Cisco-Asa

ASA 上的 IPSec 隧道不斷斷開連接

  • January 14, 2014

我在 ASA5505 和 Microsoft TMG 2010 SP2 之間配置了一條 ASA IPSec 隧道。

隧道有時工作幾個小時然後斷開連接,有時它工作 5 分鐘然後斷開連接。

斷開連接時,有時需要 10 分鐘才能重新建立 SA,有時需要 45 分鐘才能重新建立 SA。

我懷疑隧道的一側正在重新鍵入連接,而另一側沒有,但我真的不知道如何解決這個問題。從 ASA 端進行故障排除比從 TMG 端進行故障排除要容易得多,因為從 TMG 獲取此資訊的性質很遲鈍;雖然我懷疑 TMG 是問題所在。

我可以在 ASA 的哪個位置確定 IPSec 隧道丟棄的原因?

即使隧道的兩邊都禁用了基於卷的重新加密,但其中一方仍在嘗試重新加密(我不確定是哪一個;我懷疑是 TMG)。因此,經過數週的故障排除後,我在鏈路兩側設置了 4GB 後的重新密鑰,從那以後它一直堅如磐石。

基於時間的密鑰更新為 1 小時;並且 4GB 的流量不太可能在一小時內通過該連結,因此從那時起它一直很穩定。

您是否通過隧道使用任何路由協議?如果是這樣,請仔細檢查您是否沒有通過隧道獲得到遠端端點地址的路由。例如,如果您在 1.2.3.4 和 2.3.4.5 之間有一條隧道,請確保在 1.2.3.4 和 2.3.4.5 上有一條靜態路由,該路由通過適當的下一跳地址。

您看到的症狀與我犯此錯誤時看到的症狀相似,因為隧道不斷地上下起伏。首先它建立隧道,然後建立路由鄰居,然後交換路由,通常遠端端點連接的路由通過。那麼到遠端端點的路由是通過隧道,超時,然後鄰居失敗,這意味著路由被刪除,隧道可以重新上來。此循環無休止地重複,直到您添加適當的靜態路由。

引用自:https://serverfault.com/questions/561550