access-list RWS_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list RWS_TUNNEL extended permit ip object-group BNG_tunnel_NETS object-group CORP_tunnel_NETS
crypto map RWS_TUNNEL 1 match address RWS_TUNNEL
crypto map RWS_TUNNEL 1 set peer 216.xxx.102.2
crypto map RWS_TUNNEL 1 set transform-set IND-RWS
tunnel-group 216.xxx.102.2 type ipsec-l2l
tunnel-group 216.xxx.102.2 ipsec-attributes
pre-shared-key *****
route outside 0.0.0.0 0.0.0.0 216.xxx.206.1 1 track 2
route outside2 0.0.0.0 0.0.0.0 182.xxx.26.229 100
sla monitor 55
type echo protocol ipIcmpEcho 63.251.61.142 interface outside
num-packets 5
timeout 1000
frequency 10
sla monitor schedule 55 life forever start-time now
track 2 rtr 55 reachability
所以我发现,当在两个外部接口(远程办公室)上都启用了ISAKMP并且两个IP被配置为对等方(中央办公室),VPN可以在两个接口上成功建立,但有时会在IP之间开始震荡。无论有没有SLA监视,这都是正确的,因此,即使路由全是静态的,行为仍然会发生。
任何见解都值得赞赏。
#1 楼
出于这个原因,我一直在从基于策略的VPN迁移站点。当涉及到故障转移行为时,基于策略的VPN太不可预测了。我更喜欢基于路由的IPsec隧道,即点对点或DMVPN。不幸的是,据我所知,ASA平台仍然不支持基于路由的隧道。#2 楼
我建议使用DMVPN解决方案,以通过ASA之间的L2L(局域网到局域网)IPSec隧道连接远程站点。 DMVPN解决方案更容易,更清洁,并且也允许辐对讲通信。评论
您能否详细说明其背后的基本思想以及如何实施?
–SimonJGreen
13年5月8日在6:46
使用DMVPN解决方案,所有配置都在客户端(分支)完成,您无需在初始设置后对集线器进行任何更改。对于客户端,您可以创建一个模板来反复使用。您可以具有从分支到多个集线器的多个隧道,并使用路由协议来确定将流量路由到哪个隧道。此外,您可以将DMVPN配置为使用多点GRE,并且辐条可以直接相互通信,而无需通过集线器传递流量。
–twidfeki
13年5月8日在17:49
#3 楼
可能是:CSCub92666
ASA:旧连接在切换时拆除IPSEC vpn隧道
症状:
在IPsec vpn隧道中失败在ASA上进行配置,从主链路故障转移到备份链路。但是,从备份到主链路vpn隧道的第二次故障转移后,几分钟后开始震荡,并且仍然不稳定。由于旧的剩余连接仍指向备份isp,因此可以观察到该行为。
#4 楼
我同意上述说法。使用基于VTI的简单IPSEC或DMVPN。只需记住在隧道内和不在隧道内运行不同的路由协议实例即可。是的,您必须用ISR替换ASA。两个ISP是否都回到一个或两个单一的总部ASA?如果发现两个(至少在可用配置下),则很难看清如何发生此行为,但是如果它是相同的ASA(或相同的对),则可能是相关的。
评论
是的,我们在中心位置有一个HA对。 BGP路由将多个ISP隐藏在那里,但是对于远程办公室,ISP直接终止于ASA。
–斯科特保龄球馆
13年5月8日在16:59
我拆分了前端,以便其他ISP连接在另一设备上终止,或者至少在ASA上的另一物理接口/ IP上进入。那应该有助于/尝试使用其他终端设备应该是免费的/无干扰的,现在就使用备用ISR
– wintermute000
13年5月9日,3:57
#5 楼
作为该问题的后续措施,我已经与Cisco TAC进行了一年以上的合作。他们最终确定这是ASA平台处理连接方式的错误。从本质上讲,当它将隧道移动到另一个接口时,并没有清除一个接口的连接,当它开始在两个接口中看到连接表中的条目时,它会失控。已在具有两个ISP的防火墙上部署了IOS版本8.4.7,实际上似乎运行正常。当主接口关闭时发生故障转移,然后在主接口返回并保留在该接口上时移回。我们会看到的。评论
您是否有TAC处理过的bug的bugtack ID?
–user2735
2013年9月23日在9:04
还原主数据库后,隧道是否会从备份到主数据库抢占?
–费德里
17-10-18在14:35
评论
为了帮助诊断问题,请尝试启用“ crypto isakmp断开通知”功能,并让我们知道您的发现。我很想知道为什么这些隧道最终开始晃动。