Pontos de extremidade da VPN da Cisco que se desconectam de uma VLAN

1

Eu tenho um número de Cisco ASA 5505 e PIX 506e em todo o mundo atuando como pontos de extremidade de VPN. Eles se conectam a um Cisco VPN Concentrator 3000 no HQ. Estou usando o Easy VPN para configurar a VPN (ou seja, a maior parte da configuração é central no VPN Concentrator). A maioria dos endpoints funciona absolutamente bem.

No entanto, existem três que não. 2 ASAs e 1 PIX são desconectados de uma das VLANs em nossa rede. Esta é a VLAN na qual meu servidor de monitoramento é executado - portanto, esses pontos de extremidade parecem ter caído. No entanto, ainda posso pingar os endpoints da nossa VLAN de usuário. Se eu, então, fizer o SSH no nó de extremidade e fizer um ping no meu servidor de monitoramento, a conexão voltará. Então, depois de 10 minutos, ele pára de funcionar novamente.

Eu observei a configuração dos meus endpoints e não vejo diferenças significativas. Uma característica comum é que os endpoints afetados estão se conectando à Internet através de roteadores de qualidade de varejo. No entanto, não vejo como isso possa afetar o tráfego em um túnel VPN.

Alguma ideia ou sugestão? Eu também tenho um tópico nos fóruns da Cisco no link . Uma outra pessoa relatou o mesmo problema.

    
por dunxd 26.01.2010 / 10:07

1 resposta

1

Eu acho que você quer dizer "sub-rede" em todos os lugares que você tem "vlan". Eu não acho que o vpn3k até mesmo apoiou a atribuição de túneis vpn para vlans. se você estiver usando o tunelamento dividido e empurrando duas rotas diferentes para cada uma dessas sub-redes, então no pix você terminará com uma associação de segurança ipsec por sub-rede.

Parece que estes estão expirando por algum motivo ...

Não sei por que isso aconteceria, mas sei que uso essa configuração há anos sem problemas:

vpnclient server server1 server2
vpnclient mode network-extension-mode
vpnclient nem-st-autoconnect
vpnclient vpngroup group password ********
vpnclient username user password ********
vpnclient management tunnel mana.geme.nt.subnet 255.255.255.0
vpnclient enable

Isso é diferente da configuração que você está executando?

    
por 12.02.2010 / 13:33