Gần đây chúng tôi đã thay thế MPLS quốc tế bằng ASA 5510 mới và VPN tại chỗ. Tuy nhiên, khi chúng tôi triển khai điều này, chúng tôi đã gặp phải một vấn đề trong đó mỗi vị trí từ xa có 2 ISP để dự phòng, nhưng khi bật VPN trên cả hai giao diện, nó sẽ bị trượt giữa hai và đường hầm lên xuống khi đường hầm bị phá hủy và di chuyển giữa ISP. Cisco đã làm việc này được 8 tháng và chúng tôi vẫn không có đường hầm ổn định với nhiều ISP.
Văn phòng từ xa:
access-list RWS_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list RWS_TUNNEL extended permit ip object-group BNG_tunnel_NETS object-group CORP_tunnel_NETS
crypto map RWS_TUNNEL 1 match address RWS_TUNNEL
crypto map RWS_TUNNEL 1 set peer 216.xxx.102.2
crypto map RWS_TUNNEL 1 set transform-set IND-RWS
tunnel-group 216.xxx.102.2 type ipsec-l2l
tunnel-group 216.xxx.102.2 ipsec-attributes
pre-shared-key *****
route outside 0.0.0.0 0.0.0.0 216.xxx.206.1 1 track 2
route outside2 0.0.0.0 0.0.0.0 182.xxx.26.229 100
sla monitor 55
type echo protocol ipIcmpEcho 63.251.61.142 interface outside
num-packets 5
timeout 1000
frequency 10
sla monitor schedule 55 life forever start-time now
track 2 rtr 55 reachability
Văn phòng Trung tâm:
access-list BNG_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list BNG_TUNNEL extended permit ip object-group CORP_tunnel_NETS object-group BNG_tunnel_NETS
route outside2 0.0.0.0 0.0.0.0 216.xxx.102.1
crypto map BNG_TUNNEL 1 match address BNG_TUNNEL
crypto map BNG_TUNNEL 1 set peer 182.xxx.26.230 216.xxx.206.4
crypto map BNG_TUNNEL 1 set transform-set L2L
tunnel-group 182.xxx.26.230 type ipsec-l2l
tunnel-group 182.xxx.26.230 ipsec-attributes
pre-shared-key *****
tunnel-group 216.xxx.206.4 type ipsec-l2l
tunnel-group 216.xxx.206.4 ipsec-attributes
pre-shared-key *****
Vì vậy, những gì tôi đã tìm thấy là khi ISAKMP được bật trên cả hai giao diện bên ngoài (văn phòng từ xa) và cả hai IP được cấu hình như các máy ngang hàng (văn phòng trung tâm), VPN xuất hiện thành công trên cả hai giao diện, nhưng đến một lúc nào đó sẽ bắt đầu vỗ giữa các IP. Điều này đúng với hoặc không có Giám sát SLA, vì vậy ngay cả khi các tuyến đều tĩnh, hành vi vẫn xảy ra.
Bất kỳ cái nhìn sâu sắc được đánh giá cao.