отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

CISCO IPSEC between ASA 5510 and 871 router

Здравствуйте!

В ГО имеется 2 CISCO ASA 5510, смотрящие в 2 провайдера.

Из регионов к каждой АСЕ подключаеся по 50 маршруток 871 ой серии.

Последние 2 дня, если IPSEC с какой нибудь точкой в удаленном регионе падает, то восстановление не проходит, и приходится переключать на вторую АСУ, и подключение восстанавливается, по прошествии какого то времени туннель на второй асе с какой нибудь удаленной точкой падает, и приходится переключаться на первую асу, и т.д. все повторяется. Никогда не было подобного.

По лицензиям у АСЫ 5510 в наличие 250 лицензий на ВПН туннели, с этим как бы проблем нет.

Ошибка во время соединения туннеля, когда он падает:

sending packet to <<IP_ADDRESS>> my_port 500 peer_port 500 (R) MM_SA_SETUP

Sending an IKE IPv4 Packet.

retransmitting phase 1 MM_NO_STATE...

incrementing error counter on sa, attempt 1 of 5: retransmit phase 1

retransmitting phase 1 MM_NO_STATE

состояние подключения:

MM_NO_STATE и MM_SA_SETUP

Если бы были проблемы с конфигой подключение не шло бы изначально.

Помогите кто сталкивался?

14 ОТВЕТ.

CISCO IPSEC between ASA 5510 and 871 router

0) Какая версия софта на асах?

1) Я правильно понимаю, что асы в кластере, и вы руками делаете фейловер, что устраняет проблему?

2) Производились ли какие-нибудь изменения на асах в то время, когда началась проблема?

3) По возможности соберите debug crypto ipsec & debug crypto isakmp на лишившейся связи региональной железке (как я понимаю, указанные выше дебаги были с асы?). Прямой доступ по ssh к железкам (не через туннель) должен быть.

New Member

Re: CISCO IPSEC between ASA 5510 and 871 router

Спасибо за ответ.

0) версия софта на асах  asa831-k8.bin

Cisco Adaptive Security Appliance Software Version 8.3(1)

1) совершенно верно

2) никаких изменений, но была перезагрузка двух АС, или АСы , но с предварительным сохранением. Необходимо было обесточить серверную.

3) дебаги были с региональныз маршруток. Прямой доступ к железкам есть, там реальные айпи. К сожалению, счас не могу дать дебаги т.к. связь пока стабильная, возможно связанос  подключением третьей АСЫ и переключением части подразделений (около 10) на нее. Пока ничего непонятно

Re: CISCO IPSEC between ASA 5510 and 871 router

Нехорошая версия нехорошей линейки софта... Багов - море.

Нужно понимание того, что видят асы, когда связь рвется. На них в идеале debug crypto condition peer ... + debug crypro ipsec 255 + debug crypto isakmp 255 на какое-то время, а также show crypto isakmp sa и show crypto ipsec sa. Кроме того, с отвалившейся филиальной железки просто пропингуйте асу (в общем - как угодно проверить, что между ними вообще есть связь).

В качестве решения проблемы попробуйте вместо фейловера поклирить ISAKMP и IPSEC до отвалившегося бранча. А лучше сначала пересоздайте конфигурацию для соответствующего филиала - есть отличный от нуля шанс, что до следущего ребута кластера (или фейловера) глюков на этом филиале не будет.

Но мое текущее ощущение: в итоге оно сведется к багу, и окончательным решением будет обновление софта, например, до чего-либо поновее из 8.4. Благо с 8.3 это сделать не так сложно (только не забудьте почитать release notes, например см. http://www.cisco.com/en/US/docs/security/asa/asa83/upgrading/migrating.html#wp113630 ).

New Member

Re: CISCO IPSEC between ASA 5510 and 871 router

К сожалению (или к счастью), пока связь не падала и я не могу запустить дебаги.

Действительно, когда возникала данная проблема, при пересоздании конфигурации для соответствующего филиала(на АСЕ, где была трабла), соединение восстанавливалось без переключения, но сами понимаете, легче роуты прописать на шлюзе нежели, пересоздавать конфигурацию. Значит ли это есть баг на стороне софта?

Re: CISCO IPSEC between ASA 5510 and 871 router

Это очень похоже на баг, но точного соответствия я не нашел, нужна информация по тому, что видит аса. Но, повторюсь, 8.3(1) - весьма нехорошая версия софта.

New Member

Re: CISCO IPSEC between ASA 5510 and 871 router

Спасибо большое Дмитрий,

на выходных будем обновлять ПО, потом отпишусь.

Re: CISCO IPSEC between ASA 5510 and 871 router

Настоятельно рекомендую действовать предельно аккуратно. Например - начать с третьей асы, убрав с нее все филиалы кроме двух-трех, убедиться, что она тоже на 8.3(1) и у нее примерно такая же конфигурация, обновить до чего-нибудь более свежего, проверить, что ничего не сломалось и дать ей поработать несколько дней. Только потом, если всё хорошо, приступать к обновлению основного кластера.

New Member

Re: CISCO IPSEC between ASA 5510 and 871 router

Мы изъяли 2 АСЫ еще дополнительно из других задач, попробуем на них сначала обновить и поменять те 2 АСЫ, на которых все изначально работало. Если что то пойдет не так, поменяем оборудование.

ВОзник еще один вопрос, АСА позиционируется как файрвол а не роутер (несмотря на то что тут имеется и аппаратный модуль шифрования и по колич туннелей оно наши потребности удовлетворяет), может быть есть смысл на следующий год заменить АСАшки на роутеры 29 ой серии?

Re: CISCO IPSEC between ASA 5510 and 871 router

Мое мнение: асы с точки зрения VPN концентраторов отвратительны во всех отношениях кроме соотношения цена/производительность (и то лишь в случае небольших запросов).

На 50 филиалов напрашивается DMVPN / Flex. Но внимательнее оценивайте возможности роутеров под хаб с точки зрения производительности. Им и много соседств протокола маршрутизации держать с постоянными кипалайвами, и трафик качать.

New Member

Re: CISCO IPSEC between ASA 5510 and 871 router

Количество удаленных точек около 100, те кто выходит через ipsec туннель. Плюс к тому же около 30 удаленных программных впн клиентов.

Насчет DMVPN да, но исторически сложилось, что в организации используется АСА, со следующего года будем переходить на более серьезное оборудование, видимо время настало

Re: CISCO IPSEC between ASA 5510 and 871 router

Ну так аса же стоит в центре, а не в филиалах, правильно? Тогда замена вовсе не так уж и сложна. Поставить рядом пару роутеров с DMVPN и планомерно всех на них переводить.

По поводу "2900 под 100 бранчей" - сомнительно как-то, что нормально будут держать. Должен быть запас производительности на ситуации вроде "все туннели разом начинают подниматься".

Про клиентский VPN: помните, что единственное, в чем аса лучше роутера в контексте VPN - это clientless anyconnect.

New Member

Re: CISCO IPSEC between ASA 5510 and 871 router

Какой посоветуете роутер DMVPN с запасом производительности, но и чтобы по бюджету не сильно било?

Re: CISCO IPSEC between ASA 5510 and 871 router

Не зная в первую очередь профиля трафика, а во вторую - желаемых фич, ничего сказать нельзя. Например, "хаб с per-tunnel QoS" и "хаб без per-tunnel QoS" - это две большие разницы в плане потребления ресурсов.

Общие рекомендации описаны в http://www.cisco.com/en/US/docs/solutions/CVD/Aug2013/CVD-VPNWANDesignGuide-AUG13.pdf , страница 21. Конечно, там все с запасом и для некоей сферической инсталляции в вакууме. С другой стороны, я уже оказывался в ситуации, когда хабы не тянут нагрузку, упираясь в ЦП - очень неприятная ситуация, главным образом - тем, что начинают дергаться соседства, пропадает трафик.

За более конкретными рекомендациями лучше обратиться к account manager'у.

New Member

Re: CISCO IPSEC between ASA 5510 and 871 router

Спасибо за инфо

331
Просмотры
0
Полезный материал
14
Ответы