IKEv2 IPSec-Tunnel fällt aufgrund von Dead Peer Detection (DPD) aus, selbst wenn die Verfügbarkeitsprüfung deaktiviert ist.

• Der IKEv2-IPSec-Tunnel fällt aufgrund von Dead Peer Detection (DPD) aus.
• Systemprotokolle (CLI: Show Log System), die anzeigen, dass der Tunnel aufgrund von DPD 

low      vpn     ikev2-t ikev2-n 0  IKEv2 IKE SA is down determined by DPD.

• Ikemgr.log (CLI: weniger mp-log ikemgr.log) zeigt an, dass der Tunnel aufgrund von DPDabstürzt.

[INFO]: {    8:    8}: DPD down, rekey vpn tunnel <ikev2-t>, SA state ESTABLISHED

• Palo Alto Firewalls
• PAN-OS 8.1 und höher.
• IPSec-Tunnel mit IKEv2-Gateway konfiguriert.
• Die Verfügbarkeitsprüfung ist deaktiviert.

• Für einen IKEv2-Tunnel DPD ist immer eingeschaltet. Alle IKEv2-Pakete außer dem leeren Informationspaket dienen der Verfügbarkeitsprüfung.
• Das Verfügbarkeitsprüfungspaket (informativ) wird nur gesendet, wenn nach dem dpd_interval über das IKE SA und SAKind keine Aktivität mehr stattfindet.
• Verfügbarkeitsprüfung aktivieren: Wenn sie auf Ja gesetzt ist, werden nach einer Zeit der Inaktivität leere Informationsnachrichten gesendet.
• Die Verfügbarkeitsprüfung oder DPD für IKEv2 kann gemäß Design PA-FW nicht deaktiviert werden.

1. Der Ausfall des DPD IKEv2-Tunnels ist ein Hinweis auf Verbindungsprobleme zwischen den VPN Peers.
2. Die Behebung von Verbindungsproblemen zwischen VPN Peers, einschließlich der Paketerfassung , kann verwendet werden, um das Problem zu isolieren.