IPSecトンネル モニタの動作確認方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
How to Verify if IPSec Tunnel Monitoring is Working
https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Verify-if-IPSec-Tunnel-Monitoring-is...

 

概要

IPSecトンネル モニタは監視するIPアドレスにトンネル設定されたインターフェイスから継続的にPingを送付するメカニズムです。Ping間隔は、WebUI管理画面上のMonitorプロファイル (Network > Network Profiles > Monitor > Interval)にて設定します。
注意 : WebUI管理画面上の監視対象のIPアドレス設定は(Network > IPSec Tunnels > General Tab > Destination IP)になります。

 

詳細

トンネル モニタがupもしくはdownしているかのチェックは、以下のコマンドにて確認します。

> show vpn flow

id  name               state     monitor  local-ip        peer-ip      tunnel-i/f

------------------------------------------------------------------------------------

1  tunnel-to-remote    active    up       10.66.24.94     10.66.24.95  tunnel.2

 

上記の表示例では、モニターステータスが"up"になっていることを示します。

 

Pingした回数を確認するには、”show vpn flow tunnel-id <id>”コマンドで確認します。

出力例 :

> show vpn flow tunnel-id 1

tunnel  tunnel-to-remote

        id:                    1

        type:                  IPSec

        gateway id:            1

        local ip:              10.66.24.94

        peer ip:                10.66.24.95

        inner interface:        tunnel.2

        outer interface:        ethernet1/3

        state:                  active

        session:                6443

        tunnel mtu:            1436

        lifetime remain:        2663 sec

        latest rekey:          937 seconds ago

        monitor:                on

        monitor status:        up

        monitor interval:      3 seconds

        monitor threshold:      5 probe losses

        monitor packets sent:  739180

        monitor packets recv:  732283

        monitor packets seen:  584

        monitor packets reply:  584

        en/decap context:      76

        local spi:              F18E58FF

        remote spi:            B90FCFB2

 

上記の表示例において、

monitor packets sent - Pingが何回送付されたか

monitor packets recv - 送られたPingに対して何回応答があったか

monitor packets seen - 対向側の問い合わせから、受信されたモニター パケットの数

monitor packets reply - "monitor packets seen"に対して何回応答したか。トンネル インターフェイスIPに対してリクエストが作られた場合のみカウントします。
 

特定のトンネルの、リアルタイムのステータスを監視するためには以下のコマンドを実行してください :

> show running tunnel flow tunnel-id 1 | match monitor

        monitor:                on

        monitor status:        up

        monitor interval:      3 seconds

        monitor threshold:      5 probe losses

        monitor packets sent:  739180

        monitor packets recv:  732283

        monitor packets seen:  584

        monitor packets reply:  584

 

もしモニターが"on"でステータスが何らかの理由で"down"場合、"monitor packets sent"が増えているにも関わらず、"monitor packets recv"は一定かもしれません。トンネルがダウンかつモニター ステータスがdownでも、"monitor packets sent"は定期的な間隔でPingを送付しているからです。

 

注意: トンネルがダウンした時はいつでも、Palo Alto Networks ファイアウォールはsystem logs (severityはcriticalに設定)にイベントを通知します。Criticalログに電子メールの通知設定がなされている場合、電子メール通知が送付されます。詳しくは、How to Configure Email Alerts for System Logs? 注意

 

他の参照リンク

Dead Peer Detection and Tunnel Monitoring

CLI Commands to Status, Clear, Restore, and Monitor an IPSEC VPN Tunnel

 

著者: dreputi