O Cisco PIX 515e descarta túneis IPSEC para o ASA 5505 ao longo do tempo

Question

O Cisco PIX 515e descarta túneis IPSEC para o ASA 5505 ao longo do tempo

#1 resposta do (1 votos)
#2 resposta do (1 votos)
#3 resposta do (0 votos)
#4 resposta do (0 votos)

4

Temos uma WAN da sede / filial da empresa como esta,

Server LAN <-> Cisco PIX 515e <-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 1
                              <-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 2
                              <-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 3
                               ...  
                              <-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 66

Problema:
5% destes túneis VPN degradam com o tempo.

Sintomas:

Os clientes respondem ao PING, mas não ao RPC ou RDP.
No ASA, os túneis VPN vão de 1 x IKE , 2 x IPSec até 1 x IKE , 1 x IPSec .
Uma reinicialização do ASA resolve o problema temporariamente.

Este PIX não foi confiável, e provavelmente será substituído por um pouco mais moderno de equipamentos. Embora geralmente abaixo de 10%, a CPU no PIX atinge periodicamente 80-90% com picos de tráfego, mas não posso dizer que consegui correlacionar túneis perdidos com essas cargas.

Eu tenho algumas perguntas específicas, mas sou grato por todas e quaisquer percepções.

Posso monitorar (via SNMP) o total de túneis IPSec no PIX? Isso deve sempre ser (pelo menos?) O dobro do número de filiais e (pelo menos?) Duas vezes o total do IKE - se ele falhar, provavelmente tenho um problema.
Existe um evento em que eu possa ligar o alarme no registro do próprio PIX, quando um desses túneis é descartado? Talvez,
```
snmp-server enable traps ipsec start stop  
```
Existe algo que eu possa fazer para manter este túnel ativo , até que o PIX possa ser substituído? Eu estava pensando em tráfego keep-alive scriptável, PING não parece cortá-lo. Eu também estou olhando para valores de tempo limite ociosos, talvez intervalos de re-digitação, quaisquer outras idéias?

PIX515E# show run isakmp
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto isakmp nat-traversal  20


PIX515E# show run ipsec
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac


PIX515E# show version

Cisco PIX Security Appliance Software Version 7.2(4)
Device Manager Version 5.2(4)

cisco ipsec cisco-vpn

por nray 15.12.2009 / 17:41

4 respostas

1

O túnel já voltou sozinho ou você intervém manualmente para recuperar o túnel?

Qual é o tempo de vida definido no ASA?

E você mantém os keepalives ativados / desativados nos dois dispositivos?

Eu já vi esse problema antes entre um Cisco 6500 executando o IOS e um ASA onde o IOS está feliz de executar sem um SA (se expirar por qualquer motivo) onde um ASA não está e o túnel morre por um período aleatório tempo até que ele renegocie e o túnel volte até que o SA expire novamente.

por 19.12.2009 / 02:40

0

Eu estou vendo a mesma coisa por mim mesmo. Acabei de configurar um PIX515 executando 8.04 IPSEC para o meu ASA5510 8.2. Funciona muito bem e então o túnel acaba com todos. Durante esse tempo, a internet continua indo bem. Então, é apenas o túnel que está tendo problemas.

por 16.12.2009 / 00:11

0

Estou tendo o mesmo problema, mas com um ASA-5505 e Juniper SRX220h (colo) eu passei mais de 12 horas com o JTAC e seu nada no final (assim eles dizem). Então liguei para o Cisco TAC, sem garantia de suporte. Então eu tenho procurado a manhã toda. Este tópico é o mais próximo que encontrei do meu problema.

Minha solução Eu configurei os dois dispositivos para 86400 segundos e também desabilitei Keep-alives.

Eu informarei o resultado o mais rápido possível.

por 03.06.2013 / 16:23

Tags cisco ipsec cisco-vpn

Virtualização e SQL server Permissões do Samba - Vou jogar!

score 1 · Accepted Answer

1) Você pode monitorar o número de túneis IPSec, mas descobrimos que isso não é uma maneira confiável de determinar se a conectividade está funcionando. É sempre melhor enviar e receber tráfego pelo túnel para confirmar a conectividade (por exemplo, monitor de ping).

2) O mesmo que # 1 - pode ser feito, mas pode não fornecer informações úteis. Os túneis começam e param no curso normal da operação, dependendo dos intervalos de tempo limite.

3) Embora não seja necessário, vimos melhorias com a conectividade de túnel em algumas situações executando um ping em intervalos frequentes (de 3 a 5 minutos). É difícil dizer se isso ajudaria nessa situação sem uma análise profunda.

De modo geral, problemas como esse ocorrem com frequência devido a incompatibilidades de configuração da VPN entre os pontos de entrada da extremidade principal e da extremidade remota. ACLs diferentes costumam ser um problema.