IPSEC VPN SA 主动/被动对中的同步 HA
Symptom
- 当 VPN Palo Alto 对上终止时 firewall HA ,并非所有 IPSEC 相关信息在防火墙之间同步。
- 可以观察到,"显示vpn ike-sa"的输出不会 SA 显示在配对的被动设备上 HA 。
Environment
- PAN 主动/被动 HA 对
- 任何帕诺斯
Resolution
这是一个预期的行为。 IKE 第 1 阶段 SA 信息在 NOT HA 防火墙之间同步
这里是预期输出的示例。
- 使用 IKEv1 时
输出的"显示vpn艾克萨"和"显示vpn伊普塞萨"上 ACTIVE NODE
(活动)>显示 vpn ike - sa GwID/客户 IP 端对等地址网关名称角色模式算法已建立过期 V ST Xt 阶段 2 -------------- ------------ ------------ ---- ---- --------- ----------- ---------- - -- -- ------ 1067 x.x.xxx.2 SiteA-SiteB Init 主 PSK / DH2/A128/SHA1 08 19:03:59 十二月 09 03:03:59 v1 13 1 7 显示IKEv1: IKE SA 共找到1个网关。 1个 ike sa 找到。
网关名称 TnID 隧道 GwID/ IP 角色算法 SPI (在) SPI (出) MsgID ST Xt ------------ ---- ------ ------- ---- --------- ------- -------- ----- -- -- SiteA-SiteB 3077 SiteA-SiteB: A-B 1067 Resp ESP / DH2/通尔/SHA1 E7D7C3FE A10CF2BE C018D184 9 1 显示IKEv1阶段 SA 2:共找到1个网关。 1个 ike sa 找到。 |
输出的"显示vpn艾克萨"和"显示vpn伊普塞萨"上 PASSIVE NODE
admin@SiteA二级(被动)>显示vpn ike-sa 找不到 IKEv1 阶段 SA 1。 找不到 IKEv1 阶段 SA 2。 找不到 SA IKEv2。 |
(被动)> vpn ipsec- sa GwID/客户 IP 端 TnID 对等地址隧道(网关)算法 SPI (在 SPI )(出)寿命(秒/ KB -------------- ---- ------------ --------------- --------- ------- -------- ------------ 1067 3077 x.xxx.x.2 A-B SiteA-SiteB:(网站 ESP -SiteB)/A128/SHA1 E7D7C3FE A10CF2BE 2285/0 显示 IPSec SA : 共找到 1 个隧道。 找到1个 ipsec sa 。 |
- 使用 IKEv2 时
输出的"显示vpn艾克萨"和"显示vpn伊普塞萨"上 ACTIVE NODE
(活动)>显示 vpn ike - sa 找不到 IKEv1 阶段 SA 1。 找不到 IKEv1 阶段 SA 2。 Ikev2 萨斯 网关 ID 对等地址网关名称角色 SN 算法已建立过期 Xt 儿童 ST ---------- ------------ ------------ ---- -- --------- ----------- ---------- -- ----- -- 1067 x.xxx.xxx.2 SiteA-SiteB Init 1 PSK / DH2/A128/SHA1 09 00:45:16 12月09日 08:45:16 0 1 成立 IKEv2 IPSec 儿童 Sas 网关名称 TnID 隧道 ID 父角色 SPI (在) SPI (出) MsgID ST ------------ ---- ------ -- ------ ---- ------- -------- ----- -- SiteA-siteB 3077 SiteA-siteB:1 A-B 1 Init A8406D1E F9E624E 00000001成熟 显示IKEv2: SA 共找到1个网关。 1个 ike sa 找到。 |
(活动)> vpn ipsec- sa GwID/客户 IP 端 TnID 对等地址隧道(网关)算法 SPI (在 SPI )(出)寿命(秒/ KB -------------- ---- ------------ --------------- --------- ------- -------- ------------ 1067 3077 x.xxx.x.2 A-B SiteA-SiteB:(网站 ESP -SiteB)/A128/SHA1 A8406D1E F9E6624E 3583/0 显示 IPSec SA : 共找到 1 个隧道。 找到1个 ipsec sa 。 |
输出的"显示vpn艾克萨"和"显示vpn伊普塞萨"上 PASSIVE NODE
admin@SiteA二级(被动)>显示vpn ike-sa 找不到 IKEv1 阶段 SA 1。 找不到 IKEv1 阶段 SA 2。 找不到 SA IKEv2。 |
admin@SiteA(被动)显示> ipsec-sa GwID/客户 IP 端 TnID 对等地址隧道(网关)算法 SPI (在 SPI )(出)寿命(秒/ KB -------------- ---- ------------ --------------- --------- ------- -------- ------------ 1067 3077 x.xxx.x.2 A-B SiteA-SiteB:(网站-SiteB)/A128/SHA1 ESP A8406D1E F9E6624E 3508/0 显示 IPSec SA : 共找到 1 个隧道。 找到1个 ipsec sa 。 |
Additional Information
系统运行时信息的同步