Cisco ASA'da bir VPN tünelini nasıl sıfırlayabilirim?

Sırasıyla bir ASA 5520 ve 5540 kullanan bir siteden siteye VPN'de, zaman zaman trafiğin artık geçmediğini fark ettim, bazen sadece belirli bir trafik seçimi / ACL için eksik trafik bile olsa diğer trafik bittiğinde aynı VPN çalışıyor. Sürekli bir ping çalışması olmasına rağmen olur. Bunun nedeni, mükemmel bir şekilde kararlı olmayan bir uydu bağlantısı üzerinden geçmesi olabilir.

ASA'lardan birini yeniden yüklemek yerine VPN'yi çalışma durumuna nasıl sıfırlayabilirim?

VPN girilerek sıfırlanabilir

clear crypto ipsec sa peer <remote-peer-IP>

bi yandan. Aşağıdaki trafik IPSEC tünelinin yeniden kurulmasına neden olacaktır.

Uzak IP'yi girerek yanınızda yapabilirsiniz. Veya uzak siteye giriş yapın, ancak muhtemelen VPN dışında yapmalısınız, bu yüzden farklı bir arayüz kullanarak, örneğin tünelden bağlandığınız IP yerine genel IP'yi kullanın.

Tüneli yeniden kurarken kısa bir VPN kesintisi olacaktır. Bu komutu girdikten sonra, tünelin tekrar çalışır durumda olduğundan emin olun, örn.

Tüneli ASDM yazılımı üzerinden ve komut satırından sıfırlayabilirsiniz.

ASDM'de (Sürüm 6.3):

1. İzleme'ye gidin, ardından Arayüzler listesinden VPN'yi seçin
2. Ardından VPN istatistiklerini genişletin ve Oturumlar'ı tıklayın.
3. Sağ taraftaki açılır menüden aradığınız tünel türünü seçin (örneğin IPSEC Siteden Siteye).
4. Sıfırlamak istediğiniz tünele tıklayın ve ardından tüneli sıfırlamak için Oturumu Kapat'a tıklayın.

Bu, VPN bağlantısının geçici olarak kesilmesine neden olur, ancak çoğu durumda gördüm, bunu sadece tünel zaten kapalı olduğu için yapıyorsunuz.

Her şey göz önüne alındığında, CLI'ye giriş yapmak ve tüneli sıfırlamak daha kolaydır, ancak ASDM'ye bağımlı bazı insanlar biliyorum.

Kaynak

Daha önce hiç bilmediğim yeni bir yolla karşılaştım ve bir vpn oturumunu kapatma özelliği de dahil olmak üzere ASDM arayüzünde bulduğunuz aynı bilgileri sunuyor.

Örneğin, siteden siteye vpn tünellerinin bir listesini almak için bunu düzenleyin.

show vpn-sessiondb l2l

çıktı örneği:

Connection   : 192.168.1.1
Index        : 330                    IP Addr      : 192.168.121.0
Protocol     : IKE IPsec
Encryption   : DES 3DES               Hashing      : MD5 SHA1
Bytes Tx     : 62226826               Bytes Rx     : 71173170
Login Time   : 17:15:49 PDT Sun Sep 7 2014
Duration     : 19h:08m:49s

Ardından, VPN tünelinin oturumunu kapatmak için yukarıda gösterilen dizine dayalı olarak oturum kapatmak için aşağıdakileri yürütebilirsiniz.

vpn-sessiondb logoff index 330

Bunu yaparak clear ipsec sa peer <peer IP>yalnızca IPSec bölümünü sıfırlarsınız.

Sadece bir isakmp tünelini temizlemenin bir yolu yok.

Bu yüzden bildiğim en iyi yol, eşi kripto haritasından çıkarmak ve yeniden uygulamaktır.

no crypto map mymap 40 set peer 12.1.1.1 
crypto map mymap 40 set peer 12.1.1.1 

Bu şekilde eşinizi çıkarabilir, tünelin düşmesini ve zaman aşımını bekleyebilir, sonra tekrar uygulayabilirsiniz. Bu yöntem, tünellerin davranışı üzerinde size daha fazla kontrol sağlar.

8.4'te tek bir ISAKMP bağlantısını şu yollarla sıfırlayabilirsiniz:

clear cry ikev1 sa <ip>

Veya ikev2 kullanıyorsanız, o zaman:

clear cry ikev2 sa <ip>

Eski sürümlerde, komutun basitçe olduğuna inanıyorum:

clear cry isa sa <ip>

Ayrıca Stefan'ın cevabı ile ilgili olarak, sıfırladığınız VPN üzerinden uzak bir cihazda net bir açıklama yaparsanız, tipik olarak VPN'yi yeniden kuracak ve SSH oturumunuz normal olarak anında veya en fazla saniye içinde devam edecektir. Tünellerini değiştirirken ISR G1 ve G2 yönlendiricilerinde her zaman sık sık yapıyorum.