У нас есть такая глобальная сеть головного офиса / филиала,
Server LAN <-> Cisco PIX 515e <-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 1
<-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 2
<-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 3
...
<-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 66
Проблема:
5% этих VPN-туннелей со временем деградируют.
Симптомы:
Этот PIX был ненадежным и, вероятно, будет заменен более современным оборудованием. Хотя обычно менее 10%, ЦП PIX периодически достигает 80-90% из-за скачков трафика, но я не могу сказать, что мне удалось сопоставить сброшенные туннели с этими нагрузками.
У меня есть несколько конкретных вопросов, но я благодарен за любые идеи.
Могу ли я контролировать (через SNMP) все туннели IPSec на PIX? Это всегда должно быть (как минимум?) В два раза больше количества филиалов и (как минимум?) В два раза больше общего IKE - если оно падает, то, вероятно, у меня проблема.
Есть ли событие, по которому я могу подать сигнал тревоги? в собственном журнале PIX, когда один из этих туннелей отбрасывается? Может быть,
snmp-server enable traps ipsec start stop
Могу ли я что-нибудь сделать, чтобы сохранить этот туннель живым?, пока PIX можно будет заменить? Я думал о сохраняемом трафике с поддержкой сценариев, PING, похоже, его не сокращает. Я также смотрю на значения тайм-аута простоя, может быть, интервалы смены ключей, какие-либо другие идеи?
PIX515E# show run isakmp
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp nat-traversal 20
PIX515E# show run ipsec
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
PIX515E# show version
Cisco PIX Security Appliance Software Version 7.2(4)
Device Manager Version 5.2(4)
Туннель когда-либо восстанавливался сам по себе или вы вручную вмешивались, чтобы восстановить туннель?
Какой срок службы установлен на ASA?
И у вас включены / отключены пакеты поддержки активности на обоих устройствах?
Я видел эту проблему раньше между Cisco 6500, работающим под управлением IOS, и ASA, где IOS может работать без SA (если срок его действия истекает по какой-либо причине), где ASA не работает, и туннель умирает в течение случайного периода времени до тех пор, пока он выполняет повторное согласование, и туннель возобновляет работу, пока снова не истечет срок действия SA.
1) Вы абсолютно можете отслеживать количество туннелей IPSec, но мы обнаружили, что это не действительно надежный способ определения того, работает ли соединение. Всегда лучше отправлять и получать трафик через туннель, чтобы подтвердить подключение (например, монитор ping).
2) То же, что и № 1 - это можно сделать, но может не дать вам полезной информации. Туннели будут запускаться и останавливаться в обычном режиме работы в зависимости от интервалов тайм-аута.
3) Хотя в этом нет необходимости, мы заметили улучшение туннельного подключения в некоторых ситуациях, выполняя проверку связи с частыми интервалами (3-5 минут). Сложно сказать, поможет ли это в данной ситуации без глубокого анализа.
Вообще говоря, подобные проблемы часто возникают из-за несоответствия конфигурации VPN между головным и удаленным узлами VPN. Различия в ACL часто являются проблемой.
Я сам наблюдаю то же самое. Я просто установил PIX515 с 8.04 IPSEC на свой ASA5510 8.2. Он отлично работает, а потом туннель просто сбрасывает всех. В это время интернет работает нормально. Значит, проблемы только с туннелем.
У меня та же проблема, но с ASA-5505 и Juniper SRX220h (colo) я провел более 12 часов с JTAC, и с их стороны ничего не было (так они говорят). Я позвонил в центр технической поддержки Cisco, гарантии на поддержку не истекли. Я искал все утро. Эта ветка - самая близкая к моей проблеме.
Мое решение Я установил оба устройства на 86400 секунд, а также отключил Keep-alives.
Я сообщу вам результат как можно скорее.