การซิงโครไนซ์ VPN ของ Cisco ASA แบบไซต์ต่อไซต์


21

เมื่อเร็ว ๆ นี้เราได้เปลี่ยน MPLS ระหว่างประเทศด้วย ASA 5510s ใหม่และ VPN จากเว็บไซต์สู่เว็บไซต์ อย่างไรก็ตามเมื่อเราปรับใช้สิ่งนี้เราพบปัญหาที่แต่ละสถานที่ห่างไกลมี 2 ISPs สำหรับความซ้ำซ้อน แต่เมื่อเปิดใช้งาน VPN บนทั้งสองอินเตอร์เฟสมันจะสลับระหว่างทั้งสองกับอุโมงค์ขึ้นและลงเมื่ออุโมงค์ถูกฉีกขาดและย้ายระหว่าง ผู้ให้บริการอินเทอร์เน็ต ซิสโก้ได้ดำเนินการมาเป็นเวลา 8 เดือนแล้วและเรายังไม่มีอุโมงค์ที่เสถียรสำหรับ ISP หลาย ๆ เครื่อง

สำนักงานระยะไกล:

access-list RWS_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list RWS_TUNNEL extended permit ip object-group BNG_tunnel_NETS object-group CORP_tunnel_NETS
crypto map RWS_TUNNEL 1 match address RWS_TUNNEL
crypto map RWS_TUNNEL 1 set peer 216.xxx.102.2 
crypto map RWS_TUNNEL 1 set transform-set IND-RWS
tunnel-group 216.xxx.102.2 type ipsec-l2l
tunnel-group 216.xxx.102.2 ipsec-attributes
 pre-shared-key *****


route outside 0.0.0.0 0.0.0.0 216.xxx.206.1 1 track 2
route outside2 0.0.0.0 0.0.0.0 182.xxx.26.229 100
sla monitor 55
 type echo protocol ipIcmpEcho 63.251.61.142 interface outside
 num-packets 5
 timeout 1000
 frequency 10
sla monitor schedule 55 life forever start-time now
track 2 rtr 55 reachability

สำนักงานกลาง:

access-list BNG_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list BNG_TUNNEL extended permit ip object-group CORP_tunnel_NETS object-group BNG_tunnel_NETS 

route outside2 0.0.0.0 0.0.0.0 216.xxx.102.1
crypto map BNG_TUNNEL 1 match address BNG_TUNNEL
crypto map BNG_TUNNEL 1 set peer 182.xxx.26.230 216.xxx.206.4
crypto map BNG_TUNNEL 1 set transform-set L2L

tunnel-group 182.xxx.26.230 type ipsec-l2l
tunnel-group 182.xxx.26.230 ipsec-attributes
 pre-shared-key *****
tunnel-group 216.xxx.206.4 type ipsec-l2l
tunnel-group 216.xxx.206.4 ipsec-attributes
 pre-shared-key *****

ดังนั้นสิ่งที่ฉันพบคือเมื่อเปิดใช้งาน ISAKMP ทั้งภายนอกอินเตอร์เฟส (สำนักงานระยะไกล) และ IP ทั้งสองได้รับการกำหนดค่าเป็นเพียร์ (สำนักงานกลาง) VPN มาถึงประสบความสำเร็จในทั้งสองอินเตอร์เฟส แต่ในบางจุดจะเริ่มกระพือระหว่าง IP นี่เป็นความจริงที่มีหรือไม่มีการตรวจสอบ SLA ดังนั้นแม้ว่าเส้นทางทั้งหมดจะคงที่ แต่พฤติกรรมยังคงเกิดขึ้น

ความเข้าใจใด ๆ ที่ชื่นชม


เพื่อช่วยวินิจฉัยปัญหาให้ลองเปิดใช้งานฟังก์ชั่น "crypto isakmp disconnect-alert" และแจ้งให้เราทราบว่าคุณพบอะไร ฉันอยากรู้มากว่าเหตุใดอุโมงค์เหล่านี้จึงเริ่มกระพือ
skrumcd

คำตอบ:


14

ฉันย้ายไซต์ออกจาก VPN ตามนโยบายด้วยเหตุผลนี้ VPNs ที่อิงตามนโยบายนั้นไม่สามารถคาดเดาได้มากเกินไปเมื่อมันมาถึงพฤติกรรมที่ล้มเหลว ฉันชอบอุโมงค์ IPsec ตามเส้นทางมากแบบจุดต่อจุดหรือ DMVPN น่าเสียดายที่ความรู้ของฉันแพลตฟอร์ม ASA ยังคงไม่สนับสนุนอุโมงค์ตามเส้นทาง


9

ฉันขอแนะนำให้ใช้โซลูชัน DMVPN เพื่อเชื่อมต่อไซต์ระยะไกลผ่านช่องทาง IPSec L2L (Lan-to-Lan) ระหว่าง ASAs โซลูชัน DMVPN นั้นง่ายกว่าสะอาดกว่าและจะอนุญาตให้มีการสื่อสารด้วยการพูดด้วยเช่นกัน


คุณสามารถอธิบายความคิดพื้นฐานที่อยู่เบื้องหลังสิ่งนี้และจะนำไปใช้อย่างไร?
SimonJGreen

ด้วยโซลูชัน DMVPN การกำหนดค่าทั้งหมดจะทำที่ฝั่งไคลเอ็นต์ (ซี่) คุณไม่จำเป็นต้องทำการเปลี่ยนแปลงใด ๆ กับฮับหลังจากการตั้งค่าเริ่มต้น สำหรับลูกค้าคุณสามารถสร้างเทมเพลตเพื่อใช้ซ้ำแล้วซ้ำอีก คุณสามารถมีหลายช่องสัญญาณจากซี่ไปยังฮับหลายตัวและใช้โปรโตคอลการกำหนดเส้นทางเพื่อกำหนดช่องทางที่จะรับส่งข้อมูลเส้นทาง นอกจากนี้คุณสามารถกำหนดค่า DMVPN เพื่อใช้ multipoint GRE และซี่สามารถพูดคุยกันโดยตรงโดยไม่ต้องผ่านการจราจรผ่านฮับ
twidfeki

4

อาจจะเป็น:

CSCub92666

ASA: การเชื่อมต่อเก่าฉีกช่องสัญญาณ IPSEC VPN บนสวิตช์โอเวอร์คล็อก

อาการ: ในอุโมงค์ IPsec vpn ล้มเหลวผ่านการกำหนดค่าบน ASA ล้มเหลวจากลิงก์หลักไปยังลิงก์สำรอง แต่หลังจากวินาทีที่สองล้มเหลวจากการสำรองข้อมูลไปยังลิงก์หลัก vpn tunnel เริ่มกระพือในไม่กี่นาทีและยังคงไม่เสถียร มีการตรวจสอบพฤติกรรมเนื่องจากการเชื่อมต่อที่เหลือเก่ายังคงชี้ไปที่การสำรองข้อมูล isp


2

ฉันเห็นด้วยกับข้อความข้างต้น ใช้ IPSec พื้นฐานแบบ VTI หรือ DMVPN เพียงจำไว้ว่าให้รันอินสแตนซ์การกำหนดเส้นทาง procotol ที่แตกต่างกันทั้งภายในและภายนอกอุโมงค์ ใช่คุณจะต้องแทนที่ ASAs ด้วย ISR

ISP ทั้งสองจะกลับไปที่สำนักงานใหญ่เดียวหรือสอง ASA หรือไม่ หากสองฉันพบว่ามันยากที่จะเห็น (ด้วยการกำหนดค่าที่มีอยู่อย่างน้อย) ว่าพฤติกรรมนี้จะเกิดขึ้นได้อย่างไร แต่ถ้า ASA เดียวกัน (หรือคู่เดียวกัน) มันอาจจะเกี่ยวข้องกัน


ใช่เรามีคู่ HA อยู่ในตำแหน่งกลาง การกำหนดเส้นทาง BGP ซ่อน ISP หลาย ๆ ตัวไว้ที่นั่น แต่สำหรับสำนักงานระยะไกล ISP จะยุติโดยตรงไปยัง ASA
Scott Boultinghouse

ฉันแยกส่วนหัวออกเพื่อให้การเชื่อมต่อ ISP อื่น ๆ ถูกยกเลิกบนอุปกรณ์อื่นหรืออย่างน้อยก็มีอินเทอร์เฟซทางกายภาพ / IP ที่แตกต่างกันบน ASA ที่ควรช่วย / ลองอุปกรณ์การเลิกจ้างที่แตกต่างกันควรจะฟรี / ไม่ก่อกวนเพียงแค่ใช้ ISR สำรองตอนนี้
wintermute000

2

ในการติดตามคำถามนี้ฉันได้ทำงานกับ Cisco TAC มานานกว่าหนึ่งปีแล้ว ในที่สุดพวกเขาก็พบว่านี่เป็นข้อผิดพลาดกับวิธีที่แพลตฟอร์ม ASA จัดการกับการเชื่อมต่อ โดยพื้นฐานแล้วมันไม่ได้ล้างการเชื่อมต่อจากอินเทอร์เฟซหนึ่งเมื่อมันย้ายอุโมงค์ไปยังอินเทอร์เฟซอื่นและมันจะหมุนวนออกจากการควบคุมเมื่อมันเริ่มเห็นรายการในตารางการเชื่อมต่อออกทั้งสองอินเตอร์เฟส

ฉันปรับใช้ IOS เวอร์ชัน 8.4.7 บนไฟร์วอลล์กับ ISP สองตัวและดูเหมือนว่ามันทำงานได้อย่างถูกต้อง เกิดความล้มเหลวเมื่ออินเทอร์เฟซหลักหยุดทำงานและย้ายกลับมาเมื่ออินเทอร์เฟซนั้นกลับมาและยังคงอยู่บนอินเทอร์เฟซนั้น เราจะเห็น


1
คุณมี bugtack ID สำหรับ bug TAC หรือไม่

ทันเนลจะจองจากการสำรองข้อมูลไปที่หลักเมื่อเรียกคืนข้อมูลหลักหรือไม่?
Federi
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.