Туннель в Пало-Альто продолжает выходить из строя

Reply to Туннель в Пало-Альто продолжает выходить из строя on Mon, 02 Mar 2026 12:41:48 GMT

Kmshae1 — Mon, 02 Mar 2026 12:41:48 GMT

Туннель теперь держится, спасибо!

Reply to Туннель в Пало-Альто продолжает выходить из строя on Mon, 02 Mar 2026 12:41:47 GMT

MHM Cisco World — Mon, 02 Mar 2026 12:41:47 GMT

Любые изменения в IPSec требуют четкого Очистить криптографию sa Очистить ikev2 sa MHM

Reply to Туннель в Пало-Альто продолжает выходить из строя on Mon, 02 Mar 2026 12:41:46 GMT

Kmshae1 — Mon, 02 Mar 2026 12:41:46 GMT

Хорошо, я настроил его в профиле (см. ниже). Но при выполнении команды show я не вижу, что она была применена к туннелю. crypto ikev2 profile tunnel.1020
match identity remote address x.x.77.118 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local tunnel.1020
dpd 10 2 on-demand Tunnel-id Local Remote fvrf/ivrf Status
2 x.x.90.166/500 x.x.77.118/500 none/none READY
Encr: AES-CBC, keysize: 256, PRF: SHA256, хеш: SHA256, DH Grp:14, аутентификация: PSK, проверка аутентификации: PSK
Срок действия/время активности: 86400/9442 сек
CE id: 18433, Session-id: 35813
Локальный spi: 980DECE8986B0D6E Удаленный spi: D68B4B613C2EE74E
Описание состояния: Переговоры завершены
Локальный id: x.x.90.166
Удаленный id: x.x.77.118
Локальный id запроса: 20 Удаленный id запроса: 953
Локальный id следующего сообщения: 20 Удаленный id следующего сообщения: 953
Локальный запрос в очереди: 20 Удаленный запрос в очереди: 953
Локальное окно: 5 Удаленное окно: 1
DPD настроен на 0 секунд, повторная попытка 0
Фрагментация не настроена.
Динамическое обновление маршрута: отключено
Расширенная аутентификация не настроена.
NAT-T не обнаружен
Cisco Trust Security SGT отключен
Инициатор SA: Да
ТИП ПАРТНЕРА: Другой

Reply to Туннель в Пало-Альто продолжает выходить из строя on Mon, 02 Mar 2026 12:41:45 GMT

Kmshae1 — Mon, 02 Mar 2026 12:41:45 GMT

Хорошо, я ввел это как dpd 500 50 on-demand в профиле, и это сработало. Достаточно ли этих параметров?

Reply to Туннель в Пало-Альто продолжает выходить из строя on Mon, 02 Mar 2026 12:41:44 GMT

MHM Cisco World — Mon, 02 Mar 2026 12:41:44 GMT

В IKEv2 нет Isakmp Чтобы настроить dpd в ikev2 dpd
interval
retry-interval
{
on-demand
|
periodic
} <<- добавьте это в профиль ikev2. MHM

Reply to Туннель в Пало-Альто продолжает выходить из строя on Mon, 02 Mar 2026 12:41:43 GMT

Kmshae1 — Mon, 02 Mar 2026 12:41:43 GMT

Хорошо, спасибо, значит #crypto isakmp keepalive [секунды] по требованию? Это вводится даже если нет профиля ISAKMP? Тогда конфигурация вводится глобально?

Reply to Туннель в Пало-Альто продолжает выходить из строя on Mon, 02 Mar 2026 12:41:42 GMT

MHM Cisco World — Mon, 02 Mar 2026 12:41:42 GMT

Чтобы решить эту проблему и заставить маршрутизатор повторно инициировать ikev2 при рассинхронизации VPN, необходимо запустить DPD DPD, настроенный на 0 секунд, повторная попытка 0 <<- MHM

Reply to Туннель в Пало-Альто продолжает выходить из строя on Mon, 02 Mar 2026 12:41:41 GMT

Kmshae1 — Mon, 02 Mar 2026 12:41:41 GMT

Спасибо, теперь понятно, почему его там нет! Мой ответ вам постоянно исчезает, не знаю, почему. Что конкретно вы ищете?

Reply to Туннель в Пало-Альто продолжает выходить из строя on Mon, 02 Mar 2026 12:41:40 GMT

Kmshae1 — Mon, 02 Mar 2026 12:41:40 GMT

интерфейс: GigabitEthernet0/0/1
Cryptomaptag: IPSec_VPN_tunnels, localaddrx.x.90.166
protectedvrf: (нет)
local ident (addr/mask/prot/port): (10.255.10.20/255.255.255.255/0/0)
удаленный идентификатор (адрес/маска/протокол/порт): (10.255.20.10/255.255.255.255/0/0)
текущий_peerx.x.77.118порт500
PERMIT, флаги={origin_is_acl,}
#pkts encaps: 3839, #pkts encrypt: 3839, #pkts digest: 3839
#pkts decaps: 3842, #pkts decrypt: 3842, #pkts verify: 3842
#pkts compressed: 0, #pkts decompressed: 0
#pkts не сжатых: 0, #pkts сжатых с ошибкой: 0
#pkts не распакованных: 0, #pkts распаковка не удалась: 0
#send errors 0, #recv errors 0
localcrypto endpt.:x.x.90.166, remotecrypto endpt.:x.x.77.118
plaintextmtu1438, pathmtu1500, ipmtu1500, ipmtuidb GigabitEthernet0/0/1
текущий исходящий SPI: 0xA9070BD5(2835811285)
PFS (Y/N): N, DHgroup: нет
inboundespsas:
spi:0x31EB5314(837505812)
transform: esp-aes esp-sha256-hmac ,
inusesettings={Tunnel, }
connid:12639, flow_id:ESG:10639, sibling_flags FFFFFFFF80000048, cryptomap: IPSec_VPN_tunnels, initiator: False
satiming:remainingkey lifetime (k/sec): (4607898/1294)
IVsize:16 байт
replaydetectionsupport: Y
Статус: ACTIVE(ACTIVE)
inboundahsas:
inboundpcpsas:
исходящие esp:
spi:0xA9070BD5(2835811285)
transform: esp-aes esp-sha256-hmac ,
inusesettings={Tunnel, }
connid:12640, flow_id:ESG:10640, sibling_flags FFFFFFFF80000048, cryptomap: IPSec_VPN_tunnels, initiator: False
satiming:remainingkey lifetime (k/sec): (4607916/1294)
IVsize:16 байт
replaydetectionsupport: Y
Статус: ACTIVE(ACTIVE)
outboundahsas:
исходящие PCP AS:

Reply to Туннель в Пало-Альто продолжает выходить из строя on Mon, 02 Mar 2026 12:41:39 GMT

Kmshae1 — Mon, 02 Mar 2026 12:41:39 GMT

Идентификатор туннеля Локальный Удаленный fvrf/ivrf Статус
2x
.x.90.166/500 x.x.77.118/500 нет/нет ГОТОВ
Шифрование: AES-CBC, размер ключа: 256, PRF: SHA256, хеш: SHA256, DH Grp:14, подпись аутентификации: PSK, проверка аутентификации: PSK
Срок действия/Время активности: 86400/853 сек
Идентификатор CE: 1146, Идентификатор сеанса: 35733
Локальный spi: BB75A6756CDC6398 Удаленный spi: 987E12B7285B2F92
IPv6 Crypto IKEv2 SA
Идентификатор туннеля Локальный Удаленный fvrf/ivrf Статус
2x
.x.90.166/500 x.x.77.118/500 нет/нет ГОТОВ
Шифрование: AES-CBC, размер ключа: 256, PRF: SHA256, хеш: SHA256, DH Grp:14, подпись аутентификации: PSK, проверка аутентификации: PSK
Срок действия/Время активности: 86400/891 сек
Идентификатор CE: 1146, Идентификатор сеанса: 35733
Локальный spi: BB75A6756CDC6398 Удаленный spi: 987E12B7285B2F92
Описание статуса: Переговоры завершены
Локальный идентификатор: x.x.90.166
Удаленный идентификатор: x.x.77.118
Локальный идентификатор запроса: 4 Удаленный идентификатор запроса: 90
Локальный следующий идентификатор сообщения: 4 Удаленный следующий идентификатор сообщения: 90
Локальные запросы в очереди: 4 Удаленные запросы в очереди: 90
Локальное окно: 5 Удаленное окно: 1
DPD настроен на 0 секунд, повторная попытка 0
Фрагментация не настроена.
Динамическое обновление маршрута: отключено
Расширенная аутентификация не настроена.
NAT-T не обнаружен
Cisco Trust Security SGT отключен
Инициатор SA: Да
ТИП ПАРТНЕРА: Другой
IPv6 Crypto IKEv2 SA

Reply to Туннель в Пало-Альто продолжает выходить из строя on Mon, 02 Mar 2026 12:41:38 GMT

MHM Cisco World — Mon, 02 Mar 2026 12:41:38 GMT

Поделиться Показать криптографию ikev2 sa Показать подробности криптографии sa MHM

Reply to Туннель в Пало-Альто продолжает выходить из строя on Mon, 02 Mar 2026 12:41:37 GMT

Kmshae1 — Mon, 02 Mar 2026 12:41:37 GMT

Хорошо, после некоторого исследования у меня появилось ощущение, что ISAKMP не используется для IKEv2, но я не смог найти прямой ответ. Туннель работает нормально, пока он установлен. Чтобы восстановить туннель каждый раз, когда это происходило, вводилась команда #clear crypto ikev2 sa remote x.x.x.x. Да, конечно: интерфейс: GigabitEthernet0/0/1
Cryptomaptag
: IPSec_VPN_tunnels,
localaddrx.x.90.166
protectedvrf
: (нет)
local ident (addr/mask/prot/port): (10.255.10.20/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (10.255.20.10/255.255.255.255/0/0)
текущий_peerx
.x.77.
118порт500
PERMIT, флаги={origin_is_acl,}
#pkts encaps: 3839, #pkts encrypt: 3839, #pkts digest: 3839
#pkts decaps: 3842, #pkts decrypt: 3842, #pkts verify: 3842
#pkts compressed: 0, #pkts decompressed: 0
#pkts не сжатых: 0, #pkts сжатых с ошибкой: 0
#pkts не распакованных: 0, #pkts распаковка не удалась: 0
#send errors 0, #recv errors 0
localcrypto
endpt.
:x.x.90.166,
remotecrypto endpt.
:x.x.77.118
plaintextmtu1438
,
pathmtu1500,
ipmtu1500,
ipmtuidb GigabitEthernet0/0/1
текущий
исходящий SPI:
0xA9070BD5(2835811285)
PFS (Y/N): N, DHgroup
: none
inboundespsas
:
spi:
0x31EB5314(837505812)
transform: esp-aes esp-sha256-hmac ,
inusesettings=
{Tunnel, }
connid
:
12639, flow_id:
ESG:10639, sibling_flags FFFFFFFF80000048,
cryptomap: IPSec_VPN_tunnels, initiator
: False
satiming:
remainingkey lifetime (k/sec): (4607898/1294)
IVsize
:
16 байт
поддержка
обнаружения повторного воспроизведения: Y
Статус:
ACTIVE(ACTIVE)
inboundahsas
:
inboundpcpsas
:
исходящие
esp:
spi:
0xA9070BD5(2835811285)
transform: esp-aes esp-sha256-hmac ,
inusesettings=
{Tunnel, }
connid
:
12640, flow_id:
ESG:10640, sibling_flags FFFFFFFF80000048,
cryptomap: IPSec_VPN_tunnels, initiator
: False
satiming:
remainingkey lifetime (k/sec): (4607916/1294)
IVsize
:
16 байт
поддержка
обнаружения повторного воспроизведения: Y
Статус:
ACTIVE (АКТИВЕН)
outboundahsas
:
исходящие
PCP AS:

Reply to Туннель в Пало-Альто продолжает выходить из строя on Mon, 02 Mar 2026 12:41:36 GMT

Rob Ingram — Mon, 02 Mar 2026 12:41:36 GMT

@Kmshae1
При использовании IKEv2 вам не понадобится политика ISAKMP (IKEv1), вы будете использовать предложение IKEv2. Маршрутизаторы Cisco поставляются с интеллектуальными настройками IKEV2 по умолчанию, которые включают предложение IKEv2, политику и т. д. — эти настройки по умолчанию не отображаются в текущей конфигурации. Вы можете отключить интеллектуальные настройки IKEV2 по умолчанию и создать собственное предложение IKEV2, политики и т. д.
Пример Туннель работает, когда он установлен? Можете ли вы предоставить вывод команды «show crypto ipsec sa»? Если время варьируется, возможно, маршрутизатор Cisco пытается перезаключить туннель на основе переданных данных, а не срока действия. Вы можете отключить эту функцию на маршрутизаторе и просто полагаться на срок действия, используя: set security-association lifetime kilobytes disable

Reply to Туннель в Пало-Альто продолжает выходить из строя on Mon, 02 Mar 2026 12:41:35 GMT

MHM Cisco World — Mon, 02 Mar 2026 12:41:35 GMT

Cisco рекомендует Dpd 10 2 по запросу MHM