トンネルがアップ状態のときに、トンネル インターフェイスの状態が下がり(赤)表示されます。
63660
Created On 04/29/19 14:11 PM - Last Modified 03/26/21 17:38 PM
Symptom
IPSec トンネルは設定され、Up と表示されますが、トンネル インターフェイスのステータスはDown (赤) として表示されます。 そのトンネルを経由するルートもルーティング テーブルに表示されません。
Environment
PAN-OS
Firewall IPSec トンネルで構成
Cause
これは、トンネル モニタが有効になっている (モニタ プロファイル アクションがフェールオーバーに設定されている) と、リモート トンネルモニタリングアドレスが到達できない場合に発生する可能性 IP があります。 トンネルモニタリングを「モニタ プロファイル」と組み合わせて使用して、ルーティングを更新できるようにトンネル インターフェイスをダウンさせ、トラフィックがセカンダリ ルートを経由してルーティングできるようにします。
ステータスは、以下のコマンドを実行して確認できます。
show vpn flow
show vpn flow tunnel-id <id from previous output> | match monitor
Resolution
IPSec トンネルモニタリングは、トンネルインターフェイスから発信された監視対象アドレスに(トンネルを通じて)一定の ping IP を送信 IP するメカニズムです。 IPトンネル インターフェイスから開始されたときに、監視対象に到達可能かどうかを確認します。 これは、 から ping を実行することで確認できます CLI 。
> ping source <tunnel interface ip> host <monitored-ip>
プロキシが ID 正しく構成されていることを確認します。
Additional Information
詳細については VPN 、「PALAlto ネットワーク ファイアウォールとモニタASA
がトンネルがダウン/アップを検出したときに生成されるログの間で、IPSec トンネル モニタリングがデッドピア検出およびトンネル モニタリング
を
行っているかどうかの確認方法
」を参照してください。
CLI IPSec トンネルの状態、クリア、復元、および監視を行うコマンド VPN