VPN IPSec de sitio a sitio entre Palo Alto Networks firewall y Cisco Router usando VTI no pasa tráfico

Incidencia

La VPN IPSec de sitio a sitio se ha configurado entre el cortafuegos de Palo Alto Networks y el router Cisco mediante la interfaz de túnel virtual (VTI). Sin embargo, el tráfico de fase 2 de IKE no se pasa entre el cortafuegos de Palo Alto Networks y Cisco Router.

En Resumen, la VPN está abajo:

• El túnel de interfaz está abajo
• IKE fase 1, pero IKE fase 2 hacia abajo

Causa

El problema puede ser causado por un desajuste de fase 2 de IKE. Coincidencia de SLP.

Resolución

Configure el Firewall de Palo Alto Networks y el router Cisco para tener la misma configuración de SLP.

En el Firewall de Palo Alto Networks, vaya a Network > IPSec crypto. Seleccione el perfil de Crypto aplicado al túnel de la siguiente manera y asegúrese de que los valores del grupo DH coincidan con los del router Cisco.

En el router Cisco, configure el SLP para que coincida con la configuración del cortafuegos de Palo Alto Networks.

A continuación se muestra una salida en Palo Alto Networks Firewall CLI Running tail seguir Yes ikemgr. log. El primer cuadro resaltado muestra el mensaje para una coincidencia de SLP. El segundo cuadro resaltado muestra los mensajes después de corregir la coincidencia de SLP.

En el cortafuegos de Palo Alto Networks, ejecute Mostrar el ID <id-number>de túnel de flujo VPN para comprobar si los paquetes encap y DECAP se están incrementando.</id-number>

En el router Cisco, escriba Show Crypto IPSec SA para comprobar si encap y DECAP pcakets están incrementando.

Propietario: jlunario