IPsec कनेक्टिविटी समस्याओं का समाधान

अवलोकन

IPSec टनल के विफल होने का कारण कई अलग-अलग कारक हो सकते हैं, जैसे गलत कॉन्फ़िगरेशन, गलत रूटिंग या संभावित हार्डवेयर समस्याएं। यह लेख विभिन्न उपकरणों का वर्णन करता है जिनका उपयोग आप टनल कनेक्टिविटी मुद्दों की जड़ कारण की जांच और पहचान के लिए कर सकते हैं और फिर उन्हें सही करने के लिए कर सकते हैं।

Cato प्रबंधन अनुप्रयोग में IPSec टनल समस्या निवारण

साइट के लिए IPsec अनुभाग में साइट के कनेक्टिविटी समस्याओं को हल करने के लिए उपयोग किए जा सकने वाले उपकरण होते हैं, जिनमें शामिल हैं: 

  • टाइमलाइन कनेक्शन लॉग
  • ट्रैफ़िक कैप्चर (PCAP)
  • कनेक्शन स्थिति
  • टनल रीसेट करें 

ये उपकरण IPSec साइट प्रकारों (IKEv1, IKEv2) के लिए उपलब्ध हैं और इन्हें प्राथमिक और द्वितीयक टनलों के लिए उपयोग किया जा सकता है।

नोट: समस्या निवारण उपकरण IPSec IKEv1 FW-init के लिए समर्थित नहीं हैं।

IPsec अनुभाग दिखाने के लिए, साइट कॉन्फ़िगरेशन > IPSec पर जाएं।

टाइमलाइन कनेक्शन लॉग

टाइमलाइन कनेक्शन लॉग हाल की घटनाओं का एक रिकार्ड है और यह अंतिम उपयोगकर्ता को टनल स्थिति का "इतिहास" प्रदान करता है जो एक जांच के दौरान सहायक हो सकता है।

जब आप टाइमलाइन डाउनलोड करते हैं, तो आपको दो CSV फाइल्स (सक्रिय और संग्रह टाइमलाइन) मिलती हैं जिनमें IPSec परामर्श परिवर्तन के कालक्रमिक लॉग्स होते हैं।

यह पठनीय प्रारूप आपको यह पहचानने में आसानी देता है कि बदलाव कब हुए और उनके कारण क्या थे।

image.png

नोट: टाइमलाइन लॉग्स उपयोग में आसानी के लिए UTC समय क्षेत्र में दिखाई देते हैं।

 टाइमलाइन लॉग्स डाउनलोड करने के लिए, IPsec साइट के प्राथमिक या द्वितीयक अनुभाग को विस्तारित करें और टाइमलाइन पर क्लिक करें।

टाइमलाइन लॉगिंग सीमाएं

  • सक्रिय टाइमलाइन फ़ाइल के लिए अधिकतम लॉग रिकॉर्ड - 100
  • संग्रह टाइमलाइन फ़ाइल के लिए अधिकतम लॉग रिकॉर्ड - 300
  • यदि टनल डाउन है, तो केवल संग्रह टाइमलाइन फ़ाइल उपलब्ध है।

ट्रैफ़िक कैप्चर (PCAP)

एक पैकेट कैप्चर यह बताने के लिए कम-स्तरीय विश्लेषण प्रदान करता है कि टनल पर क्या हो रहा है। यह गहराई से जांच के लिए सहायक है। Cato प्रबंधन एप्लिकेशन आपको IPSec कनेक्शन के लिए उपयोग किए गए संबंधित Cato PoP से PCAP डाउनलोड करने की अनुमति देता है।

दो PCAP फाइल्स (सक्रिय और संग्रह PCAPs) डाउनलोड किए जाते हैं। फाइल्स में टनल को पार करने वाले प्रत्येक पैकेट के लिए विवरण होते हैं साथ ही प्रोटोकॉल, पोर्ट, संदेश प्रकार और अधिक। 

image.png

ट्रैफ़िक कैप्चर सीमाएं

  • PCAP टाइमफ़्रेम आपके स्थानीय होस्ट मशीन सेटिंग्स के अनुसार दिखाई देता है।
  • यदि टनल डाउन है, तो केवल संग्रह PCAP फाइल उपलब्ध है।

  • IKEv1 maximum packet size:

    • सक्रिय PCAP - 512 पैकेट
    • संग्रह PCAP - 1024 पैकेट

  • IKEV2 अधिकतम पैकेट आकार:

    • सक्रिय PCAP - 256 पैकेट्स
    • आर्काइव PCAP - 1024 पैकेट्स

कनेक्शन स्थिति

कनेक्शन स्थिति उपकरण आपके IPSec साइट का स्थिति सारांश प्रस्तुत करता है। जब आप कनेक्शन स्थिति बटन पर क्लिक करते हैं, तो डेटा का अंतिम उपलब्ध स्नैपशॉट प्राप्त कर स्क्रीन पर प्रदर्शित किया जाता है।

यदि साइट डिस्कनेक्ट हो गई है, तो कनेक्शन स्थिति नहीं प्राप्त की जाती है।

image.png

कनेक्शन स्थिति में प्रत्येक IPSec टनल के लिए निम्नलिखित सारांश फ़ील्ड शामिल हैं:

  • साइट का नाम
  • खाता का नाम
  • स्थानीय पता
  • पीयर पता
  • अंतिम IKE SA स्थापित
  • अंतिम ESP SA स्थापित
  • प्रारंभ संदेश पैरामीटर (प्रोटोकॉल, DH समूह, एन्क्रिप्शन एल्गोरिथम, एन्क्रिप्शन कुंजी लंबाई, PRF एल्गोरिथम, अखंडता एल्गोरिथम)
  • प्रमाणन संदेश पैरामीटर (प्रोटोकॉल, DH समूह, एन्क्रिप्शन एल्गोरिथम, एन्क्रिप्शन कुंजी लंबाई, अखंडता एल्गोरिथम)
  • कनेक्शन IKE SAs (SPI प्रारंभकर्ता, SPI प्रतिसादक, स्थानीय पोर्ट, पीयर पोर्ट, वर्तमान चरण, टाइमस्टैम्प)
  • IKE कनेक्शन एल्गोरिथम (DH लंबाई, PRF एल्गोरिथम, अखंडता एल्गोरिथम, सिफर एल्गोरिथम, GCM एन्क्रिप्शन)
  • ध्वज
  • कनेक्शन ESP SAs (SPI प्रारंभकर्ता, SPI प्रतिसादक, टाइमस्टैम्प, IKE SPI डेटा, अंदर आने वाले और बाहर जाने वाले डेटा पैकेट्स)
  • ESP कनेक्शन एल्गोरिथम (DH लंबाई, अखंडता एल्गोरिथम, सिफर एल्गोरिथम, GCM एन्क्रिप्शन)
  • ध्वज

IPSec टनल को रीसेट करना

आप जुड़े हुए PoP को दूरस्थ पीयर पते के साथ IPSec टनल को रीसेट करने के लिए ट्रिगर कर सकते हैं। टनल रीसेट करना साइट के लिए कनेक्शन को फिर से स्थापित करने में मदद कर सकता है।

IPsec टनल को रीसेट करने के लिए, IPsec साइट के प्राथमिक या द्वितीयक अनुभाग का विस्तार करें और टनल रीसेट करें क्लिक करें।

रीसेट की सीमाएँ

  • IKEv1 टनल - रीसेट करना तुरंत होता है।
  • IKEv2 टनल - कनेक्टिविटी को फिर से स्थापित करने में रीसेट करने में दो मिनट तक लग सकते हैं।
  • यदि उच्च उपलब्धता कॉन्फ़िगर की गई है, तो BGP स्विचओवर हो सकता है।
  • यदि टनल FW-प्रारंभित है (रिमोट पीयर द्वारा प्रारंभित), तो आपको सुनिश्चित करने की आवश्यकता है कि टनल रिमोट पीयर साइड पर फिर से स्थापित है (जब टनल डाउन हो जाती है, तो रीसेट बटन अक्षम हो जाता है)।

सामान्य IPSec ट्रबलशूटिंग प्रथाएं

निम्नलिखित अनुभाग में शामिल सामान्य चरण दिए गए हैं, जिन्हें आपको एक IPSec टनल के मुद्दों की जांच करते समय ध्यान में रखना चाहिए।

नोट: ये चरण पैकेट नुकसान समस्याओं से संबंधित नहीं हैं।

  1. हाल के स्थिति पृष्ठ के स्वास्थ्य परिवर्तन की जाँच करें - यदि PoP समस्याओं का सामना कर रहा है, तो यह IPSec टनल को प्रभावित कर सकता है (प्रत्येक टनल एक Cato PoP स्थान से जुड़ा होता है)। आप Cato PoPs की स्वास्थ्य स्थिति को स्थिति पृष्ठ पर मॉनिटर कर सकते हैं। 

    यदि रिमोट पीयर एक क्लाउड विक्रेता है जैसे कि Azure या AWS, तो आप उनके स्थिति पृष्ठों की भी जांच कर सकते हैं।

  2. रिमोट IPSec फ़ायरवॉल कॉन्फ़िगरेशन एकत्र करें।

    • टनल को कौन प्रारंभ करने के लिए सेट किया गया है?
    • क्या रिमोट फ़ायरवॉल पर IPSec कॉन्फ़िगरेशन Cato प्रबंधन अनुप्रयोग पर IPSec कॉन्फ़िगरेशन से मेल खाता है? (यानि IKE संदेश पैरामीटर मेल खाते हैं?)
    • Cato प्रबंधन अनुप्रयोग में कनेक्शन स्थिति की समीक्षा करें।
    • क्या रिमोट IPSec फ़ायरवॉल पर NAT-T सक्षम है?

  3. रिमोट IPSec फ़ायरवॉल पर लॉग्स और PCAPs एकत्र करें और Cato प्रबंधन अनुप्रयोग पर टाइमलाइन और PCAPs।

    • किसी भी असामान्यताओं के लिए लॉग्स की समीक्षा करें, क्या रिमोट फ़ायरवॉल टाइमस्टैम्प Cato से डाउनलोड की गई घटनाएँ और टाइमलाइन लॉग्स से मेल खाते हैं? 
    • पैकेट-दर-पैकेट संचार के लिए PCAPs की समीक्षा करें।
  4. ट्रैफ़िक चयनकर्ताओं की समीक्षा करें - क्या टनल नीति-आधारित है या रूट-आधारित?

  5. Cato प्रबंधन अनुप्रयोग में सामान्य साइट कॉन्फ़िगरेशन की समीक्षा करें:

    • क्या यह एक उच्च उपलब्धता सेटअप है? यदि हाँ, तो BGP स्थिति क्या है?
    • क्या PSK मिसमैच है? (PSK 64 वर्णों तक समर्थित है)
  6. Cato प्रबंधन अनुप्रयोग में टनल रीसेट करें।
  7. अपने खाते प्रतिनिधि से संपर्क करें या Cato समर्थन के लिए एक टिकट खोलें।

टाइमलाइन लॉग असफलता कनेक्टिविटी संदेश

इस अनुभाग में IPSec टाइमलाइन लॉग्स में असफलता संदेशों की एक सूची शामिल है।

IKEv1:

"कोई समर्थित p1 परिवर्तन नहीं" 
"चुना गया P1 परिवर्तन XXX है और यह वर्तमान कॉन्फ़िगरेशन से मेल नहीं खाता" - p1 मिसमैच 
"कोई समर्थित p2 परिवर्तन नहीं"
"चुना गया चरण 2 परिवर्तन XXX है और यह वर्तमान कॉन्फ़िगरेशन से मेल नहीं खाता"
"चुना गया चरण 2 परिवर्तन XXX है और यह वर्तमान AWS कॉन्फ़िगरेशन टेम्पलेट से मेल नहीं खाता" - यदि AWS उपयोग में है
"इस कनेक्शन के लिए कोई उपयुक्त साथी नहीं मिल सका - यादृच्छिक उपयोग कर रहा है, त्रुटियों की अपेक्षा करें"
"कॉन्फ़िगरेशन मिसमैच: FW बिना स्थानीय सबनेट के कनेक्ट करने की कोशिश कर रहा है जबकि साइट सबनेट्स के साथ कॉन्फ़िगर की गई है"
"FW स्थानीय सबनेट <> के साथ एक Cato प्रारंभ साइट से कनेक्ट करने की कोशिश कर रहा है लेकिन साइट का <site_id> स्थानीय 0.0.0.0/0 के साथ है"
"स्थानीय सबनेट " <subnet details> " साइट में कॉन्फ़िगर नहीं है"

IKEv2:

IKEV2_CONN_CLOSE_REASON__UNKNOWN = 0
IKEV2_CONN_CLOSE_REASON__TIMEOUT = 1
IKEV2_CONN_CLOSE_REASON__CONFIG_MISMATCH = 2
IKEV2_CONN_CLOSE_REASON__CONFIG_CHANGED = 3
IKEV2_CONN_CLOSE_REASON__SITE_REMOVED = 4
IKEV2_CONN_CLOSE_REASON__NO_PEER_PROPOSAL_SELECTED = 5
IKEV2_CONN_CLOSE_REASON__USER_REQUEST = 6
IKEV2_CONN_CLOSE_REASON__TUNNEL_CREATION_FAILURE = 7

क्या यह लेख उपयोगी था?

0 में से 0 के लिए उपयोगी रहा

0 टिप्पणियां