如何验证 IPSec 隧道监视是否工作正常
Resolution
概述
IPSec 隧道监视是一种机制, 它向来自隧道接口 ip 的受监视 ip 地址发送恒定 ping。ping 的间隔在其监视器配置文件 (网络 > 网络配置文件 > 监视器 > 间隔) 中指定。
注意:被监视的 IP 地址配置在: 网络 > IPSec 隧道 > 常规选项卡 > 目标 IP.
详细
要检查隧道监视是向上还是向下, 请使用以下命令:
>> 显示 vpn 流
id 名称状态监视器本地 ip 对等 ip 隧道-i/o
------------------------------------------------------------------------------------
1隧道对远程活动 10.66.24.94 10.66.24.95 隧道 2
以上输出显示显示器状态为 "向上"。
要验证这些 ping 的计数, 请使用显示 vpn 流隧道-id id>命令.
例如:
>> 显示 vpn 流隧道-id 1
隧道到远程
编号: 1
类型: IPSec
网关号: 1
本地 ip: 10.66.24.94
对等 ip: 10.66.24.95
内部接口: 隧道2
外部接口: ethernet1/3
状态: 活动
会议: 6443
隧道 mtu: 1436
生存期: 2663 秒
最新 rekey: 937 秒前
显示器: on
监视状态: 上
监视器间隔: 3 秒
显示器阈值: 5 探头损耗
监视发送的数据包: 739180
监视数据包接收: 732283
监视器数据包已看到: 584
监视器数据包答复: 584
en/建议醒酒需上下文:76
本地 spi: F18E58FF
远程 spi: B90FCFB2
在上述输出中:
监视发送的数据包-发送的 ping 数
监视数据包接收-收到的对 ping 发送的答复数。
监视所看到的数据包-从远程方查询接收到的监视数据包数量。
监视数据包答复-响应 "看到的监视数据包" 发送的答复数。只有在对隧道接口 IP 进行请求时, 才会增加此增量。
为了查看特定隧道的实时运行时状态, 请运行以下命令:
显示运行隧道流隧道-编号 1 |匹配监视器
显示器: on
监视状态: 上
监视器间隔: 3 秒
显示器阈值: 5 探头损耗
监视发送的数据包: 739180
监视数据包接收: 732283
监视器数据包已看到: 584
监视器数据包答复: 584
如果显示器处于 "on" 状态, 并且由于任何原因而监控程序 "关闭", 您仍然可以查看 "发送的监视器数据包" 保持递增, 但 "监视数据包接收" 是常量。即使隧道已关闭且显示器状态已关闭, "发送的监视器数据包" 仍会定期发送 ping。
注意: 每当隧道关闭时, 帕洛阿尔托网络防火墙都会在系统日志下生成一个事件 (severity设置为 "关键"). 如果为关键日志配置了电子邮件警报配置文件, 则会生成通知。有关详细信息, 请查看以下文档: 如何为系统日志配置电子邮件警报?
请参见
用于状态、清除、恢复和监视 IPSEC VPN 隧道的 CLI 命令
所有者: dreputi