我们的总部/分公司广域网如下,
Server LAN <-> Cisco PIX 515e <-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 1
<-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 2
<-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 3
...
<-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 66
问题:
其中 5% 的 VPN 隧道会随着时间的推移而退化。
症状:
- 客户端响应 PING,但不响应 RPC 或 RDP。
- 在 ASA 上,VPN 隧道从1XIKE,2XIPSec向下1XIKE,1XIPSec。
- 重新启动 ASA 可以暂时解决该问题。
这个 PIX 一直不太可靠,可能会被更现代的设备取代。虽然通常低于 10%,但 PIX 上的 CPU 会定期达到 80-90% 的流量峰值,但我不能说我能够将丢弃的隧道与这些负载联系起来。
我有几个具体的问题,但我非常感谢大家的见解。
我可以通过 SNMP 监控所有 IPSec 隧道吗?在 PIX 上?这应该始终是(至少?)分支机构数量的两倍,以及(至少?)IKE 总数的两倍 - 如果它丢失,那么我可能会遇到问题。
是否有我可以报警的事件在 PIX 自己的日志中,当其中一个隧道被丢弃时?也许吧,
snmp-server enable traps ipsec start stop
我能做些什么来让这条隧道继续存在下去吗?,直到 PIX 可以被替换?我考虑过编写脚本的保持活动流量,但 PING 似乎不行。我还在研究空闲超时值,也许还有重新键入间隔,还有其他想法吗?
PIX515E# show run isakmp
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp nat-traversal 20
PIX515E# show run ipsec
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
PIX515E# show version
Cisco PIX Security Appliance Software Version 7.2(4)
Device Manager Version 5.2(4)
答案1
1) 您绝对可以监控 IPSec 隧道的数量,但我们发现这并不是确定连接是否正常工作的真正可靠方法。最好通过隧道发送和接收流量来确认连接性(例如 ping 监视器)。
2) 与 #1 相同 – 可以完成,但可能无法提供有用的信息。隧道将根据超时间隔在正常运行过程中启动和停止。
3) 虽然这并非必要,但在某些情况下,通过频繁(3-5 分钟)运行 ping,隧道连通性有所改善。如果不进行深入分析,很难说这在这种情况下是否有帮助。
一般来说,此类问题经常发生,是因为头端和远端 VPN 对等体之间的 VPN 配置不匹配。不同的 ACL 往往是个问题。
答案2
隧道会自行恢复吗?还是需要您手动干预才能使隧道恢复?
ASA 上设置的寿命是多长?
并且您是否在两个设备上启用/禁用了保持活动?
我之前曾在运行 IOS 的 Cisco 6500 与 ASA 之间看到过此问题,其中 IOS 很乐意在没有 SA 的情况下运行(如果它因某种原因而过期),而 ASA 则不然,并且隧道会在随机的一段时间内失效,直到重新协商并且隧道再次恢复,直到 SA 再次过期。
答案3
我自己也看到了同样的情况。我刚刚将运行 8.04 IPSEC 的 PIX515 设置为我的 ASA5510 8.2。它运行良好,然后隧道就把所有人都甩掉了。在此期间,互联网一直运行良好。所以,只是隧道有问题。
答案4
我遇到了同样的问题,但是使用 ASA-5505 和 Juniper SRX220h (colo) 时,我花了 12 多个小时与 JTAC 沟通,他们那边没有任何问题(他们是这样说的)。所以我打电话给 Cisco TAC,他们没有提供任何支持保证。所以我搜索了一上午。这个帖子是我找到的最接近我的问题的帖子。
我的解决方案 我将两个设备都设置为 86400 秒,并且禁用了保持活动功能。
我会尽快让你知道结果。