Cisco ASA ipsec IKEv1 Avaya VPN电话的远程访问 – 未分配客户端地址
我在ASA群集上遇到了一个远程访问VPN连接的奇怪问题。
正常的站点到站点隧道和AnyConnect连接工作得很好。 但是,一个特殊的ipsec ikev1隧道不会。 它build立并维持,但是客户端(在这种情况下是一个Avaya VPN电话)既不接收客户端地址,也不要求客户端地址(不确定责任人)。
该图像显示build立连接时的情况。 请注意,分配的IP地址是空白的。 字节TX为“0”是非常自然的,因为内部的networking没有客户端路由到。 
我尝试通过ASDMdebugging,但没有运气。 我没有足够的信心使用CLI进行控制台debugging,因为我们使用“通知”关键字来严格匹配每个我们拥有的ACL。
- 最干净,最快捷的方式来生成思科VPN .pcf文件?
- 否认ICMPtypes3代码4stream量 – 好还是坏?
- 我们的防火墙能检测networking内部的stream量嗅探吗?
- 备份需要很长时间才能使防火墙closures连接
- Windows 7 VPN是否可以与Cisco ASA 5510配合使用?
build议?
这花了一些工作弄清楚..
首先 – 客户(或者电话,确切地说)没有得到IP地址的原因是因为手机configuration错误。 它没有设置“configurationIKE”标志,这意味着它基本上放弃了从ASA推送的任何configuration。
当我解决这个问题时,又出现了一个重大问题 事实certificate,我们的AnyConnect客户端根本没有工作。 我们最近升级到了ASA 8.4.4,试图解决另一个问题,这个版本为NAT规则带来了一个新的规则检查器,使它们不会与备用IP地址发生冲突:
http://www.cisco.com/en/US/products/ps6120/products_tech_note09186a0080bcf110.shtml
对于我们来说,这是一个主要的展示者,因为我们在大型MPLSnetworking的防火墙背后有许多子网,VPN客户端需要连接。 创build新的主机/networking组以至于不会与备用IP冲突至less两天,所以我将降级到ASA 8.4.3,直到思科可以find更好的解决scheme。