IPSEC VPN SA アクティブ/パッシブペアでの同期 HA
Symptom
- VPNパロアルトペアで a が終了すると firewall HA 、 IPSEC 関連するすべての情報がファイアウォール間で同期されるわけではありません。
- 「show vpn ike-sa」の出力は SA 、ペアのパッシブデバイスには何も表示されないことが観察できます HA 。
Environment
- PAN アクティブ/パッシブ HA ペア
- 任意のパン OS
Resolution
これは予期される動作です。 IKE フェーズ 1 SA の情報は NOT ファイアウォール間で同期されます HA
ここには予想される出力のサンプルです。
- IKEv1 を使用する場合
「vpn ike-saを表示」と「vpn ipsec-saを表示」の出力 ACTIVE NODE
(アクティブ)> vpn ike-sa GwID/クライアント IP ピアアドレスゲートウェイ名ロールモードアルゴリズムが確立された有効期限 V ST Xt フェーズ2 -------------- ------------ ------------ ---- ---- --------- ----------- ---------- - -- -- ------ 1067 xxx.xxx.xxx.2 サイトA-SiteB イニトメイン PSK / DH2/A128/SHA1 12月 08 19:03:59 12月.09 03:03:59 v1 13 1 7 表示 IKEv1: IKE SA 合計 1 つのゲートウェイが見つかりました。 1 ike sa が見つかりました。
ゲートウェイ名 TnID トンネル GwID/ IP ロール アルゴリズム SPI SPI (in) (アウト) MsgID ST Xt ------------ ---- ------ ------- ---- --------- ------- -------- ----- -- -- サイトA-SiteB 3077 サイトA-サイトB: A-B 1067 レスプ ESP / DH2/tunl/SHA1 E7D7C3FE A10CF2BE C018D184 9 1 IKEv1 フェーズ 2 SA を表示: 合計 1 個のゲートウェイが見つかりました。 1 ike sa が見つかりました。 |
「vpn ike-saを表示」と「vpn ipsec-saを表示」の出力 PASSIVE NODE
admin@SiteAセカンダリ(パッシブ)>はvpn ike-saを示す IKEv1 フェーズ 1 が SA 見つかりません。 IKEv1 フェーズ 2 が SA 見つかりません。 IKEv2 が SA 見つかりません。 |
(パッシブ)>はvpn ipsec-saを示す GwID/クライアント IP TnID ピア アドレス トンネル(ゲートウェイ) アルゴリズム SPI (in) SPI (アウト) ライフ (秒/ KB ) -------------- ---- ------------ --------------- --------- ------- -------- ------------ 1067 3077 xxx.xxx.xxx.2 サイトA-サイトB: A-B ESP /A128/SHA11 E7D7C3FE A10CF2BE 2285/0 IPSec SA を表示 : 合計 1 つのトンネルが見つかりました。 1 ipsec saが見つかりました。 |
- IKEv2 を使用する場合
「vpn ike-saを表示」と「vpn ipsec-saを表示」の出力 ACTIVE NODE
(アクティブ)>vpn ike-saを表示する IKEv1 フェーズ 1 が SA 見つかりません。 IKEv1 フェーズ 2 が SA 見つかりません。 IKEv2 SA ゲートウェイ ID ピア アドレス ゲートウェイ名ロール SN アルゴリズムが確立された有効期限 Xt 子 ST ---------- ------------ ------------ ---- -- --------- ----------- ---------- -- ----- -- 1067 xxx.xxx.xxx.2 サイトA-SiteB イニト 1 PSK / DH2/A128/SHA1 12月 09 00:45:16 12月 09:45:16 0 1 確立済み IKEv2 IPSec 子 SA ゲートウェイ名 TnID トンネル ID 親ロール SPI (in) SPI (アウト) MsgID ST ------------ ---- ------ -- ------ ---- ------- -------- ----- -- サイトA-SiteB 3077 サイトA-サイトB: A-B 1 1 イリット A8406D1E F9E6624E 0000001 成熟 表示 IKEv2: SA 合計 1 つのゲートウェイが見つかりました。 1 ike sa が見つかりました。 |
(アクティブ)> vpn ipsec-sa を表示します GwID/クライアント IP TnID ピア アドレス トンネル(ゲートウェイ) アルゴリズム SPI (in) SPI (アウト) ライフ (秒/ KB ) -------------- ---- ------------ --------------- --------- ------- -------- ------------ 1067 3077 xxx.xxx.xxx.2 サイトA-サイトB: A-B ESP /A128/SHA1A8406D1E F9E6624E 3583/0 IPSec SA を表示 : 合計 1 つのトンネルが見つかりました。 1 ipsec saが見つかりました。 |
「vpn ike-saを表示」と「vpn ipsec-saを表示」の出力 PASSIVE NODE
admin@SiteAセカンダリ(パッシブ)>はvpn ike-saを示す IKEv1 フェーズ 1 が SA 見つかりません。 IKEv1 フェーズ 2 が SA 見つかりません。 IKEv2 が SA 見つかりません。 |
admin@SiteAセカンダリ(パッシブ)>はvpn ipsec-saを示す GwID/クライアント IP TnID ピア アドレス トンネル(ゲートウェイ) アルゴリズム SPI (in) SPI (アウト) ライフ (秒/ KB ) -------------- ---- ------------ --------------- --------- ------- -------- ------------ 1067 3077 xxx.xxx.xxx.2 サイトA-サイトB: A-B ESP /A128/SHA1A8406D1E F9E6624E 3508/0 IPSec SA を表示 : 合計 1 つのトンネルが見つかりました。 1 ipsec saが見つかりました。 |
Additional Information
システムランタイム情報の同期