XOps नेटवर्क प्लेबुक - IPsec चरण 2 विफलता

यह प्लेबुक चरणबद्ध तरीके से बताता है कि जब IPsec चरण 2 विफलता पाई जाती है तो समस्याओं को कैसे हल करें।

अवलोकन

यह प्लेबुक बताता है कि जब IPsec चरण 2 विफलता होती है, तो इसे पहचानने के लिए कौन से कदम उठाए जा सकते हैं।

लक्षण

• कनेक्टिविटी हानि
• ट्रैफिक व्यवधान

चरण 1 - पुष्टि करें कि विफलता हुई है

निम्नलिखित तरीके बताते हैं कि Cato प्रबंधन अनुप्रयोग प्रशासक कैसे पुष्टि कर सकते हैं कि IPsec चरण 2 विफलता हुई है।

स्टोरी ड्रिल-डाउन का उपयोग करते हुए

• स्टोरीज़ वर्कबेंच पेज पर जाएं और उत्पादक को खाता संचालन पर सेट करें, जिसमें फ़िल्टर 'संकेत में IPsec चरण 2 विफलता'. समय अवधि को आवश्यकतानुसार समायोजित करें।
  
• पुष्टि करें कि नीचे दिखाए गए अनुसार एक कहानी बनाई गई है।
  
• कहानी पर क्लिक करें और विवरण में गहराई से जाएं। यह कहानी की स्थिति और घटना टाइमलाइन पर जानकारी प्रदान करता है।
  

टनल टाइमलाइन की समीक्षा करें

प्रासंगिक साइट पर जाएं, और IPsec टैब में टाइमलाइन पर क्लिक करें ताकि CSV फ़ाइल डाउनलोड कर सकें। फ़ाइल की समीक्षा करें ताकि कहानी की पुष्टि की जा सके.

उपरोक्त उदाहरण में हम देखते हैं कि एक त्रुटि NO_PROPOSAL_CHOSEN दिखाई दे रही है।

चरण 2 - खोजी गई समस्याओं को निपटाना

निम्नलिखित तरीके बताते हैं कि Cato प्रबंधन अनुप्रयोग प्रशासक कैसे खोजी गई समस्याओं को IPsec चरण 2 विफलता के लिए निपटाया जा सकता है।

कोई प्रस्ताव नहीं चुना गया

Cato प्रबंधन अनुप्रयोग में, साइट के IPsec टैब पर जाएं और कॉन्फ़िगरेशन की समीक्षा करें।

• IPsec IKEv1 (Cato‑initiated) टनलों के लिए, सुनिश्चित करें कि चरण 2 पैरामीटर आपकी फ़ायरवॉल सेटिंग्स के साथ मेल खाते हैं
• अगर आपको सही तौर पर पुष्टि करनी है कि Cato कौन से पैरामीटर प्रस्तावित कर रहा है, तो PCAP फ़ाइल डाउनलोड करें और त्वरित मोड संदेश में प्रस्ताव पेलोड के भीतर परिवर्तन पेलोड का निरीक्षण करें। यह एन्क्रिप्शन, अखंडता, प्रमाणीकरण चयनित, और प्रारंभकर्ता द्वारा पेश की गई अन्य विशेषताएं दिखाएगा।
  
• IPsec IKEv2 के लिए – Cato प्रबंधन अनुप्रयोग में, साइट के IPsec टैब पर जाएं और Init और Auth संदेश पैरामीटर की समीक्षा करें। कॉन्फ़िगरेशन को समायोजित करें ताकि वह आपकी फ़ायरवॉल सेटिंग्स के साथ मेल खाए।
• यह पुष्टि करने के लिए कि कौनसे पैरामीटर प्रस्तावित हो रहे हैं, PCAP फ़ाइल डाउनलोड करें और IKE_AUTH संदेश का निरीक्षण करें जिसमें CHILD_SA शामिल है प्रस्ताव. सुरक्षा संघ पेलोड के भीतर, परिवर्तन पेलोड की समीक्षा करें ताकि एन्क्रिप्शन, अखंडता, PFS (DH समूह), और साथी द्वारा प्रस्तावित CHILD_SA की अन्य विशेषताओं को देखा जा सके।
  
  • अगर कनेक्शन मोड प्रतिसादक केवल पर सेट है, अपनी फ़ायरवॉल कॉन्फ़िगरेशन परिवर्तन के बाद सत्र को पुनः प्रारंभ करें।

TS UNACCEPTABLE

Cato प्रबंधन अनुप्रयोग में, साइट IPsec टैब पर जाएं और PCAP बटन पर क्लिक करें ताकि फाइल डाउनलोड की जा सके।

• PCAP फ़ाइल की समीक्षा करें और TS_UNACCEPTABLE के लिए अंतिम प्रारंभकर्ता/प्रतिसादक प्रतिक्रिया पेलोड का खोज करें।
  
• PCAP में, पिछला IKE_AUTH_MID पैकेट ट्रैफ़िक सेलेक्टर पेलोड (दोनों प्रारंभकर्ता और प्रतिसादक) के लिए समीक्षा करें और साइट IPsec अनुभाग में रूटिंग टैब के तहत सूचीबद्ध IP रेंज की तुलना करें।
• समस्या का समाधान करने के लिए या तो आवश्यक IP रेंज हटा दें या जोड़ें।
• जब आप IPsec के साथ IKEv1 का उपयोग करते हैं, तो आपको IPsec चरण 2 वार्ता के दौरान एक अमान्य आईडी जानकारी संदेश का सामना करना पड़ सकता है। यह आमतौर पर दर्शाता है कि दो VPN साथियों सुरंग के लिए अलग-अलग IP रेंज का उपयोग कर रहे हैं। सुनिश्चित करें कि दोनों पक्ष स्थानीय और दूरस्थ सबनेट को एक समान परिभाषित करते हैं, इस मुद्दे को हल करेगा और कनेक्शन को सफलतापूर्वक स्थापित करेगा।

Cato समर्थन के लिए मामले उठाना

अगर इस प्लेबुक का अनुसरण करने के बाद भी समस्या का समाधान नहीं होता है, तो एक समर्थन टिकट जमा करें। एक अनुरोध के लिए सबसे सहायक प्रतिक्रिया प्राप्त करने के लिए, एक प्रशासक को उठाए गए ट्रबलशूटिंग कदमों के परिणाम प्रदान करने चाहिए।