我在世界各地拥有多台 Cisco ASA 5505 和 PIX 506e 作为 VPN 端点。它们连接到总部的 Cisco VPN Concentrator 3000。我使用 Easy VPN 设置 VPN(即大多数配置都集中在 VPN Concentrator 上)大多数端点工作正常。
但是,有三个没有。2 个 ASA 和 1 个 PIX 与我们网络上的一个 VLAN 断开连接。这是我的监控服务器运行的 VLAN - 因此这些端点看起来好像已经关闭了。但是,我仍然可以从我们的用户 VLAN ping 端点。如果我通过 SSH 连接到端点,然后 ping 到我的监控服务器,连接就会恢复。然后大约 10 分钟后,它再次停止工作。
我查看了我的端点配置,没有发现任何显著差异。一个共同点是受影响的端点通过零售质量路由器连接到互联网。但是,我看不出这会如何影响 VPN 隧道内的流量。
有什么想法或建议吗?我在 Cisco 论坛上也有一个帖子https://supportforums.cisco.com/thread/344638。另有一人报告了同样的问题。
答案1
我认为您的意思是说每个有“vlan”的地方都是“子网”。我认为 vpn3k 甚至不支持将 vpn 隧道分配给 vlan。如果您使用拆分隧道并为每个子网推出 2 个不同的路由,那么在 pix 上,您最终会得到每个子网 1 个 ipsec 安全关联。
听起来好像这些由于某种原因而超时了......
我不确定为什么会发生这种情况,但我知道我已经使用这种配置多年而没有出现问题:
vpnclient server server1 server2
vpnclient mode network-extension-mode
vpnclient nem-st-autoconnect
vpnclient vpngroup group password ********
vpnclient username user password ********
vpnclient management tunnel mana.geme.nt.subnet 255.255.255.0
vpnclient enable
这与您正在运行的配置有何不同?