我在ASA5505和Microsoft TMG 2010 SP2之间configuration了ASA IPSec隧道。
隧道有时会工作几个小时,然后断开连接,有时连续工作5分钟,然后断开连接。
当它断开时,有时需要10分钟才能重新build立安全联盟,有时需要45分钟才能重新build立安全联盟。
我怀疑隧道的一端是重新连接的连接,另一端不是,但我真的不知道如何解决这个问题。 从TMG端进行故障排除比从TMG端进行故障排除要困难得多, 尽pipe我怀疑TMG是问题所在。
我在哪里可以在ASA去确定为什么IPSec隧道正在下降?
你是否通过隧道使用任何路由协议? 如果是这样,请仔细检查是否没有通过隧道获得到远程端点地址的路由。 例如,如果你有一个1.2.3.4和2.3.4.5之间的隧道,确保在1.2.3.4到2.3.4.5之间有一个静态路由,通过适当的下一跳地址。
您所看到的症状与我在做出这个错误时所看到的相似,因为隧道不断上下。 首先build立隧道,然后build立路由邻居关系,然后交换路由,并经常发送远端的连接路由。 那么到达远程端点的路由就是通过隧道,哪个超时,然后邻居失效,这意味着路由被删除,并且隧道可以再次出现。 这个循环不断重复,直到你添加合适的静态路由。
尽pipe隧道两边都禁用了卷密钥,但其中一方却试图重新密钥(我不确定是哪一个;我怀疑是TMG)。 所以在经过几个星期的排除故障之后,我在链路两端设置了一个4GB的重新生成密钥,并且从此以后一直保持稳定。
基于时间的rekey是1小时; 在一小时内4GB的stream量就不太可能stream过这个链路,所以它一直保持稳定。