؤشرات واضحة على المشكلات التي قد تسبب عدم الاتصال في اتصال IPSec. أمثلة شائعة للرسائل الإرشادية موضحة أدناه:

الرسائل التي تشير إلى أن محددات حركة المرور لا تتطابق هي دليل على عدم تطابق التكوين بين إعدادات المرحلة ٢ للنظراء، وتحديداً بالنسبة للشبكات الفرعية التي ستكون متاحة على كل جانب من جانب النظير البعيد إذا رأيت أخطاء تشير إلى أن هذا هو الحال، قم بالتنقل إلى حل عدم تطابق تكوين IPSec.

تدل الرسائل المذكورة أعلاه أيضًا على عدم تطابق التكوين، هذه المرة مع حمولات المصادقة. بالطبع، يجب أن تتطابق PSK مع هذه الحمولات لكي يكون الاتصال ناجحًا. إذا كانت هذه واضحة في أي محاولة اتصال، قم بالتنقل إلى حل عدم تطابق تكوين IPSec.

يعرض الجدول الزمني أعلاه محاولة اتصال مع نظير مُكون، لم يتلقى أي استجابة. يمكن رؤية أنه في هذا الجدول الزمني لم يحدث أي تفاعل مع النظير، وتم إغلاق SA بسبب عدم النشاط. عادةً يكون هذا هو الحال عندما لا تكون هناك إمكانية الوصول إلى النظير البعيد عبر L3. في هذه الحالات، قم بعرض حل اتصال الأقران.

 

يمكن العثور على قائمة كاملة من رسائل الخطأ الخاصة بالجدول الزمني المحتملة لـ IKEv1 و IKEv2 هنا.

 

استخدم التقاطات الحزم لاستكشاف الأعطال

ملاحظة: عند أخذ التقاطات الحزم، سيتم استبدال IP للPoP الذي قمت بتكوينه للنفق خلف IP داخلي 10.x.y.z.

أيضًا في صفحة الشبكة > الموقع > تكوين الموقع > IPSec توجد أداة التقاط الحزم سوف يساعد ذلك في توفير تتبع الحزم لحركة المرور التحكم بين الأقران. المشاكل المذكورة أعلاه ممثلة أيضًا في هذه التقاطات الحزم:

بالنسبة للشبكات الفرعية غير المطابقة داخل مجموعة التحويل، ستنصح الحزم الإعلامية بوجود خطأ. في هذا المثال IKEv2، الرسالة الإعلامية TS_UNACCEPTABLE هي عرض من أعراض عدم تطابق التكوين داخل مجموعة التحويل.

بالنسبة للمعايير غير المطابقة داخل الجمعية الأمنية، سيشمل أي من الأقران خطًا داخل الحمولة. في هذا المثال IKEv2، الخطأ NO-PROPOSAL-CHOSEN يشير بوضوح إلى أن أحد الخوارزميات أو مجموعات DH المُكونة في CMA لا تتطابق مع تكوين النظير البعيد. يمكن أن يحدث هذا أثناء التأسيس المبدئي للنفق أو عملية إعادة مفاتيح.

أنواع أخرى من عدم توافق التكوينات ممثلة أيضًا في التقاط الحزم. على سبيل المثال، يوضح التقاط أدناه مثال آخر لـ IKEv2، هذه المرة في حيث لم يتطابق PSK المستخدم للمصادقة:

في أي من الحالات أعلاه أو مؤشرات أخرى لعدم توافق التكوين بين الأقران في IKEv1 أو IKEv2، توجه إلى حل عدم توافق تكوين IPSec.

يمكن لتقاط الحزم أيضًا المساعدة في تحديد مشكلات الاتصال على مستوى IP مع الأقران. في المثال أدناه، يظهر التقاط الحزم حركة مرور صادرة باتجاه واحد فقط، مما يشير إلى أن النظير غير قابل للوصول. إذا رأى مسؤول استكشاف الأعطال نظيرًا غير قابل للوصول، انتقل إلى حل اتصال الأقران.

 

استكشاف أداء ضعيف عبر VPN

إذا تم رؤية أداء ضعيف عبر VPN، فإن هذا يأخذ عادةً شكل فقدان الحزم، تأخر عالٍ أو فصل متكرر.

سيتم رؤية فقدان الحزم في حركة المرور التي تمر عبر النفق عبر التطبيقات التي يؤثر عليها ويمكن تأكيده عن طريق اختبار باستخدام مسبار ICMP من مضيف إلى آخر عبر اتصال IPSec.

سيكون تأخر وفصل الأنفاق واضحًا أيضًا في أداء التطبيقات ويمكن أيضًا تحديده عبر صفحة الشبكة > مراقبة الموقع > تحليلات الشبكة للموقع المعني.

إذا تم تحديد مشكلات الأداء، قم بالتنقل إلى حل أداء تحت الطبقة.

فقدان الحزم في Azure IPSec

عند تكوين IPSec مع Azure، يتم تحديد عرض النفق و الحزم في الثانية (PPS) بواسطة SKU الخاص بوابة VPN والخوارزميات المستخدمة. على سبيل المثال، وفقًا لـ وثائق مايكروسوفت، يمكن لبوابة VpnGw3 Generation2، عند استخدام GCMAES256، التعامل مع ما يصل إلى 140,000 حزم في الثانية (PPS).

إذا تجاوزت حركة المرور هذه الحدود، سيقوم Azure تلقائيًا بإسقاط الحزم الزائدة، مما قد يسبب انخفاضًا ملحوظًا في الأداء. أحد الأعراض الشائعة هو انخفاض في الانتاج، الذي قد يظهر في تحليلات الشبكة الخاصة بـ CMA بشكل انخفاض في حجم حركة المرور. ومع ذلك، الطريقة الأكثر دقة لتشخيص ذلك هي عن طريق مراقبة مقاييس بوابة VPN مباشرةً ضمن بوابة Azure، مما يوفر رؤى في الوقت الحقيقي عن سعة النفق و قيم PPS لاتصال VPN المتأثر.

للتخفيف من هذه المشكلة، يمكنك النظر في الترقية إلى SKU IPSec أعلى أو نشر vSocket الخاصة بـ Azure، كلاهما يمكن أن يعزز سعة نفق VPN لديك ويمنع فقدان الحزم بسبب زيادة حركة المرور.

 

حل المشاكل المكتشفة

حل اتصال الأقران

بالنسبة للسيناريوهات التي يكون فيها النظير IPSec لا يرسل حزمًا إلى PoP، يظهر ذلك عبر إدخالات الجدول الزمني أو التقاطات الحزم، يرجى التأكد من تكوين النظير البعيد للاتصال بنفس عنوان IP الذي تم تخصيصه للنفق في CMA.

إذا تم تأكيد هذا التكوين، تأكد من أن النظير البعيد يمكنه تجاوز الاتصالات المستترة بين NAT بواسطة الاستجابة لحركة المرور على المنفذ 4500 وكذلك المنفذ 500. يجب تمكين NAT-T (اجتياز NAT) في النظير البعيد.

إذا كان جهاز النظير البعيد مُكوّنًا للاستجابة لطلبات ICMP عبر الإنترنت، يمكنك أيضًا اختبار وصوله العام من خلال اختبار طلبات ICMP إلى IP العام الخاص بالجهاز.

التحقق من تغيرات الصحة الأخيرة لصفحة الحالة - إذا كانت PoP تعاني من مشاكل، قد يؤثر ذلك على نفق IPSec (كل نفق متصل بموقع PoP واحد خاص بكاتو). يمكنك مراقبة صحة PoP كاتو في صفحة الحالة.

إذا كان النظير البعيد هو بائع سحابة مثل Azure أو AWS، يمكنك أيضًا التحقق من صفحات الحالة الخاصة بهم.

إذا كان جهاز النظير لا يزال غير قابل للوصول لهذا الاتصال IPSec، قم بالاتصال بالمسؤول للتأكد من أنه يمكن الوصول إليه علنًا لاتصالات IPSec.

 

حل عدم توافق تكوين IPSec

تأكد من أن تكوين النظير لمجموعة التحويل يتطابق مع ما تم تكوينه في الصفحة الموقع > IPSec

لتكوين جانب كاتو من النظير ليطابق مجموعة تحويل معينة من النظير، قم بتعديل التكوين كما هو موصوف في الوثائق المرتبطة لـ IKEv1 و IKEv2.

الشبكات الفرعية التي تشمل على كلا الجانبين من النفق أيضا يجب أن تتطابق، تأكد من أن هذا هو الحال. بعض البائعين يتطلب أي جميع الشبكات الفرعية المشمولة في مجموعة التحويل أن تكون موجودة فقط في رسالة مجموعة تحويل واحدة. إذا كان هذا هو الحال بالنسبة لنظير، يجب على المسؤول استخدام خيار التكوين المتقدم "IKEv2 إرسال رسالة TS واحدة لكل حمولة" تحتالموقع > التكوين المتقدم

 

 

 

حل أداء تحت طبقة

  •  

التركيز على حل أداء تحت الطبقة هو لعزل الأداء ضد النظير البعيد.

اختبر قدرة النظير البعيد على التفاعل مع سيرفرات الويب العامة مثل 8.8.8.8. إذا كانت التأخير أو فقدان الحزمة متسقًا مع النفق، يمكن الاستنتاج أن المشكلة موجودة داخل بيئة النظير البعيد.

 

رفع الحالات لدعم كاتو

قدّم تذكرة دعم بالنتائج الخاصة بخطوات استكشاف الأخطاء المذكورة أعلاه. يرجى تضمين المعلومات التالية في التذكرة:

  • إدخالات الجدول الزمني المناسبة مع الطوابع الزمنية
  • التقاطات الحزم ذات الصلة
  • تأكيد تطابق مجموعات التحويل بما في ذلك روابط الشبكات الفرعية ومعايير المصادقة/التشفير

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات