使用思科ASA可以从设备手动启动局域网到局域网的VPN隧道和安全联盟,而不是让一个属于VPN的系统启动stream量来启动VPN?
我想避免必须在VPN中的某个系统上触发ping来启动VPN,以便更快地进行故障排除。
您必须向ASA展示“有趣的stream量”。 没有任何命令会导致没有交通的隧道。
在Cisco ASA7.0或更高版本的操作系统中,您可以通过使用packet-tracer命令模拟感兴趣的stream量来build立隧道。 以下是一个例子 – 从您的networking中replaceIP地址:
packet-tracer input inside tcp 10.100.0.50 1250 10.200.0.100 80 Source Interface^ | Src IP^ Src Port | | Protocol^ Dst IP^ Dst Port^
您可以使用命令的输出来帮助诊断stream量未能成功传递的任何问题,但是命令本身实际上会刺激VPN并build立ISAKMP和IPSec sa。
我第二个是ynguldyn的build议。
在ISR系列路由器上,您可以通过让路由器为您生成stream量来testingVPN,但是在ASA平台上没有这种选项。
使用8.4+,我们刚刚在隧道的接收端添加了一个networking时间的Meinberg Windows NTP服务器,并将其添加到远程ASAconfiguration:
ntp服务器xxx.xxx.xxx.xxx源内部偏好
(其中xxx.xxx.xxx.xxx是ntp服务器的IP地址) – 由于NTP在远程ASA 5505上生成有趣的stream量,这使得我们的隧道无限期地延长
ping里面的“隧道另一端的IP地址”里面的接口必须在encryption域。
这要求pipe理接口命令设置为内部接口,如“management-interface inside”。
假设您的VPN隧道中有一堆接口映射到另一端。 要testing它们中的每一个,请执行以下操作 – 如果要以dmz interface management-interface dmz ping dmz abcd作为示例进行testing,其中abcd位于隧道终点的另一端。
testingASA v.8.3到ASA 8.2。
顺便说一下,如果在同一个crypto acl中有多个networking映射,请不要在crypto map条目上使用set reverse-route。 这可能会导致ASA使用encryptionACL创build新的隧道映射的方式出现问题。