デッド ピア検出とトンネル モニタリングについて

告知

ATTENTION Customers, All Partners and Employees: The Customer Support Portal (CSP) will be undergoing maintenance and unavailable on Saturday, November 7, 2020, from 11 am to 11 pm PST. Please read our blog for more information.

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Dead Peer Detection and Tunnel Monitoring
https://live.paloaltonetworks.com/t5/Configuration-Articles/Dead-Peer-Detection-and-Tunnel-Monitorin...

 

概要

デッド ピア検出(DPD)とは、非アクティブまたは使用不能なインターネット鍵交換(IKE/Phase1)ピアを検出する方法で、RFC 3706に記載されている機能を指します。トンネル モニタリングはPalo Alto Networks独自の機能で、IPSEC トンネルの対向インターフェイスに対してPINGを送信することで、IPSEC トンネルをトラフィックが正常に通過することを確認します。トンネル モニタリングを"モニター プロファイル"と組合わせて使用することで、トンネル インターフェースをダウンさせるとともに、ルーティングを更新し、トラフィックをセカンダリ ルートを用いてルーティングできるようにします。トンネル モニタリングはDPDを必要としません。デッド ピア検出はIPSEC トンネルの両端で有効または無効にする必要があり、片方が有効でもう片方が無効の状態の場合、VPNの信頼性に問題を引き起こす可能性があります。

 

詳細

デッド ピア検出

DPDはIKE-SA (Security Association and IKE, Phase 1) の死活監視機能です。

DPDはピア デバイスがまだ有効なIKE-SAを持っているかどうかを検出するために使用されます。定期的に"ISAKMP R-U-THERE" パケットをピアに送信し、ピアは"ISAKMP R-U-THERE-ACK" パケットで確認応答します。

 

Palo Alto Networksは現時点でDPD パケットに関連するログをもっていませんが、デバッグ パケット キャプチャで検出できます。以下はピア デバイスからのpcapです:

 

Mar  4 14:32:36 ike_st_i_n: Start, doi = 1, protocol = 1, code = unknown (36137), spi[0..16] = cd11b885 588eeb56 ..., data[0..4] = 003d65fc 00000000 ...

Mar  4 14:32:36 DPD; updating EoL (P2 Notify

Mar  4 14:32:36 Received IKE DPD R_U_THERE_ACK from IKE peer: 169.132.58.9

Mar  4 14:32:36 DPD: Peer 169.132.58.9 is UP status_val: 0.

 

DPD のクエリと遅延間隔は、Palo Alto Networks デバイスでDPDが有効になっているときに設定できます。DPDはピアが応答しなくなったことを認識するとSAを破棄します。

Screen Shot 2013-05-06 at 1.06.46 PM.png

注: DPDは永続的ではありません、またフェーズ2のRe-Keyによってのみトリガーされます。つまりフェーズ2が稼働している場合、Palo Alto Networks ファイアウォールはIKE-SAがアクティブかどうかを確認しません。フェーズ1のIKE-SAを確認するためのDPDをトリガーするために、フェーズ2のRe-Keyをトリガーするには、トンネル モニタリングを有効にします。

 

トンネル モニタリング

トンネル モニタリングはIPSec トンネル全体の接続性を確認するために使用されます。トンネル モニター プロファイルを作成する際に、トンネルが使えない場合の2つのアクション オプションとして、"回復を待機(Wait Recover)"か"フェイル オーバー(Failover)"のどちらかを指定します。

  • 回復を待機: トンネルが回復するまで待機し、他のアクションは実行しません。
  • フェイル オーバー: 利用可能な場合、トラフィックをバックアップ パスにフェイル オーバーします。

どちらの場合も、復旧を早めるためファイアウォールは新しいIPsec キーのネゴシエートを行います。
Screen Shot 2013-05-06 at 2.23.48 PM.png

指定されたアクションを実行する前に待機するハートビートの数を指定するために、"しきい値(Threshold)"オプションを設定することができます。この範囲は2~100で、デフォルトは5です。"ハートビート間隔(Interval)"も設定できます。範囲は2~10で、デフォルトは3秒です。

 

以下に示すように、トンネル モニタリング プロファイルが作成できたら、それを選択し監視するリモート エンドのIP アドレスを入力します。

Screen Shot 2013-05-06 at 2.28.11 PM.png

 

著者: panagent