使用 cisco ASA,是否可以从设备手动启动 LAN 到 LAN VPN 隧道和 SA,而不是让 VPN 的一部分系统之一发起流量来启动 VPN?
我想避免必须在 VPN 中的某个系统上触发 ping 来启动 VPN,以便更快地进行故障排除。
答案1
您必须向 ASA 提供“有趣的流量”。没有命令可以在没有流量的情况下启动隧道。
答案2
在 Cisco ASA7.0 或更高版本的操作系统中,您可以使用以下命令模拟有趣的流量来建立隧道packet-tracer。以下是示例 - 替换您网络中的 IP 地址:
packet-tracer input inside tcp 10.100.0.50 1250 10.200.0.100 80
Source Interface^ | Src IP^ Src Port | |
Protocol^ Dst IP^ Dst Port^
您可以使用命令的输出来帮助诊断流量无法成功通过的原因,但命令本身实际上会刺激 VPN 并建立 ISAKMP 和 IPSec sa。
答案3
我赞同 ynguldyn 的建议。
在 ISR 系列路由器上,您可以通过让路由器为您生成流量来测试 VPN,但 ASA 平台上没有这样的选项。
答案4
ping 内部“隧道另一端的 ip 地址”内部接口必须位于加密域中。
这要求将 management-interface 命令设置为内部接口 - 例如“management-interface inside”。
假设您的 VPN 隧道中有许多接口映射到另一端。要测试每个接口,请执行以下操作 - 如果您要从 dmz 接口管理接口 dmz ping dmz abcd 进行测试,其中 abcd 位于隧道端点的另一端。
在 ASA v.8.3 至 ASA 8.2 上进行了测试。
顺便说一句,如果您在同一个加密 ACL 中有多个网络映射,请不要在加密映射条目上使用 set reverse-route。这可能会导致 ASA 使用加密 ACL 创建新隧道映射的方式出现问题。