Avaya VPN 電話的 Cisco ASA ipsec IKEv1 遠端訪問 - 未分配客戶端地址

我的 ASA 集群上的遠端訪問 VPN 連接有一個奇怪的問題。

正常的站點到站點隧道和 AnyConnect 連接工作得很好。但是，特殊的 ipsec ikev1 隧道不會。它建立並保持執行，但客戶端（在本例中為 Avaya VPN 電話）既沒有收到客戶端地址，也沒有要求提供（有點不確定該怪誰）。

此圖像顯示了建立時的連接。請注意，分配的 IP 地址為空白。字節 TX 為“0”是很自然的，因為內部的網路沒有要路由的客戶端。

我嘗試通過 ASDM 進行調試，但沒有成功。我對 CLI 進行控制台調試沒有足夠的信心，因為我們大量使用“通知”關鍵字來匹配我們擁有的每個 ACL。

建議？

這需要一些工作才能弄清楚..

首先 - 客戶端（或電話，準確地說）沒有獲得 IP 地址的原因是電話配置錯誤。它沒有設置“配置 IKE”標誌，這意味著它基本上丟棄了從 ASA 推送的任何配置。

當我解決這個問題時，另一個主要問題出現了。事實證明，我們的 AnyConnect 客戶端根本不起作用。我們最近升級到 ASA 8.4.4 以嘗試解決另一個問題，此版本帶來了針對 NAT 規則的新規則檢查器，因此它們不會與備用 IP 地址衝突：

http://www.cisco.com/en/US/products/ps6120/products_tech_note09186a0080bcf110.shtml

這對我們來說是一個重要的展示，因為我們在大型 MPLS 網路的防火牆後面有數以億計的子網，其中 VPN 客戶端需要連接。創建新的主機/網路組只是為了不與備用 IP 發生衝突對我來說至少需要兩天的時間，所以我將降級到 ASA 8.4.3，直到思科找到更好的解決方案。

引用自：https://serverfault.com/questions/429088