XOps Network Playbook - فشل في المرحلة 2 من IPsec

هذا الكتيب يصف خطوات لحل المشكلات عند اكتشاف فشل في المرحلة 2 من IPsec.

نظرة عامة

يوضح هذا الكتيب كيفية التعرف على حدوث فشل في المرحلة 2 من IPsec ويعرض الخطوات التي يمكنك اتخاذها لحل هذه المشكلة.

الأعراض

  • فقدان الاتصال
  • اضطراب في حركة المرور

الخطوة 1 - تحقق من حدوث الفشل

التالي يوضح الطرق المختلفة التي يمكن لمشرف تطبيق إدارة Cato استخدامها للتحقق من حدوث فشل في المرحلة 2 من IPsec.

استخدام التحليل المتعمق للقصة

  • اذهب إلى صفحة ورشة عمل القصص واضبط المنتج على عمليات الحساب، بما في ذلك الفلتر 'إشارة في فشل المرحلة 2 من IPsec'. عدل الإطار الزمني عند الضرورة.
    ipsec-story-drilldown.jpg
  • تحقق من أنه تم إنشاء قصة كما يظهر أدناه.
    ipsec-story-example.jpg
  • انقر على القصة للغوص في التفاصيل. يوفر معلومات عن حالة القصة، وموعد الحادثة.
    story-drilldown.jpg

مراجعة الجدول الزمني للنفق

اذهب إلى الموقع المناسب، وفي تبويب IPsec انقر على الجدول الزمني لتحميل ملف CSV. راجع الملف لتأكيد القصة.
ipsec-csv.jpg
في المثال أعلاه يمكننا رؤية خطأ NO_PROPOSAL_CHOSEN يظهر.

 

الخطوة 2 - حل المشكلات المكتشفة

التالي يظهر الطرق المختلفة التي يمكن لمشرف تطبيق إدارة Cato حل المشكلات المكتشفة في فشل المرحلة 2 من IPsec.

لا خيار مقترح

في تطبيق إدارة Cato، اذهب إلى تبويب IPsec الخاص بالموقع وراجع التكوين.

  • بالنسبة لأنفاق IPsec IKEv1 (بداية Cato)، تحقق من أن معلمات المرحلة 2 تتوافق مع الإعدادات على الجدار الناري الخاص بك.
  • إذا كنت بحاجة لتأكيد المعلمات المحددة التي يقترحها Cato، حمّل ملف PCAP وتفحص رسالة الوضع السريع لتحويل الحمولة داخل اقتراح الحمولة. سيظهر هذا التشفير والسلامة والتوثيق المختار، وغيرها من السمات التي يقدمها المبادر.
  • بالنسبة لـ IPsec IKEv2 – في تطبيق إدارة Cato، انتقل إلى تبويب IPsec الخاص بالموقع واستعرض معلمات رسالة التهيئة ومعلمات رسالة التوثيق. عدل التكوين لضمان مطابقته للإعدادات على الجدار الناري الخاص بك.
  • لتأكيد المعلمات المقترحة، حمّل ملف PCAP وافحص رسالة IKE_AUTH التي تحتوي على CHILD_SA الاقتراح. داخل حملية الربط الأمني، راجع تحويل الحملية لرؤية التشفير، السلامة، PFS (مجموعة DH)، وغيرها من السمات التي يقدمها الزميل المقترح لـ CHILD_SA.
    • إذا كان وضع الاتصال مضبوطًا على المستجيب فقط، أعد بدء الجلسة من الجدار الناري الخاص بك بعد تغيير التكوين.

TS غير مقبولة

في تطبيق إدارة Cato، انتقل إلى تبويب IPsec الخاص بالموقع وانقر على زر PCAP لتحميل الملف.

  • راجع ملف PCAP وابحث عن آخر حمولة استجابة مبادر/مستجيب لـ TS_UNACCEPTABLE.
    ts_unacceptable.jpg
  • في PCAP، راجع حزم IKE_AUTH_MID السابقة لحمولة مختارة لحركة المرور (المبادر والمستجيب) وقارن النطاقات IP المدرجة مع النطاقات IP المدرجة تحت علامة التبويب التوجيه في قسم IPsec الخاص بالموقع في تطبيق إدارة Cato.
  • لحل المشكلة إما بإزالة أو إضافة النطاقات IP المطلوبة.
  • عند استخدام IPsec مع IKEv1، قد تواجه رسالة بيانات تعريف غير صالحة أثناء التفاوض في المرحلة 2. تشير هذه الرسالة عادةً إلى أن الزملاء VPN يستخدمون نطاقات IP مختلفة للنفق. ضمان تحديد الجانبين نطاقات فرعية محلية وبعيدة متطابقة سيحل هذه المشكلة وسيسمح بإنشاء الاتصال بنجاح.

ملاحظة: عند إنشاء CHILD_SA، يرسل Cato عدة مختارات لحركة المرور (TS) في نفس حمولة TS وفقًا لـ RFC 7295. بعض الحلول من الجهات الخارجية، مثل Cisco ASA، تدعم فقط TS واحدة في كل CHILD_SA. سيرسل Cisco ASA رسالة TS_UNACCEPTABLE ردًا على اقتراح Cato بإنشاء CHILD_SA مع عدة TS.

يمكنك تكوين حسابك أو الموقع المحدد ل IPsec IKEv2 لإرسال كل TS في حزمة منفصلة لدعم التشغيل المتبادل مع هذه الحلول الخارجية عن طريق تمكين هذا التكوين تحت تكوين الموقع > التكوين المتقدم.

رفع الحالات إلى دعم Cato

إذا لم يحل اتباع هذا الدليل المشكلة، قدم تذكرة دعم. لحصول على الرد الأكثر فائدة على الطلب، يجب على المسؤول تقديم نتائج خطوات استكشاف الأخطاء وإصلاحها المتخذة.

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات