IPsec साइट कनेक्टिविटी समस्या निवारण

अवलोकन

IPsec के पीछे के नेटवर्क के लिए Cato क्लाउड के माध्यम से WAN तक पहुँच के लिए कनेक्टिविटी बहुत महत्वपूर्ण है। IPsec साइट की कनेक्टिविटी की कमी व्यवसायिक कार्यों को बाधित कर सकती है। यह प्लेबुक इस परिदृश्य में समस्या निवारण का मार्गदर्शन करने का प्रयास करता है।

लक्षण

IPsec कनेक्टिविटी की विफलता निम्नलिखित तरीकों से निर्धारित की जा सकती है। एक प्रशासक निम्नलिखित लक्षणों को नोट कर सकता है:

IPsec साइट CMA में डिस्कनेक्ट है
कनेक्शन में अस्थिरता का इतिहास
IPsec कनेक्शन से गुजरने वाले ट्रैफ़िक के लिए खराब प्रदर्शन

संभावित कारण

नीचे दी गईं संभावित कारण हैं जिन्हें आप समस्या निवारण करते समय पहचान सकते हैं।

साथी कनेक्टिविटी
- इसमें साथियों के लिए L3 अंडरले के माध्यम से लगातार एक-दूसरे तक पहुँचने की क्षमता शामिल है।
IPsec कॉन्फ़िगरेशन मिसमैच
- ट्रांसफॉर्म सेट या प्रमाणीकरण के मिसमैच टनल्स को बन नहीं पाने या रीकी पूर्ण होने से पहले असफल होने का कारण बन सकते हैं
अंडरले प्रदर्शन
- IPsec टनल के अंदर संतोषजनक प्रदर्शन के लिए एक स्थिर अंडरले कनेक्शन पर निर्भर करता है।

नोट: खातों के लिए जिनमें IPsec साइट्स हैं, यदि RPF नियम के बाहरी आईपी्स IPsec साइट के IP पतों से ओवरलैप करते हैं, तो सुनिश्चित करें कि नियम IPsec टनल पोर्ट्स UDP/500 और UDP/4500 को छोड़कर हैं।

समस्या का समाधान

नीचे सूचीबद्ध हैं वे कदम जो समस्याओं का सामना करते समय एक प्रशासक द्वारा सुधार के लिए उठाए जा सकते हैं। इन कदमों का उद्देश्य सामना किए गए मुद्दों के संभावित कारणों की पहचान करना है। समाधान के कदम बाद में प्लेबुक में उजागर किए जाएंगे।

CMA में डिस्कनेक्टेड या अस्थिर IPSec साइट का समस्या निवारण

घटनाओं से जानकारी एकत्र करना

CMA में होम > घटनाएं पृष्ठ का उपयोग करते हुए, प्रशासक एक खाते के भीतर IPsec साइट्स के लिए कनेक्टिविटी घटनाओं का इतिहास शीघ्रता से प्राप्त कर सकता है। इवेंट्स को 'साइट कनेक्टिविटी स्थिति' प्रीसेट का चयन कर या इवेंट प्रकार 'कनेक्टिविटी' और उप-प्रकार 'डिस्कनेक्टेड' के लिए फ़िल्टर करके प्रासंगिक इवेंट्स में बदला जा सकता है। आप 'स्रोत साइट' फ़ील्ड के साथ प्रश्नाधीन साइट के नाम के लिए आगे फ़िल्टर कर सकते हैं या सभी IPsec साइट के लिए 'IPSEC' टनल प्रोटोकॉल मान का उपयोग कर सकते हैं।

प्रश्नाधीन साइट से प्रासंगिक डिस्कनेक्शन इवेंट के समय टिकट को देखने से जांच पर ध्यान केंद्रित करने में मदद मिल सकती है। क्या इस समय टिकट पर कोई व्यापक नेटवर्किंग घटनाएं या स्थानीय पावर घटनाएं ज्ञात हैं? क्या इस समय से पूर्व कोई लेखा परीक्षा ट्रेल परिवर्तन है जो संबंधित हो सकता है?

यदि कोई डिस्कनेक्ट इवेंट नहीं मिला और टनल अभी भी अस्थिर बताई जाती है, तो यह संभव है कि समस्या केटो और रिमोट पीयर के बीच पैरामीटर मिसमैच के कारण रिके प्रक्रिया के समय हो रही है। आगे के विश्लेषण के लिए नीचे दिए गए चरणों के साथ जारी रखें।

साइट IPsec कनेक्शन इतिहास देखना

महत्वपूर्ण: यदि यह फाइल CMA में उपलब्ध नहीं है (फाइल नहीं मिली), तो इसका मतलब है कि चरण 1 (या IKE_SA in IKEv2) रिमोट साथी के साथ संपादित नहीं किया गया है। पुष्टि करें कि IKE और प्रमाणीकरण पैरामीटर दो साथियों के बीच मेल खाते हैं।

नेटवर्क > साइट > साइट कॉन्फ़िगरेशन > IPsec में उपलब्ध टाइमलाइन डिस्कनेक्टेड IPsec साइट्स की समस्या निवारण के लिए अत्यावश्यक है

टाइमलाइन बटन द्वारा प्रदत्त CSV संबंधित टनल लॉग्स का इतिहास देगा। ये लॉग्स उन समस्याओं के स्पष्ट संकेत प्रदान कर सकते हैं जो IPsec कनेक्शन में कनेक्टिविटी की कमी का कारण हो सकती हैं। संकेतात्मक संदेशों के सामान्य उदाहरण नीचे दिए गए हैं:

संदेश जो संकेत देते हैं कि ट्रैफ़िक चयनकर्ता मेल नहीं खाते हैं, वे समकक्षों की चरण 2 सेटिंग्स के बीच, विशेष रूप से उन सबनेट्स के संबंध में जो प्रत्येक पक्ष के आईपीसेक समकक्षी पर उपलब्ध होंगी, का कॉन्फ़िगरेशन असंगति का प्रमाण हैं। यदि आपको ऐसे त्रुटियाँ मिलती हैं, तो IPsec कॉन्फ़िगरेशन असंगति को हल करना पर जाएं।

ऊपर के संदेश भी एक कॉन्फ़िगरेशन असंगति को दर्शाते हैं, इस बार प्रमाणीकरण पेलोड्स के साथ। बिना संदेह, पीएसके को कनेक्शन के सफल होने के लिए इन पेलोड्स के साथ मेल खाना चाहिए। यदि ये किसी भी कनेक्शन प्रयास में स्पष्ट हैं, तो IPsec कॉन्फ़िगरेशन असंगति को हल करना पर जाएं।

ऊपर की समयरेखा एक विन्यासित पीयर के साथ एक कनेक्शन के प्रयास को प्रदर्शित करती है, जो प्रतिक्रिया नहीं प्राप्त हुई। इस समयरेखा में देखा जा सकता है कि कोई साथी के साथ इंटरैक्शन नहीं हुआ, और निष्क्रियता के कारण SA बंद कर दिया गया। यह सामान्यतः तब होता है जब रिमोट सहकर्मी तक L3 पहुँच नहीं होती है। इन उदाहरणों में, सहकर्मी कनेक्टिविटी का समाधान करना देखें।

IKEv1 और IKEv2 के लिए संभावित समयरेखा त्रुटि संदेशों की पूरी सूची यहां पाई जा सकती है।

समस्या निवारण के लिए पैकेट कैप्चर का उपयोग करना

नोट: जब पैकेट कैप्चर लेते हैं, तो आपके द्वारा टनल के लिए विन्यस्त PoP आईपी 10.x.y.z आंतरिक IP के पीछे सारांशित किया जाएगा।

इसके अतिरिक्त, नेटवर्क > साइट > साइट कॉन्फ़िगरेशन > IPsec पृष्ठ में पैकेट कैप्चर टूल है। यह पैकेट कैप्चर टूल साथियों के बीच नियंत्रण ट्रैफिक के पैकेट ट्रेस देने में मदद करेगा। ऊपर हाइलाइट किए गए मुद्दे भी इन पैकेट कैप्चर में दर्शाए जाते हैं।

TS_UNACCEPTABLE

इलाके मिसमैच की स्थिति में ट्रांसफॉर्म सेट के भीतर, सूचनात्मक पैकेट त्रुटि का संकेत देंगे। इस IKEv2 उदाहरण में, सूचनात्मक संदेश TS_UNACCEPTABLE ट्रांसफॉर्म सेट के भीतर कॉन्फ़िगरेशन के मिसमैच का संकेत है। इस समस्या को हल करने के लिए, IPsec कॉन्फ़िगरेशन के मिसमैच को सुलझाना पर जाएं।

NO_PROPOSAL_CHOSEN

सुरक्षा संघ में असमंजस मापदंडों के लिए, किसी भी सहकर्मी त्रुटि को पेलोड में शामिल करेगा। इस IKEv2 उदाहरण में, त्रुटि NO-PROPOSAL-CHOSEN स्पष्ट रूप से संकेत करता है कि CMA में विन्यासित किया गया एल्गोरिदम या DH समूहों में से एक रिमोट सहकर्मी की कॉन्फ़िगरेशन से मेल नहीं खाता है। यह प्रारंभिक टनल स्थापना या पुनःकुंजी प्रक्रिया के दौरान हो सकता है।

AUTHENTICATION_FAILED

नीचे दिया गया कैप्चर एक अन्य IKEv2 उदाहरण दिखाता है, इस बार एक जिसमें प्रमाणीकरण के लिए उपयोग किया गया PSK मेल नहीं खाता था।

वन-वे पैकेट्स

पैकेट कैप्चर IP स्तर पर समकक्षों के साथ कनेक्टिविटी समस्याओं की पहचान करने में भी मदद कर सकता है। नीचे के उदाहरण में, पैकेट कैप्चर केवल एक-मार्गी, आउटगोइंग ट्रैफ़िक दर्शाता है, यह सुझाव देता है कि सहकर्मी अप्राप्य है। यदि समस्या निवारण प्रशासक एक अप्राप्य सहकर्मी देखता है, तो सहकर्मी कनेक्टिविटी का समाधान करना पर जाएं।

IKEv1 या IKEv2 में सहकर्मियों के बीच उपरोक्त उदाहरणों या अन्य संकेतकों में से किसी भी में, IPsec कॉन्फ़िगरेशन असंगति को हल करना पर जाएं।

वीपीएन पर खराब प्रदर्शन की समस्या का निवारण करना

यदि वीपीएन पर खराब प्रदर्शन देखा जाता है, तो यह आमतौर पर पैकेट हानि, उच्च विलंबता या बार-बार डिस्कनेक्शन के रूप में होती है।

ट्रैफ़िक पर जो सुरंग के माध्यम से जा रहे हैं उन पर पैकेट हानि देखी जाएगी और यह उन अनुप्रयोगों के माध्यम से दिखाई देगा जिन्हें यह प्रभावित कर रहा है और इसे एक होस्ट से दूसरे होस्ट तक IPsec कनेक्शन के माध्यम से ICMP परीक्षण के साथ पुष्टि की जा सकती है।

विलंबता और सुरंग की डिस्कनेक्शन ऐप्लिकेशन प्रदर्शन में स्पष्ट रूप से दिखाई देंगे और इसे प्रश्न साइट के लिए नेटवर्क > साइट निगरानी > नेटवर्क विश्लेषिकी पृष्ठ पर जाकर भी निर्धारित किया जा सकता है।

यदि प्रदर्शन समस्याएं पहचानी जाती हैं, तो अंडरले प्रदर्शन को सुलझाना पर जाएं।

Azure IPSec में पैकेट ड्रॉप्स

Azure के साथ IPSec कॉन्फ़िगर करते समय, सुरंग थ्रूपुट और प्रति सेकंड पैकेट (PPS) VPN गेटवे की SKU और उपयोग किए गए एन्क्रिप्शन एल्गोरिदम द्वारा निर्धारित होते हैं। उदाहरण के लिए, Microsoft के दस्तावेज़ों के अनुसार, जब GCMAES256 का उपयोग करने पर VpnGw3 Generation2 गेटवे 140,000 प्रति सेकंड पैकेट (PPS) तक संभाल सकता है।

यदि ट्रैफ़िक इन सीमाओं से अधिक होता है, तो Azure स्वचालित रूप से अतिरिक्त पैकेट्स को ड्रॉप कर देगा, जिससे प्रदर्शन में उल्लेखनीय गिरावट हो सकती है। एक सामान्य लक्षण थ्रूपुट में कमी है, जो CMA के नेटवर्क एनालिटिक्स में ट्रैफिक वॉल्यूम में गिरावट के रूप में दिखाई दे सकता है। हालांकि, इसे निदान करने के लिए अधिक सटीक तरीका Azure पोर्टल के भीतर वीपीएन गेटवे मेट्रिक्स को सीधे मॉनिटर करना है, जो प्रभावित वीपीएन कनेक्शन के लिए टनल थ्रूपुट और प्रति सेकंड पैकेट के मूल्यों का रीयल-टाइम अंतर्दृष्टि प्रदान करता है।

इस समस्या को कम करने के लिए, आप एक उच्च IPSec SKU में अपग्रेड करने या Azure vSocket को तैनात करने पर विचार कर सकते हैं, जो दोनों आपके वीपीएन टनल की क्षमता को बढ़ा सकते हैं और यातायात अधिकता के कारण पैकेट हानि को रोक सकते हैं।

खोजी गई समस्याओं को सुलझाना

साथी कनेक्टिविटी को सुलझाना

उन परिस्थितियों के लिए जहाँ IPsec साथी PoP को पैकेट नहीं भेज रहा है, जो समयरेखा प्रविष्टियों या पैकेट कैप्चर के माध्यम से दिखाए जाते हैं, कृपया सुनिश्चित करें कि दूरस्थ साथी को CMA में सुरंग के लिए आवंटित किए गए समान IP पते से कनेक्ट करने के लिए कॉन्फ़िगर किया गया है।

यदि यह कॉन्फ़िगरेशन पुष्टि की जाती है, तो सुनिश्चित करें कि दूरस्थ साथी 4500 पोर्ट के साथ-साथ 500 पोर्ट पर ट्रैफ़िक का जवाब देकर NAT द्वारा सीमित कनेक्शनों को पार कर सकता है। दूरस्थ साथी पर NAT-T (NAT ट्रैवर्सल) सक्षम होना चाहिए।

यदि दूरस्थ साथी उपकरण इंटरनेट पर ICMP अनुरोधों का जवाब देने के लिए कॉन्फ़िगर किया गया है, तो आप उपकरण की जनसाधारण IP पर ICMP अनुरोधों का परीक्षण करके इसकी सामान्य पहुंच को भी परीक्षण कर सकते हैं।

हाल के स्थिति पृष्ठ स्वास्थ्य परिवर्तनों की जाँच करें - यदि PoP समस्या का अनुभव कर रहा है, तो इससे IPsec सुरंग प्रभावित हो सकती है (प्रत्येक सुरंग एक Cato PoP स्थान से जुड़ी होती है)। आप स्थिति पृष्ठ पर Cato PoP स्वास्थ्य की निगरानी कर सकते हैं।

यदि दूरस्थ साथी Azure या AWS जैसे क्लाउड विक्रेता है, तो आप उनकी स्थिति पृष्ठों की भी जाँच कर सकते हैं।

यदि इस IPsec कनेक्शन के लिए साथी उपकरण अभी भी अगम्य है, तो प्रशासक से संपर्क करें यह सुनिश्चित करने के लिए कि यह IPsec कनेक्शनों के लिए सार्वजनिक रूप से सुलभ है।

IPsec कॉन्फ़िगरेशन असमानता को सुलझाना

सुनिश्चित करें कि ट्रांसफॉर्म सेट के लिए सहकर्मी कॉन्फ़िगरेशन साइट > IPsec पृष्ठ पर कॉन्फ़िगरेशन से मेल खाता है।

Cato पक्ष कॉन्फ़िगर करने के लिए साथी के विशिष्ट ट्रांसफॉर्म सेट के साथ मिलान के लिए, IKEv1 और IKEv2 के लिए लिंक किए गए दस्तावेज़ में वर्णित कॉन्फ़िगरेशन संपादित करें।

टनल की दोनों दिशाओं में आईपी रेंज (चयनकर्ता) का मेल होना चाहिए। CMA में सुनिश्चित करें कि IP रेंज इस प्रकार विन्यस्त हैं:

स्थानीय IP रेंज (साथी पक्ष): साइट कॉन्फ़िगरेशन > नेटवर्क्स पर जाएं और IPsec साथी (उदा., फ़ायरवॉल या राउटर) के पीछे स्थित सबनेट्स को परिभाषित करें।
रिमोट IP रेंज (Cato पक्ष): साइट कॉन्फ़िगरेशन > IPSec > रूटिंग पर जाएं और टनल को अनुमति दी गई स्थानीय IP रेंज को परिभाषित करें (आमतौर पर अन्य साइट्स से नेटवर्क्स)। यदि यह फ़ील्ड विन्यस्त नहीं है, तो टनल को 0.0.0.0 <> 0.0.0.0 आइम्प्लीसिट चयनकर्ताओं के साथ रूट-आधारित VPN माना जाता है।

कुछ विक्रेता सभी सबनेट्स को सिर्फ एक ही ट्रांसफॉर्म सेट संदेश में शामिल करने का आग्रह करते हैं।

यदि कोई साथी के लिए ऐसा है, तो एक प्रशासक को साइट > उन्नत कॉन्फ़िगरेशन के अंतर्गत 'IKEv2 एकल TS प्रति वहन भेजें' उन्नत कॉन्फ़िगरेशन विकल्प का उपयोग करना चाहिए।

अंडरले प्रदर्शन का समाधान

अंडरले प्रदर्शन का समाधान करने के लिए ध्यान दूरस्थ साथी के खिलाफ प्रदर्शन को अलग करने पर है।

दूरस्थ साथी की सार्वजनिक वेब सर्वर जैसे 8.8.8.8 को पिंग करने की क्षमता का परीक्षण करें।

यदि विलंब या पैकेट हानि टनल के समान है, तो निष्कर्ष निकाला जा सकता है कि समस्या दूरस्थ साथी के पर्यावरण में मौजूद है।

केटो समर्थन के लिए मामलों को उठाना

उपरोक्त समस्या निवारण चरणों के परिणामों के साथ एक समर्थन टिकट जमा करें।

कृपया टिकट में निम्नलिखित जानकारी शामिल करें;

समय की मुहरों के साथ प्रासंगिक टाइमलाइन प्रविष्टियाँ
प्रासंगिक पैकेट कैप्चर
मिलान ट्रांसफॉर्म सेट्स की पुष्टि, सबनेट सहयोग और प्रमाणीकरण/एन्क्रिप्शन पैरामीटर सहित