网络工程 - 使用 ASA 5505 使站点到站点 VPN 工作时遇到问题 - 吾爱随笔录

使用 ASA 5505 使站点到站点 VPN 工作时遇到问题

网络工程思科思科-ASA 虚拟专用网隧道

2022-02-16 08:04:20

我在我的 ASA 上得到了这个，我不确定为什么远程隧道不起作用。

7|Jun 07 2015|20:03:19|713236|||||IP = remoteIP, IKE_DECODE SENDING Message (msgid=5b87b9d6) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
7|Jun 07 2015|20:03:19|715046|||||Group = remoteip, IP = remoteip, constructing qm hash payload
7|Jun 07 2015|20:03:19|715046|||||Group = remoteip, IP = remoteip, constructing blank hash payload
7|Jun 07 2015|20:03:19|715036|||||Group = remoteip, IP = remoteip, Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x7056e351)
7|Jun 07 2015|20:03:19|715075|||||Group = remoteip, IP = remoteip, Received keep-alive of type DPD R-U-THERE (seq number 0x7056e351)
7|Jun 07 2015|20:03:19|715047|||||Group = remoteip, IP = remoteip, processing notify payload
7|Jun 07 2015|20:03:19|715047|||||Group = remoteip, IP = remoteip, processing hash payload
7|Jun 07 2015|20:03:19|713236|||||IP = remoteip, IKE_DECODE RECEIVED Message (msgid=696d6f13) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
7|Jun 07 2015|20:03:19|713906|||||IKE Receiver: Packet received on localip:500 from remoteip:500

我正在另一个 ASA 5505 上完成第 1 阶段和第 2 阶段。

1个回答

您所看到的完全是可操作的 Site-Site VPN。关键在这里：

Group = remoteip, IP = remoteip, Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x7056e351)
Group = remoteip, IP = remoteip, Received keep-alive of type DPD R-U-THERE (seq number 0x7056e351)

这些消息是所谓的死对端检测或DPD的一部分。DPD 定期向对方发送保持活动消息（称为“ RU-THERE ”消息）。在接收到这样的消息后，另一个对等点将响应一个保持活动确认（称为“ RU-THERE-ACK ”）。这会通知原始对等点，对等点之间的完整双向连接工作正常。DPD 的操作在RFC 3706中有更详细的描述。

就其价值而言，您的日志消息是倒退的。底部消息是最旧的，顶部消息是最新的。

也就是说，仅当未检测到活动流量时才会发送 ASA 上的 DPD。因为如果检测到双向的流量，则本质上确认隧道已启动，因此不需要额外的验证。如果最近没有看到流量，则 ASA 仅开始发送 DPD 保持活动。

所以最后，你向我们展示了一个完全工作的隧道的调试。您发布的内容中没有任何内容表明存在问题。因此，如果确实存在问题，您将不得不提供更多的调试和上下文，甚至可能是示例配置。我还建议输出show ipsec sa和 show vpn-sessiondb。

其它你可能感兴趣的问题

上一篇IP网络有什么用途？应用层也包括实际的软件吗？下一篇无法从 VLAN 上的 PC 访问万维网