IPSec VPN IKE phase 1 est en panne mais tunnel est actif

IPSec VPN IKE phase 1 est en panne mais tunnel est actif

147083
Created On 09/26/18 13:51 PM - Last Modified 06/07/23 20:57 PM


Resolution


Demande client

À l'intérieur de la WebGUI > réseau > les tunnels IPSec, la lumière de la passerelle IKE (phase 1) est en rouge, alors que le tunnel IPSec (phase 2) est en vert.   Cependant, le trafic continue à circuler à travers le tunnel correctement.  Après un certain temps, le voyant d'état de la passerelle IKE revient au vert.  Est-ce normal ?

2017-11 -06_vpn1. jpgStatut de VPN affichant la phase 1 vers le bas (rouge) mais phase 2 vers le haut (vert)

 

Résolution

C'est un comportement normal.


L'objectif de la phase 1 (statut de passerelle IKE) est de configurer un canal sécurisé pour les associations de sécurité (sa) de phase 2 suivantes (IPSec tunnel). Une fois que les associations de sécurité de la phase 2 ont été établies, le trafic circule sur la phase 2 sa. Par conséquent, il est possible que la phase 1 soit en panne, mais le trafic à travers le tunnel fonctionne encore (parce que la phase 2 est en hausse). Le voyant IKE s'allume en rouge lorsque la phase 1 s'éteint. Après une certaine période, lorsque la phase 2 est sur le point d'être expirée, la phase 1 renégociera la clé de cryptage pour les négociations subséquentes de la phase 2. Après ces nouvelles négociations, la lumière IKE retournera au vert et ce processus se poursuit.

 

Ce comportement peut être vu dans les journaux système:

2017-11 -06_vpn2. jpgJournaux du système montrant la phase 2 et la phase 1 de renégociation.

Description des événements ci-dessus:

21:44:04: phase-1 sa a expiré.  À ce stade, le voyant d'état de la passerelle IKE deviendra rouge.  Remarquez que les renégociations de phase 1 n'ont pas commencé tout de suite.

21:45:38: à ce stade, la phase-2 sa est sur le point d'expiration.  Par conséquent, les renégociations de la phase 1 de sa ont commencé.  Le voyant d'état de la passerelle IKE retourne au vert.

21:45:38: renégociations subséquentes de la phase 2.

21:45:38: la dernière phase-2 sa expire et est supprimée.

 

Voir aussi

Pour plus d'informations sur cette situation, avec plus de photos et une explication différente, s'il vous plaît voir:

DotW: l'état du tunnel VPN IPSec est rouge

 

propriétaire: Aubert
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CluRCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language