即使远程接口已关闭或没有连接, IPsec 隧道状态始终显示为绿色。

直到 SA 会, 隧道仍将显示为绿色。

默认情况下, 如果 ipsec 隧道已上, 并且远程设备已关闭, 则 ipsec 隧道将不会向下移动, 直到 ipsec 阶段2生命过期。一旦它过期了, 它将尝试重新谈判, 因为界面是下降, 隧道将下降。

在两端配置隧道监视。

隧道监视用于保持 vpn 隧道与其他 vpn 端点通信。如果创建隧道监视配置文件, 则如果隧道不可用, 它将指定两个操作选项之一: 等待-恢复或故障转移。这将使用 PING 数据包监视来自隧道接口 IP 的 VPN 隧道连接。 您需要将 IP 地址分配给隧道接口以进行监视。

等待-恢复通知防火墙等待隧道恢复, 而不采取其他操作。

如果有可用的故障转移, 则会将流量强制到备份路径。

在这两种情况下, 防火墙都将尝试协商新的 IPSec 密钥以加快恢复速度。 此选项会提醒您任何隧道故障, 并向另一个接口提供自动故障转移。

其他有用文章:

死同行检测和隧道监测

如何验证如果 IPSec 隧道监测工作？