我有一个IPSEC VPN问题,其中一个端点生成多个ISAKMP SA。 (在我的示例中,我已经replace了IP – 1.1.1.1是远程端点,10.10.10.10是远程networking上的对象,192.192.192.192是本地networking上的对象)。
>sh crypto isakmp sa 15 IKE Peer: 1.1.1.1 Type : L2L Role : responder Rekey : no State : MM_REKEY_DONE_H2 17 IKE Peer: 1.1.1.1 Type : L2L Role : responder Rekey : yes State : MM_ACTIVE_REKEY 发生这种情况时,任何方向都不能通过隧道发送任何stream量。 原本没有启用PFS,我已经启用和禁用它作为故障排除,没有任何区别。 当出现重复安全联盟(似乎在build立第一个通道后大约一个小时),在terminal监视器中反复进行以下操作:
%ASA: Group = 1.1.1.1, IP = 1.1.1.1, IKE Initiator: New Phase 2, Intf portal, IKE Peer 1.1.1.1 local Proxy Address 192.192.192.192, remote Proxy Address 10.10.10.10, Crypto map (outside_map) %ASA: IP = 1.1.1.1, Received encrypted packet with no matching SA, dropping
任何人有任何提示下一步看什么? 网上似乎有非常有限的资源有关重复安全生产问题。