ASA 上的 IPSec 隧道不断断开连接

Question 1

尽管隧道两侧都禁用了基于卷的重新密钥，但其中一端仍试图重新密钥（我不确定是哪一端；我怀疑是 TMG）。因此，经过数周的故障排除，我在链路两侧都设置了 4GB 后的重新密钥，从那以后它一直很稳定。

基于时间的密钥更新为 1 小时；并且 4GB 的流量在一小时内流经该链路的可能性极小，因此从那时起它一直很稳定。

Answer

尽管隧道两侧都禁用了基于卷的重新密钥，但其中一端仍试图重新密钥（我不确定是哪一端；我怀疑是 TMG）。因此，经过数周的故障排除，我在链路两侧都设置了 4GB 后的重新密钥，从那以后它一直很稳定。

基于时间的密钥更新为 1 小时；并且 4GB 的流量在一小时内流经该链路的可能性极小，因此从那时起它一直很稳定。

Question 2

您是否在隧道中使用任何路由协议？如果是，请仔细检查您是否没有通过隧道获得到远程端点地址的路由。例如，如果您在 1.2.3.4 和 2.3.4.5 之间有一条隧道，请确保您在 1.2.3.4 到 2.3.4.5 之间有一条通过适当的下一跳地址的静态路由。

您看到的症状与我犯此错误时看到的症状类似，因为隧道不断建立和关闭。首先，它建立隧道，然后建立路由邻居，然后交换路由，并且通常会发送远程端点的连接路由。因此，到远程端点的路由是通过隧道，隧道超时，然后邻居失败，这意味着路由被删除，隧道可以再次建立。这个循环不断重复，直到您添加适当的静态路由。

Answer

您是否在隧道中使用任何路由协议？如果是，请仔细检查您是否没有通过隧道获得到远程端点地址的路由。例如，如果您在 1.2.3.4 和 2.3.4.5 之间有一条隧道，请确保您在 1.2.3.4 到 2.3.4.5 之间有一条通过适当的下一跳地址的静态路由。

您看到的症状与我犯此错误时看到的症状类似，因为隧道不断建立和关闭。首先，它建立隧道，然后建立路由邻居，然后交换路由，并且通常会发送远程端点的连接路由。因此，到远程端点的路由是通过隧道，隧道超时，然后邻居失败，这意味着路由被删除，隧道可以再次建立。这个循环不断重复，直到您添加适当的静态路由。

相关内容