ASA 上的 IPSec 隧道不斷斷開連接

我在 ASA5505 和 Microsoft TMG 2010 SP2 之間配置了一條 ASA IPSec 隧道。

隧道有時工作幾個小時然後斷開連接，有時它工作 5 分鐘然後斷開連接。

斷開連接時，有時需要 10 分鐘才能重新建立 SA，有時需要 45 分鐘才能重新建立 SA。

我懷疑隧道的一側正在重新鍵入連接，而另一側沒有，但我真的不知道如何解決這個問題。從 ASA 端進行故障排除比從 TMG 端進行故障排除要容易得多，因為從 TMG 獲取此資訊的性質很遲鈍；雖然我懷疑 TMG 是問題所在。

我可以在 ASA 的哪個位置確定 IPSec 隧道丟棄的原因？

即使隧道的兩邊都禁用了基於卷的重新加密，但其中一方仍在嘗試重新加密（我不確定是哪一個；我懷疑是 TMG）。因此，經過數週的故障排除後，我在鏈路兩側設置了 4GB 後的重新密鑰，從那以後它一直堅如磐石。

基於時間的密鑰更新為 1 小時；並且 4GB 的流量不太可能在一小時內通過該連結，因此從那時起它一直很穩定。

您是否通過隧道使用任何路由協議？如果是這樣，請仔細檢查您是否沒有通過隧道獲得到遠端端點地址的路由。例如，如果您在 1.2.3.4 和 2.3.4.5 之間有一條隧道，請確保在 1.2.3.4 和 2.3.4.5 上有一條靜態路由，該路由通過適當的下一跳地址。

您看到的症狀與我犯此錯誤時看到的症狀相似，因為隧道不斷地上下起伏。首先它建立隧道，然後建立路由鄰居，然後交換路由，通常遠端端點連接的路由通過。那麼到遠端端點的路由是通過隧道，超時，然後鄰居失敗，這意味著路由被刪除，隧道可以重新上來。此循環無休止地重複，直到您添加適當的靜態路由。

引用自：https://serverfault.com/questions/561550