IPsec সাইট সংযোগ সমস্যার সমাধান

সারসংক্ষেপ

সংযোগ হল IPsec এর পিছনের নেটওয়ার্কগুলোর জন্য Cato ক্লাউড দিয়ে WAN এ প্রবেশের জন্য প্রধান। একটি IPsec সাইটের সংযোগের অভাব ব্যবসার কার্যক্রমকে ব্যাহত করতে পারে। এই প্লেবুকটি এই পরিস্থিতিতে সমস্যা সমাধানের জন্য নির্দেশনা দিতে চায়।

লক্ষণ

IPsec সংযোগের ব্যর্থতা নিম্নলিখিত উপায়ে নির্ধারণ করা যেতে পারে। একজন অ্যাডমিনিস্ট্রেটর নিম্নলিখিত লক্ষণগুলি নোট করতে পারেন:

  • IPsec সাইট CMA -তে সংযোগ বিচ্ছিন্ন
  • সংযোগের অস্থিতিশীলতার ইতিহাস
  • IPsec সংযোগের মধ্য দিয়ে যাওয়া ট্রাফিকের জন্য খারাপ পারফরম্যান্স

সম্ভাব্য কারণ

নীতিনির্ধারণের সময় আপনি যেসব সম্ভাব্য কারণ শনাক্ত করতে পারেন তা নিচে দেওয়া হল।

  • পিয়ার সংযোগকারিতা
    • এর মধ্যে রয়েছে L3 আন্ডারলের মাধ্যমে একে অপরের কাছে পৌঁছানোর ক্ষমতা।
  • IPsec কনফিগারেশন অসঙ্গতি
    • ট্রান্সফর্ম সেটস বা প্রমাণীকরণ অসঙ্গতি টানেলগুলো তৈরি করতে সম্পূর্ণ ব্যর্থ হতে পারে বা রিকি সম্পন্ন হওয়ার আগে ব্যর্থ হতে পারে।
  • আন্ডারলে পারফরম্যান্স
    • IPsec সন্তোষজনক পারফরম্যান্সের জন্য স্থিতিশীল আন্ডারলেতে সংযোগের উপর নির্ভর করে।

সমস্যা সমাধান

একজন প্রশাসক যে লক্ষণগুলো সম্মুখীন হতে পারেন তার সমস্যাবিধানের ধাপ নিচে তালিকাভুক্ত করা হয়েছে। এই পদক্ষেপগুলো সমস্যাগুলোর সম্ভাব্য কারণগুলো সনাক্ত করতে উদ্দিষ্ট। সমাধানের পদক্ষেপগুলি পরবর্তী অংশে হাইলাইট করা হবে।

CMA তে আইপিসেক সাইটের সংযোগ বিচ্ছিন্নতা বা অস্থিরতার সমস্যা সমাধান

ইভেন্টগুলি থেকে তথ্য সংগ্রহকরণ

CMA তে গৃহপাতা > ইভেন্ট পৃষ্ঠা ব্যবহার করে, একজন প্রশাসক একটি অ্যাকাউন্টের মধ্যে IPsec সাইটের জন্য সংযোগের ঘটনার ইতিহাস দ্রুত পেতে পারেন। ইভেন্টগুলি 'সাইট সংযোগের অবস্থা' প্রিসেট নির্বাচন করে বা ইভেন্ট প্রকার 'সংযোগ' এবং উপধরণ 'সংযোগ বিচ্ছিন্ন' ফিল্টার করে প্রাসঙ্গিক ইভেন্টগুলিতে ফিল্টার করা যায়। আপনি 'উৎস সাইট' ক্ষেত্র ব্যবহার করে প্রশ্নাধীন সাইটের নামের জন্য আরো ফিল্টার করতে পারেন অথবা সমস্ত IPsec সাইটের জন্য 'IPSEC' টানেল প্রোটোকল মান ব্যবহার করতে পারেন।

 

 

প্রশ্নাধীন সাইট থেকে প্রাসঙ্গিক সংযোগ বিচ্ছিন্নতার ঘটনার সময়রেখা দেখা তদন্তের উপর ফোকাস করতে সাহায্য করতে পারে। এই টাইমস্ট্যাম্প এ কোনো বিস্তৃত নেটওয়ার্কিং ইভেন্ট বা স্থানীয় বিদ্যুৎ ইভেন্ট ঘটে যাওয়া কি কোনো তথ্য পাওয়া গিয়েছে? এর পূর্বে এমন কোনো অডিট ট্রেইল পরিবর্তন রয়েছে যেগুলি সম্পর্কিত হতে পারে?

কোন সংযোগ বিচ্ছিন্নতার ঘটনা পাওয়া না গেলে এবং টানেলটি এখনও অস্থির হিসেবে রিপোর্ট করা হয়, তখন এটি সম্ভব যে সমস্যাটি Cato এবং রিমোট পিয়ারের মধ্যে টানেলের প্যারামিটার না মিলানোর কারণে ঘটে। আরও বিশ্লেষণের জন্য নিচের ধাপগুলি চালিয়ে যান।

 

সাইট IPsec সংযোগ ইতিহাস দেখুন

নেটওয়ার্ক > সাইট > সাইট কনফিগারেশন > IPsec এ উপলভ্য টাইমলাইন সংযোগ বিচ্ছিন্ন IPsec সাইটসমূহ সমস্যার সমাধানের জন্য গুরুত্বপূর্ণ।

গুরুত্বপূর্ণ: যদি এই ফাইলটি CMA তে অনুপলব্ধ থাকে (কোনো ফাইল পাওয়া যায়নি), এটি মানে Phase1 (বা IKE_SA IKEv2 এ) দূরবর্তী পীয়ার এর সাথে আলোচনা করা হয়নি। দুজন পীয়ারের মাঝে IKE এবং প্রমাণীকরণ প্যারামিটারগুলির মিল নিশ্চিত করুন।

টাইমলাইন বাটন দ্বারা প্রদত্ত CSV প্রাসঙ্গিক টানেল লগগুলির ইতিহাস প্রদান করবে। এই লগগুলি IPsec সংযোগে সংযোগ সংকটের সম্ভাব্য বিষয়গুলির স্পষ্ট উদাহরণ প্রদান করতে পারে। প্রতিনিধি বার্তাগুলির সাধারণ উদাহরণ নিচে দেওয়া হল:

বার্তাগুলি যদি ট্রাফিক সিলেক্টরগুলির মিল না খাওয়ার পরামর্শ দেয় তাহলে তা একটি পীয়ারের ক্রম অনুসারে ফেজ 2 সেটিংগুলির কনফিগারেশন মিসম্যাচের প্রমাণ, বিশেষ করে সদ্য পাওয়া সাবনেটগুলি আইপিএসেক পীয়ারিংয়ের প্রতিটি দিকে উপলব্ধ হবে। যদি এই বিষয়টি সহ কোনো ত্রুটি দেখেন, তাহলে IPsec কনফিগার মিসম্যাচ সমাধান এ যান।

উল্লেখিত বার্তাগুলি প্রমাণীকরণ পেয়লোডগুলির সাথে কনফিগারেশন মিসম্যাচ নির্দেশ করে। অবশ্যই, গোপন কীওয়ার্ডকে সংযোগ সফল করার জন্য এই পেয়লোডগুলির সাথে মিলতে হবে। যদি কোনো সংযোগ প্রচেষ্টায় এগুলি স্পষ্ট হয় তবে IPsec কনফিগার মিসম্যাচ সমাধান এ যান।

উপরের সময়রেখা একটি কনফিগার পীয়ারের সাথে একটি সংযোগ প্রচেষ্টার প্রদর্শন করে, যা কোনো প্রতিক্রিয়া পায়নি। এই সময়রেখায় দেখা যায় যে পীয়ারের সাথে কোনো ইন্টারঅ্যাকশন হয়নি এবং নিষ্ক্রিয়তার কারণে SA বন্ধ হয়ে গিয়েছিল। সাধারণত এটি তখন ঘটে যখন দূরবর্তী পীয়ারের কাছে L3 পৌঁছানোর সুযোগ থাকে না। এই ঘটনাগুলির ক্ষেত্রে, পীয়ার সংযোগ স্থিতি সমাধান দেখুন।

 

IKEv1 এবং IKEv2 এর জন্য সম্ভব সময়রেখা ত্রুটি বার্তাগুলির সম্পূর্ণ তালিকা ইনসার্ট করুন থাম্বপ্রিন্ট ৪০ অক্ষরের কোড

 

সমস্যা সমাধানের জন্য প্যাকেট ক্যাপচার ব্যবহার করা হচ্ছে

নোট: প্যাকেট ক্যাপচার নেয়ার সময়, আপনি টানেলের জন্য যেটি PoP আইপি কনফিগার করেছেন তা 10.x.y.z অভ্যন্তরীণ আইপি পেছনে সংক্ষিপ্ত করা হবে।

নেটওয়ার্ক > সাইট > সাইট কনফিগারেশন > IPsec পৃষ্ঠায় প্যাকেট ক্যাপচার টুলও রয়েছে। এটি পীয়ারদের মাঝে নিয়ন্ত্রণ ট্রাফিকের প্যাকেট ট্রেস প্রদান করতে সাহায্য করবে। উপরোক্ত সমস্যাগুলি এই প্যাকেট ক্যাপচারগুলিতেও প্রতিনিধিত্ব করা হয়:

কোনো ট্রান্সফর্ম সেটের মধ্যে সাবনেটগুলির মিল না থাকলে, তথ্যমূলক প্যাকেটগুলি একটি ত্রুটির পরামর্শ দেবেন। এই IKEv2 উদাহরণে, তথ্যমূলক বার্তা TS_UNACCEPTABLE একটি ট্রান্সফর্ম সেটের মধ্যে কনফিগারেশন জন্য একটি মিসম্যাচ প্রতীক হিসাবে বিবেচিত।

নিরাপত্তা অ্যাসোসিয়েশনের মধ্যে প্যারামিটারগুলির মিসম্যাচের ক্ষেত্রে, যেকোনো পীয়ার মিসপেকের পেয়লোডের মধ্যে একটি ত্রুটি অন্তর্ভুক্ত করবে। এই IKEv2 উদাহরণে, ত্রুটি NO-PROPOSAL-CHOSEN স্পষ্টভাবে দেখায় যে CMA তে কনফিগার করা কোন একটি অ্যালগরিদম বা DH গ্রুপ দূরবর্তী পীয়ারের কনফিগারেশনের সাথে মেলে না। এটা টানেলের প্রাথমিক স্থাপনা বা পুনরায় কী প্রক্রিয়ার সময় ঘটতে পারে।

অন্য প্রকারের কনফিগারেশন মিসম্যাচও প্যাকেট ক্যাপচারে প্রদর্শিত হয়। যেমন, নিচের উদাহরণটি একটি IKEv2 এর আরেকটি উদাহরণ দেখায়, এই সময় প্রমাণীকরণের জন্য ব্যবহৃত গোপন কীওয়ার্ড মেলেনি:

IKEv1 বা IKEv2 তে, উপরের উদাহরণগুলির যেকোনো একটিতে বা অন্যান্য কনফিগারেশন অমিলের সূচকগুলোতে, IPsec কনফিগারেশন অমিল সমাধান নেভিগেট করুন।

প্যাকেট ক্যাপচার IP স্তরে পিয়ারদের সাথে সংযোগের সমস্যাগুলি চিহ্নিত করতে সাহায্য করতে পারে। নিচের উদাহরণে, প্যাকেট ক্যাপচার কেবলমাত্র একমুখী, আউটগোয়িং ট্রাফিক দেখায়, যা পিয়ার অধিগম্য নয় বোঝায়। যদি সমস্যার সমাধানের অ্যাডমিনিস্ট্রেটর অপ্রাপ্য পিয়ার দেখেন, তাহলে পিয়ার সংযোগ ক্ষমতা সমাধান নেভিগেট করুন।

 

VPN-এর মাধ্যমে খারাপ পারফরম্যান্স সমাধান করা হচ্ছে

যদি VPN এর মাধ্যমে খারাপ পারফরম্যান্স দেখা যায়, এটি সাধারণত প্যাকেট হ্রাস, উচ্চ বিলম্ব বা ঘন ঘন ডিসকানেকশান আকারে ঘটে।

যে ট্রাফিক টানেলের মাধ্যমে যাচ্ছে সেই ট্রাফিক প্যাকেট হারাতে পারে, যেটা প্রভাবিত অ্যাপ্লিকেশনগুলির মাধ্যমে দেখা যায় এবং IPsec সংযোগের মাধ্যমে এক হোস্ট থেকে অন্য হোস্টে ICMP প্রোব দিয়ে পরীক্ষার মাধ্যমে নিশ্চিত করা যেতে পারে।

বিলম্ব এবং টানেল বিসংযোগ অ্যাপ্লিকেশন পারফরম্যান্সে স্পষ্টভাবে দেখা যাবে এবং এদের সনাক্ত করা যাবে সংশ্লিষ্ট সাইটটির নেটওয়ার্ক > সাইট নিরীক্ষণ > নেটওয়ার্ক বিশ্লেষণ পৃষ্ঠা থেকে।

যদি পারফরম্যান্স সমস্যা চিহ্নিত হয়, তাহলে আন্ডারলে পারফরম্যান্স সমাধান নেভিগেট করুন।

Azure IPSec-এ প্যাকেট ড্রপ

Azure-এর সাথে IPSec কনফিগার করার সময়, টানেল থ্রুপুট এবং প্রতি সেকেন্ডে প্যাকেটস (PPS) VPN গেটওয়ের SKU এবং ব্যবহৃত এনক্রিপশন অ্যালগরিদম দ্বারা নির্ধারিত হয়। উদাহরণস্বরূপ, Microsoft-এর ডকুমেন্টেশন অনুযায়ী, VpnGw3 Generation2 গেটওয়ে, যখন GCMAES256 ব্যবহার করা হয়, ১,৪০,০০০ পর্যন্ত প্রতি সেকেন্ডে প্যাকেটস (PPS) পরিচালনা করতে পারে।

যদি ট্রাফিক এই থ্রেশহোল্ডগুলি অতিক্রম করে, Azure স্বয়ংক্রিয়ভাবে অতিরিক্ত প্যাকেটগুলি ড্রপ করবে, যা পারফরম্যান্সের একটি লক্ষণীয় অবনতি ঘটাতে পারে। একটি সাধারণ উপসর্গ হ'ল থ্রুপুটের হ্রাস, যা CMA-এর নেটওয়ার্ক বিশ্লেষণে ট্রাফিক ভলিউমে হ্রাস হিসাবে উপস্থিত হতে পারে। তবে, এটি নির্ণয়ের একটি আরো সঠিক উপায় হলো সরাসরি Azure পোর্টালের মধ্যে VPN গেটওয়ে মেট্রিক মনিটর করা, যেটি টানেল থ্রুপুট এবং প্রভাবিত VPN সংযোগের PPS মানগুলির রিয়েল-টাইম অন্তর্দৃষ্টি প্রদান করে।

এই সমস্যাটি প্রশমিত করার জন্য, আপনি হয় একটি উচ্চতর IPSec SKU-তে আপগ্রেড করুন অথবা একটি Azure vSocket তৈরি করুন, উভয়েই আপনার VPN টানেলের ক্ষমতা উন্নত করতে পারে এবং ট্রাফিকের অতিরিক্ত চাপের কারণে প্যাকেট ড্রপ এড়াতে পারে।

 

আবিষ্কৃত সমস্যা সমাধান করা হচ্ছে

পিয়ার সংযোগ ক্ষমতা সমাধান

সেই পরিস্থিতিগুলির জন্য যেখানে IPsec পিয়ার প্যাকেটগুলি PoP-এ প্রেরণ করছে না, যা টাইমলাইন এন্ট্রি বা প্যাকেট ক্যাপচারগুলির মাধ্যমে প্রদর্শিত হয়, অনুগ্রহ করে নিশ্চিত করুন যে দূরবর্তী পিয়ারটি সেই একই IP ঠিকানায় সংযোগ করার জন্য কনফিগার করা হয়েছে যা CMA-তে টানেলটির জন্য বরাদ্দ করা হয়েছে।

যদি এই কনফিগারেশন নিশ্চিত করা হয়, তাহলে নিশ্চিত করুন যে রিমোট পীয়ার NAT দ্বারা সীমাবদ্ধ সংযোগগুলি অতিক্রম করতে পারে পোর্ট 4500 এবং পোর্ট 500-এ ট্রাফিকের প্রতিক্রিয়া জানিয়ে। NAT-T (NAT Traversal) রিমোট পীয়ারে সক্রিয় করা উচিত।

যদি রিমোট পীয়ার ডিভাইস ইন্টারনেটে ICMP অনুরোধের জন্য সাড়া দিতে কনফিগার করা হয়, তবে ডিভাইসটির সার্বজনীন আইপি-তে ICMP অনুরোধ পরীক্ষা করে এর সাধারণ পৌঁছানোর ক্ষমতাও পরীক্ষা করতে পারেন।

সাম্প্রতিক স্ট্যাটাস পৃষ্ঠার স্বাস্থ্য পরিবর্তনের জন্য পরীক্ষা করুন - যদি PoP সমস্যায় পড়ে, তাহলে এটি IPsec টানেলকে প্রভাবিত করতে পারে (প্রতিটি টানেল এক ক্যাটো PoP অবস্থানে সংযুক্ত হয়)। আপনি স্ট্যাটাস পৃষ্ঠাতে ক্যাটো PoP স্বাস্থ্য নিরীক্ষণ করতে পারেন।

যদি রিমোট পীয়ার Azure বা AWS এর মতো ক্লাউড ভেন্ডর হয়, তবে আপনি তাদের স্ট্যাটাস পৃষ্ঠাগুলি পরীক্ষা করতে পারেন।

যদি এই IPsec সংযোগের জন্য পীয়ার ডিভাইস এখনও অপ্রাপ্য হয়, তখন প্রশাসকের সাথে যোগাযোগ করুন এটি নিশ্চিত করতে যে এটি IPsec সংযোগের জন্য সর্বজনীনভাবে উপলব্ধ।

 

IPsec কনফিগারেশন অসামঞ্জস্য সমাধান করা

নিশ্চিত করুন যে ট্রান্সফর্ম সেটের জন্য পীয়ার কনফিগারেশনটি সাইট > IPsec পৃষ্ঠায় কনফিগার করা সেটের সাথে মেলে।

যদি পীয়ারের নির্দিষ্ট ট্রান্সফর্ম সেটের সাথে মিলানো হয়, তাহলে ক্যাটোর পীয়ারিং পাশ কনফিগার করুন, IKEv1 এবং IKEv2 এর জন্য লিঙ্ককৃত ডকুমেন্টেশনে বর্ণিত কনফিগারেশন সম্পাদনা করুন।

টানেলের উভয় দিকে অন্তর্ভুক্ত সাবনেটগুলিও মেলানো প্রয়োজন, নিশ্চিত করুন যে এটাই পরিস্থিতি। কিছু ভেন্ডর সব সাবনেটকে শুধুমাত্র একক ট্রান্সফর্ম সেট বার্তায় অন্তর্ভুক্ত করতে অনুরোধ করে। যদি পীয়ারের এই অবস্থা থাকে, তবে একজন প্রশাসক সাইট > উন্নত কনফিগারেশন এর অধীনে 'IKEv2 প্রতিটি পেলোডে একক TS পাঠান' উন্নত কনফিগারেশন বিকল্প ব্যবহার করা উচিত। 

 

 

 

আন্ডারলে পারফরম্যান্স সমাধান করা

  •  

আন্ডারলে পারফরম্যান্স সমাধানের জন্য লক্ষ্য হল রিমোট পীয়ারের বিরুদ্ধে পারফরম্যান্স বিচ্ছিন্ন করা।

রিমোট পীয়ারের পাবলিক ওয়েব সার্ভার 8.8.8.8 কে পিং করার ক্ষমতা পরীক্ষা করুন। যদি বিলম্ব বা প্যাকেট ক্ষতি টানেলের সাথে সঙ্গতিপূর্ণ থাকে, তবে উপসংহার করা যায় যে সমস্যা রিমোট পীয়ারের পরিবেশে বিদ্যমান।

 

কাটো সাপোর্টে কেস উত্থাপন করা

উপরে উল্লিখিত সমস্যা সমাধানের ধাপের ফলাফল সহ একটি সাপোর্ট টিকেট জমা দিন। টিকেটে নিম্নলিখিত তথ্য অন্তর্ভুক্ত করুন:

  • টাইমস্ট্যাম্প সহ প্রাসঙ্গিক সময়রেখা এন্ট্রি
  • প্রাসঙ্গিক প্যাকেট ক্যাপচার
  • মেলানো ট্রান্সফর্ম সেটের নিশ্চয়তা, সাবনেট সহযোগিতা এবং অথেনটিকেশন/এনক্রিপশন প্যারামিটারসমূহ অন্তর্ভুক্ত করা

Was this article helpful?

0 out of 0 found this helpful

0 comments