État de l’interface tunnel s’affichant vers le bas (rouge) lorsque le tunnel est en place.
63672
Created On 04/29/19 14:11 PM - Last Modified 03/26/21 17:39 PM
Symptom
IpSec tunnel est configuré et s’affiche, mais l’état de l’interface du tunnel montre qu’il est vers le bas (Rouge). Les itinéraires à travers ce tunnel ne sont pas non plus indiqués dans la table de routage.
Environment
PAN-OS
Firewall configuré avec un tunnel IPSec
Cause
Cela peut se produire lorsque le moniteur de tunnel est activé (avec l’action du profil du moniteur définie pour échouer) et l’adresse de surveillance du tunnel IP à distance est inaccessible. La surveillance des tunnels peut être utilisée conjointement avec les « profils de moniteur » pour faire baisser l’interface du tunnel, ce qui permet de mettre à jour le routage afin qu’il puisse permettre au trafic de s’acheminer sur des itinéraires secondaires.
L’état peut être vérifié en exécutant les commandes ci-dessous :
show vpn flow
show vpn flow tunnel-id <id from previous output> | match monitor
Resolution
IpSec surveillance du tunnel est un mécanisme qui envoie pings constants (à travers le tunnel) à IP l’adresse surveillée provenant de IP l’interface du tunnel. Vérifiez si le Monitored est IP accessible lorsqu’il est initié à partir de l’interface du tunnel. Cela peut être vérifié en initiant un ping à partir de la CLI .
> ping source <tunnel interface ip> host <monitored-ip>
Assurez-vous que ID le proxy est configuré correctement.
Additional Information
Pour plus d’informations, veuillez consulter ces références : Comment vérifier si
IPSec Tunnel Monitoring travaille à la
détection par les pairs morts et à lasurveillance
des tunnels de surveillance des tunnels entreles VPN pare-feux des réseaux de Palo Alto et Cisco ASA
Quels journaux sont générés lorsqu’un moniteur détecte un tunnel est en baisse ou en hausse ?
CLI Commandes à l’état, effacer, restaurer et surveiller un tunnel IPSec VPN