IPSec VPN IKE フェーズ1がダウンしていますが、トンネルがアクティブです

問題

WebGUI > ネットワーク > ipsec トンネルの内部では、IKE ゲートウェイの状態 (フェーズ 1) のライトは赤色ですが、ipsec トンネル (フェーズ 2) ライトは緑色です。  しかし、トラフィックはまだ適切にトンネルを通って流れ続けている。  しばらくすると、IKE ゲートウェイのステータスライトが緑色に戻ります。  これは正常ですか。

フェーズ1を示す VPN の状態 (赤) が、フェーズ2アップ (緑)

解決方法

これは正常な動作です。

フェーズ 1 (IKE ゲートウェイの状態) の目的は、後続のフェーズ 2 (IPSEC トンネル) セキュリティアソシエーション (SA) に対してセキュリティで保護されたチャネルをセットアップすることです。フェーズ2のセキュリティアソシエーションが設定されると、トラフィックはフェーズ 2 SA で移動します。したがって、フェーズ1がダウンしている可能性がありますが、トンネル全体のトラフィックは依然として機能します (フェーズ2が設定されているため)。フェーズ1がタイムアウトすると 、IKE ライトは赤色に点灯します。一定の期間が経過すると、フェーズ2がタイムアウトになると、フェーズ1はその後のフェーズ2ネゴシエーションのために暗号化キーを再ネゴシエートします。これらの新鮮な交渉の後、IKE の光が緑色に戻り、このプロセスが続行されます。

この現象は、システムログに表示されます。

フェーズ2とフェーズ1の再交渉を示すシステムログ。

上記のイベントの説明:

21:44:04: フェーズ 1 SA がタイムアウトしました。  この時点で、IKE ゲートウェイのステータスライトは赤色になります。  フェーズ1の再交渉がすぐに開始されていないことに注意してください。

21:45:38: この時点で、フェーズ 2 SA がタイムアウトしようとしています。  したがって、フェーズ 1 SA 再交渉が開始されました。  IKE ゲートウェイのステータスライトが緑色に戻ります。

21:45:38: 後続のフェーズ2再交渉。

21:45:38: 前のフェーズ 2 SA が期限切れになり、削除されます。

また見なさい

この状況の詳細については、より多くの写真と別の説明を参照してください:

DotW: VPN の IPSec トンネルの状態は赤です。

所有者: akhan