Cómo comprobar si la supervisión del túnel IPSec está funcionando

Resumen

La supervisión de túnel IPSec es un mecanismo que envía pings constantes a la dirección IP supervisada procedente de la IP de la interfaz del túnel. El intervalo de los pings se especifica en su perfil de monitor (red > perfiles de red > monitor > intervalo).

Nota: la dirección IP monitorizada está configurada en: red > túneles IPSEC > ficha General > IP de destino.

Detalles

Para comprobar si la supervisión del túnel está arriba o abajo, utilice el comando siguiente:

> Mostrar flujo VPN

nombre de identificación estado monitor local-IP peer-IP Tunnel-i/f

------------------------------------------------------------------------------------

1 túnel-a-alejado activo encima de 10.66.24.94 10.66.24.95 Tunnel. 2

La salida anterior muestra que el estado del monitor está "arriba".

Para comprobar el conteo de estos pings, utilice el comando Mostrar túnel de flujo VPN-ID ID > .

Por ejemplo:

> Mostrar túnel de flujo VPN-ID 1

túnel de túnel a remoto

        ID: 1

        tipo: IPSec

        ID de Gateway: 1

        IP local: 10.66.24.94

        IP del par: 10.66.24.95

        interfaz interna: Tunnel. 2

        interfaz externo: ethernet1/3

        Estado: activo

        sesión: 6443

        MTU del túnel: 1436

        duración: 2663 seg.

        últimas reintroducir: 937 hace segundos

        monitor: en

        Estado del monitor: arriba

        intervalo del monitor: 3 segundos

        umbral del monitor: 5 pérdidas de sonda

        monitor de paquetes enviados: 739180

        monitor de paquetes RECV: 732283

        supervisar los paquetes vistos: 584

        monitor de paquetes de respuesta: 584

        en/DECAP context: 76

        local SPI: F18E58FF

        telecontrol SPI: B90FCFB2

En la salida antedicha:

supervisar paquetes enviados-número de pings enviados

supervisar paquetes RECV-número de respuestas recibidas a los pings enviados.

Supervise los paquetes vistos-número de paquetes del monitor recibidos de la consulta del lado alejado para nosotros.

monitor de paquetes de respuesta-número de respuestas enviadas en respuesta a "supervisar paquetes vistos". Esto aumentará sólo si las solicitudes se hicieron a IP de interfaz de túnel.

Para ver los Estados de tiempo real en tiempo de ejecución de un túnel determinado, ejecute el siguiente comando:

> Mostrar túnel de flujo de túnel de funcionamiento-ID 1 | monitor del fósforo

        monitor: en

        Estado del monitor: arriba

        intervalo del monitor: 3 segundos

        umbral del monitor: 5 pérdidas de sonda

        monitor de paquetes enviados: 739180

        monitor de paquetes RECV: 732283

        supervisar los paquetes vistos: 584

        monitor de paquetes de respuesta: 584

Si el monitor está en "ON" y el estado del monitor está "abajo" por cualquier razón, todavía puede ver que "los paquetes de monitor enviados" sigue incrementando pero "supervisar paquetes recv" es constante. Incluso si el túnel está abajo y el estado del monitor está apagado, los "paquetes de monitor enviados" todavía envían pings a intervalos regulares.

Nota: cada vez que el túnel se cae, el cortafuegos de Palo Alto Networks genera un evento bajo los logs del sistema (severity se establece en Critical). Las notificaciones se generan si se configura un perfil de alerta de correo electrónico para registros críticos. Por favor, revise el siguiente documento para más información: ¿Cómo configurar alertas de correo electrónico para registros del sistema?

Ver también

Muerto par detección y control de túnel

Comandos CLI para estado, borrar, restaurar y supervisar un túnel VPN IPSec

Propietario: dreputi