Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
帕洛阿尔托网络防火墙和 Cisco 路由器之间的站点到站点 IPSec VPN 使用 VTI 不传递通信量 - Knowledge Base - Palo Alto Networks

帕洛阿尔托网络防火墙和 Cisco 路由器之间的站点到站点 IPSec VPN 使用 VTI 不传递通信量

142841
Created On 09/25/18 17:52 PM - Last Modified 10/30/23 23:38 PM


Resolution


问题

在帕洛阿尔托网络防火墙和 Cisco 路由器之间使用虚拟隧道接口 (VTI) 配置了站点到站点的 IPSec VPN。但是, IKE 阶段2通信没有在帕洛阿尔托网络防火墙和 Cisco 路由器之间传递。

总之, VPN 已关闭:

  • 接口隧道已关闭
  • ike 阶段 1, 但 ike 阶段2下

原因

此问题可能是由于 IKE 阶段2不匹配引起的。PFS 不匹配。

解决办法

配置帕洛阿尔托网络防火墙和 Cisco 路由器具有相同的 PFS 配置。

在帕洛阿尔托网络防火墙上, 转到网络 > IPSec 加密。选择应用于隧道的加密配置文件, 如下所示, 并确保 DH 组值与 Cisco 路由器上的数据匹配。

3.jpg

在 Cisco 路由器上, 设置 PFS 以匹配帕洛阿尔托网络防火墙上的设置。

2.jpg

下面是一个输出在帕洛阿尔托网络防火墙 CLI 运行尾部跟着是 ikemgr.log. 第一个突出显示的框显示了 PFS 不匹配的消息。在更正 PFS 不匹配后, 第二个突出显示的框将展示消息。

屏幕截图2013-02-26 在 5.23.49 PM. png

在帕洛阿尔托网络防火墙上, 运行显示 vpn 流隧道 id,<id-number>以检查 encap 和建议醒酒需数据包是否递增.</id-number>

2.jpg

在 Cisco 路由器上, 输入显示加密 ipsec sa以检查 encap 和建议醒酒需 pcakets 是否递增.

1.jpg

所有者: jlunario
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 239,229
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClLbCAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language