Physische SchnittStelle nach unten, aber IPSec-Tunnel geht nicht

Ein IPSec-Tunnel ist zwischen zwei Firewalls konfiguriert und läuft. Zum Testen wird die physikalische Schnittstelle heruntergebracht oder das LAN-Kabel ist entkoppelt. Aber das bringt den IPSec-Tunnel nicht nach unten, auch wenn DPD aktiviert ist und die Zeit, den Tunnel nach unten zu bringen, zu lang ist.

Dies ist Erwartetes Verhalten. Sowohl das CLI als auch das GUI zeigen den Status des Tunnels als oben an, auch wenn die physikalische Schnittstelle unten oder Unplugged ist und der Tunnel Fluss Status als etabliert angezeigt wird.

Es gibt nur zwei Möglichkeiten, wie ein IPSec-Tunnel herunter gekauft werden kann:

1. Tunnel Überwachung
2. IPSec Re-Keying

Der Status des Tunnels ist an die Tunnelüberwachung und IPSec-Re-Keying gebunden. Obwohl dies kein Problem zwischen den Routen basierten VPNs verursachen sollte, könnte dies ein Problem verursachen, wenn der Peer auf politischer Basis VPN ist.

Dieses Problem zu umgehen

Als Workaround konfigurieren Sie ein Tunnel Überwachungs Profil. Wenn eine Tunnelüberwachung konfiguriert ist, muss eine IP der Tunnel Schnittstelle zugeordnet werden und in die Proxy-ID-Liste aufgenommen werden.

Wenn die Tunnelüberwachung erst einmal konfiguriert ist, wenn die Monitor-IP nicht erreichbar ist, sollte der Tunnel Monitor sofort die Tunnel Schnittstelle herunterbringen. Und dies würde wiederum dazu enden, die IPSec-Tunnel zu Räumen, die über diese physische Schnittstelle gebaut wurden.