我们最近用新的 ASA 5510 和站点到站点 VPN 取代了国际 MPLS。然而，当我们部署它时，我们遇到了一个问题，其中每个远程位置都有 2 个 ISP 用于冗余，但是当在两个接口上启用 VPN 时，它会在两个接口之间摆动，并且随着隧道被拆除并在它们之间移动，隧道会上下波动ISP。思科已经为此工作了 8 个月，但我们仍然没有与多个 ISP 建立稳定的隧道。

远程办公室：

access-list RWS_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list RWS_TUNNEL extended permit ip object-group BNG_tunnel_NETS object-group CORP_tunnel_NETS
crypto map RWS_TUNNEL 1 match address RWS_TUNNEL
crypto map RWS_TUNNEL 1 set peer 216.xxx.102.2 
crypto map RWS_TUNNEL 1 set transform-set IND-RWS
tunnel-group 216.xxx.102.2 type ipsec-l2l
tunnel-group 216.xxx.102.2 ipsec-attributes
 pre-shared-key *****


route outside 0.0.0.0 0.0.0.0 216.xxx.206.1 1 track 2
route outside2 0.0.0.0 0.0.0.0 182.xxx.26.229 100
sla monitor 55
 type echo protocol ipIcmpEcho 63.251.61.142 interface outside
 num-packets 5
 timeout 1000
 frequency 10
sla monitor schedule 55 life forever start-time now
track 2 rtr 55 reachability

中央办公室：

access-list BNG_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list BNG_TUNNEL extended permit ip object-group CORP_tunnel_NETS object-group BNG_tunnel_NETS 

route outside2 0.0.0.0 0.0.0.0 216.xxx.102.1
crypto map BNG_TUNNEL 1 match address BNG_TUNNEL
crypto map BNG_TUNNEL 1 set peer 182.xxx.26.230 216.xxx.206.4
crypto map BNG_TUNNEL 1 set transform-set L2L

tunnel-group 182.xxx.26.230 type ipsec-l2l
tunnel-group 182.xxx.26.230 ipsec-attributes
 pre-shared-key *****
tunnel-group 216.xxx.206.4 type ipsec-l2l
tunnel-group 216.xxx.206.4 ipsec-attributes
 pre-shared-key *****

所以我发现，当在两个外部接口（远程办公室）上启用 ISAKMP 并且两个 IP 都配置为对等（中心办公室）时，VPN 在两个接口上成功启动，但在某些时候将开始在 IP 之间摆动。无论是否使用 SLA 监控都是如此，因此即使路由都是静态的，行为仍然会发生。

任何见解表示赞赏。