ASA IPsec 从相关器表中删除对等点失败,不匹配

网络工程 思科 虚拟专用网 网络安全 网络
2021-07-11 05:49:13

我们有两个ASA 5585ASA 5506我们正在尝试在两个 ASA 之间设置 IPsec VPN 隧道,但收到此错误

[SITE-1]--------互联网------------[SITE-2]

我在调试中遇到此错误,但它没有启动隧道(我看到 ACL 命中计数增加) 

site-2# Dec 13 08:13:47 [IKEv1]Group = 66.XX.XX.33, IP = 66.XX.XX.33, Removing peer from correlator table failed, no match!
Dec 13 08:13:47 [IKEv1]Group = 66.XX.XX.33, IP = 66.XX.XX.33, Session is being torn down. Reason: User Requested

这是SITE-2我在 SITE-1 上的配置和相同的配置(除了不同的加密映射名称和序列号)

!
access-list ACL-VPN-SITE-1 extended permit ip any4 object-group NET-SITE-2
!
sysopt connection tcpmss 1379
service sw-reset-button
crypto ipsec ikev1 transform-set VPN-ESP-AES-SHA esp-aes esp-sha-hmac
crypto ipsec security-association replay window-size 128
crypto ipsec security-association pmtu-aging infinite
crypto ipsec df-bit clear-df outside
!
crypto map VPN 5 match address ACL-VPN-SITE-1
crypto map VPN 5 set pfs
crypto map VPN 5 set peer 66.XX.XX.33
crypto map VPN 5 set ikev1 transform-set VPN-ESP-AES-SHA
crypto map VPN 5 set security-association lifetime seconds 3600
crypto map VPN interface outside
!
crypto isakmp identity address
crypto ikev1 enable outside
crypto ikev1 policy 10
 authentication pre-share
 encryption aes
 hash sha
 group 2
 lifetime 28800
!

tunnel-group 66.XX.XX.33 type ipsec-l2l
tunnel-group 66.XX.XX.33 ipsec-attributes
 ikev1 pre-shared-key *****
 isakmp keepalive threshold 10 retry 10
1个回答

使用access-list ACL-VPN-SITE-1,您可以为站点 1 的不同子网设置多条线路。

如果您想要一个单行访问列表,您需要将站点 1 的所有子网(用于 VPN 流量)放在一个对象组(例如:对象组 NET-SITE-1)下,然后您的access-list ACL-VPN-SITE-1将是:

access-list ACL-VPN-SITE-1 extended permit ip object-group NET-SITE-1 object-group NET-SITE-2

您需要在其他站点反映这些规则。

其它你可能感兴趣的问题
上一篇电缆调制解调器和拨号调制解调器有什么区别? 下一篇将命令行发送到系统日志服务器