Wie kann man überprüfen, ob die IPSec-Tunnel Überwachung funktioniert
Resolution
Übersicht
Die IPSec-Tunnel Überwachung ist ein Mechanismus, der Konstante Pings an die überwachte IP-Adresse sendet, die aus der IP der Tunnel Schnittstelle stammt. Das Intervall für die Pings ist in seinem Monitor Profil angegeben (Netzwerk > Netzwerk Profile > Monitor > Intervall).
Hinweis: die überwachte IP-Adresse ist konfiguriert unter: Netzwerk > IPSec-Tunnel > allgemeine Tab > Destination IP.
Details
Um zu überprüfen, ob die Tunnelüberwachung auf oder ab ist, verwenden Sie den folgenden Befehl:
> VPN Flow anzeigen
ID Name State Monitor Local-IP Peer-IP Tunnel-i/f
------------------------------------------------------------------------------------
1 Tunnel-zu-fern-aktiv bis 10.66.24.94 10.66.24.95 Tunnel. 2
Die obige Ausgabe zeigt, dass der Monitor-Status "oben" ist.
Um die Zählung dieser Pings zu überprüfen, verwenden Sie die Anzeige VPN Flow Tunnel-ID ID> Befehl.
Zum Beispiel:
> VPN Flow Tunnel-ID 1 anzeigen
Tunnel Tunnel-bis-fern
ID: 1
Typ: IPSec
Gateway ID: 1
lokale IP: 10.66.24.94
Peer IP: 10.66.24.95
innere Schnittstelle: Tunnel. 2
äußere Schnittstelle: Ethernet1/3
Staat: aktiv
Session: 6443
Tunnel MTU: 1436
Lebensdauer bleiben: 2663 sec
neuester Rekey: 937 Sekunden vor
Monitor: auf
Monitor Status: bis
Monitor Intervall: 3 Sekunden
Monitor Schwelle: 5 sondenverluste
Monitor Pakete gesendet: 739180
Monitor Pakete recv: 732283
Monitor-Pakete gesehen: 584
Monitor Pakete Antworten: 584
en/decap context: 76
lokales SPI: F18E58FF
Remote SPI: B90FCFB2
In der obigen Ausgabe:
Monitor Pakete gesendet-Anzahl der gesendeten Pings
Monitor Pakete recv-Anzahl der Antworten, die an die gesendeten Pings erhalten wurden.
Monitor-Pakete gesehen-Anzahl der Monitor Pakete, die von der entfernten Seite für uns erhalten wurden.
Monitor Pakete Antworten-Anzahl der Antworten, die als Antwort auf "Monitor Pakete gesehen" gesendet werden. Dies wird nur dann erhöht, wenn die Anfragen an die Tunnel Schnittstelle IP gestellt wurden.
Um in Echtzeit Lauf Zeit Zustände für einen bestimmten Tunnel zu sehen, führen Sie folgenden Befehl aus:
> laufender Tunnel flusstunnel-ID 1 | Match Monitor
Monitor: auf
Monitor Status: bis
Monitor Intervall: 3 Sekunden
Monitor Schwelle: 5 sondenverluste
Monitor Pakete gesendet: 739180
Monitor Pakete recv: 732283
Monitor-Pakete gesehen: 584
Monitor Pakete Antworten: 584
Wenn der Monitor "on" ist und der Monitor-Status aus irgendeinem Grund "Down" ist, können Sie immer noch sehen, dass "übermittelte Monitor Pakete" immer weiter erhöht werden, aber die "Monitor Pakete recv" sind konstant. Selbst wenn der Tunnel herunter ist und der Monitor Status unten ist, sendet die "gesendeten Monitor Pakete" immer noch in regelmäßigen Abständen Pings.
Hinweis: immer wenn der Tunnel untergeht, generiert die Palo Alto Networks Firewall ein Ereignis unter System Protokollen (severity ist auf Critical gesetzt). Benachrichtigungen werden generiert, wenn ein e-Mail-Alarm Profil für kritische Protokolle konfiguriert ist. Bitte lesen Sie das folgende Dokument für weitere Informationen: wie konfigurieren Sie e-Mail-Benachrichtigungen für System Protokolle?
Siehe auch
Dead Peer Detection und Tunnel Überwachung
CLI-Befehle zum Status, löschen, restaurieren und Überwachen eines IPSec-VPN-Tunnels
Besitzer: Dreputi