ポリシーベースのVPNはフラップするがトンネルはダウンしない
Article ID: 427972
Updated On:
Products
Issue/Introduction
免責事項:これは英文の記事「Policy-Based VPN Flaps but the tunnel does not go down」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。
- VPNはポリシーベースのVPNです
- リモートVPNエンドポイントはJuniper
- VPNは2分ごとにSAを再ネゴシエートします
- VPNトンネルは稼働したままです
- IKEはバージョン2です
- 2 分ごとに SA がネゴシエートされ、ダウンタイムは約 5 秒になります。
nsx-event.logUp and down occur every 2 minutes Down State lasts 5 seconds2024-01-25T07:49:31.412Z EDGE-Node-FQDN status DOWN:2024-01-25T07:49:36.564Z EDGE-Node-FQDN status UP","event_src_comp_id":"********-****-****-****-********************-****-****-****-***************.***.***.***","peer_ip":"***.***.***.***"}}2024-01-25T07:51:31.407Z EDGE-Node-FQDN status DOWN:2024-01-25T07:51:36.565Z EDGE-Node-FQDN status UP","event_src_comp_id":"********-****-****-****-********************-****-****-****-***************.***.***.***","peer_ip":"***.***.***.***}}2024-01-25T07:53:31.403Z EDGE-Node-FQDN status DOWN:2024-01-25T07:53:36.710Z EDGE-Node-FQDN status UP","event_src_comp_id":"********-****-****-****-***************.***.***.***","peer_ip":"***.***.***.***"}}2024-01-25T07:55:31.407Z EDGE-Node-FQDN status DOWN:2024-01-25T07:55:36.675Z EDGE-Node-FQDN status UP","event_src_comp_id":"********-****-****-****-********************-****-****-****-***************.***.***.***","peer_ip":"***.***.***.***"}}2024-01-25T07:57:31.403Z EDGE-Node-FQDN status DOWN:2024-01-25T07:57:36.566Z EDGE-Node-FQDN status UP","event_src_comp_id":"********-****-****-****-********************-****-****-****-***************.***.***.***","peer_ip":"***.***.***.***"}}
- ログには、「IKE SA Ttimer の期限切れ」によってトリガーされていることも示されています。
NSXT_EdgeNode_/var/log/syslog.*2024-01-24T15:21:16.491Z EDGE-Node-FQDN NSX 4060 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="iked" s2comp="jsonrpc" level="DBG"] unix: send reply, result="[{\"History\":[{\"time\":\"23-Jan-2024 22:38:31\",\"status\":\"IKE_STATUS_NEGO\",\"reason\":\"\"},{\"time\":\"23-Jan-2024 22:38:25\",\"status\":\"IKE_STATUS_DOWN\",\"reason\":\"IKE SA timer expired\"},{\"time\":\"17-Jan-2024 22:11:15\",\"status\":\"IKE_STATUS_UP\",\"reason\":\"\"},{\"time\":\"17-Jan-2024 22:11:15\",\"status\":\"IKE_STATUS_NEGO\",\"reason\":\"\"},{\"time\":\"17-Jan-2024 22:11:15\",\"status\":\"IKE_STATUS_DOWN\",\"reason\":\"Peer not responding\"},{\"time\":\"17-Jan-2024 22:05:54\",\"status\":\"IKE_STATUS_UP\",\"reason\":\"\"},{\"time\":\"17-Jan-2024 22:05:54\",\"status\":\"IKE_STATUS_NEGO\",\"reason\":\"\"},{\"time\":\"17-Jan-2024 22:05:53\",\"status\":\"IKE_STATUS_DOWN\",\"reason\":\"IKE SA timer expired\"},
NSXT_EdgeNode_/var/log/li-syslog.1<183>1 2024-01-25T19:05:32.862Z EDGE-Node-FQDN NSX 4060 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="iked" s2comp="jsonrpc" level="DBG"] unix: send reply, result="[{\"History\":[{\"time\":\"23-Jan-2024 22:38:31\",\"status\":\"IKE_STATUS_NEGO\",\"reason\":\"\"},{\"time\":\"23-Jan-2024 22:38:25\",\"status\":\"IKE_STATUS_DOWN\",\"reason\":\"IKE SA timer expired\"},{\"time\":\"17-Jan-2024 22:11:15\",\"status\":\"IKE_STATUS_UP\",\"reason\":\"\"},{\"time\":\"17-Jan-2024 22:11:15\",\"status\":\"IKE_STATUS_NEGO\",\"reason\":\"\"},{\"time\":\"17-Jan-2024 22:11:15\",\"status\":\"IKE_STATUS_DOWN\",\"reason\":\"Peer not responding\"},{\"time\":\"17-Jan-2024 22:05:54\",\"status\":\"IKE_STATUS_UP\",\"reason\":\"\"},{\"time\":\"17-Jan-2024 22:05:54\",\"status\":\"IKE_STATUS_NEGO\",\"reason\":\"\"},{\"time\":\"17-Jan-2024 22:05:53\",\"status\":\"IKE_STATUS_DOWN\",\"reason\":\"IKE SA timer expired\"},{\"time\":\"17-Jan-2024 18:29:54\",\"status\":\"IKE_STATUS_UP\",\"reason\":\"\"},{\"time\":\"17-Jan-2024 18:29:54\",\"status\":\"IKE_STATUS_NEGO\",\"reason\":\"\"}],\"Enabled\":true,\"id\":\"********-****-****-****-********************-****-****-****-********************-****-****-****-********************-****-****-****-************
- 履歴を見ると、VPN セッションのダウン状態の理由として IKE SA タイマーの期限切れが示されています。
NSXT_EdgeNode_/edge/vpn-session[ { "History":[ { "time": "23-Jan-2024 22:38:31", "status": "IKE_STATUS_NEGO", "reason": "" }, { "time": "23-Jan-2024 22:38:25", "status": "IKE_STATUS_DOWN", "reason": "IKE SA timer expired" }, { "time": "17-Jan-2024 22:11:15", "status": "IKE_STATUS_UP", "reason": "" }, { "time": "17-Jan-2024 22:11:15", "status": "IKE_STATUS_NEGO", "reason": "" }, { "time": "17-Jan-2024 22:11:15", "status": "IKE_STATUS_DOWN", "reason": "Peer not responding" }, { "time": "17-Jan-2024 22:05:54", "status": "IKE_STATUS_UP", "reason": "" }, { "time": "17-Jan-2024 22:05:54", "status": "IKE_STATUS_NEGO", "reason": "" }, { "time": "17-Jan-2024 22:05:53", "status": "IKE_STATUS_DOWN", "reason": "IKE SA timer expired" }, { "time": "17-Jan-2024 18:29:54", "status": "IKE_STATUS_UP", "reason": "" }, { "time": "17-Jan-2024 18:29:54", "status": "IKE_STATUS_NEGO", "reason": "" } ], "Enabled": true, "id": "********-****-****-****-************", "HA_Status": "Active", "Session_Refcount": 1, "Compliance_Suite": "NONE", "Session_Down_Reason": "", "Type": "POLICY_BASED_SESSION", "Peer_Endpoint_Profile": { "Peer_ID": "***.***.***.***", <===Juniper Endpoint "DPD_Profile": { "Enabled": true, "DPD_Probe_Mode": "Periodic", "id": "********-****-****-****-************", "Retry_Count": 10, "DPD_Probe_Interval": 60
Environment
VMware NSX 4.x
VMware NSX-T Data Center 3.x
Cause
Juniper のドキュメントによると、IKEv2 を使用したポリシーベース VPN はサポートされていません。
複数のリモートサイト間でVPNを構成する場合は、ルートベースVPNの使用をお勧めします。ルートベースVPNは、ポリシーベースVPNと同じ機能を提供できます。
IPsec VPN ユーザーガイドの
制限事項:
- ポリシーベースの IPSec VPN は IKEv2 ではサポートされません。
Resolution
IKEv1 に切り替えると問題は解決します。
Feedback
