Назад | Перейти на главную страницу

Туннель IPSec на ASA продолжает отключаться

У меня есть туннель IPSec ASA, настроенный между ASA5505 и Microsoft TMG 2010 SP2.

Иногда туннель работает несколько часов, а затем отключается, а иногда он работает 5 минут, а затем отключается.

При отключении иногда требуется 10 минут, чтобы восстановить SA, иногда 45 минут, чтобы восстановить SA.

У меня есть подозрение, что одна сторона туннеля изменяет ключ соединения, а другая - нет, но я действительно не знаю, как это исправить. Устранение неисправностей со стороны ASA значительно проще, чем устранение неисправностей со стороны TMG, из-за тупой природы получения этой информации из TMG; хотя подозреваю, что проблема именно в TMG.

Куда я могу перейти в ASA, чтобы определить, почему туннели IPSec отключаются?

Несмотря на то, что с обеих сторон туннеля была отключена смена ключей на основе объема, одна из сторон все равно пыталась изменить ключ (я не уверен, какой; я подозреваю TMG). Итак, после нескольких недель поиска и устранения неисправностей, я установил новый ключ после 4 ГБ с обеих сторон канала, и с тех пор он стал надежным.

Смена ключа по времени составляет 1 час; и очень маловероятно, что по этой ссылке будет проходить 4 ГБ трафика за час, поэтому с тех пор он остается стабильным.

Используете ли вы какие-либо протоколы маршрутизации через туннель? Если это так, дважды проверьте, что вы не получаете маршрут к адресу удаленной конечной точки через туннель. например Если у вас есть туннель между 1.2.3.4 и 2.3.4.5, убедитесь, что у вас есть статический маршрут от 1.2.3.4 до 2.3.4.5, который проходит через соответствующий адрес следующего перехода.

Симптомы, которые вы видите, похожи на те, что я видел, когда делал эту ошибку, потому что туннель постоянно поднимается и опускается. Сначала он устанавливает туннель, затем устанавливает соседство маршрутизации, затем обменивается маршрутами, и часто отправляются маршруты, подключенные к удаленной конечной точке. Таким образом, маршрут к удаленной конечной точке проходит через туннель, время ожидания истекает, а затем происходит сбой соседства, что означает, что маршруты удаляются, и туннель может снова открыться. Этот цикл повторяется бесконечно, пока вы не добавите соответствующий статический маршрут.