Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Не поднимается IPSec после перехода на вторую ASA в Failover паре.

Два устройства ASA 5510 настроены в файловер паре Active/Standby. После перехода на второе устройство командой failover active на нём, новые коннекты по тунелю ipsec-l2l не поднимаются. При этом старые переезжают без проблем. Проблема решается следующим образом: clear crypto ipsec sa

В чём может быть затык и как траблшутить?

Теги (3)
1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения
Cisco Employee

Не поднимается IPSec после перехода н

Ага. Значит никаких новых туннелей не существует, а по переехавшим туннелям не открываются новые соединения. Тогда debug можно не собирать, а посмотреть на один туннель:

show crypto ipsec sa peer

show vpn-sessiondb detail l2l filter ip

show route

show asp table routing

протестировать открытие новых соединений

packet-tracer input inside tcp det

где src - в нашей LAN, а dst - в удаленной за тем концом туннеля. Эта команда покажет где пакет дропается.

8.2(5) почти такая-же, как 8.0(4). Могут быть незначительные нюансы с WebVPN.

7 ОТВЕТ.
Cisco Employee

Не поднимается IPSec после перехода н

Какая версия хоть?

New Member

Не поднимается IPSec после перехода н

На обоих устройствах - 8.04

Cisco Employee

Не поднимается IPSec после перехода н

Обычно бывает наоборот - не переезжают. Не очень понятно, как "clear crypto ipsec sa" может влиять на туннели, которые не установились. Или "новые коннекты по туннелю l2l не поднимаются" означает, что трафик не ходит, но туннели создались (sh crypto ipsec sa)? Короче говоря, собирайте show crypto ipsec sa, show crypto isakmp sa, debug crypto isakmp 7, debug crypto ipsec 7 (разумеется желателен conditional debug для того туннеля, который не устанавливается) в тот момент, когда проблема возникнет, а также show asp drop несколько раз, и открывайте кейс в TAC. Но по-моему проще поставить 8.2(5).

New Member

Не поднимается IPSec после перехода н

Открытые RDP сессии и пинги не закрываются при переезде, а новые сессии и пинги уже не проходят.

Отладку собирать в момент переезда?

Версия 8.2(5) имеет какие-либо отличия в конфигурации? Старые конфиги на ней запустятся без проблем?

Cisco Employee

Не поднимается IPSec после перехода н

Ага. Значит никаких новых туннелей не существует, а по переехавшим туннелям не открываются новые соединения. Тогда debug можно не собирать, а посмотреть на один туннель:

show crypto ipsec sa peer

show vpn-sessiondb detail l2l filter ip

show route

show asp table routing

протестировать открытие новых соединений

packet-tracer input inside tcp det

где src - в нашей LAN, а dst - в удаленной за тем концом туннеля. Эта команда покажет где пакет дропается.

8.2(5) почти такая-же, как 8.0(4). Могут быть незначительные нюансы с WebVPN.

New Member

Не поднимается IPSec после перехода н

Олег, спасибо за ответы. Будем смотреть.

New Member

Не поднимается IPSec после перехода н

Проблема была связана с различием параметра lifetime для security-association на ipsec пирах.

908
Просмотры
0
Полезный материал
7
Ответы
СоздатьДля создания публикации, пожалуйста в систему