標準VPN複数によるトンネルのフラッピングIKEセッション。
3367
Created On 01/31/23 05:12 AM - Last Modified 05/22/25 21:54 PM
Symptom
標準VPN(サードパーティVPN) トンネルは羽ばたき続けます。
- 毎回IKEキー再生成セッションが発生すると、multiple_ike_session イベントが作成され、標準 VPN がフラップします。
- 以下はアラームで見られます。つまり、拡張状態は「multiple_ike_session」を示し、理由は「down」と表示されます。
- から以下のコマンドを実行すると、次のログが表示されます。 CLI
debug logs dump tunnelmgr debug logs dump tunnelmgr | grep "yyyy-mm-dd"
2023-01-27T14:01:54.872 inf tunnelmgr 4430 tunnelmgr SetServiceLinkStatus sl:sl1, state:{extended_state:multiple_ike_session, local_ip:64.129.7
2.156, remote_ip:4.53.41.66, state:down}
2023-01-27T14:02:33.872 inf tunnelmgr 4430 tunnelmgr SetServiceLinkStatus sl:sl1, state:{extended_state:multiple_ike_session, local_ip:64.129.7
2.156, remote_ip:4.53.41.66, state:down}
2023-01-27T14:03:09.872 inf tunnelmgr 4430 tunnelmgr SetServiceLinkStatus sl:sl1, state:{extended_state:multiple_ike_session, local_ip:64.129.7
- で次のコマンドを実行すると、CLI 、「Extended State : multiple_ike_session」が表示されます
dump servicelink summary all dump interface status <interface> dump servicelink summary slname=<name of the tunnel>例;
FLS-USA90062-01# dump servicelink summary all
-------------- SERVICE LINKS ----------------------------------
Total : 1
TotalUP : 1
TotalDown : 0
---------------------------------------------------------------
SlDev SlName Status ExtState ParentDev LocalIP Peer Type IpsecProfile
---------------------------------------------------------------
sl1 FLS_VPN_Tunnel up tunnel_up eth2 64.129.72.156 4.53.41.66 IPsec FLS_IPSEC_Profile_USA9
0062
FLS-USA90062-01# dump interface status FLS_VPN_Tunnel
Interface : FLS_VPN_Tunnel
Device : sl1
ID : 1669909635099013945
State : down
Last Change : 2023-01-27 15:36:54.887 (13.128s ago)
Address : 10.255.255.10/30
Route : 0.0.0.0/0 via 10.255.255.10 metric 0
Extended State : multiple_ike_session
Remote IP : 4.53.41.66
Local IP : 64.129.72.156
DPDK Controlled : false
FLS-USA90062-01# dump servicelink status slname=FLS_VPN_Tunnel
ServiceLink : sl1
Interface : FLS_VPN_Tunnel
Description :
ID : 1674835650155005745
Type : service_link (ipsec)
Admin State : up
Alarms : enabled
NetworkContextID :
IpfixCollectorContextID :
IpfixFilterContextID :
Scope : local
Directed Broadcast : false
MTU : 1400
IP : static
Address : 10.255.255.10/30
Parent Interface : internet 1
Parent Device : eth2
Peer : 4.53.41.66
Service Endpoint : FLS_FW
IPSec Profile : FLS_IPSEC_Profile_USA90062
Authentication Type : psk
Local ID Type : local_ip
Key Exchange : ikev2
IKE Reauth : no
IKE Lifetime : 4 hours
IKE Remote Port : 500
IKE DH Group/Encryption/Hash : ecp256/aes128/sha256
ESP Lifetime : 1 hours
ESP Encapsulation : Auto
ESP DH Group/Encryption/Hash : ecp256/aes128/sha256
DPD Enabled : yes
DPD Delay : 1
DPD Timeout : 5
Authentication Override
Authentication Type : psk
Local ID Type : local_ip
Device : sl1
State : up
Last Change : 2023-01-27 17:27:02.967 (83h41m37s ago)
Address : 10.255.255.10/30
Route : 0.0.0.0/0 via 10.255.255.10 metric 0
Extended State : multiple_ike_session
IPSec Algo : AES_CBC_128_HMAC_SHA2_256_128
Ike Algo : AES_CBC_128HMAC_SHA2_256_128
Remote IP : 4.53.41.66
Local IP : 64.129.72.156
IkeLastRekeyed : 2023-01-31 04:39:26.589020385 +0000 UTC
IkeNextRekey : 2023-01-31 08:37:00.589021465 +0000 UTC
IPsecLastRekeyed: 2023-01-31 04:36:07.897312962 +0000 UTC
IPsecNextRekey : 2023-01-31 05:29:44.897314592 +0000 UTC
DPDK Controlled : false
Peer configured on interface
Ipv4Addr: 4.53.41.66
---------------------------------------------------------------
Liveliness probe status
---------------------------------------------------------------
liveliness probe not present
Environment
プリズマSDWAN/ CloudGenix
Cause
の両端VPNトンネルはアクティブ モードでした (顧客はトンネルの側でアクティブ モードを有効にしていました)。
Resolution
IPSec トンネルを構築する際、トンネルの反対側 (顧客側) でパッシブ モードを有効にする必要があります。 エンドポイントはパッシブ/レスポンダーのみにする必要があります。 トンネルが起動するように、顧客側 (ベンダー側) でモードをアクティブからパッシブに変更します。