Cisco-Asa
Avaya VPN 電話的 Cisco ASA ipsec IKEv1 遠端訪問 - 未分配客戶端地址
我的 ASA 集群上的遠端訪問 VPN 連接有一個奇怪的問題。
正常的站點到站點隧道和 AnyConnect 連接工作得很好。但是,特殊的 ipsec ikev1 隧道不會。它建立並保持執行,但客戶端(在本例中為 Avaya VPN 電話)既沒有收到客戶端地址,也沒有要求提供(有點不確定該怪誰)。
此圖像顯示了建立時的連接。請注意,分配的 IP 地址為空白。字節 TX 為“0”是很自然的,因為內部的網路沒有要路由的客戶端。
我嘗試通過 ASDM 進行調試,但沒有成功。我對 CLI 進行控制台調試沒有足夠的信心,因為我們大量使用“通知”關鍵字來匹配我們擁有的每個 ACL。
建議?
這需要一些工作才能弄清楚..
首先 - 客戶端(或電話,準確地說)沒有獲得 IP 地址的原因是電話配置錯誤。它沒有設置“配置 IKE”標誌,這意味著它基本上丟棄了從 ASA 推送的任何配置。
當我解決這個問題時,另一個主要問題出現了。事實證明,我們的 AnyConnect 客戶端根本不起作用。我們最近升級到 ASA 8.4.4 以嘗試解決另一個問題,此版本帶來了針對 NAT 規則的新規則檢查器,因此它們不會與備用 IP 地址衝突:
http://www.cisco.com/en/US/products/ps6120/products_tech_note09186a0080bcf110.shtml
這對我們來說是一個重要的展示,因為我們在大型 MPLS 網路的防火牆後面有數以億計的子網,其中 VPN 客戶端需要連接。創建新的主機/網路組只是為了不與備用 IP 發生衝突對我來說至少需要兩天的時間,所以我將降級到 ASA 8.4.3,直到思科找到更好的解決方案。