XOps 网络攻略 - IPsec 第2阶段故障

本攻略描述了当检测到IPSec第2阶段故障时解决问题的步骤。

概述

此攻略解释了如何识别IPSec第2阶段故障发生的情况,并概述了解决此问题的步骤。

Symptoms

  • 连接性丧失
  • 流量中断

步骤 1 - 验证故障发生

以下是Cato管理应用程序管理员可用于验证IPSec第2阶段故障发生的不同方法。

使用事件深入分析

  • 进入XDR 发现事件页面,并将生产者设置为账户操作,包括过滤器“指示在内IPsec 第2阶段故障”。 根据需要调整时间范围。
    ipsec-story-drilldown.jpg
  • 验证如下所示故事已创建。
    ipsec-story-example.jpg
  • 点击事件以深入细节。 它提供了事件状态的信息和事件时间线。
    story-drilldown.jpg

查看隧道时间线

转到相关站点,在IPSec选项卡中点击时间线下载CSV文件。 查看文件以确认事件。
ipsec-csv.jpg
在上面的示例中,我们可以看到显示错误NO_PROPOSAL_CHOSEN

 

步骤 2 - 解决发现的问题

以下显示了Cato管理应用程序管理员可以用于解决IPsec第2阶段故障发现问题的不同方法。

未选择建议

在Cato管理应用程序中,转到站点的IPSec选项卡并查看配置。

  • 对于IPSec IKEv1(Cato发起)隧道,验证第2阶段参数是否与您的防火墙设置匹配。
  • 如果需要确认Cato提出的具体参数,请下载PCAP文件并检查快速模式消息中的建议负载中的变换负载。 这将显示加密、完整性、选择的认证以及发起者提供的其他属性。
  • 对于IPSec IKEv2 – 在Cato管理应用程序中,浏览到站点的IPSec选项卡并查看初始化验证消息参数。 调整配置以确保它与您的防火墙设置匹配。
  • 为了确认提出的具体参数,请下载PCAP文件并检查包含CHILD_SAIKE_AUTH消息 建议。 在安全关联负载中,查看变换负载以查看对等方提出的CHILD_SA所提供的加密、完整性、PFS(DH组)和其他属性。
    • 如果连接模式设置为仅响应者,请从防火墙重新启动会话后配置变更。

TS不可接受

在Cato管理应用程序中,浏览到站点的IPSec选项卡并点击PCAP按钮下载文件。

  • 查看PCAP文件并搜索TS_UNACCEPTABLE的最后发起者/响应者响应负载。
    ts_unacceptable.jpg
  • 在PCAP中,查看之前的IKE_AUTH_MID数据包以获取流量选择负载(发起者和响应者),并比较站点IPSec部分路由选项卡下列出的IP范围。
  • 为解决问题,可移除或添加所需的IP范围。
  • 使用IPSec与IKEv1时,在第2阶段协商过程中可能会遇到INVALID ID INFORMATION消息。 这通常表明两个VPN对等体正在为隧道使用不同的IP范围。 确保双方定义匹配的本地和远程子网将解决此问题,并允许连接成功建立。

注意:创建子SA时,Cato根据RFC 7295在同一TS负载中发送多个流量选择器(TS)。 一些第三方解决方案,例如Cisco ASA,只支持每个子SA中的单个TS。 Cisco ASA在响应Cato提出创建子SA的建议时将发送一个TS_UNACCEPTABLE消息。

您可以配置您的账户或特定的IPsec IKEv2站点以在单独的数据包中发送每个TS,通过在站点配置 > 高级配置下启用此配置来支持与这些第三方解决方案的互操作性。

向Cato支持举案例

如果遵循此攻略未能解决问题,请提交支持工单。 为了获得请求的有帮助的响应,管理员应提供已进行的故障排除步骤的结果。

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论