Interfaz física hacia abajo, pero el túnel IPSec no va hacia abajo

Un túnel IPSec se configura entre dos cortafuegos y está en funcionamiento. Para probar, la interfaz física es derribada o el cable LAN está desenchufado. Sin embargo, esto no reduce el túnel IPSec, incluso si DPD está habilitado y el tiempo que se tarda en bajar el túnel es demasiado largo.

Es un comportamiento esperado. Tanto la CLI como la GUI mostrarán el estado del túnel como arriba, incluso cuando la interfaz física esté desconectada o desenchufada y el estado del flujo del túnel se mostrará como establecido.

Son sólo dos formas en que se puede comprar un túnel IPSec:

1. Monitoreo de túneles
2. Re-incrustación de IPSec

El estado del túnel está vinculado a la supervisión del túnel y a la recodificación de IPSec. Aunque esto no debería causar un problema entre las VPNs basadas en rutas, esto podría causar un problema si el interlocutor es VPN basado en directivas.

Solución alternativa

Como solución alternativa, configure un perfil de supervisión de túnel. Cuando se configura una supervisión de túnel, se debe asignar una IP a la interfaz del túnel y debe incluirse en la lista de ID de proxy.

Una vez configurada la supervisión del túnel, si la IP del monitor no es accesible, el monitor del túnel debe derribar inmediatamente la interfaz del túnel. Y esto a su vez terminaría despejando los túneles IPSEC construidos sobre esa interfaz física.