VPN帕洛阿尔托网络防火墙和思科之间的隧道监控 ASA 不工作

• PA-3260
• PAN-OS v.8.1.7
• 思科 ASA
• 隧道监控
• 多个代理 ID

IDPalo Alto 网络上有多个代理对 firewall ，它们与同一隧道相连，但我们只能启用一个隧道监视器，因为配置只允许一个目的地 IP ，默认情况下，选择隧道接口 IP 作为其来源 IP 。

在多个代理 ID 情景中，创建了多个阶段-2 SA，它们匹配配置的每个代理 ID 对，并绑定到同一个隧道。 启用隧道监控后，Palo Alto 网络 firewall 将通过绑定到同一隧道界面的所有第 2 阶段 SA 发送相同的监视器数据包。

ASA严格执行代理 ID 和"有趣的流量"检查。 有趣的流量是指思科 ASA 将允许其通过的流量 SA 。两端的监视器 IP 应是有趣流量或实际代理 ID 的一部分

对于与此监视器数据包不匹配的 SA， ASA 将丢弃该数据包，并且由于 Palo Alto 网络 firewall 未收到响应， SA 将重新键入。

帕洛阿尔托网络设备只能从隧道接口的监控数据包 IP 源。 帕洛阿尔托网络设备可以根据每个隧道进行监控，但不能根据 SA 隧道进行监控。

1. 在帕洛阿尔托网络 firewall 上，为每个代理构建一个新的隧道接口 ID ，因此创建了明确的阶段 2 SA，并且只有一个 SA 与一个隧道接口相连。
2. 将隧道接口与 IP 该代理中提及的本地子网属于同一子网 ID 。
3. IP从本地子网中选择未使用的地址，并将其配置为隧道界面上的/32 IP 地址。
4. 对所有隧道重复。

NOTE：
远程端以及要监控的目的地应是同行本地代理的一部分- ID 因为思科 ASA 不会响应帕洛阿尔托网络代理 ID 消息，隧道将下降。

如果由于复杂性或代理组合而无法进行上述程序 ID ，则不应启用隧道监控。

• 以上文章基于默认情况，即如果我们启用具有多个代理 ID 的 IPSec 隧道的隧道监控， firewall 则会通过每个隧道发送相同的源/目的地监视器探头。

• 自 PAN-OS 7.0以来，CLI 只有一个配置命令，使隧道监控为单个代理 ID - ：

# set network tunnel ipsec <tunnel_name> tunnel-monitor proxy-id <proxy_id> ...