Cisco ASA siteden siteye VPN yerine çalışma

21

Geçenlerde uluslararası MPLS'yi yeni ASA 5510'lar ve siteden siteye VPN'lerle değiştirdik. Bununla birlikte, bunu yaptığımızda, her uzak konumun yedeklilik için 2 ISS'ye sahip olduğu bir problemle karşılaştık, ancak her iki arayüzde VPN'yi etkinleştirirken, tünel parçalanıp arasında hareket ettikçe ikisi arasında tünel yukarı ve aşağı sallanıyor ISPS. Cisco 8 aydır bu konuda çalışıyor ve hala birden fazla ISS'ye sahip kararlı tünellerimiz yok.

Uzak Ofis:

access-list RWS_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list RWS_TUNNEL extended permit ip object-group BNG_tunnel_NETS object-group CORP_tunnel_NETS
crypto map RWS_TUNNEL 1 match address RWS_TUNNEL
crypto map RWS_TUNNEL 1 set peer 216.xxx.102.2 
crypto map RWS_TUNNEL 1 set transform-set IND-RWS
tunnel-group 216.xxx.102.2 type ipsec-l2l
tunnel-group 216.xxx.102.2 ipsec-attributes
 pre-shared-key *****


route outside 0.0.0.0 0.0.0.0 216.xxx.206.1 1 track 2
route outside2 0.0.0.0 0.0.0.0 182.xxx.26.229 100
sla monitor 55
 type echo protocol ipIcmpEcho 63.251.61.142 interface outside
 num-packets 5
 timeout 1000
 frequency 10
sla monitor schedule 55 life forever start-time now
track 2 rtr 55 reachability

Merkez Ofis:

access-list BNG_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list BNG_TUNNEL extended permit ip object-group CORP_tunnel_NETS object-group BNG_tunnel_NETS 

route outside2 0.0.0.0 0.0.0.0 216.xxx.102.1
crypto map BNG_TUNNEL 1 match address BNG_TUNNEL
crypto map BNG_TUNNEL 1 set peer 182.xxx.26.230 216.xxx.206.4
crypto map BNG_TUNNEL 1 set transform-set L2L

tunnel-group 182.xxx.26.230 type ipsec-l2l
tunnel-group 182.xxx.26.230 ipsec-attributes
 pre-shared-key *****
tunnel-group 216.xxx.206.4 type ipsec-l2l
tunnel-group 216.xxx.206.4 ipsec-attributes
 pre-shared-key *****

Yani buldum ki, ISAKMP hem dış arabirimlerde (uzak ofis) hem de her iki IP'nin de eş (temel ofis) olarak yapılandırıldığında VPN her iki arabirimde başarılı bir şekilde ortaya çıkıyor, ancak bir noktada IP'ler arasında çırpmaya başlayacağı. Bu, SLA İzlemesi olsun veya olmasın geçerlidir, bu nedenle yollar tamamen statik olsa bile, davranış devam eder.

Herhangi bir fikir takdir edilmektedir.

— Scott Boultinghouse
kaynak

Sorunun teşhisine yardımcı olmak için "crypto isakmp disconnect-notify" işlevini etkinleştirmeyi deneyin ve ne bulduğunuzu bize bildirin. Bu tünellerin sonunda neden çırpmaya başladığını öğrenmek çok merak ediyorum.

— skrumcd

14

Siteleri politika temelli VPN'lerden uzak tutuyorum, bu nedenle. İlke tabanlı VPN'ler yerine çalışma davranışı söz konusu olduğunda önceden tahmin edilemez. Noktadan noktaya veya DMVPN olarak rota tabanlı IPsec tünellerini tercih ederim. Maalesef, bildiğim kadarıyla ASA platformu hala rota tabanlı tünelleri desteklemiyor.

— Jeremy Stretch
kaynak

9

Uzak siteleri ASA'lar arasında L2L (Lan-Lan) IPSec tünelleri üzerinden bağlamak için bir DMVPN çözümü kullanmanızı tavsiye ederim. DMVPN çözümü çok daha kolay, daha temiz ve konuşmanın da iletişim kurmasını sağlayacak.

— twidfeki
kaynak

Bunun arkasındaki temel düşünceleri ve bunun nasıl uygulanacağını açıklayabilir misiniz?

— SimonJGreen

Bir DMVPN çözümü ile tüm konfigürasyon müşteri tarafında yapılır (konuşmacı), ilk kurulumdan sonra hub'larda herhangi bir değişiklik yapmanız gerekmez. İstemci için, tekrar tekrar kullanmak üzere bir şablon oluşturabilirsiniz. Konuşmacıdan birden fazla hub'a kadar birden fazla tünele sahip olabilir ve trafiği yönlendirmek için hangi tüneli belirlemek için yönlendirme protokollerini kullanabilirsiniz. Ayrıca, DMVPN'yi çok noktalı GRE kullanacak şekilde yapılandırabilirsiniz ve jantlar, göbeklerden trafik geçmeden doğrudan birbirleriyle konuşabilir.

— twidfeki

4

Olabilirdi:

CSCub92666

ASA: Eski bağlantılar geçiş sırasında IPSEC vpn tünelini yırtıyor

Belirti: IPsec vpn tünelinde ASA'daki yapılandırma üzerinde başarısız, birincilden yedek bağlantıya geçme başarısız. Fakat ikinci başarısızlıktan sonra yedeklemeden birincil linke kadar vpn tüneli birkaç dakika içinde çırpmaya başlar ve dengesiz kalır. Davranış hala yedek isp işaret eden eski artık bağlantı nedeniyle gözlenir.

— t0i
kaynak

2

Yukarıdaki ifadelere katılıyorum. Basit VTI tabanlı IPSEC veya alternatif olarak DMVPN'e gidin. Sadece tünellerin içinde ve dışında farklı rotalama procotol örnekleri çalıştırmayı unutmayın. Evet, ASA'ları ISR'lerle değiştirmeniz gerekecek.

Her iki ISS de tek bir merkez ofisi ASA'ya mı dönüyor? İki kişi (en azından mevcut yapılandırma ile) bu davranışın nasıl gerçekleşebileceğini görmeyi zorlaştırırsam, ancak aynı ASA (veya aynı çift) olması durumunda ilişkili olabilir.

— wintermute000
kaynak

Evet, merkezi konumda bir HA çiftimiz var. BGP yönlendirmesi çoklu ISS'leri orada gizler, ancak uzak ofisler için ISP doğrudan ASA'ya son verir.

— Scott Boultinghouse

Başlığı ayırdım, böylece diğer ISS bağlantısı farklı bir cihazda sonlandırıldı ya da en azından ASA'daki farklı bir fiziksel arabirim / IP ile geldi. Bu, farklı bir sonlandırma cihazının yardımına / denemesine yardımcı olmalı / rahatsız edici olmamalı, şimdilik sadece yedek bir ISR kullanın

— wintermute000

2

Bu soruyu takip ederek bir yıldan fazla bir süredir Cisco TAC ile çalışıyorum. Sonunda bunun ASA platformunun bağlantıları yönetme biçimiyle ilgili bir hata olduğunu belirlediler. esasen, tüneli diğer arayüze taşıdığında bağlantıları bir arayüzden temizlemiyordu ve bağlantı tablosundaki girişleri her iki arayüzden de görmeye başladığından kontrolden çıktı.

IOS versiyon 8.4.7'yi iki ISS'li güvenlik duvarına yerleştirdim ve aslında doğru davranıyor gibi gözüküyor. Birincil arayüz kapandığında yerine çalışma gerçekleşiyor ve bu arayüz geri döndüğünde VE bu arayüzde kaldığında geri dönüyor. Göreceğiz.

— Scott Boultinghouse
kaynak

1

TAC'ın üzerinde çalıştığı hata için hata kimliğiniz var mı?

Birincil geri yüklendiğinde, tünel Yedekleme'den birinciline izin vermiyor mu?

— Federi