ASA 上的 IPSec 隧道不断断​​开连接

ASA 上的 IPSec 隧道不断断​​开连接

我在 ASA5505 和 Microsoft TMG 2010 SP2 之间配置了 ASA IPSec 隧道。

隧道有时会工作几个小时,然后断开连接,有时它会工作 5 分钟,然后断开连接。

当断开连接时,有时需要10分钟才能重新建立SA,有时需要45分钟才能重新建立SA。

我怀疑隧道的一侧正在重新设置连接密钥,而另一侧没有,但我真的不知道如何排除故障。从 ASA 端排除故障比从 TMG 端排除故障要容易得多,因为从 TMG 获取此信息很困难;尽管我怀疑问题出在 TMG 上。

在 ASA 中我可以去哪里确定 IPSec 隧道丢失的原因?

答案1

尽管隧道两侧都禁用了基于卷的重新密钥,但其中一端仍试图重新密钥(我不确定是哪一端;我怀疑是 TMG)。因此,经过数周的故障排除,我在链路两侧都设置了 4GB 后的重新密钥,从那以后它一直很稳定。

基于时间的密钥更新为 1 小时;并且 4GB 的流量在一小时内流经该链路的可能性极小,因此从那时起它一直很稳定。

答案2

您是否在隧道中使用任何路由协议?如果是,请仔细检查您是否没有通过隧道获得到远程端点地址的路由。例如,如果您在 1.2.3.4 和 2.3.4.5 之间有一条隧道,请确保您在 1.2.3.4 到 2.3.4.5 之间有一条通过适当的下一跳地址的静态路由。

您看到的症状与我犯此错误时看到的症状类似,因为隧道不断建立和关闭。首先,它建立隧道,然后建立路由邻居,然后交换路由,并且通常会发送远程端点的连接路由。因此,到远程端点的路由是通过隧道,隧道超时,然后邻居失败,这意味着路由被删除,隧道可以再次建立。这个循环不断重复,直到您添加适当的静态路由。

相关内容