Flapping IPSec Tunnel

Flapping IPSec Tunnel

75979
Created On 09/26/18 21:06 PM - Last Modified 04/02/24 06:29 AM


Resolution


Problem: IPSec-Tunnel ist nicht Klappen oder IPSec-Tunnel ist auf, aber nicht vorbei Verkehr.

 

Ursache: einer der Gründe für den Tunnel flattern oder nicht vorbeifahrenden Verkehr ist, wenn die SPI-Nummer nicht stabil ist. Ein Software-Fehler kann das Problem sein, die Lebensdauer für Phase 1 und Phase 2 ist nicht die gleiche, so dass Rekey passiert. Proxy-ID sind falsch abgestimmt, so dass Rekey häufig passiert.

 

Ein Sicherheits Verband wird durch ein Triple, bestehend aus einem Sicherheits Parameter-Index (SPI), einer IP-Zieladresse und einem Sicherheitsprotokoll (AH oder ESP), eindeutig identifiziert. SPI ist ein beliebiger 32-Bit-Wert, der von einem Empfänger verwendet wird, um die SA zu identifizieren, an die ein eingehendes Paket gebunden werden soll. Das SPI wird zur Verfügung gestellt, um das eingehende Paket an eine SA am Zielort zu kartieren.

 

Die SPI-Nummer kann auf der Firewall mit folgendem Befehl überprüft werden:

Show VPN IPSec-SA

 

Die SPI-Nummer soll stabil bleiben, bis ein Tunnel neu verhandelt. Wenn sich diese Zahl ändert, dann wird der Tunnel nicht stabil sein.

 

Beispiel: in beiden Screenshots ändert sich die SPI-Nummer.

SPI1. png

 

SPI2. png

 

Resolution:

  • Überprüfen Sie die Lebensdauer von Phase1 und Phase2-die Zeit sollte die gleiche sein.
  • Prüfen Sie, ob die Proxy-ID übereinstimmt oder nicht.
  • Das Problem könnte wegen eines Software-Fehlers sein.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm63CAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language