物理的なインターフェイスダウンが、IPSec トンネルがダウンしていない
19826
Created On 09/25/18 19:47 PM - Last Modified 06/12/23 17:49 PM
Symptom
IPSec トンネルは、2つのファイアウォールの間で構成され、稼働しています。テストするには、物理インターフェイスがダウンしているか、LAN ケーブルが取り外されています。しかし、DPD が有効になっていて、トンネルをダウンさせるのにかかる時間が長すぎる場合でも、IPSec トンネルはダウンしません。
Resolution
これは、予期された動作です。CLI と GUI の両方が、物理インタフェースがダウンまたは取り外されていて、トンネルフローステータスが確立済みとして表示される場合でも、トンネルのステータスが up と表示されます。
IPSec トンネルを購入するには、次の2つの方法しかありません。
- トンネル監視
- IPSec の再キーイング
トンネルの状態は、トンネルの監視と IPSec の再キーイングに結び付けられています。これにより、ルートベースの vpn 間で問題が発生することはありませんが、ピアがポリシーに基づいている場合は問題が発生する可能性があります。
回避策
回避策として、トンネル監視プロファイルを構成します。トンネル監視が構成されている場合、IP はトンネルインターフェイスに割り当てる必要があり、プロキシ ID の一覧に含まれていなければなりません。
トンネル監視が構成されると、モニター IP に到達できない場合、トンネルモニターは直ちにトンネルインターフェイスをダウンさせる必要があります。そして、これによって、その物理インターフェイス上に構築された IPSec トンネルのクリアが終了します。