web-dev-qa-db-ja.com

Cisco PIX515eがIPSECトンネルをASA5505に時間の経過とともにドロップする

本社/支店がありますWANこのように、

Server LAN <-> Cisco PIX 515e <-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 1
                              <-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 2
                              <-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 3
                               ...  
                              <-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 66

問題:
これらのVPNトンネルの5%は時間の経過とともに劣化します。

症状:

  • クライアントはPINGに応答しますが、RPCまたはRDPには応答しません。
  • ASAでは、VPNトンネルは1 x [〜#〜] ike [〜#〜]2 x IPSecダウン1 x [〜#〜] ike [〜#〜]1 x IPSec
  • ASAを再起動すると、問題が一時的に解決されます。

このPIXは信頼性が低く、おそらくより最新のギアに置き換えられるでしょう。通常は10%未満ですが、PIXのCPUはトラフィックスパイクで定期的に80〜90%に達しますが、ドロップされたトンネルをこれらの負荷と相関させることができたとは言えません。

いくつか具体的な質問がありますが、あらゆる洞察に感謝しています。

  1. SNMPを介してIPSecトンネルの総数を監視できますか PIXで?これは常に(少なくとも?)ブランチオフィスの数の2倍であり、(少なくとも?)IKE全体の2倍である必要があります-それが低下した場合、おそらく問題があります。

  2. アラームを発することができるイベントはありますかこれらのトンネルの1つがドロップされたときに、PIX自体のログに記録されますか?多分、

    snmp-server enable traps ipsec start stop  
    
  3. このトンネルを存続させるためにできることはありますか PIXを交換できるようになるまで?スクリプト可能なキープアライブトラフィックについて考えていましたが、PINGはそれを削減していないようです。また、アイドルタイムアウト値、キーの再入力間隔、その他のアイデアも検討していますか?


PIX515E# show run isakmp
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto isakmp nat-traversal  20


PIX515E# show run ipsec
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac


PIX515E# show version

Cisco PIX Security Appliance Software Version 7.2(4)
Device Manager Version 5.2(4)
4
nray

1)IPSecトンネルの数は絶対に監視できますが、接続が機能しているかどうかを判断するための真に信頼できる方法ではないことがわかりました。接続を確認するために、トンネルを介してトラフィックを送受信することが常に最善です(pingモニターなど)。

2)#1と同じ–実行できますが、有用な情報が得られない場合があります。トンネルは、タイムアウト間隔に応じて、通常の操作過程で開始および停止します。

3)必要ではないはずですが、頻繁に(3〜5分)pingを実行することで、状況によってはトンネル接続が改善されることがわかりました。詳細な分析なしに、それがこの状況で役立つかどうかはわかりません。

一般的に、このような問題は、ヘッドエンドとリモートエンドのVPNピア間のVPN構成の不一致が原因で頻繁に発生します。多くの場合、ACLの違いが問題になります。

1
Jim B

トンネルが自然に元に戻ることはありますか、それとも手動で介入してトンネルを元に戻すことはありますか?

ASAに設定されているライフタイムはどれくらいですか?

また、両方のデバイスでキープアライブを有効/無効にしていますか?

この問題は、IOSを実行しているCisco6500と、IOSがSA(何らかの理由で期限切れになった場合)ASAが存在せず、トンネルが再ネゴシエートするまでランダムな期間停止し、SAが再び期限切れになるまでトンネルが復旧します。

1
Conor

私は同じ問題を抱えていますが、ASA-5505とジュニパーSRX220h(コロ)を使用して、JTACで12時間以上過ごしましたが、彼らの側には何もありませんでした(彼らは言います)。そこで、Cisco TACに電話しましたが、サポート保証はありません。だから私は午前中ずっと探していました。このスレッドは、私の問題に最も近いものです。

私の解決策両方のデバイスを86400秒に設定し、キープアライブも無効にしました。

結果はできるだけ早くお知らせします。

0
Neal

私も同じことを見ています。 8.04IPSECを実行しているPIX515をASA55108.2にセットアップしました。それはうまく機能し、トンネルはただみんなを捨てます。この間、インターネットは順調に進んでいます。したがって、問題が発生しているのはトンネルだけです。

0
Mark Jenks