在 Cisco 和 Palo Alto 之间获取 IKEv1 隧道以更快地建立隧道的问题

网络工程 思科 虚拟专用网 艾克 帕洛阿尔托
2022-02-22 23:52:56

我有一个 Cisco 2901 路由器,它有一个带有 Palo Alto 防火墙的 IKEv1 IPSec VPN。我们现有的 VPN 设置存在问题,重新协商时需要很长时间才能恢复隧道(大约 30 分钟左右)。两端具有相同的 IKE 配置文件。我们设法通过将两个对等方显式设置为主模式来修复它。现在重新协商后恢复隧道大约需要 10 分钟左右才能完成。

但是,即使我已经通过设置禁用了激进模式,此消息仍会在日志中弹出crypto isakmp aggressive-mode disable

%CRYPTO-5-IKMP_AG_MODE_DISABLED: Unable to initiate or respond to Aggressive Mode while disabled

两个对等点都可以建立隧道,但仍然需要一段时间才能将其上线。上面的消息不断重复大约 5 到 6 次,并且 IKEv1 协商在此期间失败,直到第 5 次或第 6 次上面的消息出现之后,才使隧道联机。

甚至在我们明确将两个对等方设置为使用主模式之前,此消息就一直弹出。它比以前好,但仍需要一段时间才能让隧道恢复运行。

1个回答

似乎您对此特定消息有更广泛的问题。10分钟重新建立隧道是完全不正常的。

以下是您应该检查的几点:

  • 不再使用 IKEv1,切换到 IKEv2
  • 仔细交叉检查两个端点上的设置,并确保它们匹配。在您的情况下,更具体地说是生命周期价值。
  • 检查两个对等方是否可以启动隧道。如果一个只配置为响应者,那么当它检测到隧道关闭时,它仍然需要等待另一端检测到它并重新启动连接
  • 与上述相关,请确保端点之间的防火墙以及端点本身允许来自两个对等方的流量启动隧道。
  • 如果可能的话,减少提案的数量(最好保留一个-strong-)
  • 如果您使用扩展身份验证,请在相关日志中搜索身份验证过程中可能出现的任何问题
其它你可能感兴趣的问题
上一篇vlan和路由器之间的通信 下一篇推荐在密集的公寓楼设置wifi?