Cisco ASA 사이트 간 VPN 장애 조치

21

최근 국제 MPLS를 새로운 ASA 5510 및 사이트 간 VPN으로 교체했습니다. 그러나 우리가 이것을 배포 할 때 각 원격 위치에 중복성을 위해 2 개의 ISP가있는 문제가 발생했지만 두 인터페이스에서 VPN을 활성화하면 두 인터페이스 사이에서 VPN이 퍼지고 터널이 찢어지고 움직일 때 터널이 위아래로 움직입니다. ISP. 시스코는 현재 8 개월 동안이 작업을 해왔으며 여러 ISP를 보유한 안정적인 터널은 아직 없습니다.

원격 사무실 : 

access-list RWS_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list RWS_TUNNEL extended permit ip object-group BNG_tunnel_NETS object-group CORP_tunnel_NETS
crypto map RWS_TUNNEL 1 match address RWS_TUNNEL
crypto map RWS_TUNNEL 1 set peer 216.xxx.102.2 
crypto map RWS_TUNNEL 1 set transform-set IND-RWS
tunnel-group 216.xxx.102.2 type ipsec-l2l
tunnel-group 216.xxx.102.2 ipsec-attributes
 pre-shared-key *****


route outside 0.0.0.0 0.0.0.0 216.xxx.206.1 1 track 2
route outside2 0.0.0.0 0.0.0.0 182.xxx.26.229 100
sla monitor 55
 type echo protocol ipIcmpEcho 63.251.61.142 interface outside
 num-packets 5
 timeout 1000
 frequency 10
sla monitor schedule 55 life forever start-time now
track 2 rtr 55 reachability

중앙 사무소 : 

access-list BNG_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list BNG_TUNNEL extended permit ip object-group CORP_tunnel_NETS object-group BNG_tunnel_NETS 

route outside2 0.0.0.0 0.0.0.0 216.xxx.102.1
crypto map BNG_TUNNEL 1 match address BNG_TUNNEL
crypto map BNG_TUNNEL 1 set peer 182.xxx.26.230 216.xxx.206.4
crypto map BNG_TUNNEL 1 set transform-set L2L

tunnel-group 182.xxx.26.230 type ipsec-l2l
tunnel-group 182.xxx.26.230 ipsec-attributes
 pre-shared-key *****
tunnel-group 216.xxx.206.4 type ipsec-l2l
tunnel-group 216.xxx.206.4 ipsec-attributes
 pre-shared-key *****

내가 찾은 것은 ISAKMP가 외부 인터페이스 (원격 사무실) 모두에서 활성화되고 두 IP가 피어 (중앙 사무실)로 구성되면 VPN이 두 인터페이스에서 성공적으로 생성되지만 어느 시점에서 IP 사이에서 플 래핑이 시작된다는 것입니다. 이는 SLA 모니터링이 있거나없는 경우에 해당되므로 경로가 모두 정적 인 경우에도 여전히 동작이 발생합니다.

모든 통찰력을 부탁드립니다.

cisco  cisco-asa  vpn  failover  redundancy 
스콧 ult 팅 하우스
소스
문제를 진단하려면 "crypto isakmp disconnect-notify"기능을 활성화하고 찾은 내용을 알려주십시오. 왜 그 터널들이 결국 플랩되기 시작하는지 궁금합니다.
skrumcd

답변:

14

이런 이유로 정책 기반 VPN에서 사이트를 마이그레이션하고 있습니다. 장애 조치 동작과 관련하여 정책 기반 VPN이 너무 예측할 수 없습니다. 포인트 투 포인트 또는 DMVPN과 같은 경로 기반 IPsec 터널을 선호합니다. 안타깝게도 ASA 플랫폼은 여전히 ​​경로 기반 터널을 지원하지 않습니다.

제레미 스트레치
소스
9

DMVPN 솔루션을 사용하여 ASA간에 L2L (Lan-to-Lan) IPSec 터널을 통해 원격 사이트를 연결하는 것이 좋습니다. DMVPN 솔루션은 훨씬 쉽고 깨끗하며 스포크 간 통신도 가능합니다.

twidfeki
소스
이것에 대한 근본적인 생각과 이것이 어떻게 구현 될 것인지에 대해 자세히 설명 할 수 있습니까?
SimonJGreen
DMVPN 솔루션을 사용하면 모든 구성이 클라이언트 측 (스포크)에서 수행되므로 초기 설정 후 허브를 변경할 필요가 없습니다. 클라이언트의 경우 반복해서 사용할 템플릿을 만들 수 있습니다. 스포크에서 여러 허브로 여러 터널을 보유하고 라우팅 프로토콜을 사용하여 트래픽을 라우팅 할 터널을 결정할 수 있습니다. 또한 멀티 포인트 GRE를 사용하도록 DMVPN을 구성 할 수 있으며 스포크는 허브를 통해 트래픽을 전달하지 않고도 서로 직접 대화 할 수 있습니다.
twidfeki
4

될 수 있습니다 :

CSCub92666

ASA : 스위치 오버시 이전 연결로 IPSEC VPN 터널 분리

증상 : ASA의 IPsec VPN 터널 장애 조치 구성에서 기본 링크에서 백업 링크로 장애 조치가 작동합니다. 그러나 백업에서 기본 링크 VPN 터널로의 두 번째 장애 조치 후 몇 분 안에 플 래핑이 시작되고 불안정하게 유지됩니다. 이전 남은 연결이 여전히 백업 isp를 가리키고 있기 때문에이 동작이 관찰됩니다.

t0i
소스
2

위의 내용에 동의합니다. 간단한 VTI 기반 IPSEC 또는 DMVPN으로 이동하십시오. 터널 내외부에서 다른 라우팅 프로토콜 인스턴스를 실행해야합니다. 예, ASA를 ISR로 교체해야합니다.

두 ISP 모두 단일 본사 ASA로 돌아가고 있습니까? 두 개가 있으면 (적어도 구성을 사용할 수 있음)이 동작이 어떻게 발생하는지 알기가 어렵지만 동일한 ASA (또는 동일한 쌍)이면 관련 될 수 있습니다.

겨울의
소스
예, 중앙에 HA 쌍이 있습니다. BGP 라우팅은 여러 ISP를 숨기지 만 원격 사무실의 경우 ISP가 ASA에서 직접 종료됩니다.
Scott Boultinghouse
헤드 엔드를 분리하여 다른 ISP 연결이 다른 장치에서 종료되거나 최소한 ASA의 다른 물리적 인터페이스 / IP에서 시작되도록했습니다. 즉 지금 단지에 대한 예비 ISR을 사용, 무료 / 비 파괴를해야 다른 종단 장치를 시도 / 도움이 될 것입니다
wintermute000
2

이 질문에 대한 후속 조치로 저는 1 년 이상 Cisco TAC와 협력 해 왔습니다. 그들은 마침내 이것이 ASA 플랫폼이 연결을 처리하는 방식의 버그임을 확인했습니다. 본질적으로 터널을 다른 인터페이스로 옮길 때 한 인터페이스에서 연결을 지우지 않았으며 연결 테이블의 항목이 두 인터페이스에서 모두 보이기 시작하면 제어에서 벗어날 것입니다.

두 개의 ISP가있는 방화벽에 IOS 버전 8.4.7을 배포했으며 실제로 제대로 작동하는 것 같습니다. 기본 인터페이스가 다운되면 페일 오버가 발생하고 해당 인터페이스가 다시 돌아와서 해당 인터페이스에 남아 있으면 페일 오버가 발생합니다. 우리는 볼 수 있습니다.

스콧 ult 팅 하우스
소스
1
TAC가 작업 한 버그에 대한 버그 압정 ID가 있습니까?
기본이 복원 될 때 터널이 백업에서 기본으로 선점됩니까?
Federi
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.