パロアルトネットワークファイアウォールと Cisco ルータ間のサイト間の IPSec VPN は、トラフィックを通過していない VTI を使用して
Resolution
問題
サイト間の IPSec VPN は、仮想トンネルインターフェイス (VTI) を使用して、パロアルトネットワークファイアウォールと Cisco ルータの間で構成されています。ただし、IKE フェーズ2のトラフィックは、パロアルトネットワークファイアウォールと Cisco ルーターの間では渡されません。
要約すると、VPN はダウンしています:
- インターフェイストンネルがダウンしている
- ike フェーズ1アップが、ike フェーズ2ダウン
原因
この問題は、IKE フェーズ2の不一致が原因で発生する可能性があります。PFS の不一致。
解決方法
同じ PFS 構成を持つように、パロアルトネットワークファイアウォールと Cisco ルーターを構成します。
パロアルトネットワークファイアウォールで、[ネットワーク] > [IPSec 暗号化] に移動します。トンネルに適用されている暗号化プロファイルを次のように選択し、DH グループの値が Cisco ルーターのものと一致していることを確認します。
Cisco ルータでは、パロアルトネットワークファイアウォールの設定に一致するように PFS を設定します。
以下は、パロアルトネットワークファイアウォール CLI を実行している尾は yes ikemgr に従って出力されます。最初の強調表示されたボックスは、PFS の不一致のメッセージを示します。2番目に強調表示されたボックスは、PFS の不一致を修正した後のメッセージを示します。
パロアルトネットワークファイアウォールで、<id-number>方法と decap パケットがインクリメントされているかどうかを確認する</id-number>vpn フロートンネル id を表示を実行します。
Cisco ルーターで、方法と decap pcakets がインクリメントされているかどうかを確認するために、暗号化 ipsec sa を表示します。
所有者: jlunario