Cisco-Asa

Avaya VPN 電話的 Cisco ASA ipsec IKEv1 遠端訪問 - 未分配客戶端地址

  • September 17, 2012

我的 ASA 集群上的遠端訪問 VPN 連接有一個奇怪的問題。

正常的站點到站點隧道和 AnyConnect 連接工作得很好。但是,特殊的 ipsec ikev1 隧道不會。它建立並保持執行,但客戶端(在本例中為 Avaya VPN 電話)既沒有收到客戶端地址,也沒有要求提供(有點不確定該怪誰)。

此圖像顯示了建立時的連接。請注意,分配的 IP 地址為空白。字節 TX 為“0”是很自然的,因為內部的網路沒有要路由的客戶端。 VPN監視器

我嘗試通過 ASDM 進行調試,但沒有成功。我對 CLI 進行控制台調試沒有足夠的信心,因為我們大量使用“通知”關鍵字來匹配我們擁有的每個 ACL。

建議?

這需要一些工作才能弄清楚..

首先 - 客戶端(或電話,準確地說)沒有獲得 IP 地址的原因是電話配置錯誤。它沒有設置“配置 IKE”標誌,這意味著它基本上丟棄了從 ASA 推送的任何配置。

當我解決這個問題時,另一個主要問題出現了。事實證明,我們的 AnyConnect 客戶端根本不起作用。我們最近升級到 ASA 8.4.4 以嘗試解決另一個問題,此版本帶來了針對 NAT 規則的新規則檢查器,因此它們不會與備用 IP 地址衝突:

http://www.cisco.com/en/US/products/ps6120/products_tech_note09186a0080bcf110.shtml

這對我們來說是一個重要的展示,因為我們在大型 MPLS 網路的防火牆後面有數以億計的子網,其中 VPN 客戶端需要連接。創建新的主機/網路組只是為了不與備用 IP 發生衝突對我來說至少需要兩天的時間,所以我將降級到 ASA 8.4.3,直到思科找到更好的解決方案。

引用自:https://serverfault.com/questions/429088