我在 IPSEC VPN 方面遇到一个问题,其中单个端点生成多个 ISAKMP SA。(在我的示例中,我已经替换了 IP - 1.1.1.1 是远程端点,10.10.10.10 是远程网络上的对象,192.192.192.192 是本地网络上的对象)。
>sh crypto isakmp sa
15 IKE Peer: 1.1.1.1
Type : L2L Role : responder
Rekey : no State : MM_REKEY_DONE_H2
17 IKE Peer: 1.1.1.1
Type : L2L Role : responder
Rekey : yes State : MM_ACTIVE_REKEY
发生这种情况时,任何方向的隧道都无法发送流量。这种情况最初是在没有启用 PFS 的情况下发生的,我已将其启用和禁用以进行故障排除,但没有任何区别。当出现重复的 SA 时(似乎是在第一个隧道建立后大约一小时),终端监视器中会反复重复以下内容:
%ASA: Group = 1.1.1.1, IP = 1.1.1.1, IKE Initiator: New Phase 2, Intf portal, IKE Peer 1.1.1.1 local Proxy Address 192.192.192.192, remote Proxy Address 10.10.10.10, Crypto map (outside_map)
%ASA: IP = 1.1.1.1, Received encrypted packet with no matching SA, dropping
有人能提示下一步该去哪里吗?网上关于生成重复 SA 问题的资源似乎非常有限。