Comment faire pour vérifier si IPSec tunnel Monitoring fonctionne

Vue d’ensemble

IPSec tunnel Monitoring est un mécanisme qui envoie des pings constants à l'adresse IP surveillée source de l'IP de l'interface tunnel. L'intervalle pour les pings est spécifié dans son profil de moniteur (Network > profils réseau > Monitor > intervalle).

Remarque: l'adresse IP surveillée est configurée sur: réseau > IPSec tunnels > général Tab > destination IP.

Détails

Pour vérifier si la surveillance du tunnel est en haut ou en bas, utilisez la commande suivante:

> afficher le flux VPN

ID nom de l'État moniteur local-IP Peer-IP tunnel-i/f

------------------------------------------------------------------------------------

1 tunnel-to-Remote active up 10.66.24.94 10.66.24.95 tunnel. 2

La sortie ci-dessus indique que l'état du moniteur est "up".

Pour vérifier le nombre de ces pings, utilisez la commande show VPN Flow tunnel-ID ID > .

Par exemple :

> Show VPN flux tunnel-ID 1

tunnel-tunnel-à-distance

        ID: 1

        type: IPSec

        ID de passerelle: 1

        adresse IP locale: 10.66.24.94

        IP de l'homologue: 10.66.24.95

        interface interne: tunnel. 2

        interface externe: ethernet1/3

        État: actif

        session: 6443

        MTU tunnel: 1436

        durée de vie: 2663 sec

        dernière recomposition: 937 il ya quelques secondes

        Monitor: on

        État du moniteur: up

        intervalle du moniteur: 3 secondes

        seuil du moniteur: 5 pertes de sonde

        paquets de moniteur envoyés: 739180

        moniteur paquets recv: 732283

        surveiller les paquets vus: 584

        Monitor paquets réponse: 584

        fr/Decap contexte: 76

        SPI local: F18E58FF

        SPI distant: B90FCFB2

Dans la sortie ci-dessus:

suivi des paquets envoyés-nombre de pings envoyés

surveiller les paquets recv-nombre de réponses reçues aux pings envoyés.

surveiller les paquets vus-nombre de paquets de moniteur reçus de l'interrogation de côté à distance pour nous.

suivi des paquets réponse-nombre de réponses envoyées en réponse à "surveiller les paquets vus". Cela ne s'incrémentera que si les demandes ont été faites à l'interface IP du tunnel.

Pour voir les États d'exécution en temps réel d'un tunnel particulier, exécutez la commande suivante:

> afficher tunnel Flow tunnel-ID 1 | moniteur de match

        Monitor: on

        État du moniteur: up

        intervalle du moniteur: 3 secondes

        seuil du moniteur: 5 pertes de sonde

        paquets de moniteur envoyés: 739180

        moniteur paquets recv: 732283

        surveiller les paquets vus: 584

        Monitor paquets réponse: 584

Si le moniteur est "on" et que l'état du moniteur est "Down" pour n'importe quelle raison, vous pouvez toujours voir que "les paquets de moniteur envoyés" garde l'incrémentation mais "les paquets de moniteur recv" est constant. Même si le tunnel est en panne et que l'état du moniteur est en panne, les "paquets de moniteur envoyés" envoient toujours des pings à intervalles réguliers.

Note: chaque fois que le tunnel descend, le pare-feu de Palo Alto Networks génère un événement sous les journaux du système (la constante de s est définie sur critique). Les notifications sont générées si un profil d'alerte e-mail est configuré pour les journaux critiques. Pour plus d'informations, consultez le document suivant: Comment configurer les alertes par courrier électronique pour les journaux système?

Voir aussi

Dead Peer Detection et la surveillance du Tunnel

Commandes CLI pour état, effacer, restaurer et surveiller un tunnel VPN IPSec

propriétaire : dreputi