IPSEC-トンネルは後にダウンしますHA-フェイルオーバー

• アクティブ/パッシブで構成されたファイアウォールHAペア。
• 対応 PAN-OS
• 高可用性
• DPD 有効

• IKE SAは同期されていませんが、IPSecSAはフェールオーバー後に同期されますが、リモート ピアは送信中ですDPDのパケットIKE SA新しいアクティブなメンバーが持っていないため、それらに返信することはできませんDPDメッセージ
• 新しくアクティブになったメンバーは、フェールオーバー後にメイン モード情報を失い、フェーズ 1 を再度ネゴシエートする必要があります。
• リモート ピアが送信中DPDPalo Alto ピアを含むパケットIKE SAしかし、新しくアクティブなメンバーは持っていませんIKE SAもうメッセージを読む必要はありません。
• DPD ikeメインモードを使用SAであり、メイン モードが別のピアに同期されていない
• フェーズ 1 SA は、HAピアでは、フェーズ 2 SA のみが同期されます。 したがって、DPDフェールオーバー後に失敗します。

回避策: フェーズ 1 を再ネゴシエートするか、フェーズ 1 を無効にするため、トンネル監視を構成します。 DPD