Мы наблюдаем какое-то странное поведение с межсайтовой IPsec VPN, которая отключается примерно каждую неделю на 30 минут (я сказал, что 30 минут именно).
У меня нет доступа к журналам, поэтому устранить неполадки сложно.
Также странно то, что два VPN-устройства настроены на использование хеш-алгоритма SHA, но, по-видимому, в конечном итоге соглашаются на использование MD5.
Кто-нибудь знает? или это просто недостаточная информация?
Редактировать:
Вот выдержка из журнала одного из двух устройств VPN, который является концентратором VPN серии Cisco 3000.
27981 08.03.2010 10: 02: 16.290 SEV = 4 IKE / 41 RPT = 16120 xxxxxxxx Инициатор IKE: новая фаза 1, Intf 2, узел IKE xxxxxxxx локальный прокси-адрес xxxxxxxx, удаленный прокси-адрес xxxxxxxx, SA (L2L: 1A)
27983 08.03.2010 10: 02: 56.930 SEV = 4 IKE / 41 RPT = 16121 xxxxxxxx Инициатор IKE: новая фаза 1, Intf 2, узел IKE xxxxxxxx локальный прокси-адрес xxxxxxxx, удаленный прокси-адрес xxxxxxxx, SA (L2L: 1A)
27986 08.03.2010 10: 03: 35.370 SEV = 4 IKE / 41 RPT = 16122 xxxxxxxx Инициатор IKE: новая фаза 1, Intf 2, IKE Peer xxxxxxxx локальный прокси-адрес xxxxxxxx, удаленный прокси-адрес xxxxxxxx, SA (L2L: 1A)
[… То же самое продолжается еще 15 минут…]
28093 03.08.2010 10: 19: 46.710 SEV = 4 IKE / 41 RPT = 16140 xxxxxxxx Инициатор IKE: новая фаза 1, Intf 2, IKE Peer xxxxxxxx локальный прокси-адрес xxxxxxxx, удаленный прокси-адрес xxxxxxxx, SA (L2L: 1A)
28096 03/08/2010 10: 20: 17.720 SEV = 5 IKE / 172 RPT = 1291 xxxxxxxx Группа [xxxxxxxx] Состояние автоматического обнаружения NAT: удаленный конец НЕ находится за устройством NAT. Этот конец НАХОДИТСЯ за устройством NAT.
28100 08.03.2010 10: 20: 17.820 SEV = 3 IKE / 134 RPT = 79 xxxxxxxx Группа [xxxxxxxx] Несоответствие: настроенное предложение LAN-to-LAN отличается от согласованного предложения. Проверьте списки локальных и удаленных подключений LAN-to-LAN.
28103 08.03.2010 10: 20: 17.820 SEV = 4 IKE / 119 RPT = 1197 xxxxxxxx Группа [xxxxxxxx] ФАЗА 1 ЗАВЕРШЕНА
28104 03.08.2010 10: 20: 17.820 SEV = 4 AUTH / 22 RPT = 1031 xxxxxxxx Пользователь [xxxxxxxx] Группа [xxxxxxxx] подключена, Тип сеанса: IPSec / LAN-to-LAN
28106 03.08.2010 10: 20: 17.820 SEV = 4 AUTH / 84 RPT = 39 Туннель LAN-to-LAN к головному устройству xxxxxxxx подключен
28110 03.08.2010 10: 20: 17.920 SEV = 5 IKE / 25 RPT = 1291 xxxxxxxx Группа [xxxxxxxx] Полученные данные удаленного прокси-хоста в ID Payload: адрес xxxxxxxx, протокол 0, порт 0
28113 08.03.2010 10: 20: 17.920 SEV = 5 IKE / 24 RPT = 88 xxxxxxxx Группа [xxxxxxxx] Получены данные локального прокси-хоста в ID Payload: адрес xxxxxxxx, протокол 0, порт 0
28116 08.03.2010 10: 20: 17.920 SEV = 5 IKE / 66 RPT = 1290 xxxxxxxx Группа [xxxxxxxx] Удаленный узел IKE, настроенный для SA: L2L: 1A
28117 08.03.2010 10: 20: 17.930 SEV = 5 IKE / 25 RPT = 1292 xxxxxxxx Группа [xxxxxxxx] Полученные данные удаленного прокси-хоста в ID Payload: адрес xxxxxxxx, протокол 0, порт 0
28120 08.03.2010 10: 20: 17.930 SEV = 5 IKE / 24 RPT = 89 xxxxxxxx Группа [xxxxxxxx] Получены данные локального прокси-хоста в ID Payload: адрес xxxxxxxx, протокол 0, порт 0
28123 08.03.2010 10: 20: 17.930 SEV = 5 IKE / 66 RPT = 1291 xxxxxxxx Группа [xxxxxxxx] Удаленный узел IKE, настроенный для SA: L2L: 1A
28124 08.03.2010 10: 20: 18.070 SEV = 4 IKE / 173 RPT = 17330 xxxxxxxx Группа [xxxxxxxx] NAT-Traversal успешно согласован! Трафик IPSec будет инкапсулирован для прохождения через устройства NAT.
28127 03/08/2010 10: 20: 18.070 SEV = 4 IKE / 49 RPT = 17332 xxxxxxxx Группа [xxxxxxxx] Согласование безопасности завершено для ответчика группы LAN-LAN (xxxxxxxx), входящий SPI = 0x56a4fe5c, исходящий SPI = 0xcdfc3892
28130 08.03.2010 10: 20: 18.070 SEV = 4 IKE / 120 RPT = 17332 xxxxxxxx Группа [xxxxxxxx] ФАЗА 2 ЗАВЕРШЕНА (msgid = 37b3b298)
28131 08.03.2010 10: 20: 18.750 SEV = 4 IKE / 41 RPT = 16141 xxxxxxxx Группа [xxxxxxxx] Инициатор IKE: новая фаза 2, Intf 2, узел IKE xxxxxxxx локальный прокси-адрес xxxxxxxx, удаленный прокси-адрес xxxxxxxx, SA ( L2L: 1A)
28135 08.03.2010 10: 20: 18.870 SEV = 4 IKE / 173 RPT = 17331 xxxxxxxx Группа [xxxxxxxx] NAT-Traversal успешно согласован! Трафик IPSec будет инкапсулирован для прохождения через устройства NAT.