如何在Cisco ASA上重置VPN隧道？

#1 楼

可以通过在一侧输入

clear crypto ipsec sa peer <remote-peer-IP>

来重置VPN。以下流量将导致IPSEC隧道重新建立。

您可以一边做，一边输入远程IP。或登录到远程站点，但可能必须在VPN外部进行操作，因此请使用其他接口，例如使用公共IP而不是通过隧道连接的IP。

重新建立隧道时，VPN将会短暂中断。输入该命令后，请确保再次打开隧道，例如对它进行ping操作。

#2 楼

您可以通过ASDM软件以及在命令行中重置隧道。

在ASDM（版本6.3）中：


转到“监视”，然后从“接口”列表中选择“ VPN”，然后展开“ VPN统计信息”，然后单击“会话”。
从右侧的下拉列表中选择所需的隧道类型（“ IPSEC Site-To-Site”例如。）
单击要重置的隧道，然后单击“注销”以重置隧道。
这将导致VPN连接暂时中断，但是在大多数情况下，已经看到，您之所以这样做是因为隧道已经关闭。

尽管考虑了所有因素，登录CLI和重置隧道比较容易，但是我知道有些人沉迷于ASDM。 >

#3 楼

我只是遇到了一种以前从未了解过的新方法，它提供了与您在ASDM界面中找到的相同信息，包括注销vpn会话的功能。站点到站点vpn隧道的列表。

show vpn-sessiondb l2l

输出示例：

Connection   : 192.168.1.1
Index        : 330                    IP Addr      : 192.168.121.0
Protocol     : IKE IPsec
Encryption   : DES 3DES               Hashing      : MD5 SHA1
Bytes Tx     : 62226826               Bytes Rx     : 71173170
Login Time   : 17:15:49 PDT Sun Sep 7 2014
Duration     : 19h:08m:49s

然后注销该VPN隧道，您可以执行以下操作注销基于上面显示的索引。

vpn-sessiondb logoff index 330

#4 楼

通过执行clear ipsec sa peer <peer IP>只会重置IPSec部分。

没有办法只清除一个isakmp隧道。

因此，我所知最好的方法是删除加密映射中的对等节点并重新应用。此方法使您可以更好地控制隧道行为。

#5 楼

在8.4上，您可以通过以下方式重置单个ISAKMP连接：

clear cry ikev1 sa <ip>

或者，如果使用ikev2，则： />在较旧的版本中，我认为命令很简单：重置后，通常它将重新建立VPN，并且您的SSH会话将立即（通常最多）在几秒钟之内继续。修改隧道时，我经常在ISR G1和G2路由器上经常这样做。