我们有这样的总部/分公司WAN,
Server LAN <-> Cisco PIX 515e <-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 1 <-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 2 <-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 3 ... <-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 66 问题:
这些VPN隧道中有5%随着时间的推移而降低。
症状:
这个PIX是不可靠的,可能会被一个更现代化的设备取代。 尽pipe通常在10%以下,但是PIX上的CPU周期性地出现了80-90%的stream量峰值,但是我不能说我已经能够将丢弃的隧道与这些负载关联起来。
我有一些具体的问题,但是对任何和所有的见解感激不尽。
我可以监视(通过SNMP) PIX上的总IPSec隧道吗? 这应该总是(至less?)分支机构数量的两倍,并且(至less?)是总IKE的两倍 – 如果下降,那么我可能有问题。
是否有一个事件,我可以在PIX自己的日志中报警 ,当这些隧道之一被丢弃? 也许,
snmp-server enable traps ipsec start stop
有什么我可以做的,以保持隧道活着 ,直到PIX可以被更换? 我正在考虑可编程的保持活跃的stream量,PING似乎并没有削减它。 我也在看空闲超时值,可能是重新键控间隔,还有其他想法?
PIX515E# show run isakmp crypto isakmp identity address crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto isakmp nat-traversal 20 PIX515E# show run ipsec crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac PIX515E# show version Cisco PIX Security Appliance Software Version 7.2(4) Device Manager Version 5.2(4)
1)你完全可以监视IPSec隧道的数量,但是我们发现,确定连接是否正常工作并不是真正可靠的方法。 最好通过隧道发送和接收stream量来确认连接(例如ping监视器)。
2)与#1相同 – 可以完成,但可能无法提供有用的信息。 根据超时间隔,隧道将在正常运行过程中启动和停止。
3)虽然这不是必须的,但是在某些情况下,我们通过频繁的间隔(3-5分钟)运行ping来提高隧道连接。 很难说如果没有深入分析,这是否会有助于这种情况。
一般来说,由于前端和远端VPN对等体之间的VPNconfiguration不匹配,这样的问题经常发生。 不同的ACL往往是一个问题。
隧道是否自己回来,或者你手动干预隧道恢复?
ASA的使用寿命是多less?
你有两个设备上启用/禁用Keepalive?
在运行IOS的Cisco 6500和ASA之间,我已经看到了这个问题,IOS很乐意在没有SA的情况下运行(如果它因任何原因而失效),而ASA不运行,隧道将随机停留一段时间它重新协商并且隧道恢复到SA再次到期。
我自己也看到了同样的事情。 我只是安装一个运行8.04 IPSEC的PIX515到我的ASA5510 8.2。 它工作的很好,然后隧道只是倾倒每个人。 在这段时间,互联网一直很好。 所以,这只是隧道有问题。
我有同样的问题,但与ASA-5505和Juniper SRX220h(科洛)我花了超过12小时与JTAC,并没有在他们的最后(所以他们说)。 所以我打电话给思科TAC,没有支持保修。 所以我一直在search整个上午。 这个线程是最接近我发现我的问题。
我的解决scheme,我把这两个设备设置为86400秒,也禁用保持活力。
我会尽快让你知道结果。