XOps 네트워크 플레이북 - IPsec 단계 2 오류

이 플레이북은 IPsec 단계 2 오류를 감지했을 때 문제를 해결하는 단계에 대해 설명합니다.

개요

이 플레이북은 IPsec 단계 2 오류가 발생했을 때 식별하는 방법과 문제 해결을 위한 단계를 설명합니다.

증상

• 연결 손실
• 트래픽 중단

1단계 - 발생한 오류 확인

다음은 Cato 관리 애플리케이션 관리자가 IPsec 단계 2 오류가 발생했는지 확인할 수 있는 다양한 방법입니다.

스토리 드릴다운 사용

• 스토리 작업 페이지로 이동하여 생산자를 계정 운영으로 설정하고 필터 '표시 IPsec 단계 2 오류'를 포함시킵니다. 필요에 따라 시간대를 조정합니다.
  
• 아래에 보이는 대로 스토리가 생성되었는지 확인하십시오.
  
• 스토리를 클릭하여 세부 정보를 드릴다운합니다. 스토리 상태에 대한 정보와 사건 타임라인을 제공합니다.
  

터널 타임라인 검토

관련 사이트로 이동하여 IPsec 탭에서 타임라인을 클릭해 CSV 파일을 다운로드합니다. 파일을 검토하여 스토리를 확인하십시오.

위 예시에서 NO_PROPOSAL_CHOSEN 오류가 보입니다.

2단계 - 발견된 문제 해결

다음은 Cato 관리 애플리케이션 관리자가 IPsec 단계 2 오류에 대한 발견된 문제를 해결할 수 있는 다양한 방법입니다.

No Proposal Chosen

Cato 관리 애플리케이션에서 사이트의 IPsec 탭으로 이동하여 구성을 검토합니다.

• IPsec IKEv1 (Cato‑initiated) 터널의 경우, 단계 2 매개변수가 방화벽 설정과 일치하는지 확인합니다.
• Cato가 제안하는 정확한 매개변수를 확인하려면 PCAP 파일을 다운로드하여 프로포절 페이로드 내 변환 페이로드의 빠른 모드 메시지를 검사하십시오. 이 작업은 초기자가 제공한 암호화, 무결성, 선택된 인증 및 기타 속성을 보여줍니다
  
• IPsec IKEv2의 경우 - Cato 관리 애플리케이션에서 사이트의 IPsec 탭으로 이동하여 초기화 및 인증 메시지 매개변수를 검토합니다. 방화벽 설정과 일치하도록 구성을 조정해야 합니다.
• 제안되는 매개변수를 정확히 확인하려면 PCAP 파일을 다운로드하고 CHILD_SA를 포함하는 IKE_AUTH 메시지를 검사하십시오 제안서. 보안 연관 페이로드 내에서 변환 페이로드를 검토하여 피어가 제안한 CHILD_SA에 대해 암호화, 무결성, PFS (DH 그룹) 및 기타 속성을 확인합니다.
  
  • 연결 모드가 응답자만으로 설정된 경우, 방화벽의 구성 변경 후 세션을 재시작하십시오.

TS UNACCEPTABLE

Cato 관리 애플리케이션에서 사이트 IPsec 탭으로 이동하여 PCAP 버튼을 클릭해 파일을 다운로드합니다.

• PCAP 파일을 검토하고 마지막 초기/응답자 응답 페이로드에서 TS_UNACCEPTABLE을 검색합니다.
  
• PCAP에서 이전 IKE_AUTH_MID 패킷에서 트래픽 선택자 페이로드(양방향)를 검토하고 사이트 IPsec 섹션의 라우팅 탭 아래에 나열된 IP 범위와 비교합니다.
• 문제를 해결하려면 필요한 IP 범위를 제거하거나 추가하십시오.
• IPsec을 IKEv1과 함께 사용할 때 단계 2 협상 중에 INVALID ID INFORMATION 메시지가 발생할 수 있습니다. 이는 일반적으로 두 VPN 피어가 터널에 대해 서로 다른 IP 범위를 사용하고 있음을 나타냅니다. 양측 모두 일치하는 로컬 및 원격 서브넷을 정의하면 이 문제를 해결하고 연결을 성공적으로 설정할 수 있습니다.

Cato 지원에 문제 제기

이 플레이북을 따라도 문제가 해결되지 않은 경우, 지원 티켓을 제출하십시오. 요청에 대한 가장 도움이 되는 응답을 받기 위해서는 관리자가 취한 문제 해결 단계의 결과를 제공해야 합니다.