ฉันจะรีเซ็ตอุโมงค์ VPN บน Cisco ASA ได้อย่างไร


16

บน VPN ไซต์ต่อไซต์โดยใช้ ASA 5520 และ 5540 ตามลำดับฉันสังเกตเห็นว่าการรับส่งข้อมูลเป็นครั้งคราวไม่ผ่านอีกต่อไปบางครั้งก็มีปริมาณการใช้งานที่ขาดหายไปสำหรับการเลือกการรับส่งข้อมูลเฉพาะ / ACL ในขณะที่การรับส่งข้อมูลอื่น ๆ VPN เดียวกันกำลังทำงาน มันเกิดขึ้นแม้ว่าจะมีการ ping คงที่ สาเหตุอาจเกิดจากลิงก์ผ่านดาวเทียมที่ไม่เสถียรอย่างสมบูรณ์

ฉันจะรีเซ็ต VPN ให้อยู่ในสถานะทำงานแทนที่จะโหลด ASA ใหม่ได้อย่างไร

คำตอบ:


28

VPN สามารถรีเซ็ตได้โดยการป้อน

clear crypto ipsec sa peer <remote-peer-IP>

ด้านหนึ่ง ทราฟฟิกต่อไปนี้จะทำให้อุโมงค์ IPSec ถูกสร้างใหม่อีกครั้ง

คุณสามารถทำมันในด้านของคุณป้อน IP ระยะไกล หรือเข้าสู่เว็บไซต์ระยะไกล แต่คุณอาจต้องทำนอก VPN ดังนั้นใช้อินเทอร์เฟซอื่นเช่นใช้ IP สาธารณะแทน IP ที่คุณเชื่อมต่อผ่านอุโมงค์

จะมีการหยุดทำงานของ VPN สั้น ๆ ในขณะที่เปิดอุโมงค์ใหม่ หลังจากป้อนคำสั่งนั้นตรวจสอบให้แน่ใจว่าอุโมงค์กลับมาทำงานอีกครั้งเช่นทำการ ping ผ่านมัน


14

คุณสามารถรีเซ็ตอุโมงค์ผ่านซอฟต์แวร์ ASDM และในบรรทัดคำสั่ง

ใน ASDM (เวอร์ชั่น 6.3):

  1. ไปที่การตรวจสอบแล้วเลือก VPN จากรายการอินเตอร์เฟส
  2. จากนั้นขยายสถิติ VPN และคลิกที่เซสชัน
  3. เลือกประเภทของอุโมงค์ที่คุณกำลังมองหาจากรายการแบบเลื่อนลงทางด้านขวา (ตัวอย่างเช่น IPSEC Site-To-Site)
  4. คลิกที่อุโมงค์ที่คุณต้องการรีเซ็ตแล้วคลิกออกจากระบบเพื่อรีเซ็ตอุโมงค์

สิ่งนี้จะทำให้การเชื่อมต่อ VPN ของคุณหยุดทำงานชั่วคราว แต่ในกรณีส่วนใหญ่ที่ฉันเคยเห็นคุณทำสิ่งนี้เพียงเพราะอุโมงค์ไม่ทำงาน

ทุกสิ่งที่พิจารณาว่ามันง่ายกว่าในการเข้าสู่ CLI และรีเซ็ตอุโมงค์ แต่ฉันรู้ว่ามีคนที่ติด ASDM

แหล่ง


9

ฉันเพิ่งค้นพบวิธีใหม่ที่ฉันไม่เคยรู้มาก่อนและนำเสนอข้อมูลแบบเดียวกันกับที่คุณพบในอินเทอร์เฟซ ASDM รวมถึงคุณสมบัติในการออกจากเซสชัน vpn

ทำสิ่งนี้เช่นเพื่อรับรายการไซต์ไปยังไซต์ vpn tunnels ที่อัพ

show vpn-sessiondb l2l

ตัวอย่างผลลัพธ์:

Connection   : 192.168.1.1
Index        : 330                    IP Addr      : 192.168.121.0
Protocol     : IKE IPsec
Encryption   : DES 3DES               Hashing      : MD5 SHA1
Bytes Tx     : 62226826               Bytes Rx     : 71173170
Login Time   : 17:15:49 PDT Sun Sep 7 2014
Duration     : 19h:08m:49s

จากนั้นเมื่อต้องการออกจากระบบอุโมงค์ VPN คุณสามารถดำเนินการดังต่อไปนี้เพื่อออกจากระบบตามดัชนีที่แสดงด้านบน

vpn-sessiondb logoff index 330

8

โดยการทำclear ipsec sa peer <peer IP>จะรีเซ็ตเฉพาะส่วนของ IPSec

ไม่มีวิธีล้างอุโมงค์ isakmp เพียงอันเดียว

ดังนั้นวิธีที่ดีที่สุดที่ฉันรู้คือการลบเพียร์จากแผนที่เข้ารหัสลับและนำไปใช้ใหม่

no crypto map mymap 40 set peer 12.1.1.1 
crypto map mymap 40 set peer 12.1.1.1 

วิธีนี้คุณสามารถนำเพียร์ออกรออุโมงค์ขึ้นและลงจากนั้นนำไปใช้ใหม่ วิธีนี้ช่วยให้คุณควบคุมพฤติกรรมของอุโมงค์ได้มากขึ้น


7

ใน 8.4 คุณสามารถรีเซ็ตการเชื่อมต่อ ISAKMP เดียวผ่าน:

clear cry ikev1 sa <ip>

หรือถ้าใช้ ikev2 ดังนั้น:

clear cry ikev2 sa <ip>

สำหรับเวอร์ชั่นเก่าฉันเชื่อว่าคำสั่งนั้นง่ายมาก:

clear cry isa sa <ip>

นอกจากนี้สำหรับคำตอบของสเตฟานถ้าคุณทำการล้างข้อมูลบนอุปกรณ์ระยะไกลผ่าน VPN ที่คุณกำลังรีเซ็ตโดยทั่วไปจะสร้าง VPN อีกครั้งและเซสชัน SSH ของคุณจะดำเนินการต่อตามปกติทันทีหรือภายในไม่กี่วินาที ฉันทำบ่อยกับเราเตอร์ ISR G1 และ G2 ตลอดเวลาเมื่อปรับเปลี่ยนอุโมงค์


4
บน ASA clear crypto isakmp saคำสั่งเก่าไม่ยอมรับอาร์กิวเมนต์สำหรับเพียร์เพื่อรีเซ็ต รีเซ็ตช่วง ISAKMP ทั้งหมด
James Sneeringer
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.