我在 ASA 集群上的远程访问 VPN 连接中遇到了一个奇怪的问题。
普通的站点到站点隧道和 AnyConnect 连接工作正常。但是,特殊的 ipsec ikev1 隧道却不行。它建立并保持运行,但客户端(在本例中为 Avaya VPN 电话)既没有收到客户端地址,也没有请求客户端地址(有点不确定该怪谁)。
此图显示了建立连接时的情况。请注意,分配的 IP 地址为空白。字节数 TX 为“0”是很自然的,因为内部网络没有要路由到的客户端。
我尝试通过 ASDM 进行调试,但失败了。我对 CLI 的信心不足以进行控制台调试,因为我们大量使用“通知”关键字来匹配我们拥有的每个 ACL。
有什么建议吗?
答案1
这需要花些功夫才能弄清楚。
首先,客户端(或者更准确地说是手机)没有获取 IP 地址的原因是手机配置错误。它没有设置“配置 IKE”标志,这意味着它基本上丢弃了从 ASA 推送的所有配置。
当我修复此问题时,又出现了另一个主要问题。结果发现我们的 AnyConnect 客户端根本不起作用。我们最近升级到 ASA 8.4.4 以尝试解决另一个问题,此版本带来了针对 NAT 规则的新规则检查器,以便它们不会与备用 IP 地址发生冲突:
http://www.cisco.com/en/US/products/ps6120/products_tech_note09186a0080bcf110.shtml
这对我们来说是一个重大问题,因为我们在大型 MPLS 网络中的防火墙后面有无数个子网,而 VPN 客户端需要连接。创建新的主机/网络组只是为了避免与备用 IP 发生冲突,这对我来说至少需要两天的时间,所以我将降级到 ASA 8.4.3,直到 Cisco 能找到更好的解决方案。