Trên VPN trang web sử dụng ASA 5520 và 5540 tương ứng, tôi nhận thấy rằng lưu lượng truy cập theo thời gian không vượt qua nữa, đôi khi chỉ thiếu lưu lượng truy cập chỉ cho một lựa chọn lưu lượng truy cập cụ thể / ACL trong khi lưu lượng truy cập khác vượt qua cùng một VPN đang chạy. Nó xảy ra mặc dù có một ping liên tục chạy. Lý do có thể là nó chạy qua một liên kết vệ tinh không ổn định hoàn toàn.
Làm cách nào tôi có thể đặt lại VPN về trạng thái hoạt động, thay vì tải lại một trong các ASA?
Câu trả lời:
VPN có thể được thiết lập lại bằng cách nhập
clear ipsec sa peer <remote-peer-IP>
ở một bên Lưu lượng sau đây sẽ khiến đường hầm IPSEC được thiết lập lại.
Bạn có thể làm điều đó về phía bạn, nhập IP từ xa. Hoặc đăng nhập vào trang web từ xa, nhưng có thể bạn phải thực hiện bên ngoài VPN, do đó, sử dụng một giao diện khác, ví dụ như sử dụng IP công cộng thay vì IP mà bạn kết nối qua đường hầm.
Sẽ có một sự cố ngừng VPN ngắn trong khi thiết lập lại đường hầm. Sau khi nhập lệnh đó, đảm bảo rằng đường hầm được bật lại, chẳng hạn như thực hiện ping qua nó.
Bạn có thể đặt lại đường hầm thông qua phần mềm ASDM cũng như trong dòng lệnh.
Trong ASDM (Phiên bản 6.3):
Điều này sẽ gây ra sự cố tạm thời kết nối VPN, nhưng trong hầu hết các trường hợp tôi đã thấy, bạn chỉ làm điều này vì đường hầm đã bị hỏng.
Tất cả mọi thứ được xem xét, việc đăng nhập vào CLI và thiết lập lại đường hầm sẽ dễ dàng hơn, nhưng tôi biết một số người nghiện ASDM.
Bằng cách làm clear ipsec sa peer <peer IP>sẽ chỉ thiết lập lại phần IPSec.
Không có cách nào để xóa chỉ một đường hầm isakmp.
Do đó, cách tốt nhất mà tôi biết là xóa đồng đẳng khỏi bản đồ mật mã và áp dụng lại nó.
no crypto map mymap 40 set peer 12.1.1.1
crypto map mymap 40 set peer 12.1.1.1
Bằng cách này, bạn có thể đưa đồng nghiệp ra ngoài, đợi đường hầm đi xuống và hết thời gian, sau đó áp dụng lại. Phương pháp này cho phép bạn kiểm soát nhiều hơn đối với hành vi của đường hầm.
Vào ngày 8.4, bạn có thể đặt lại một kết nối ISAKMP thông qua:
clear cry ikev1 sa <ip>
Hoặc nếu sử dụng ikev2, thì:
clear cry ikev2 sa <ip>
Trên các phiên bản cũ hơn, tôi tin rằng lệnh chỉ đơn giản là:
clear cry isa sa <ip>
Ngoài ra, liên quan đến câu trả lời của Stefan, nếu bạn làm rõ trên một thiết bị từ xa qua VPN mà bạn đang đặt lại, thông thường, nó sẽ thiết lập lại VPN và phiên SSH của bạn sẽ tiếp tục ngay lập tức hoặc nhiều nhất là trong vài giây. Tôi làm điều đó khá thường xuyên trên các bộ định tuyến ISR G1 và G2 mọi lúc khi sửa đổi các đường hầm của chúng.
Tôi vừa bắt gặp một cách mới mà trước đây tôi chưa bao giờ biết và cung cấp thông tin giống như bạn tìm thấy trong giao diện ASDM, bao gồm cả tính năng để đăng xuất phiên vpn.
Phát hành ví dụ này để có được một danh sách các đường hầm trang web đến trang web vpn đang lên.
show vpn-sessiondb l2l
ví dụ đầu ra:
Connection : 192.168.1.1
Index : 330 IP Addr : 192.168.121.0
Protocol : IKE IPsec
Encryption : DES 3DES Hashing : MD5 SHA1
Bytes Tx : 62226826 Bytes Rx : 71173170
Login Time : 17:15:49 PDT Sun Sep 7 2014
Duration : 19h:08m:49s
Sau đó, để đăng xuất đường hầm VPN đó, bạn có thể thực hiện các thao tác sau để đăng xuất dựa trên chỉ mục được hiển thị ở trên.
vpn-sessiondb logoff index 330
clear crypto isakmp salệnh cũ hơn không chấp nhận đối số để thiết lập lại ngang hàng. Nó đặt lại tất cả các phiên ISAKMP.