本社/支店がありますWANこのように、
Server LAN <-> Cisco PIX 515e <-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 1
<-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 2
<-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 3
...
<-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 66
問題:
これらのVPNトンネルの5%は時間の経過とともに劣化します。
症状:
このPIXは信頼性が低く、おそらくより最新のギアに置き換えられるでしょう。通常は10%未満ですが、PIXのCPUはトラフィックスパイクで定期的に80〜90%に達しますが、ドロップされたトンネルをこれらの負荷と相関させることができたとは言えません。
いくつか具体的な質問がありますが、あらゆる洞察に感謝しています。
SNMPを介してIPSecトンネルの総数を監視できますか PIXで?これは常に(少なくとも?)ブランチオフィスの数の2倍であり、(少なくとも?)IKE全体の2倍である必要があります-それが低下した場合、おそらく問題があります。
アラームを発することができるイベントはありますかこれらのトンネルの1つがドロップされたときに、PIX自体のログに記録されますか?多分、
snmp-server enable traps ipsec start stop
このトンネルを存続させるためにできることはありますか PIXを交換できるようになるまで?スクリプト可能なキープアライブトラフィックについて考えていましたが、PINGはそれを削減していないようです。また、アイドルタイムアウト値、キーの再入力間隔、その他のアイデアも検討していますか?
PIX515E# show run isakmp
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp nat-traversal 20
PIX515E# show run ipsec
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
PIX515E# show version
Cisco PIX Security Appliance Software Version 7.2(4)
Device Manager Version 5.2(4)
1)IPSecトンネルの数は絶対に監視できますが、接続が機能しているかどうかを判断するための真に信頼できる方法ではないことがわかりました。接続を確認するために、トンネルを介してトラフィックを送受信することが常に最善です(pingモニターなど)。
2)#1と同じ–実行できますが、有用な情報が得られない場合があります。トンネルは、タイムアウト間隔に応じて、通常の操作過程で開始および停止します。
3)必要ではないはずですが、頻繁に(3〜5分)pingを実行することで、状況によってはトンネル接続が改善されることがわかりました。詳細な分析なしに、それがこの状況で役立つかどうかはわかりません。
一般的に、このような問題は、ヘッドエンドとリモートエンドのVPNピア間のVPN構成の不一致が原因で頻繁に発生します。多くの場合、ACLの違いが問題になります。
トンネルが自然に元に戻ることはありますか、それとも手動で介入してトンネルを元に戻すことはありますか?
ASAに設定されているライフタイムはどれくらいですか?
また、両方のデバイスでキープアライブを有効/無効にしていますか?
この問題は、IOSを実行しているCisco6500と、IOSがSA(何らかの理由で期限切れになった場合)ASAが存在せず、トンネルが再ネゴシエートするまでランダムな期間停止し、SAが再び期限切れになるまでトンネルが復旧します。
私は同じ問題を抱えていますが、ASA-5505とジュニパーSRX220h(コロ)を使用して、JTACで12時間以上過ごしましたが、彼らの側には何もありませんでした(彼らは言います)。そこで、Cisco TACに電話しましたが、サポート保証はありません。だから私は午前中ずっと探していました。このスレッドは、私の問題に最も近いものです。
私の解決策両方のデバイスを86400秒に設定し、キープアライブも無効にしました。
結果はできるだけ早くお知らせします。
私も同じことを見ています。 8.04IPSECを実行しているPIX515をASA55108.2にセットアップしました。それはうまく機能し、トンネルはただみんなを捨てます。この間、インターネットは順調に進んでいます。したがって、問題が発生しているのはトンネルだけです。