IPSEC VPN SA Synchronisation in einem HA Aktiv/Passiv-Paar
Symptom
- Wenn ein VPN bei einem Palo Alto-Paar beendet firewall HA wird, werden nicht alle IPSEC zugehörigen Informationen zwischen den Firewalls synchronisiert.
- Es kann beobachtet werden, dass die Ausgabe von "show vpn ike-sa" keine auf dem passiven Gerät des Paares anzeigen SA HA würde.
Environment
- PAN Aktives/passives HA Paar
- Jedes PanOS
Resolution
Das ist ein erwartetes Verhalten. IKE Phase 1 SA Informationen werden zwischen den NOT Firewalls synchronisiert Hier ist ein HA Beispiel
der erwarteten Ausgabe.
- Wenn IKEv1 verwendet wird
Ausgabe von "show vpn ike-sa " und "show vpn ipsec-sa" auf ACTIVE NODE
(aktiv)> vpn ike-sa GwID/Client IP Peer-Address Gateway Name Role Mode Algorithm Etablierte V ST Ablauf-Xt-Phase2 -------------- ------------ ------------ ---- ---- --------- ----------- ---------- - -- -- ------ 1067 xxx.xxx.xxx.2 SiteA-SiteB Init Main PSK / DH2/A128/SHA1 Dec.08 19:03:59 Dec.09 03:03:59 v1 13 1 7 IKEv1 IKE SA anzeigen : Insgesamt 1 Gateways gefunden. 1 ike sa gefunden.
Gatewayname TnID Tunnel GwID/ IP Rollenalgorithmus SPI (in) SPI (out) MsgID ST Xt ------------ ---- ------ ------- ---- --------- ------- -------- ----- -- -- SiteA-SiteB 3077 SiteA-SiteB: A-B 1067 Resp ESP / DH2/tunl/SHA1 E7D7C3FE A10CF2BE C018D184 9 1 IKEv1 Phase2 SA anzeigen : Insgesamt 1 Gateways gefunden. 1 ike sa gefunden. |
Ausgabe von "show vpn ike-sa " und "show vpn ipsec-sa" auf PASSIVE NODE
admin@SiteA-Sekundär(passiv)> vpn ike-sa anzeigen Es wurde keine IKEv1 Phase-1 SA gefunden. Es wurde keine IKEv1 Phase-2 SA gefunden. Es wurden keine IKEv2 SA gefunden. |
(passiv)> vpn ipsec-sa anzeigen GwID/Client IP TnID Peer-Address Tunnel(Gateway)-Algorithmus SPI (in) SPI (out) life(Sec/ KB ) -------------- ---- ------------ --------------- --------- ------- -------- ------------ 1067 3077 xxx.xxx.xxx.2 SiteA-SiteB: A-B (SiteA-SiteB) ESP /A128/SHA1 E7D7C3FE A10CF2BE 2285/0 IPSec anzeigen SA : Insgesamt 1 Gefundene Tunnel. 1 ipsec sa gefunden. |
- Wenn IKEv2 verwendet wird
Ausgabe von "show vpn ike-sa " und "show vpn ipsec-sa" auf ACTIVE NODE
(aktiv)> vpn ike-sa anzeigen Es wurde keine IKEv1 Phase-1 SA gefunden. Es wurde keine IKEv1 Phase-2 SA gefunden. IKEv2 SAs Gateway ID Peer-Address Gateway Name Role SN Algorithm Etablierte Expiration Xt Child ST ---------- ------------ ------------ ---- -- --------- ----------- ---------- -- ----- -- 1067 xxx.xxx.xxx.2 SiteA-SiteB Init 1 PSK / DH2/A128/SHA1 Dec.09 00:45:16 Dec.09 08:45:16 0 1 Gegründet IKEv2 IPSec-Kinder-SAs Gatewayname TnID Tunnel ID Parent Role SPI (in) SPI (out) MsgID ST ------------ ---- ------ -- ------ ---- ------- -------- ----- -- SiteA-SiteB 3077 SiteA-SiteB: A-B 1 1 Init A8406D1E F9E6624E 00000001 Reife IKEv2 SA anzeigen : Insgesamt 1 Gateways gefunden. 1 ike sa gefunden. |
(aktiv)> vpn ipsec-sa anzeigen GwID/Client IP TnID Peer-Address Tunnel(Gateway)-Algorithmus SPI (in) SPI (out) life(Sec/ KB ) -------------- ---- ------------ --------------- --------- ------- -------- ------------ 1067 3077 xxx.xxx.xxx.2 SiteA-SiteB: A-B (SiteA-SiteB) ESP /A128/SHA1 A8406D1E F9E6624E 3583/0 IPSec anzeigen SA : Insgesamt 1 Gefundene Tunnel. 1 ipsec sa gefunden. |
Ausgabe von "show vpn ike-sa " und "show vpn ipsec-sa" auf PASSIVE NODE
admin@SiteA-Sekundär(passiv)> vpn ike-sa anzeigen Es wurde keine IKEv1 Phase-1 SA gefunden. Es wurde keine IKEv1 Phase-2 SA gefunden. Es wurden keine IKEv2 SA gefunden. |
admin@SiteA-Sekundär(passiv)> vpn ipsec-sa anzeigen GwID/Client IP TnID Peer-Address Tunnel(Gateway)-Algorithmus SPI (in) SPI (out) life(Sec/ KB ) -------------- ---- ------------ --------------- --------- ------- -------- ------------ 1067 3077 xxx.xxx.xxx.2 SiteA-SiteB: A-B (SiteA-SiteB) ESP /A128/SHA1 A8406D1E F9E6624E 3508/0 IPSec anzeigen SA : Insgesamt 1 Gefundene Tunnel. 1 ipsec sa gefunden. |
Additional Information
Synchronisierung von Systemlaufzeitinformationen