IPSEC VPN SA synchronisation dans une paire HA Active/Passive
Symptom
- VPNLorsqu’une paire Palo Alto est firewall HA terminée, toutes les informations connexes ne sont pas IPSEC synchronisées entre les pare-feu.
- On peut observer que la sortie de « show vpn ike-sa » n’afficherait SA pas sur l’appareil passif de la HA paire.
Environment
- PAN Paire HA active/passive
- N’importe quel PanOS
Resolution
C'est un comportement attendu. IKE les informations de SA phase 1 NOT sont synchronisées entre les HA pare-feu
Voici un échantillon de sortie attendue.
- Lorsque IKEv1 est utilisé
Sortie de « show vpn ike-sa » et « show vpn ipsec-sa » sur ACTIVE NODE
(active)> show vpn ike-sa GwID/client IP Peer-Address Gateway Name Role Mode Algorithm Established Expiration V ST Xt Phase2 -------------- ------------ ------------ ---- ---- --------- ----------- ---------- - -- -- ------ 1067 xxx.xxx.xxx.2 SiteA-SiteB Init Main PSK / DH2/A128/SHA1 Déc.08 19:03:59 Déc.09 03:03:59 v1 13 1 7 Afficher IKEv1 IKE SA : Total 1 passerelles trouvées. 1 ike sa trouvé.
Nom de passerelle TnID Tunnel GwID/ IP Role Algorithm SPI (in) SPI (out) MsgID ST Xt ------------ ---- ------ ------- ---- --------- ------- -------- ----- -- -- SiteA-SiteB 3077 SiteA-SiteB: A-B 1067 Resp ESP / DH2/tunl/SHA1 E7D7C3FE A10CF2BE C018D184 9 1 Afficher la phase2 d’IKEv1 SA : Total 1 passerelles trouvées. 1 ike sa trouvé. |
Sortie de « show vpn ike-sa » et « show vpn ipsec-sa » sur PASSIVE NODE
admin@SiteA-Secondaire (passif) > vpn ike-sa Il n’y a pas de phase 1 IKEv1 SA trouvée. Il n’y a pas de phase IKEv1-2 SA trouvée. Il n’y a pas d’IKEv2 SA trouvé. |
(passive) > show vpn ipsec-sa GwID/client IP TnID Peer-Address Tunnel (Gateway) Algorithme SPI (in) SPI (out) life (Sec/ KB ) -------------- ---- ------------ --------------- --------- ------- -------- ------------ 1067 3077 xxx.xxx.xxx.2 SiteA-SiteB: A-B (SiteA-SiteB) ESP /A128/SHA1 E7D7C3FE A10CF2BE 2285/0 Afficher IPSec SA : Total 1 tunnels trouvés. 1 ipsec sa trouvé. |
- Lorsque IKEv2 est utilisé
Sortie de « show vpn ike-sa » et « show vpn ipsec-sa » sur ACTIVE NODE
(actif) > spectacle vpn ike-sa Il n’y a pas de phase 1 IKEv1 SA trouvée. Il n’y a pas de phase IKEv1-2 SA trouvée. IKEv2 SA Passerelle ID Peer-Address Gateway Name Role Algorithm Established Expiration Xt Child Gateway Peer-Address Gateway Name Role Algorithm Established Expiration Xt Child Gateway Peer-Address Gateway Name SN Algorithm Established Expiration Xt Child Gateway Peer- ST ---------- ------------ ------------ ---- -- --------- ----------- ---------- -- ----- -- 1067 xxx.xxx.xxx.2 SiteA-SiteB Init 1 PSK / DH2/A128/SHA1 Déc.09 00:45:16 Déc.09 08:45:16 0 1 Établi IKEv2 IPSec Enfants SAs Nom de passerelle TnID Tunnel ID Parent Role SPI (in) SPI (out) MsgID ST ------------ ---- ------ -- ------ ---- ------- -------- ----- -- SiteA-SiteB 3077 SiteA-SiteB: A-B 1 1 Init A8406D1E F9E6624E 00000001 Mature Afficher IKEv2 SA : Total 1 passerelles trouvées. 1 ike sa trouvé. |
(actif)> show vpn ipsec-sa GwID/client IP TnID Peer-Address Tunnel (Gateway) Algorithme SPI (in) SPI (out) life (Sec/ KB ) -------------- ---- ------------ --------------- --------- ------- -------- ------------ 1067 3077 xxx.xxx.xxx.2 SiteA-SiteB: A-B (SiteA-SiteB) ESP /A128/SHA1 A8406D1E F9E6624E 3583/0 Afficher IPSec SA : Total 1 tunnels trouvés. 1 ipsec sa trouvé. |
Sortie de « show vpn ike-sa » et « show vpn ipsec-sa » sur PASSIVE NODE
admin@SiteA-Secondaire (passif) > vpn ike-sa Il n’y a pas de phase 1 IKEv1 SA trouvée. Il n’y a pas de phase IKEv1-2 SA trouvée. Il n’y a pas d’IKEv2 SA trouvé. |
admin@SiteA-Secondary (passive)> show vpn ipsec-sa GwID/client IP TnID Peer-Address Tunnel (Gateway) Algorithme SPI (in) SPI (out) life (Sec/ KB ) -------------- ---- ------------ --------------- --------- ------- -------- ------------ 1067 3077 xxx.xxx.xxx.2 SiteA-SiteB: A-B (SiteA-SiteB) ESP /A128/SHA1 A8406D1E F9E6624E 3508/0 Afficher IPSec SA : Total 1 tunnels trouvés. 1 ipsec sa trouvé. |
Additional Information
Synchronisation de l’information sur l’exécution du système