Cisco ASAを使用すると、VPNの一部であるシステムの1つがトラフィックを開始してVPNを開始するのではなく、手動でLAN間VPNトンネル&SAをデバイスから起動することができます?
トラブルシューティングを少し早くするために、VPNを開始するためにVPNのいずれかのシステムでpingをトリガーする必要がないようにしたいと思います。
ASAに「興味深いトラフィック」を提示する必要があります。トラフィックなしでトンネルを立ち上げるコマンドはありません。
Cisco ASA7.0以降のOSでは、packet-tracer
コマンドを使用して対象トラフィックをシミュレートすることにより、トンネルを確立できます。次に例を示します。ネットワークのIPアドレスを置き換えます。
packet-tracer input inside tcp 10.100.0.50 1250 10.200.0.100 80
Source Interface^ | Src IP^ Src Port | |
Protocol^ Dst IP^ Dst Port^
コマンドの出力を使用して、トラフィックが正常に通過しなかった理由に関する問題の診断に役立てることができますが、コマンド自体が実際にVPNを刺激し、ISAKMPとIPSec saの両方を確立します。
Ynguldynのアドバイスを2番目に引用します。
ISRシリーズルータでは、ルータにトラフィックを生成させることでVPNをテストできますが、ASAプラットフォームにはそのようなオプションはありません。
「トンネルのもう一方の端にあるIPアドレス」の内部ping内部インターフェースは暗号化ドメインにある必要があります。
これには、「management-interface inside」のように、management-interfaceコマンドを内部インターフェースに設定する必要があります。
たとえば、VPNトンネルに相手側へのインターフェースマッピングがたくさんあるとします。それぞれをテストするには、次の手順を実行します。例として、dmzインターフェースの管理インターフェースdmz ping dmz a.b.c.dからテストする場合、a.b.c.dはトンネルエンドポイントのもう一方の端にあります。
ASA v.8.3からASA 8.2でテスト済み。
ちなみに、同じ暗号ACLに複数のネットワークマッピングがある場合は、暗号マップエントリでset reverse-routeを使用しないでください。これにより、ASAが暗号ACLを使用して新しいトンネルマッピングを作成する方法で問題が発生する可能性があります。
8.4+を使用して、Meinberg Windows NTPネットワーク時間のサーバーをトンネルの受信側に追加し、これをリモートASA構成に追加しました。
内部のntpサーバーxxx.xxx.xxx.xxxソースが優先
(xxx.xxx.xxx.xxxはntpサーバーのIPアドレスです)-NTP=リモートASA 5505で対象トラフィックを生成するため、トンネルを無期限に維持します