远程站点中的 Cisco ASA 5505 作为 Easy VPN 客户端连接到总部的 ASA 5510。VPN 灯为绿色,sh crypto isakmp sa显示活动安全关联。
但是,我们某些子网的连接无法正常工作。运行结果show crypto ipsec sa显示,大多数子网都存在 IPSEC SA,但并非所有子网都存在。毫不奇怪,对于没有 SA 的子网,无法建立连接。
发生这种情况时,运行clear crypto isakmp sa或关闭远程 ASA 的电源循环可恢复 IPSEC 隧道,并且可以再次访问所有子网。
发生这种情况时,它是间歇性的。受影响的设备没有发生任何配置更改。
以下是我的问题:
- 什么原因会导致 IPSEC SA 在一个子网中失败,而不会破坏整个 VPN 链接?
- 我可以采取什么措施来预防或减轻这些原因?
- ASA 是否有任何配置可以检测何时发生这种情况并自动恢复链接?
答案1
我最近遇到了这个问题,2 个 SA 中只有 1 个激活。我通过仔细检查解决了这个问题
sh run crypto map
我的 ikev1 和 ikev2 命令匹配,但其中一方签名错误
crypto map WAN_map 1 set pfs
添加该命令(替换您的实际加密映射名称)并从启动器端生成流量后,两个 SA 均成功启动。