物理接口已关闭, 但 IPSec 隧道未关闭

IPSec 隧道在两个防火墙之间配置, 并且已在运行。要进行测试, 请关闭物理接口或拔下 LAN 电缆. 但是, 这并不会导致 IPSec 隧道关闭, 即使启用了 DPD, 并且将隧道关闭所用的时间太长。

这是预期的行为。即使物理接口已关闭或拔出, 并且隧道流状态将显示为已建立, CLI 和 GUI 都将显示隧道的状态。

IPSec 隧道只能通过两种方式被收买:

1. 隧道监控
2. IPSec 重新键控

该隧道的状态与隧道监视和 IPSec 重新键控有关. 虽然这不应导致基于路由的 vpn 之间存在问题, 但如果对等方是基于策略的 vpn, 则可能会导致问题。

解决方法

作为解决方法, 请配置隧道监视配置文件。配置隧道监视时, 必须将 IP 分配给隧道接口, 并应包括在代理 ID 列表中。

配置隧道监视后, 如果无法访问显示器 IP, 隧道监视器应立即将隧道接口关闭。而且, 这将反过来最终清除构建在该物理接口上的 IPSec 隧道。