我们的站点到站点 IPsec VPN 出现了一些奇怪的行为,大约每周都会宕机 30 分钟(我被告知 30 分钟确切地)。
我无法访问日志,因此很难排除故障。
同样奇怪的是,两个 VPN 设备都设置为使用 SHA 哈希算法,但最终显然同意使用 MD5。
有人有线索吗?或者这只是信息不足?
编辑:
以下是两个 VPN 设备之一的日志摘录,它是 Cisco 3000 系列 VPN 集中器。
27981 03/08/2010 10:02:16.290 SEV=4 IKE/41 RPT=16120 xxxxxxxx IKE 发起者:新阶段 1,Intf 2,IKE 对等体 xxxxxxxx 本地代理地址 xxxxxxxx,远程代理地址 xxxxxxxx,SA(L2L:1A)
27983 03/08/2010 10:02:56.930 SEV=4 IKE/41 RPT=16121 xxxxxxxx IKE 发起程序:新阶段 1,Intf 2,IKE 对等体 xxxxxxxx 本地代理地址 xxxxxxxx,远程代理地址 xxxxxxxx,SA(L2L:1A)
27986 03/08/2010 10:03:35.370 SEV=4 IKE/41 RPT=16122 xxxxxxxx IKE 发起者:新阶段 1,Intf 2,IKE 对等体 xxxxxxxx 本地代理地址 xxxxxxxx,远程代理地址 xxxxxxxx,SA(L2L:1A)
[…同样的事情又持续了15分钟…]
28093 03/08/2010 10:19:46.710 SEV=4 IKE/41 RPT=16140 xxxxxxxx IKE 发起程序:新阶段 1,Intf 2,IKE 对等体 xxxxxxxx 本地代理地址 xxxxxxxx,远程代理地址 xxxxxxxx,SA(L2L:1A)
28096 03/08/2010 10:20:17.720 SEV=5 IKE/172 RPT=1291 xxxxxxxx 组 [xxxxxxxx] 自动 NAT 检测状态:远程端不在 NAT 设备后面 此端在 NAT 设备后面
28100 03/08/2010 10:20:17.820 SEV=3 IKE/134 RPT=79 xxxxxxxx 组 [xxxxxxxx] 不匹配:配置的 LAN-to-LAN 建议与协商的建议不同。验证本地和远程 LAN-to-LAN 连接列表。
28103 03/08/2010 10:20:17.820 SEV=4 IKE/119 RPT=1197 xxxxxxxx 组 [xxxxxxxx] 第 1 阶段已完成
28104 03/08/2010 10:20:17.820 SEV=4 AUTH/22 RPT=1031 xxxxxxxx 用户 [xxxxxxxx] 组 [xxxxxxxx] 已连接,会话类型:IPSec/LAN-to-LAN
28106 03/08/2010 10:20:17.820 SEV=4 AUTH/84 RPT=39 LAN 到 LAN 隧道已连接到头端设备 xxxxxxxx
28110 03/08/2010 10:20:17.920 SEV=5 IKE/25 RPT=1291 xxxxxxxx 组 [xxxxxxxx] 在 ID 有效负载中收到远程代理主机数据:地址 xxxxxxxx、协议 0、端口 0
28113 03/08/2010 10:20:17.920 SEV=5 IKE/24 RPT=88 xxxxxxxx 组 [xxxxxxxx] 在 ID 有效负载中收到本地代理主机数据:地址 xxxxxxxx、协议 0、端口 0
28116 03/08/2010 10:20:17.920 SEV=5 IKE/66 RPT=1290 xxxxxxxx 组 [xxxxxxxx] IKE 远程对等体配置为 SA: L2L: 1A
28117 03/08/2010 10:20:17.930 SEV=5 IKE/25 RPT=1292 xxxxxxxx 组 [xxxxxxxx] 在 ID 有效负载中收到远程代理主机数据:地址 xxxxxxxx、协议 0、端口 0
28120 03/08/2010 10:20:17.930 SEV=5 IKE/24 RPT=89 xxxxxxxx 组 [xxxxxxxx] 在 ID 有效负载中收到本地代理主机数据:地址 xxxxxxxx、协议 0、端口 0
28123 03/08/2010 10:20:17.930 SEV=5 IKE/66 RPT=1291 xxxxxxxx 组 [xxxxxxxx] IKE 远程对等体配置为 SA: L2L: 1A
28124 03/08/2010 10:20:18.070 SEV=4 IKE/173 RPT=17330 xxxxxxxx 组 [xxxxxxxx] NAT-Traversal 已成功协商!IPSec 流量将被封装以穿过 NAT 设备。
28127 03/08/2010 10:20:18.070 SEV=4 IKE/49 RPT=17332 xxxxxxxx 组 [xxxxxxxx] LAN 到 LAN 组 (xxxxxxxx) 响应者的安全协商完成,入站 SPI = 0x56a4fe5c,出站 SPI = 0xcdfc3892
28130 03/08/2010 10:20:18.070 SEV=4 IKE/120 RPT=17332 xxxxxxxx 组 [xxxxxxxx] 第 2 阶段已完成 (msgid=37b3b298)
28131 03/08/2010 10:20:18.750 SEV=4 IKE/41 RPT=16141 xxxxxxxx 组 [xxxxxxxx] IKE 发起者:新阶段 2,Intf 2,IKE 对等体 xxxxxxxx 本地代理地址 xxxxxxxx,远程代理地址 xxxxxxxx,SA(L2L:1A)
28135 03/08/2010 10:20:18.870 SEV=4 IKE/173 RPT=17331 xxxxxxxx 组 [xxxxxxxx] NAT-Traversal 已成功协商!IPSec 流量将被封装以穿过 NAT 设备。