Cisco PIX 515e 隨著時間的推移將 IPSEC 隧道丟棄到 ASA 5505

我們有一個像這樣的總公司/分公司廣域網，

Server LAN <-> Cisco PIX 515e <-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 1
                             <-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 2
                             <-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 3
                              ...  
                             <-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 66

問題：

這些 VPN 隧道中有 5% 會隨著時間的推移而降級。

症狀：

• 客戶端響應 PING，但不響應 RPC 或 RDP。
• 在 ASA 上，VPN 隧道從1 x IKE , 2 x IPSec下降到1 x IKE , 1 x IPSec。
• 重新啟動 ASA 可暫時解決問題。

這個 PIX 不可靠，可能會被更現代的設備取代。雖然通常低於 10%，但 PIX 上的 CPU 會周期性地達到 80-90% 的流量峰值，但我不能說我已經能夠將丟棄的隧道與這些負載相關聯。

我有一些具體的問題，但我很感激任何和所有的見解。

1. 我可以監視（通過 SNMP） PIX 上的總 IPSec 隧道嗎？這應該總是（至少？）分支機構數量的兩倍，和（至少？）總 IKE 的兩倍 - 如果它下降，那麼我可能有問題。
2. 當這些隧道之一被丟棄時，**是否有我可以在 PIX 自己的日誌記錄中發出警報的事件？**可能是，

snmp-server enable traps ipsec start stop  

3. 在更換 PIX 之前，**我能做些什麼來讓這條隧道保持活力？**我在考慮可編寫腳本的保持活動流量，PING 似乎並沒有削減它。我還在查看空閒超時值，也許是重新鍵入間隔，還有其他想法嗎？

---

PIX515E# show run isakmp
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp nat-traversal  20


PIX515E# show run ipsec
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac


PIX515E# show version

Cisco PIX Security Appliance Software Version 7.2(4)
Device Manager Version 5.2(4)

1. 您絕對可以監控 IPSec 隧道的數量，但我們發現這並不是確定連接是否正常工作的真正可靠方法。最好通過隧道發送和接收流量以確認連接（例如 ping 監視器）。

2. 與#1 相同——可以完成，但可能無法為您提供有用的資訊。隧道將根據超時間隔在正常執行過程中啟動和停止。

3. 雖然它不應該是必要的，但我們已經看到在某些情況下通過以頻繁的時間間隔（3-5 分鐘）執行 ping 來改善隧道連接。如果沒有深入分析，很難說這在這種情況下是否會有所幫助。

一般來說，由於頭端和遠端端 VPN 對等方之間的 VPN 配置不匹配，此類問題經常發生。不同的 ACL 通常是個問題。

引用自：https://serverfault.com/questions/94604