Wie kann man überprüfen, ob die IPSec-Tunnel Überwachung funktioniert

Wie kann man überprüfen, ob die IPSec-Tunnel Überwachung funktioniert

207227
Created On 09/26/18 13:47 PM - Last Modified 10/27/23 14:05 PM


Resolution


Übersicht

Die IPSec-Tunnel Überwachung ist ein Mechanismus, der Konstante Pings an die überwachte IP-Adresse sendet, die aus der IP der Tunnel Schnittstelle stammt. Das Intervall für die Pings ist in seinem Monitor Profil angegeben (Netzwerk > Netzwerk Profile > Monitor > Intervall).

Hinweis: die überwachte IP-Adresse ist konfiguriert unter: Netzwerk > IPSec-Tunnel > allgemeine Tab > Destination IP.

Details

Um zu überprüfen, ob die Tunnelüberwachung auf oder ab ist, verwenden Sie den folgenden Befehl:

> VPN Flow anzeigen

ID Name State Monitor Local-IP Peer-IP Tunnel-i/f

------------------------------------------------------------------------------------

1 Tunnel-zu-fern-aktiv bis 10.66.24.94 10.66.24.95 Tunnel. 2

Die obige Ausgabe zeigt, dass der Monitor-Status "oben" ist.

Um die Zählung dieser Pings zu überprüfen, verwenden Sie die Anzeige VPN Flow Tunnel-ID ID> Befehl.

Zum Beispiel:

> VPN Flow Tunnel-ID 1 anzeigen

Tunnel Tunnel-bis-fern

        ID: 1

        Typ: IPSec

        Gateway ID: 1

        lokale IP: 10.66.24.94

        Peer IP: 10.66.24.95

        innere Schnittstelle: Tunnel. 2

        äußere Schnittstelle: Ethernet1/3

        Staat: aktiv

        Session: 6443

        Tunnel MTU: 1436

        Lebensdauer bleiben: 2663 sec

        neuester Rekey: 937 Sekunden vor

        Monitor: auf

        Monitor Status: bis

        Monitor Intervall: 3 Sekunden

        Monitor Schwelle: 5 sondenverluste

        Monitor Pakete gesendet: 739180

        Monitor Pakete recv: 732283

        Monitor-Pakete gesehen: 584

        Monitor Pakete Antworten: 584

        en/decap context: 76

        lokales SPI: F18E58FF

        Remote SPI: B90FCFB2

In der obigen Ausgabe:

Monitor Pakete gesendet-Anzahl der gesendeten Pings

Monitor Pakete recv-Anzahl der Antworten, die an die gesendeten Pings erhalten wurden.

Monitor-Pakete gesehen-Anzahl der Monitor Pakete, die von der entfernten Seite für uns erhalten wurden.

Monitor Pakete Antworten-Anzahl der Antworten, die als Antwort auf "Monitor Pakete gesehen" gesendet werden. Dies wird nur dann erhöht, wenn die Anfragen an die Tunnel Schnittstelle IP gestellt wurden.

Um in Echtzeit Lauf Zeit Zustände für einen bestimmten Tunnel zu sehen, führen Sie folgenden Befehl aus:

> laufender Tunnel flusstunnel-ID 1 | Match Monitor

        Monitor: auf

        Monitor Status: bis

        Monitor Intervall: 3 Sekunden

        Monitor Schwelle: 5 sondenverluste

        Monitor Pakete gesendet: 739180

        Monitor Pakete recv: 732283

        Monitor-Pakete gesehen: 584

        Monitor Pakete Antworten: 584

Wenn der Monitor "on" ist und der Monitor-Status aus irgendeinem Grund "Down" ist, können Sie immer noch sehen, dass "übermittelte Monitor Pakete" immer weiter erhöht werden, aber die "Monitor Pakete recv" sind konstant. Selbst wenn der Tunnel herunter ist und der Monitor Status unten ist, sendet die "gesendeten Monitor Pakete" immer noch in regelmäßigen Abständen Pings.

Hinweis: immer wenn der Tunnel untergeht, generiert die Palo Alto Networks Firewall ein Ereignis unter System Protokollen (severity ist auf Critical gesetzt). Benachrichtigungen werden generiert, wenn ein e-Mail-Alarm Profil für kritische Protokolle konfiguriert ist. Bitte lesen Sie das folgende Dokument für weitere Informationen: wie konfigurieren Sie e-Mail-Benachrichtigungen für System Protokolle?

Siehe auch

Dead Peer Detection und Tunnel Überwachung

CLI-Befehle zum Status, löschen, restaurieren und Überwachen eines IPSec-VPN-Tunnels

Besitzer: Dreputi
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CloYCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language