सिस्को एएसए साइट-टू-साइट वीपीएन विफलता

21

हमने हाल ही में अंतरराष्ट्रीय एमपीएलएस को नए एएसए 5510 और साइट-टू-साइट वीपीएन के साथ बदल दिया है। हालाँकि, जब हम इसे तैनात करते हैं, तो हम एक ऐसी समस्या में भाग जाते हैं, जहाँ प्रत्येक दूरस्थ स्थान पर अतिरेक के लिए 2 ISP होते हैं, लेकिन जब वीपीएन को सक्षम करने पर दोनों के बीच में फ़ासला हो जाता है और सुरंग ऊपर और नीचे होती है, क्योंकि सुरंग फट जाती है और उसके बीच चली जाती है इंटरनेट सेवा प्रदाताओं। सिस्को इस पर 8 महीने से काम कर रहा है और हमारे पास अभी भी कई आईएसपी के साथ स्थिर सुरंग नहीं हैं।

दूरस्थ कार्यालय:

access-list RWS_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list RWS_TUNNEL extended permit ip object-group BNG_tunnel_NETS object-group CORP_tunnel_NETS
crypto map RWS_TUNNEL 1 match address RWS_TUNNEL
crypto map RWS_TUNNEL 1 set peer 216.xxx.102.2 
crypto map RWS_TUNNEL 1 set transform-set IND-RWS
tunnel-group 216.xxx.102.2 type ipsec-l2l
tunnel-group 216.xxx.102.2 ipsec-attributes
 pre-shared-key *****


route outside 0.0.0.0 0.0.0.0 216.xxx.206.1 1 track 2
route outside2 0.0.0.0 0.0.0.0 182.xxx.26.229 100
sla monitor 55
 type echo protocol ipIcmpEcho 63.251.61.142 interface outside
 num-packets 5
 timeout 1000
 frequency 10
sla monitor schedule 55 life forever start-time now
track 2 rtr 55 reachability

केंद्रीय कार्यालय:

access-list BNG_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list BNG_TUNNEL extended permit ip object-group CORP_tunnel_NETS object-group BNG_tunnel_NETS 

route outside2 0.0.0.0 0.0.0.0 216.xxx.102.1
crypto map BNG_TUNNEL 1 match address BNG_TUNNEL
crypto map BNG_TUNNEL 1 set peer 182.xxx.26.230 216.xxx.206.4
crypto map BNG_TUNNEL 1 set transform-set L2L

tunnel-group 182.xxx.26.230 type ipsec-l2l
tunnel-group 182.xxx.26.230 ipsec-attributes
 pre-shared-key *****
tunnel-group 216.xxx.206.4 type ipsec-l2l
tunnel-group 216.xxx.206.4 ipsec-attributes
 pre-shared-key *****

तो मैंने पाया है कि जब ISAKMP को बाहरी इंटरफेस (दूरस्थ कार्यालय) दोनों पर सक्षम किया जाता है और दोनों IP को सहकर्मी (केंद्रीय कार्यालय) के रूप में कॉन्फ़िगर किया जाता है, तो वीपीएन दोनों इंटरफेस पर सफलतापूर्वक आता है, लेकिन कुछ बिंदु पर आईपी के बीच फड़फड़ाना शुरू हो जाएगा। यह एसएलए निगरानी के साथ या इसके बिना सच है, इसलिए भले ही मार्ग सभी स्थिर हों, फिर भी व्यवहार होता है।

किसी भी जानकारी की सराहना की है।

— स्कॉट बुलटिंगहाउस
स्रोत

समस्या का निदान करने में मदद करने के लिए, "क्रिप्टो इसकैंप डिस्कनेक्ट-नोटिफ़िकेशन" फ़ंक्शन को सक्षम करने का प्रयास करें और हमें बताएं कि आप क्या पाते हैं। मैं यह जानने के लिए बहुत उत्सुक हूं कि आखिरकार वे सुरंगें क्यों फड़फड़ाने लगती हैं।

— 21

14

मैं सिर्फ इस कारण से नीति-आधारित वीपीएन से साइटों को दूर कर रहा हूं। नीति-आधारित वीपीएन जब असफल व्यवहार की बात करते हैं तो बहुत अप्रत्याशित होते हैं। मैं रूट-आधारित IPsec सुरंगों को पसंद करता हूं, या तो पॉइंट-टू-पॉइंट या DMVPN। दुर्भाग्य से, मेरी जानकारी के लिए एएसए प्लेटफॉर्म अभी भी रूट-आधारित सुरंगों का समर्थन नहीं करता है।

— जेरेमी स्ट्रेच
स्रोत

9

मैं AS2 के बीच L2L (Lan-to-Lan) IPSec सुरंगों पर दूरस्थ साइटों को जोड़ने के लिए DMVPN समाधान का उपयोग करने की सलाह दूंगा। DMVPN समाधान बहुत आसान है, क्लीनर है, और बात की गई संचार को भी अनुमति देगा।

— twidfeki
स्रोत

क्या आप इसके पीछे के मौलिक विचारों पर विस्तार से विचार कर सकते हैं और इसे कैसे लागू किया जाएगा?

— साइमनजग्रीन

DMVPN समाधान के साथ सभी कॉन्फ़िगरेशन क्लाइंट साइड (प्रवक्ता) पर किया जाता है, आपको प्रारंभिक सेटअप के बाद हब में कोई बदलाव नहीं करना है। क्लाइंट के लिए, आप बार-बार उपयोग करने के लिए एक टेम्पलेट बना सकते हैं। आपके पास प्रवक्ता से कई हब तक कई सुरंगें हो सकती हैं और यह निर्धारित करने के लिए रूटिंग प्रोटोकॉल का उपयोग कर सकते हैं कि कौन से सुरंग को ट्रैफ़िक ओवर किया जाए। इसके अलावा, आप डीवीवीपीएन को मल्टीपॉइंट जीआरई का उपयोग करने के लिए कॉन्फ़िगर कर सकते हैं और प्रवक्ता एक-दूसरे से सीधे ट्रैफिक के माध्यम से बात किए बिना बात कर सकते हैं।

— ट्विडफैकी

4

हो सकता है:

CSCub92666

एएसए: पुराने कनेक्शन स्विचेस पर IPSEC vpn सुरंग को फाड़ देते हैं

लक्षण: IPsec vpn सुरंग में एएसए पर कॉन्फ़िगरेशन पर विफल रहता है, प्राथमिक से बैकअप लिंक कार्यों में विफल रहता है। लेकिन बैकअप से प्राथमिक लिंक पर दूसरे फेल होने के बाद vpn सुरंग कुछ ही मिनटों में फड़फड़ाने लगती है और अस्थिर रहती है। व्यवहार को पुराने बचे हुए कनेक्शन के कारण देखा गया है जो अभी भी बैकअप isp की ओर इशारा करता है।

— t0i
स्रोत

2

मैं उपरोक्त कथनों से सहमत हूं। सरल VTI आधारित IPSEC या वैकल्पिक रूप से DMVPN पर जाएं। बस सुरंगों के भीतर और बिना अलग-अलग रूटिंग के प्रिसोटोल इंस्टेंस चलाना याद रखें। हाँ, आपको ASR को ISRs से बदलना होगा।

क्या दोनों ISP एक ही प्रधान कार्यालय ASA या दो में वापस जा रहे हैं? यदि दो को मुझे देखना मुश्किल है (कम से कम उपलब्ध कॉन्फ़िगरेशन के साथ) तो यह व्यवहार कैसे हो सकता है, लेकिन अगर इसका एएसए (या एक ही जोड़ी) यह संबंधित हो सकता है।

— wintermute000
स्रोत

हाँ, हमारे पास केंद्रीय स्थान में हा जोड़ी है। बीजीपी रूटिंग कई आईएसपी को वहां छुपाता है, लेकिन दूरस्थ कार्यालयों के लिए आईएसपी सीधे एएसए पर समाप्त हो जाता है।

— स्कॉट बौलटिंगहाउस

मैं हेडएंड को अलग कर देता हूं ताकि अन्य आईएसपी कनेक्शन एक अलग डिवाइस पर समाप्त हो जाए या कम से कम एएसए पर एक अलग भौतिक इंटरफ़ेस / आईपी पर आ जाए। एक अलग समाप्ति डिवाइस की मदद / कोशिश करना नि: शुल्क / गैर-विघटनकारी होना चाहिए, बस अभी के लिए एक ISR का उपयोग करें

— विंटरमुट 1000

2

इस सवाल पर एक अनुवर्ती के रूप में मैं इस पर एक साल के लिए सिस्को टीएसी के साथ काम कर रहा हूं। उन्होंने आखिरकार पहचान लिया है कि यह एक बग है जिस तरह से एएसए प्लेटफॉर्म कनेक्शन को संभालता है। अनिवार्य रूप से यह एक इंटरफेस से कनेक्शन को क्लीयर नहीं कर रहा था जब यह सुरंग को दूसरे इंटरफेस में ले गया और यह नियंत्रण से बाहर सर्पिल होगा क्योंकि यह दोनों इंटरफेस के कनेक्शन तालिका में प्रविष्टियों को देखना शुरू कर दिया था।

मैंने IOS संस्करण 8.4.7 को दो आईएसपी के साथ फ़ायरवॉल पर तैनात किया है और यह वास्तव में ठीक से व्यवहार करता प्रतीत होता है। विफलता तब हो रही है जब प्राथमिक इंटरफ़ेस नीचे चला जाता है, और फिर उस इंटरफ़ेस पर वापस आने और उस इंटरफ़ेस पर शेष रहने पर वापस आ रहा है। हम देखेंगे।

— स्कॉट बुलटिंगहाउस
स्रोत

1

क्या आपके पास बग टीएसी पर काम करने के लिए बगटैक आईडी है?

जब प्राथमिक बहाल किया जाता है तो क्या सुरंग बैकअप से प्राथमिक तक जाती है?

— फेडरी