XOpsネットワークプレイブック - IPsecフェーズ2障害

このプレイブックは、IPsecフェーズ2の障害が検出された場合の問題解決方法を説明します。

概要

このプレイブックは、IPsecフェーズ2の障害が発生した場合の識別方法と問題解決手順を説明します。

症状

• 接続性喪失
• トラフィックの中断

ステップ1 - 障害の発生を確認

以下は、Cato管理アプリケーションの管理者がIPsecフェーズ2障害の発生を確認する方法です。

ストーリードリルダウンを使用する

• ストーリーワークベンチページに移動し、プロデューサーをアカウント操作に設定し、フィルターIPsec Phase2障害内の'表示'を含めます。 必要に応じて時間枠を調整します。
  
• 以下のようにストーリーが作成されたことを確認します。
  
• ストーリーをクリックして詳細を確認します。 ストーリーのステータス、インシデントのタイムラインに関する情報を提供します。
  

トンネルタイムラインを確認する

関連サイトのIPsecタブに移動し、タイムラインをクリックしてCSVファイルをダウンロードします。 ファイルを確認してストーリーを確認します。

上記の例ではNO_PROPOSAL_CHOSENエラーが表示されます。

ステップ2 - 発見された問題の解決

以下は、IPsecフェーズ2の障害に対する発見された問題をCato管理アプリケーションの管理者が解決する方法です。

No Proposal Chosen

Cato管理アプリケーションでサイトのIPsecタブに移動し、設定を確認してください。

• IPsec IKEv1（Catoが開始） トンネルの場合、Phase 2パラメータがファイアウォールの設定に一致していることを確認します。
• Catoが提案するパラメータを正確に確認する必要がある場合は、PCAPファイルをダウンロードし、Transform Payload内のProposal Payloadのクイックモードメッセージを検査します。 これにより、イニシエーターが提供する暗号化、整合性、認証、およびその他の属性が表示されます。
  
• IPsec IKEv2の場合—Cato管理アプリケーションでサイトのIPsecタブに移動し、InitとAuth Message Parametersを確認します。 設定を調整して、ファイアウォールの設定と一致することを確認します。
• 提案されている正確なパラメータを確認するために、PCAPファイルをダウンロードしてCHILD_SAを含むIKE_AUTHメッセージを検査します。 proposal. Security Associationペイロード内で、Transform Payloadを確認し、ピアが提案するCHILD_SAに関する暗号化、整合性、PFS（DHグループ）、その他の属性を確認します。
  
  • 接続モードが「応答者のみ」に設定されている場合、設定変更後にファイアウォールからセッションを再起動します。

TS UNACCEPTABLE

Cato管理アプリケーションでサイトIPsecタブに移動し、PCAPボタンをクリックしてファイルをダウンロードします。

• PCAPファイルを確認し、TS_UNACCEPTABLEに関する最後のイニシエーター/応答者の応答ペイロードを検索します。
  
• PCAP内の以前のIKE_AUTH_MIDパケットを確認し、トラフィックセレクターペイロード（イニシエーターと応答者の両方）を確認し、サイトIPsecセクションのルーティングタブにリストされているIP範囲と比較します。
• 問題を解決するには、必要なIP範囲を追加または削除します。
• IPsecをIKEv1で使用すると、フェーズ2交渉中にINVALID ID INFORMATIONメッセージを受け取ることがあります。 これは通常、トンネルのために異なるIP範囲を使用している2つのVPNピアを示しています。 双方が一致するローカルおよびリモートサブネットを定義することで、この問題を解決し、接続を正常に確立することができます。

Catoサポートへのケースの提出

このプレイブックに従っても問題が解決しない場合は、サポートチケットを提出してください。 リクエストに対する最も有益な対応を受けるために、管理者は実施したトラブルシューティングステップの結果を提供するべきです。