क्रमशः एएसए 5520 और 5540 का उपयोग करते हुए साइट-टू-साइट वीपीएन पर, मैंने देखा कि समय-समय पर ट्रैफ़िक किसी भी अधिक नहीं गुजरता है, कभी-कभी बस एक विशिष्ट ट्रैफ़िक चयन / एसीएल के लिए लापता ट्रैफ़िक होता है जबकि अन्य ट्रैफ़िक वही वीपीएन चल रहा है। यह तब भी होता है जब एक निरंतर पिंग चल रहा हो। कारण यह हो सकता है कि यह एक उपग्रह लिंक पर चलता है जो पूरी तरह से स्थिर नहीं है।
मैं एएसएएस में से एक को फिर से लोड करने के बजाय वीपीएन को कार्यशील स्थिति में कैसे रीसेट कर सकता हूं?
जवाबों:
दर्ज करके वीपीएन को रीसेट किया जा सकता है
clear crypto ipsec sa peer <remote-peer-IP>
एक तरफ। निम्न ट्रैफ़िक के कारण IPSEC टनल को फिर से स्थापित किया जाएगा।
आप इसे अपनी तरफ से कर सकते हैं, दूरस्थ आईपी में प्रवेश कर सकते हैं। या दूरस्थ साइट पर लॉगिन करें, लेकिन संभवतः आपको वीपीएन के बाहर करना होगा, इसलिए एक अलग इंटरफ़ेस का उपयोग करना, उदाहरण के लिए आईपी के बजाय सार्वजनिक आईपी का उपयोग करना जिससे आप सुरंग के माध्यम से कनेक्ट होते हैं।
सुरंग को फिर से स्थापित करते समय एक छोटा वीपीएन आउटेज होगा। उस आदेश में प्रवेश करने के बाद, सुनिश्चित करें कि सुरंग फिर से ऊपर है, जैसे कि इसके माध्यम से पिंग करना।
आप एएसडीएम सॉफ्टवेयर के साथ-साथ कमांड लाइन में सुरंग को रीसेट कर सकते हैं।
ASDM (संस्करण 6.3) में:
यह वीपीएन कनेक्शन के एक अस्थायी आउटेज का कारण होगा, लेकिन ज्यादातर मामलों में मैंने देखा है, आप केवल ऐसा कर रहे हैं क्योंकि सुरंग पहले से ही नीचे है।
हालांकि सभी बातों पर विचार किया जाता है, सीएलआई में प्रवेश करना और सुरंग को रीसेट करना आसान है, लेकिन मैं कुछ लोगों को जानता हूं जो एएसडीएम के आदी हैं।
मैं अभी एक नए तरीके से सामने आया था, जिसके बारे में मुझे पहले कभी जानकारी नहीं थी और आपको ASDM इंटरफ़ेस में वही जानकारी मिलती है, जिसमें vpn सत्र लॉगऑफ़ करने की सुविधा शामिल है।
उदाहरण के लिए इसे जारी करने के लिए साइट की एक सूची प्राप्त करने के लिए साइट वीपीएन सुरंगें जो ऊपर हैं।
show vpn-sessiondb l2l
आउटपुट उदाहरण:
Connection : 192.168.1.1
Index : 330 IP Addr : 192.168.121.0
Protocol : IKE IPsec
Encryption : DES 3DES Hashing : MD5 SHA1
Bytes Tx : 62226826 Bytes Rx : 71173170
Login Time : 17:15:49 PDT Sun Sep 7 2014
Duration : 19h:08m:49s
फिर उस वीपीएन टनल को लॉगऑफ करने के लिए आप ऊपर दिखाए गए इंडेक्स में लॉगऑफ के लिए निम्न को निष्पादित कर सकते हैं।
vpn-sessiondb logoff index 330
करने clear ipsec sa peer <peer IP>से केवल IPSec भाग रीसेट हो जाएगा।
वहाँ सिर्फ एक isakmp सुरंग को साफ करने का एक तरीका नहीं है।
इसलिए मुझे पता है कि सबसे अच्छा तरीका है कि सहकर्मी को क्रिप्टो नक्शे से हटा दें और इसे फिर से लागू करें।
no crypto map mymap 40 set peer 12.1.1.1
crypto map mymap 40 set peer 12.1.1.1
इस तरह आप सहकर्मी को बाहर ले जा सकते हैं, सुरंग के नीचे आने और समय के लिए रुकने की प्रतीक्षा कर सकते हैं, फिर उसे पुन: लागू कर सकते हैं। यह विधि आपको सुरंगों के व्यवहार पर अधिक नियंत्रण प्रदान करती है।
8.4 पर आप एकल ISAKMP कनेक्शन को रीसेट कर सकते हैं:
clear cry ikev1 sa <ip>
या यदि ikev2 का उपयोग कर रहे हैं, तो:
clear cry ikev2 sa <ip>
पुराने संस्करणों पर, मेरा मानना है कि कमांड बस है:
clear cry isa sa <ip>
इसके अलावा स्टीफन के उत्तर के संबंध में, यदि आप वीपीएन को रीसेट कर रहे किसी रिमोट डिवाइस पर स्पष्ट करते हैं, तो आमतौर पर यह वीपीएन को फिर से स्थापित कर देगा और आपका एसएसएच सत्र सामान्य रूप से प्रति सेकंड या अधिकतम सेकंड में जारी रहेगा। मैं ISR G1 और G2 राउटर पर अपनी सुरंगों को संशोधित करते समय हर समय ऐसा करता हूं।
clear crypto isakmp saकमांड पीयर को रीसेट करने के लिए एक तर्क को स्वीकार नहीं करते हैं। यह सभी ISAKMP सत्रों को रीसेट करता है।