ipsec隧道到 AWS VPN 网关时间偶尔在第1阶段谈判

• 帕洛阿尔托平台： AWS PA-VM .
• PAN-OS 版本：全部。
• 插件版本：全部。

• AWS 网络安全组 NSG （） 和网络 ACL 未更新以包括 AWS VPN 网关对等。艾克的寿命通常配置相同的帕洛阿尔托 VM PA-VM （） Firewall 和， AWS 因为两者 PA-VM 都 AWS 被配置为启动器， 任何一方都可以启动相 I 重新键。
•  AWS VPC 出站 NSG 和 ACL 默认情况下是允许的，所以重新谈判工作时 PA-VM 启动重新键。
• 入站 NSG ， ACL 默认情况下为全部拒绝。在 I AWS ikemgr 中启动以下消息的重新键时，阶段谈判时间会缩短.log

2019-12-19 14:17:51.103 +0000 [PNTF]: { 7: }: notification message 36136:R-U-THERE, doi=1 proto_id=1 
spi=1963a1228518915a 71ac5dc98b71b305 (size=16).
====> Expired SA: 10.217.142.132[4500]-34.247.192.12[4500] SPI:0xF9AB7EC5/0x9D26C9A2 <====
2019-12-19 14:17:52.000 +0000 [PNTF]: { : 58}: ====> IPSEC KEY DELETED <====
====> Deleted SA: 10.217.142.132[4500]-34.247.192.12[4500] SPI:0xF9AB7EC5/0x9D26C9A2 <====
2019-12-19 14:17:52.000 +0000 [INFO]: { 5: 58}: SADB_DELETE proto=0 src=10.217.142.132[4500] dst=x.x.x.x[4500]
ESP spi=0xF9AB7EC5
2019-12-19 14:17:52.685 +0000 [PNTF]: { 3: }: notification message 36136:R-U-THERE, doi=1 proto_id=1 
spi=20854a8f0f72a209 6e851aa1d55b0b90 (size=16).
2019-12-19 14:17:53.000 +0000 [PWRN]: { : 58}: phase-2 sa purge mismatch SPI:0x00000000/0x9D26C9A2.
2019-12-19 14:17:53.580 +0000 [PNTF]: { 10: }: notification message 36136:R-U-THERE, doi=1 proto_id=1 
spi=3d180a75c320a0f1 1d6609f7f0f3b470 (size=16).
2019-12-19 14:17:55.004 +0000 [PNTF]: { 5: }: notification message 36136:R-U-THERE, doi=1 proto_id=1 
spi=45a99b70d7e5e1c1 8bc1358fdf591ddd (size=16).
2019-12-19 14:17:55.214 +0000 [INFO]: { 18: 42}: IPsec-SA request for 34.247.103.214 queued since no 
phase1 found

1. 检查适用于 in 的安全规则 NIC AWS
2. AWS 控制台 VPC >>安全组。检查入站规则和出站规则。确保列出 IPsec 隧道同行 IPs 。
3. AWS控制台 VPC >>安全>网络ACL。检查入站规则、出站规则、子网关联
4. 在出站和入站规则中添加同行 IPs，并在发布"测试 vpn"命令后从 PA-VM CLI 。

> test vpn ike-sa 
Start time: Dec.04 00:03:37
Initiate 1 IKE SA.
> test vpn ipsec-sa 
Start time: Dec.04 00:03:41
Initiate 1 IPSec SA.