IPSEC VPN SA 主动/被动对中的同步 HA

IPSEC VPN SA 主动/被动对中的同步 HA

41797
Created On 09/28/20 08:18 AM - Last Modified 07/06/23 23:03 PM


Symptom


  • 当 VPN Palo Alto 对上终止时 firewall HA ,并非所有 IPSEC 相关信息在防火墙之间同步。
  • 可以观察到,"显示vpn ike-sa"的输出不会 SA 显示在配对的被动设备上 HA 。

Environment


  • PAN 主动/被动 HA 对
  • 任何帕诺斯

Resolution


这是一个预期的行为。 IKE 第 1 阶段 SA 信息在 NOT HA 防火墙之间同步
这里是预期输出的示例。
  • 使用 IKEv1 时

输出的"显示vpn艾克萨"和"显示vpn伊普塞萨"上 ACTIVE NODE

(活动)>显示 vpn ike - sa
Ikev1 阶段 - 1 SA

GwID/客户 IP 端对等地址网关名称角色模式算法已建立过期 V ST Xt 阶段 2 

--------------  ------------           ------------           ---- ---- ---------             -----------     ----------      -  -- -- ------

1067 x.x.xxx.2 SiteA-SiteB Init 主 PSK / DH2/A128/SHA1 08 19:03:59 十二月 09 03:03:59 v1 13 1 7

显示IKEv1: IKE SA 共找到1个网关。 1个 ike sa 找到。


(活动)> vpn ipsec-sa
IKEv1 阶段 - 2 SA

网关名称 TnID 隧道 GwID/ IP 角色算法 SPI (在) SPI (出) MsgID ST Xt

------------           ----     ------                 -------          ---- ---------          -------  -------- -----    -- --

SiteA-SiteB 3077 SiteA-SiteB: A-B 1067 Resp ESP / DH2/通尔/SHA1 E7D7C3FE A10CF2BE C018D184 9 1

显示IKEv1阶段 SA 2:共找到1个网关。 1个 ike sa 找到。

 


输出的"显示vpn艾克萨"和"显示vpn伊普塞萨"上 PASSIVE NODE

admin@SiteA二级(被动)>显示vpn ike-sa

找不到 IKEv1 阶段 SA 1。

找不到 IKEv1 阶段 SA 2。

找不到 SA IKEv2。

(被动)> vpn ipsec- sa

GwID/客户 IP 端 TnID 对等地址隧道(网关)算法 SPI (在 SPI )(出)寿命(秒/ KB

--------------  ----   ------------           ---------------                                ---------          -------  -------- ------------

1067 3077 x.xxx.x.2 A-B SiteA-SiteB:(网站 ESP -SiteB)/A128/SHA1 E7D7C3FE A10CF2BE 2285/0

显示 IPSec SA : 共找到 1 个隧道。 找到1个 ipsec sa 。

 

 
  • 使用 IKEv2 时


输出的"显示vpn艾克萨"和"显示vpn伊普塞萨"上 ACTIVE NODE

(活动)>显示 vpn ike - sa

找不到 IKEv1 阶段 SA 1。

找不到 IKEv1 阶段 SA 2。

Ikev2 萨斯

网关 ID 对等地址网关名称角色 SN 算法已建立过期 Xt 儿童 ST                  

----------      ------------           ------------           ---- --       ---------             -----------     ----------      -- -----  --

1067 x.xxx.xxx.2 SiteA-SiteB Init 1 PSK / DH2/A128/SHA1 09 00:45:16 12月09日 08:45:16 0 1 成立

IKEv2 IPSec 儿童 Sas

网关名称 TnID 隧道 ID 父角色 SPI (在) SPI (出) MsgID ST              

------------           ----     ------                    --       ------   ---- -------  -------- -----    --

SiteA-siteB 3077 SiteA-siteB:1 A-B 1 Init A8406D1E F9E624E 00000001成熟

显示IKEv2: SA 共找到1个网关。 1个 ike sa 找到。

(活动)> vpn ipsec- sa

GwID/客户 IP 端 TnID 对等地址隧道(网关)算法 SPI (在 SPI )(出)寿命(秒/ KB

--------------  ----   ------------           ---------------                                ---------          -------  -------- ------------

1067 3077 x.xxx.x.2 A-B SiteA-SiteB:(网站 ESP -SiteB)/A128/SHA1 A8406D1E F9E6624E 3583/0

显示 IPSec SA : 共找到 1 个隧道。 找到1个 ipsec sa 。



输出的"显示vpn艾克萨"和"显示vpn伊普塞萨"上 PASSIVE NODE

admin@SiteA二级(被动)>显示vpn ike-sa

找不到 IKEv1 阶段 SA 1。

找不到 IKEv1 阶段 SA 2。

找不到 SA IKEv2。

admin@SiteA(被动)显示> ipsec-sa

GwID/客户 IP 端 TnID 对等地址隧道(网关)算法 SPI (在 SPI )(出)寿命(秒/ KB

--------------  ----   ------------           ---------------                                ---------          -------  -------- ------------

1067 3077 x.xxx.x.2 A-B SiteA-SiteB:(网站-SiteB)/A128/SHA1 ESP A8406D1E F9E6624E 3508/0

显示 IPSec SA : 共找到 1 个隧道。 找到1个 ipsec sa 。

 

Additional Information


系统运行时信息的同步
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HAuZCAW&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language