отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

ASA частые переподключение VPN L2L тунелей

Две площадки. На обоих концах использую Cisco ASA 5510, строиться VPN L2L туннель. Логи (уведомления, информация) показывают частые пересоздания туннеля, без ошибок при создании туннеля. Разрыва не вижу, вижу сообщения о прохождении фазы 1-2. Помогите локализовать проблему, или это нормальное явление, так и должно быть. 

= - 2-а параллельных канала.

Схема ASA<->3750 OSPF<=>(Сеть провайдера)<=>OSPF ASA

 

 

9 ОТВЕТ.

Покажите конфигурацию

Покажите конфигурацию туннелей с обеих сторон, debug crypto isakmp 7, debug crypto ipsec 7, а также назовите периодичность пересоздания.

New Member

Переодичность разная:12:46,

Переодичность разная:

12:46, 13:02, 13:11, 13:18

Конфигурация

Main ASA

name 10.11.95.2 PPM
name 10.6.2.2 PPM_Main

access-list Elem_to_PPM extended permit ip object-group Main_networks object-group PPM_networks
access-list Elem_to_PPM extended permit ip object-group SUPMain_networks object-group PPM_networks
access-list Elem_to_PPM extended permit tcp object-group Aftograf_Servs eq 2226 object-group PPM_Aftograf_Clients
access-list Elem_to_PPM extended permit tcp object-group Bank_Servs eq 1024 object-group PPM_Bank_Clients
access-list Elem_to_PPM extended permit tcp object-group Kerio_Servs eq 4090 object-group PPM_Kerio_Clients
access-list Elem_to_PPM extended permit udp object-group Kerio_Servs eq 4090 object-group PPM_Kerio_Clients
access-list Elem_to_PPM extended permit tcp object-group Etran_Servs object-group etran_tcp object-group PPM_Etran_Clients
access-list Elem_to_PPM extended permit udp object-group Etran_Servs object-group etran_udp object-group PPM_Etran_Clients
access-list Elem_to_PPM extended permit tcp object-group Webinar_Serv object-group Webinar_ports host 10.1.210.71

crypto map VPN-Map-2 10 match address Elem_to_PPM
crypto map VPN-Map-2 10 set pfs group5
crypto map VPN-Map-2 10 set peer PPM_Main PPM
crypto map VPN-Map-2 10 set transform-set ESP-AES-256-SHA
crypto map VPN-Map-2 10 set security-association lifetime seconds 86400
crypto map VPN-Map-2 interface Outside_PPM
crypto isakmp enable Outside_PPM
crypto isakmp policy 10
 authentication pre-share
 encryption aes-256
 hash sha
 group 5
 lifetime 86400

tunnel-group 10.6.2.2 type ipsec-l2l
tunnel-group 10.6.2.2 ipsec-attributes
 pre-shared-key *

tunnel-group 10.11.95.2 type ipsec-l2l
tunnel-group 10.11.95.2 ipsec-attributes
 pre-shared-key *


REMOTE_PEER

access-list PPM_to_Elem extended permit ip object-group PPM_networks object-group Main_networks
access-list PPM_to_Elem extended permit ip object-group PPM_networks object-group SUPMain_networks
access-list PPM_to_Elem extended permit tcp object-group PPM_Aftograf_Clients object-group Aftograf_Servs eq 2226
access-list PPM_to_Elem extended permit tcp object-group PPM_Bank_Clients object-group Bank_Servs eq 1024
access-list PPM_to_Elem extended permit tcp object-group PPM_Kerio_Clients object-group Kerio_Servs eq 4090
access-list PPM_to_Elem extended permit udp object-group PPM_Kerio_Clients object-group Kerio_Servs eq 4090
access-list PPM_to_Elem extended permit tcp object-group PPM_Etran_Clients object-group Etran_Servs object-group etran_tcp
access-list PPM_to_Elem extended permit udp object-group PPM_Etran_Clients object-group Etran_Servs object-group etran_udp
access-list PPM_to_Elem extended permit tcp host 10.1.210.71 object-group Webinar_Serv object-group Webinar_ports

crypto map VPN-Map 10 match address PPM_to_Elem
crypto map VPN-Map 10 set pfs group5
crypto map VPN-Map 10 set peer 10.10.95.1
crypto map VPN-Map 10 set transform-set ESP-AES-256-SHA
crypto map VPN-Map 10 set security-association lifetime seconds 86400
crypto map VPN-Map interface Outside
crypto map VPN-Map-2 10 match address PPM_to_Elem
crypto map VPN-Map-2 10 set pfs group5
crypto map VPN-Map-2 10 set peer 10.10.95.1
crypto map VPN-Map-2 10 set transform-set ESP-AES-256-SHA
crypto map VPN-Map-2 10 set security-association lifetime seconds 86400
crypto map VPN-Map-2 interface Outside_Main
crypto isakmp identity address
crypto isakmp enable Outside
crypto isakmp enable Outside_Main
crypto isakmp policy 10
 authentication pre-share
 encryption aes-256
 hash sha
 group 5
 lifetime 86400
crypto isakmp disconnect-notify

tunnel-group 10.10.95.1 type ipsec-l2l
tunnel-group 10.10.95.1 ipsec-attributes
 pre-shared-key *

 

А дебаги в моменты, когда SA

А дебаги в моменты, когда SA разрушаются и пересоздаются, можно?

New Member

Да, я их жду.

Вот...

Обратил внимание что пересозданию туннеля предшествуют сообщения типа 

PMTU-D packet 1466 bytes greater than effective mtu 1426

Это - создание туннеля. Можно

Это - создание туннеля. Можно захватить и его падение?

New Member

Oct 13 15:59:17 [IKEv1 DEBUG]

См. файл

Это все что есть.

Видимо, пакеты ходят по

Видимо, пакеты ходят по туннелю с большим интервалом, и он рвется по idle timeout.

 

Почитать можно в http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/81824-common-ipsec-trouble.html#solution13

New Member

Спасибо большое за помощь.

Спасибо большое за помощь. Буду смотреть дальше.

New Member

Есть ли у Вас предположения ?

Есть ли у Вас предположения ?

138
Просмотры
0
Полезный материал
9
Ответы
СоздатьДля создания публикации, пожалуйста в систему