IPSec VPN IKE 阶段1已关闭, 但隧道处于活动状态

问题

在WebGUI > 网络 > ipsec 隧道中, IKE 网关状态 (1 阶段) 指示灯为红色, 而 IPSec 隧道 (阶段 2) 指示灯为绿色.   然而, 交通仍然继续流经隧道正确。  一段时间后, IKE 网关状态指示灯恢复为绿色。  这是正常的吗？

VPN 状态显示阶段1向下 (红色), 但阶段2向上 (绿色)

解决办法

这是正常的行为。

阶段 1 (IKE 网关状态) 的目的是为随后的2阶段 (IPSEC 隧道) 安全关联 (SA) 设置安全通道。一旦设置了2阶段安全关联, 通信量就会在2阶段移动。因此, 可能1阶段可能会下降, 但横跨隧道的通信仍然有效 (因为2阶段已经上升)。当相位1次时 , IKE 指示灯将变红。在一段时间后, 当2阶段即将超时时, 1 阶段将重新协商加密密钥, 以便随后的2阶段谈判。经过这些新的谈判后, IKE 指示灯将恢复为绿色, 此过程将继续进行.

此行为可以在系统日志中看到:

显示2阶段和1阶段重新谈判的系统日志。

上述事件的描述:

21:44:04: Phase-1 SA 超时。  此时, IKE 网关状态指示灯将变为红色。  注意, Phase-1 谈判没有马上开始。

21:45:38: 在这一点上, Phase-2 SA 即将超时。  因此, Phase-1 SA 谈判开始。  IKE 网关状态指示灯变为绿色。

21:45:38: 随后 Phase-2 谈判。

21:45:38: 上一个 Phase-2 SA 过期并被删除。

请参见

有关此情况的更多信息, 请参阅更多的图片和不同的解释:

DotW: VPN IPSec 隧道状态为红色

所有者: akhan