IPSEC-隧道下降后HA-故障转移

• 在主动/被动中配置的防火墙HA一对。
• 支持的 PAN-OS
• 高可用性
• DPD 启用

• IKE SA的不是同步的，而是 IPSecSA故障转移后同步，但远程对等方正在发送DPD数据包与IKE SA新活跃成员没有，所以它不能回复那些DPD消息
• 新激活的成员在故障转移后丢失主模式信息，它必须再次重新协商 phase-1
• 远程对等方正在发送DPD包含帕洛阿尔托对等点的数据包IKE SA但是新活跃的成员没有IKE SA不再阅读消息。
• DPD 使用 ike 主模式SA的和主模式未同步到另一个对等点
• 阶段 1 SA 之间不同步HA对等体，只有第 2 阶段的 SA 是同步的。 因此，预计DPD故障转移后失败。

解决方法：配置隧道监控，因为它将重新协商阶段 1 或禁用 DPD