IPSEC VPN SA sincronización en un par activo/pasivo HA
Symptom
- Cuando se termina a VPN en un par palo firewall HA alto, no toda la información relacionada se IPSEC sincroniza entre los firewalls.
- Se puede observar que la salida de "show vpn ike-sa" no mostraría ninguna SA en el dispositivo pasivo del HA par.
Environment
- PAN Par activo/pasivo HA
- Cualquier PanOS
Resolution
Este es un comportamiento esperado. IKE La información de fase 1 SA se NOT sincroniza entre los HA firewalls
Aquí hay una muestra de salida esperada.
- Cuando se utiliza IKEv1
Salida de "show vpn ike-sa" y "show vpn ipsec-sa" en ACTIVE NODE
(activo)> mostrar vpn ike-sa GwID/cliente IP Peer-Address Gateway Nombre Rol Mode Algoritmo establecido Expiración V ST Xt Phase2 -------------- ------------ ------------ ---- ---- --------- ----------- ---------- - -- -- ------ 1067 xxx.xxx.xxx.2 SiteA-SiteB Init Main PSK / DH2/A128/SHA1 Dic.08 19:03:59 Dic.09 03:03:59 v1 13 1 7 Mostrar IKEv1 IKE SA : Total de 1 puertas de enlace encontradas. 1 ike sa encontrado.
Nombre de puerta de enlace Túnel TnID GwID/ IP Algoritmo de rol SPI SPI (in) (out) MsgID ST Xt ------------ ---- ------ ------- ---- --------- ------- -------- ----- -- -- SiteA-SiteB 3077 SiteA-SiteB: A-B 1067 Resp ESP / DH2/tunl/SHA1 E7D7C3FE A10CF2BE C018D184 9 1 Mostrar IKEv1 phase2 SA : Total 1 gateways encontrados. 1 ike sa encontrado. |
Salida de "show vpn ike-sa" y "show vpn ipsec-sa" en PASSIVE NODE
admin@SiteA-Secundario (pasivo)> mostrar vpn ike-sa No se encuentra IKEv1 SA fase-1. No se encuentra IKEv1 SA phase-2. No se encuentra IKEv2. SA |
(pasivo)> mostrar vpn ipsec-sa GwID/cliente IP TnID Peer-Address Tunnel(Gateway) Algoritmo SPI SPI (in) (out) life(Sec/ KB ) -------------- ---- ------------ --------------- --------- ------- -------- ------------ 1067 3077 xxx.xxx.xxx.2 SiteA-SiteB: A-B (SiteA-SiteB) ESP /A128/SHA1 E7D7C3FE A10CF2BE 2285/0 Mostrar IPSec SA : Total de 1 túneles encontrados. 1 ipsec sa encontrado. |
- Cuando se utiliza IKEv2
Salida de "show vpn ike-sa" y "show vpn ipsec-sa" en ACTIVE NODE
(activo)> mostrar vpn ike-sa No se encuentra IKEv1 SA fase-1. No se encuentra IKEv1 SA phase-2. IKEv2 SA Algoritmo ID de rol de nombre de puerta de enlace de puerta de enlace de puerta de enlace establecido SN expiración Xt child ST ---------- ------------ ------------ ---- -- --------- ----------- ---------- -- ----- -- 1067 xxx.xxx.xxx.2 SiteA-SiteB Init 1 PSK / DH2/A128/SHA1 Dic.09 00:45:16 Dic.09 08:45:16 0 1 Establecido IKEv2 IPSec SAs infantiles Nombre de puerta de enlace TnID Tunnel ID Parent Role SPI (in) SPI (out) MsgID ST ------------ ---- ------ -- ------ ---- ------- -------- ----- -- Sitea-SiteB 3077 Sitea-Siteb: A-B 1 1 Init A8406d1E F9E6624E 00000001 Maduro Mostrar IKEv2 SA : Total de 1 puertas de enlace encontradas. 1 ike sa encontrado. |
(activo)> mostrar vpn ipsec-sa GwID/cliente IP TnID Peer-Address Tunnel(Gateway) Algoritmo SPI SPI (in) (out) life(Sec/ KB ) -------------- ---- ------------ --------------- --------- ------- -------- ------------ 1067 3077 xxx.xxx.xxx.2 SiteA-SiteB: A-B (SiteA-SiteB) ESP /A128/SHA1 A8406D1E F9E6624E 3583/0 Mostrar IPSec SA : Total de 1 túneles encontrados. 1 ipsec sa encontrado. |
Salida de "show vpn ike-sa" y "show vpn ipsec-sa" en PASSIVE NODE
admin@SiteA-Secundario (pasivo)> mostrar vpn ike-sa No se encuentra IKEv1 SA fase-1. No se encuentra IKEv1 SA phase-2. No se encuentra IKEv2. SA |
admin@SiteA-Secundario (pasivo)> mostrar vpn ipsec-sa GwID/cliente IP TnID Peer-Address Tunnel(Gateway) Algoritmo SPI SPI (in) (out) life(Sec/ KB ) -------------- ---- ------------ --------------- --------- ------- -------- ------------ 1067 3077 xxx.xxx.xxx.2 SiteA-SiteB: A-B (SiteA-SiteB) ESP /A128/SHA1 A8406D1E F9E6624E 3508/0 Mostrar IPSec SA : Total de 1 túneles encontrados. 1 ipsec sa encontrado. |
Additional Information
Sincronización de la información de tiempo de ejecución del sistema