IPsec küresel IKE embriyonik sınırı

Aynı anda binlerce tünel kurmaya çalışırken, yeni müzakerelerin diğer SA’ları IKEv2’de yerleşik bir duruma ilerlemekten aç bırakabileceği bir durum ortaya çıkabilir. IKE arka plan programındaki geliştirmeler arasında yerleşik SA’lara öncelik verilmesi, grup 20 ve 21’in CP9’a boşaltılması ve orta ve üst düzey platformlar için varsayılan embriyonik sınırların optimize edilmesi yer alır. IKE embriyonik sınırı artık CLI’den yapılandırılabilir.

config system ike

        set embryonic-limit

end

embryonic-limit

                 <integer>

Aynı anda anlaşmak için maksimum IPsec tüneli sayısını ayarlayın (50 – 20000, varsayılan = 1000).

Aşağıdaki örnekler, saniyede açılan 500 bağlantı ile 50 ve 10000’lik bir IKE embriyonik limiti kullanarak kurulan tünellerin sayısını karşılaştırır.

50’lik bir IKE embriyonik sınırını yapılandırmak için:

config system ike

         set embryonic-limit 50

end

Tünel teşhisini görüntülemek için:

# diagnose vpn tunnel stat

dev=1 attached=2087 tunnel=0 proxyid=2087 sa=2087 conc=0 up=2087 fenc=0 fdec=0

fasm=0 crypto_work=0 crypto_work_dropped=0

mr_grps=0 mr_children=0 mr_flood_list=0 mr_fw_list=0

# diagnose debug application ike -1

ike 0:a5d766dc52ebb36e/0000000000000000:3672: SA proposal chosen, matched gateway ph1

ike 0: embryonic limit 50 reached, dropping request 10.10.1.1->1.0.0.73:500

ike 0:a5d766dc52ebb36e/0000000000000000:3672: failed to create a connection

10000’lik bir IKE embriyonik sınırını yapılandırmak için:

config system ike

          set embryonic-limit 10000

end embryonic-limit

To view the tunnel diagnostics:

# diagnose vpn tunnel stat

dev=1 attached=2952 tunnel=0 proxyid=2952 sa=2952 conc=0 up=2952 fenc=0 fdec=0

fasm=0 crypto_work=0 crypto_work_dropped=0

mr_grps=0 mr_children=0 mr_flood_list=0 mr_fw_list=0

İlginizi Çekebilecek Makaleler​

AP İşletme Sıcaklığı

Bu 7.0.1 geliştirmesi, wireless denetleyicinin yerleşik sıcaklık sensörlerine sahip FortiAP-F modellerinden sıcaklık değerleri almasına olanak tanır. FortiOS’ta aşağıdaki komutlar mevcuttur: Aşağıdaki komut FortiAP de geçerli:

Devamı »
TLS loglarını iyileştirin

Sunucu sertifikası bilgilerini ve TLS anlaşmalarını loglara kaydetmek için SSL/SSH profiline yeni seçenekler eklendi. Bu seçenekler etkinleştirildiğinde UTM SSL loglarına yeni alanlar eklenir. config firewall

Devamı »