如何使 ASA 隧道终生保持畅通?

网络工程 思科 思科 虚拟专用网 网络安全
2021-07-17 02:54:22

我们有一个 Cisco ASA,在远端我不知道该设备是什么。这是正在发生的事情:

当我发送数据包或生成有趣的流量时,它会启动隧道,一切都开始工作。问题是远程端没有有趣的流量触发器,在我发送数据包并启动隧道之前,他们将无法 ping 我的机器。

我确实设置SLA为生成有趣的流量,但我们有多个子网,每个子网都会创建自己的隧道。

这就是我们在 ACL 中用于生成有趣流量的内容:

Object group name - NET-REMOTE - 172.16.x.x/16

这是ACL:

access-list ACL-VPN extended permit ip 71.x.x.x 255.255.255.0 object-group NET-REMOTE
access-list ACL-VPN extended permit ip 61.x.x.x.x 255.255.254.0 object-group NET-REMOTE
access-list ACL-VPN extended permit ip 10.x.x.x 255.255.0.0 object-group NET-REMOTE

这是 SLA 声明:

sla monitor 10
 type echo protocol ipIcmpEcho 172.16.1.1 interface outside
 frequency 30

我可以看到我的 isakmp 策略生命周期是 86400(24 小时);但是,几分钟后我的隧道仍然被拒绝:

crypto ikev1 policy 20
 authentication pre-share
 encryption 3des
 hash md5
 group 1
 lifetime 86400

目前,我已经从我的一台主机设置了一个连续的 ping 来保持隧道畅通;但是,这不是一个好的解决方案。

必须有一种方法可以更好地做到这一点。

2个回答

您应该能够在组策略属性中禁用它。

组策略“policy_name”属性

vpn-idle-timeout 无

= 评论

在配置模式

事件管理器小程序 PingHost ###> PingHost 是小程序名称

事件计时器看门狗时间 300 ###> 我将它设置为每 5 分钟重复一次

action 1 cli 命令“ping inside 10.4.121.112 repeat 2”###> ping 我在 VPN 另一端的主机

action 2 cli 命令“ping inside 10.4.121.121 repeat 2”###> ping 我在 VPN 另一端的第二台主机

output none ###> 你可以像 syslog 条目一样添加,在我的情况下什么都没有

如果需要,可以添加更多 - 当然将 IP 更改为您尝试访问的主机@##

你需要“在最后

这将从内部接口向您选择的目的地发送带有源的定期 ping - 从而启动隧道

其它你可能感兴趣的问题
上一篇关于基础设施和硬件 下一篇路由器通信中的串行连接可靠吗?