帕洛阿尔托网络防火墙和 Cisco 路由器之间的站点到站点 IPSec VPN 使用 VTI 不传递通信量

问题

在帕洛阿尔托网络防火墙和 Cisco 路由器之间使用虚拟隧道接口 (VTI) 配置了站点到站点的 IPSec VPN。但是, IKE 阶段2通信没有在帕洛阿尔托网络防火墙和 Cisco 路由器之间传递。

总之, VPN 已关闭:

• 接口隧道已关闭
• ike 阶段 1, 但 ike 阶段2下

原因

此问题可能是由于 IKE 阶段2不匹配引起的。PFS 不匹配。

解决办法

配置帕洛阿尔托网络防火墙和 Cisco 路由器具有相同的 PFS 配置。

在帕洛阿尔托网络防火墙上, 转到网络 > IPSec 加密。选择应用于隧道的加密配置文件, 如下所示, 并确保 DH 组值与 Cisco 路由器上的数据匹配。

在 Cisco 路由器上, 设置 PFS 以匹配帕洛阿尔托网络防火墙上的设置。

下面是一个输出在帕洛阿尔托网络防火墙 CLI 运行尾部跟着是 ikemgr.log. 第一个突出显示的框显示了 PFS 不匹配的消息。在更正 PFS 不匹配后, 第二个突出显示的框将展示消息。

在帕洛阿尔托网络防火墙上, 运行显示 vpn 流隧道 id,<id-number>以检查 encap 和建议醒酒需数据包是否递增.</id-number>

在 Cisco 路由器上, 输入显示加密 ipsec sa以检查 encap 和建议醒酒需 pcakets 是否递增.

所有者： jlunario