物理的なインターフェイスダウンが、IPSec トンネルがダウンしていない

IPSec トンネルは、2つのファイアウォールの間で構成され、稼働しています。テストするには、物理インターフェイスがダウンしているか、LAN ケーブルが取り外されています。しかし、DPD が有効になっていて、トンネルをダウンさせるのにかかる時間が長すぎる場合でも、IPSec トンネルはダウンしません。

これは、予期された動作です。CLI と GUI の両方が、物理インタフェースがダウンまたは取り外されていて、トンネルフローステータスが確立済みとして表示される場合でも、トンネルのステータスが up と表示されます。

IPSec トンネルを購入するには、次の2つの方法しかありません。

1. トンネル監視
2. IPSec の再キーイング

トンネルの状態は、トンネルの監視と IPSec の再キーイングに結び付けられています。これにより、ルートベースの vpn 間で問題が発生することはありませんが、ピアがポリシーに基づいている場合は問題が発生する可能性があります。

回避策

回避策として、トンネル監視プロファイルを構成します。トンネル監視が構成されている場合、IP はトンネルインターフェイスに割り当てる必要があり、プロキシ ID の一覧に含まれていなければなりません。

トンネル監視が構成されると、モニター IP に到達できない場合、トンネルモニターは直ちにトンネルインターフェイスをダウンさせる必要があります。そして、これによって、その物理インターフェイス上に構築された IPSec トンネルのクリアが終了します。