Tunnelschnittstellenstatus zeigt nach unten (Rot) an, wenn der Tunnel hoch ist.
63704
Created On 04/29/19 14:11 PM - Last Modified 03/26/21 17:39 PM
Symptom
Der IPSec-Tunnel ist konfiguriert und wird nach oben angezeigt, aber der Tunnelschnittstellenstatus zeigt ihn als "Down " (Rot)an. Routen durch diesen Tunnel werden ebenfalls nicht in der Routingtabelle angezeigt.
Environment
PAN-OS
Firewall konfiguriert mit einem IPSec-Tunnel
Cause
Dies kann passieren, wenn der Tunnelmonitor aktiviert ist (wobei die Monitorprofilaktion auf Failover eingestellt ist) und die Remotetunnelüberwachungsadresse IP nicht erreichbar ist. Die Tunnelüberwachung kann in Verbindung mit "Monitorprofilen" verwendet werden, um die Tunnelschnittstelle zu senken, sodass das Routing aktualisiert werden kann, sodass der Datenverkehr über sekundäre Routen geleitet werden kann.
Der Status kann überprüft werden, indem Sie die folgenden Befehle ausführen:
show vpn flow
show vpn flow tunnel-id <id from previous output> | match monitor
Resolution
Die IPSec-Tunnelüberwachung ist ein Mechanismus, der konstante Pings (durch den Tunnel) an die überwachte Adresse sendet, IP die von der IP Tunnelschnittstelle stammt. Überprüfen Sie, ob die Überwachung erreichbar ist, wenn sie IP von der Tunnelschnittstelle initiiert wird. Dies kann überprüft werden, indem ein Ping aus der eingeleitet CLI wird.
> ping source <tunnel interface ip> host <monitored-ip>
Stellen Sie sicher, dass der Proxy ID ordnungsgemäß konfiguriert ist.
Additional Information
Weitere Informationen finden Sie in diesen Referenzen:
Wie überprüft man, ob IPSec Tunnel Monitoring für
die Überwachung vonToten-Peer-Netzwerken
zwischen Palo VPN Alto-Netzwerken ASA
und Cisco funktioniert, welche Protokolle generiert werden, wenn ein Monitor erkennt, dass der Tunnel heruntergefahren/nach oben ist?
CLI Befehle zum Status, Löschen, Wiederherstellen und Überwachen eines VPN IPSec-Tunnels