Làm cách nào tôi có thể đặt lại đường hầm VPN trên Cisco ASA?


15

Trên VPN trang web sử dụng ASA 5520 và 5540 tương ứng, tôi nhận thấy rằng lưu lượng truy cập theo thời gian không vượt qua nữa, đôi khi chỉ thiếu lưu lượng truy cập chỉ cho một lựa chọn lưu lượng truy cập cụ thể / ACL trong khi lưu lượng truy cập khác vượt qua cùng một VPN đang chạy. Nó xảy ra mặc dù có một ping liên tục chạy. Lý do có thể là nó chạy qua một liên kết vệ tinh không ổn định hoàn toàn.

Làm cách nào tôi có thể đặt lại VPN về trạng thái hoạt động, thay vì tải lại một trong các ASA?

Câu trả lời:


27

VPN có thể được thiết lập lại bằng cách nhập

clear ipsec sa peer <remote-peer-IP>

ở một bên Lưu lượng sau đây sẽ khiến đường hầm IPSEC được thiết lập lại.

Bạn có thể làm điều đó về phía bạn, nhập IP từ xa. Hoặc đăng nhập vào trang web từ xa, nhưng có thể bạn phải thực hiện bên ngoài VPN, do đó, sử dụng một giao diện khác, ví dụ như sử dụng IP công cộng thay vì IP mà bạn kết nối qua đường hầm.

Sẽ có một sự cố ngừng VPN ngắn trong khi thiết lập lại đường hầm. Sau khi nhập lệnh đó, đảm bảo rằng đường hầm được bật lại, chẳng hạn như thực hiện ping qua nó.


13

Bạn có thể đặt lại đường hầm thông qua phần mềm ASDM cũng như trong dòng lệnh.

Trong ASDM (Phiên bản 6.3):

  1. Chuyển đến Giám sát, sau đó chọn VPN từ danh sách Giao diện
  2. Sau đó mở rộng số liệu thống kê VPN và nhấp vào Phiên.
  3. Chọn loại đường hầm bạn đang tìm kiếm từ trình đơn thả xuống ở bên phải (ví dụ: Trang web đến trang web IPSEC.)
  4. Bấm vào đường hầm bạn muốn đặt lại và sau đó bấm Đăng xuất để đặt lại đường hầm.

Điều này sẽ gây ra sự cố tạm thời kết nối VPN, nhưng trong hầu hết các trường hợp tôi đã thấy, bạn chỉ làm điều này vì đường hầm đã bị hỏng.

Tất cả mọi thứ được xem xét, việc đăng nhập vào CLI và thiết lập lại đường hầm sẽ dễ dàng hơn, nhưng tôi biết một số người nghiện ASDM.

Nguồn


8

Bằng cách làm clear ipsec sa peer <peer IP>sẽ chỉ thiết lập lại phần IPSec.

Không có cách nào để xóa chỉ một đường hầm isakmp.

Do đó, cách tốt nhất mà tôi biết là xóa đồng đẳng khỏi bản đồ mật mã và áp dụng lại nó.

no crypto map mymap 40 set peer 12.1.1.1 
crypto map mymap 40 set peer 12.1.1.1 

Bằng cách này, bạn có thể đưa đồng nghiệp ra ngoài, đợi đường hầm đi xuống và hết thời gian, sau đó áp dụng lại. Phương pháp này cho phép bạn kiểm soát nhiều hơn đối với hành vi của đường hầm.


7

Vào ngày 8.4, bạn có thể đặt lại một kết nối ISAKMP thông qua:

clear cry ikev1 sa <ip>

Hoặc nếu sử dụng ikev2, thì:

clear cry ikev2 sa <ip>

Trên các phiên bản cũ hơn, tôi tin rằng lệnh chỉ đơn giản là:

clear cry isa sa <ip>

Ngoài ra, liên quan đến câu trả lời của Stefan, nếu bạn làm rõ trên một thiết bị từ xa qua VPN mà bạn đang đặt lại, thông thường, nó sẽ thiết lập lại VPN và phiên SSH của bạn sẽ tiếp tục ngay lập tức hoặc nhiều nhất là trong vài giây. Tôi làm điều đó khá thường xuyên trên các bộ định tuyến ISR G1 và G2 mọi lúc khi sửa đổi các đường hầm của chúng.


4
Trên ASA, clear crypto isakmp salệnh cũ hơn không chấp nhận đối số để thiết lập lại ngang hàng. Nó đặt lại tất cả các phiên ISAKMP.
James Sneeringer

7

Tôi vừa bắt gặp một cách mới mà trước đây tôi chưa bao giờ biết và cung cấp thông tin giống như bạn tìm thấy trong giao diện ASDM, bao gồm cả tính năng để đăng xuất phiên vpn.

Phát hành ví dụ này để có được một danh sách các đường hầm trang web đến trang web vpn đang lên.

show vpn-sessiondb l2l

ví dụ đầu ra:

Connection   : 192.168.1.1
Index        : 330                    IP Addr      : 192.168.121.0
Protocol     : IKE IPsec
Encryption   : DES 3DES               Hashing      : MD5 SHA1
Bytes Tx     : 62226826               Bytes Rx     : 71173170
Login Time   : 17:15:49 PDT Sun Sep 7 2014
Duration     : 19h:08m:49s

Sau đó, để đăng xuất đường hầm VPN đó, bạn có thể thực hiện các thao tác sau để đăng xuất dựa trên chỉ mục được hiển thị ở trên.

vpn-sessiondb logoff index 330
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.