我有 L2L 隧道,其中一些在边缘电路上,经常出现以下消息:
%ASA-3-713123:组 = 50.xxx,IP = 50.xxx,IKE 与远程对等方失去联系,删除连接(keepalive 类型:DPD)
这些是静态定义的隧道,通常它们会在几秒钟内返回。这些没有二级同行。
我可以找到很多关于如何为 DPD 保持连接设置阈值和重试的信息,但很少有关于何时使用以及如何确定最佳设置的指导。
我已经测试过更改它们,并且可以进行更改,并且没有发生任何不好的事情,但是我不确定是否发生了任何好事(总体上频繁的上/下反弹,在任何给定的隧道上都不常见)。在我开始在生产中更改一堆之前,我希望进行一次健全性检查:
在边缘电路上(其中一些质量低且偶尔太忙),特别是没有辅助对等点,DPD 应该变慢(如果有的话),这似乎是合乎逻辑的,所以我想改变重试从2 秒(共 6 秒)到 10 秒(共 30 秒)。
然而,扩大门槛似乎没有任何好处。如果调整重试时间,是否有任何理由调整阈值?
虽然有些文件说你必须对称地设置这些,但我认为在调试中观察不同的值并没有什么坏处。虽然我不打算有所不同,但部署到每个路由器需要时间——如果一段时间内它们在两端不同(但没有关闭),是否有任何问题?
看来每个隧道(在每一端)都需要单独更改。我尝试更改 DefaultL2LGroup(认识到我们有单独的静态隧道组),正如预期的那样,它对它们没有影响。我是否正确无法更改默认值,并且您必须更改每个隧道(和每个端点)?
环境:一般是ASA5505,少数5525和5515,版本从8.2(5)59到9.5(2)6不等。辐条上的电路通常是低速的(电缆调制解调器、DSL 等)并且通常不忙,但偶尔会太忙。
大约有 85 条隧道需要更改,所以即使这相对安全(并且看起来是),我也宁愿只做一次。听起来我是在正确的轨道上吗?