IPSEC-El túnel deja de funcionar después HA-de la conmutación por error

• Firewalls configurados en Par Activo/Pasivo HA .
• Apoyado PAN-OS
• Alta disponibilidad
• DPD Habilitado

• IKE SALos de no se sincronizan, pero los IPSec SAse sincronizan después de la conmutación por error, pero el interlocutor remoto envía DPD paquetes con los IKE SA que el miembro recién activo no tiene, por lo que no puede responder a esos DPD mensajes
• El miembro recién activo pierde información del modo principal después de la conmutación por error y tiene que renegociar la fase 1 de nuevo.
• El par remoto está enviando DPD paquetes que contienen Palo Alto peer IKE SA , pero el nuevo miembro activo ya no tiene IKE SA para leer los mensajes.
• DPD Utiliza el modo principal de IKE y el modo SAprincipal no se sincroniza con otro par
• Las SA de fase 1 no se sincronizan entre los HA pares, solo las SA de fase 2 están sincronizadas. Por lo tanto, se espera que DPD falle después de una conmutación por error.

Solución alternativa: Configure la supervisión del túnel, ya que renegociará la fase 1 o deshabilite la DPD