Cisco ASA - 重复 ISAKMP SA - 重新密钥

Cisco ASA - 重复 ISAKMP SA - 重新密钥

我在 IPSEC VPN 方面遇到一个问题,其中单个端点生成多个 ISAKMP SA。(在我的示例中,我已经替换了 IP - 1.1.1.1 是远程端点,10.10.10.10 是远程网络上的对象,192.192.192.192 是本地网络上的对象)。

>sh crypto isakmp sa
15  IKE Peer: 1.1.1.1
    Type    : L2L             Role    : responder
    Rekey   : no              State   : MM_REKEY_DONE_H2
17  IKE Peer: 1.1.1.1
    Type    : L2L             Role    : responder
    Rekey   : yes             State   : MM_ACTIVE_REKEY

发生这种情况时,任何方向的隧道都无法发送流量。这种情况最初是在没有启用 PFS 的情况下发生的,我已将其启用和禁用以进行故障排除,但没有任何区别。当出现重复的 SA 时(似乎是在第一个隧道建立后大约一小时),终端监视器中会反复重复以下内容:

%ASA: Group = 1.1.1.1, IP = 1.1.1.1, IKE Initiator: New Phase 2, Intf portal, IKE Peer 1.1.1.1  local Proxy Address 192.192.192.192, remote Proxy Address 10.10.10.10,  Crypto map (outside_map)
%ASA: IP = 1.1.1.1, Received encrypted packet with no matching SA, dropping

有人能提示下一步该去哪里吗?网上关于生成重复 SA 问题的资源似乎非常有限。

相关内容