隧道接口状态显示向下(红色)当隧道上升。
63640
Created On 04/29/19 14:11 PM - Last Modified 03/26/21 17:39 PM
Symptom
IPSec 隧道已配置并显示向上,但隧道界面状态显示它已关闭 (红色)。 穿过该隧道的路线也不显示在路由表中。
Environment
PAN-OS
Firewall 配置为 IPSec 隧道
Cause
当启用隧道监视器(显示器配置文件操作设置为故障),并且遥控隧道监控地址无法访问时,可能会发生这种情况 IP 。 隧道监控可与"监视器配置文件"一起使用,以降低隧道接口,从而允许路由更新,从而允许交通通过次要路线进行路由。
可以通过运行以下命令来检查状态:
show vpn flow
show vpn flow tunnel-id <id from previous output> | match monitor
Resolution
IPSec 隧道监控是一种将恒定 ping(通过隧道)发送到 IP 来自 IP 隧道接口的监控地址的机制。 从 IP 隧道接口启动时,验证是否可联系到监视器。 这可以通过从 CLI 。
> ping source <tunnel interface ip> host <monitored-ip>
确保代理 ID 配置正确。
Additional Information
有关其他信息,请参阅以下参考:
如何验证 IPSec 隧道监控是否在
VPN Palo Alto 网络防火墙和思科之间工作死点检测和隧道监控隧道监控ASA
,当监视器检测到隧道关闭/向上时生成哪些日志?
CLI 状态、清除、恢复和监视 IPSec 隧道的命令 VPN