IPSec VPN IKE Phase 1 ist unten, aber Tunnel ist aktiv

Problem

Im Inneren des WebGui > Network > IPSec-Tunnelsist der IKE-Gateway-Status (Phase 1) rot, während der IPSec-Tunnel (Phase-2)-Licht grün ist .   Der Verkehr fließt aber immer noch ordentlich durch den Tunnel.  Nach einiger Zeit kehrt das IKE-Gateway-Status Licht wieder auf grün zurück.  Ist das normal?

VPN-Status zeigt Phase 1 nach unten (rot), aber Phase 2 nach oben (grün)

Lösung

Das ist normales Verhalten.

Ziel der Phase 1 (IKE Gateway Status) ist es, einen sicheren Kanal für die nachfolgenden sicherheitsverbände der Phase 2 (IPSec Tunnel) (SA) einzurichten. Nach der Einrichtung der Phase-2-sicherheitsverbände fährt der Verkehr auf Phase 2 SA. Daher ist es möglich, dass die Phase 1 zurückgeht, aber der Verkehr über den Tunnel funktioniert noch (weil Phase 2 oben ist). Das IKE-Licht wird rot , wenn Phase 1 mal aus. Nach einer bestimmten Zeit, in der Phase 2 kurz vor dem Timeout steht, wird Phase 1 den Verschlüsselungsschlüssel für die nachfolgenden Phase-2-Verhandlungen neu verhandeln. Nach diesen neuen Verhandlungen wird das IKE Light wieder auf grün zurückkehren, und dieser Prozess geht weiter.

Dieses Verhalten ist in den Systemprotokollen zu sehen:

System Protokolle, die Phase 2 und Phase 1 neu verhandeln.

Beschreibung der oben genannten Ereignisse:

21:44:04: Phase-1 SA ausgelaufen.  An dieser Stelle wird das IKE-Gateway-Status Licht rot.  Beachten Sie, dass die Phase-1-Neuverhandlungen nicht sofort begonnen haben.

21:45:38: an dieser Stelle ist Phase-2 SA kurz vor dem Timeout.  Daher begannen Phase-1-SA-Neuverhandlungen.  IKE Gateway Status Licht wendet sich wieder auf grün.

21:45:38: anschließende Phase-2-Neuverhandlungen.

21:45:38: die vorherige Phase-2 SA läuft aus und wird gelöscht.

Siehe auch

Weitere Informationen zu dieser Situation, mit weiteren Bildern und einer anderen Erklärung, finden Sie unter:

DOTW: VPN IPSec Tunnel Status ist rot

Besitzer: akhan