永久保持 Cisco 站点到站点隧道正常运行

网络工程 思科 思科-ASA 虚拟专用网 ipsec 站点到站点
2022-02-11 09:17:17

我有远程 Cisco ASA 站点到站点隧道,但我无法控制。

我有以下配置:

crypto ikev1 policy 10
 authentication pre-share
 encryption aes
 hash sha
 group 2
 lifetime 28800

加密地图

crypto map VPN 10 match address ACL-VPN
crypto map VPN 10 set pfs
crypto map VPN 10 set peer 201.222.X.X
crypto map VPN 10 set ikev1 transform-set VPN-ESP-AES-SHA
crypto map VPN 10 set security-association lifetime seconds 3600
crypto map VPN interface outside

隧道组

tunnel-group 201.222.X.X type ipsec-l2l
tunnel-group 201.222.X.X ipsec-attributes
 ikev1 pre-shared-key *****
 isakmp keepalive threshold 10 retry 10

一个选项我有 SLA icmp 来生成流量并保持流量,但是如果我不想使用SLA功能,我还需要什么其他选项来弥补?

如果我将 isakmp 生命周期更改为zero是否需要更改远程端?

编辑 - 1

在此处输入图像描述

  • 如果我从 PC-1 ping 到 10.10.10.x 范围内的任何 ip(无论是向上还是向下),我的 vpn 隧道都会触发并向上

  • 如果我从 ASA-Local ping 到 10.10.10.x 范围内的 ip,vpn 隧道不会启动,因为它使用的outside接口默认为 ping。

  • 如果我使用此命令从 ASA-Local pingping inside 10.10.10.1我的隧道将触发并正常工作。

2个回答

您的选择是:

  1. IP SLA
  2. 始终通过从主机/服务器到主机/服务器的隧道发送一些东西以保持隧道正常运行(实际上只是另一种形式的 IP SLA)
  3. 在两侧配置生命周期(仅更改一侧会导致其他问题)。

编辑(响应如何应用组策略):

tunnel-group 74.201.x.x general-attributes
 default-group-policy FOO

编辑 2(响应 SLA​​ 源接口):

sla monitor <number>
 type echo protocol ipIcmpEcho <target> interface <source interface>

https://community.cisco.com/t5/vpn/keep-a-vpn-tunnel-on-asa/mp/3789508

您会发现 ASA 嵌入式事件管理器非常有用

其它你可能感兴趣的问题
上一篇OpenFlow队列和802.1p有什么区别 下一篇防火墙和VPN配置?