Как сбросить туннель VPN в Cisco ASA?

В VPN-сети с использованием ASA 5520 и 5540, соответственно, я заметил, что время от времени трафик не проходит больше, иногда просто отсутствует трафик только для одного конкретного выбора трафика /ACL, а другой трафик по той же VPN работает. Это происходит даже при постоянном пинге. Причина может заключаться в том, что он работает по спутниковой линии, которая не является абсолютно стабильной.

Как сбросить VPN в рабочее состояние, вместо перезагрузки одного из ASAs?

14 голосов | спросил Stefan 20 Maypm13 2013, 16:14:16

5 ответов


24

VPN можно сбросить, введя

  clear ipsec sa peer <remote-peer-IP>
 

с одной стороны. Следующий трафик приведет к восстановлению туннеля IPSEC.

Вы можете сделать это на своей стороне, введя удаленный IP-адрес. Или войдите на удаленный сайт, но, возможно, вам придется делать это за пределами VPN, поэтому используйте другой интерфейс, например, используя общедоступный IP-адрес вместо IP-адреса, к которому вы подключаетесь через туннель.

При восстановлении туннеля произойдет короткое переключение VPN. После ввода этой команды убедитесь, что туннель снова поднят, например, проведите через него.

ответил Stefan 20 Maypm13 2013, 16:14:16
11

Вы можете сбросить туннель через программное обеспечение ASDM, а также в командной строке.

В ASDM (версия 6.3):

  1. Перейдите в раздел Мониторинг, затем выберите VPN из списка интерфейсов.
  2. Затем разверните статистику VPN и нажмите «Сеансы».
  3. Выберите тип туннеля, который вы ищете, из раскрывающегося списка справа (например, IPSEC Site-To-Site).
  4. Нажмите на туннель, который вы хотите сбросить, а затем нажмите «Выход», чтобы сбросить туннель.

Это приведет к временному отключению VPN-соединения, но в большинстве случаев, которое я видел, вы делаете это только потому, что туннель уже отключен.

Все, что считается, однако, легче войти в CLI и сбросить туннель, но я знаю некоторых людей, которые пристрастились к ASDM.

Источник

ответил Brett Lykins 20 Maypm13 2013, 20:35:24
7

В 8.4 вы можете сбросить одно соединение ISAKMP с помощью:

  clear cry ikev1 sa <ip>
 

Или, если вы используете ikev2, тогда:

  clear cry ikev2 sa <ip>
 

В старых версиях я считаю, что команда просто:

  clear cry isa sa <ip>
 

Также в отношении ответа Стефана, если вы очистите удаленное устройство по VPN, которое вы сбросите, как правило, он восстановит VPN, и ваш сеанс SSH будет продолжаться в течение мгновенного или не более чем через несколько секунд. Я делаю это довольно часто на маршрутизаторах ISR G1 и G2 все время, когда они изменяют свои туннели.

ответил some_guy_long_gone 31 Mayam13 2013, 03:33:31
7

Я только что наткнулся на новый способ, о котором я никогда не знал, и предлагает ту же информацию, которую вы найдете в интерфейсе ASDM, включая функцию выхода из сеанса vpn.

Выполните это, например, чтобы получить список туннелей vpn для сайта на сайте.

  show vpn-sessiondb l2l
 
Пример вывода

:

  Соединение: 192.168.1.1
Индекс: 330 IP-адрес: 192.168.121.0
Протокол: IKE IPsec
Шифрование: DES 3DES Хеширование: MD5 SHA1
Байты Tx: 62226826 Bytes Rx: 71173170
Время входа: 17:15:49 PDT Sun Sep 7 2014
Продолжительность: 19h: 08m: 49s
 

Затем, чтобы выйти из этого туннеля VPN, вы можете выполнить следующее для выхода из системы, показанного выше.

  vpn-sessiondb logoff index 330
 
ответил Jim Scott 8 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowMon, 08 Sep 2014 23:31:30 +0400 2014, 23:31:30
6

Выполняя clear ipsec sa peer <peer IP> , только сбросит часть IPSec.

Невозможно очистить только один туннель isakmp.

Поэтому лучшим способом, который я знаю, является удаление сверстника из криптографической карты и его повторное применение.

  no crypto map mymap 40 set peer 12.1.1.1
crypto map mymap 40 set peer 12.1.1.1
 

Таким образом вы можете вывести пэра, дождаться, когда туннель спустится, и тайм-аут, а затем повторить его. Этот метод дает вам больше контроля над поведением туннелей.

ответил tunnelsup 24 Mayam13 2013, 01:22:55

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132