Отказоустойчивое VPN-соединение между Cisco ASA

21

Недавно мы заменили международный MPLS на новые ASA 5510 и межсетевые VPN-соединения. Однако, когда мы развернули это, мы столкнулись с проблемой, когда у каждого удаленного местоположения есть 2 интернет-провайдера для резервирования, но при включении VPN на обоих интерфейсах это колеблется между двумя, и туннель вверх и вниз, поскольку туннель разрушается и перемещается между Интернет-провайдеры. Cisco работает над этим уже 8 месяцев, и у нас до сих пор нет стабильных туннелей с несколькими провайдерами.

Удаленный офис:

access-list RWS_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list RWS_TUNNEL extended permit ip object-group BNG_tunnel_NETS object-group CORP_tunnel_NETS
crypto map RWS_TUNNEL 1 match address RWS_TUNNEL
crypto map RWS_TUNNEL 1 set peer 216.xxx.102.2 
crypto map RWS_TUNNEL 1 set transform-set IND-RWS
tunnel-group 216.xxx.102.2 type ipsec-l2l
tunnel-group 216.xxx.102.2 ipsec-attributes
 pre-shared-key *****


route outside 0.0.0.0 0.0.0.0 216.xxx.206.1 1 track 2
route outside2 0.0.0.0 0.0.0.0 182.xxx.26.229 100
sla monitor 55
 type echo protocol ipIcmpEcho 63.251.61.142 interface outside
 num-packets 5
 timeout 1000
 frequency 10
sla monitor schedule 55 life forever start-time now
track 2 rtr 55 reachability

Центральный офис:

access-list BNG_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list BNG_TUNNEL extended permit ip object-group CORP_tunnel_NETS object-group BNG_tunnel_NETS 

route outside2 0.0.0.0 0.0.0.0 216.xxx.102.1
crypto map BNG_TUNNEL 1 match address BNG_TUNNEL
crypto map BNG_TUNNEL 1 set peer 182.xxx.26.230 216.xxx.206.4
crypto map BNG_TUNNEL 1 set transform-set L2L

tunnel-group 182.xxx.26.230 type ipsec-l2l
tunnel-group 182.xxx.26.230 ipsec-attributes
 pre-shared-key *****
tunnel-group 216.xxx.206.4 type ipsec-l2l
tunnel-group 216.xxx.206.4 ipsec-attributes
 pre-shared-key *****

Итак, я обнаружил, что, когда ISAKMP включен на обоих внешних интерфейсах (удаленный офис) и оба IP-адреса настроены как одноранговые (центральный офис), VPN успешно запускается на обоих интерфейсах, но в какой-то момент между IP-адресами начнется колебание. Это верно для мониторинга SLA или без него, поэтому, даже если все маршруты статичны, поведение все равно остается.

Любое понимание приветствуется.

Скотт Боултингхаус
источник
Чтобы помочь диагностировать проблему, попробуйте включить функцию «crypto isakmp disconnect-notify» и сообщите нам, что вы нашли. Мне очень любопытно узнать, почему эти туннели в конце концов начинают рушиться.
skrumcd

Ответы:

14

Именно по этой причине я переносил сайты из VPN на основе политик. VPN на основе политик слишком непредсказуемы, когда дело доходит до аварийного поведения. Я предпочитаю туннели IPsec на основе маршрутов, либо двухточечные, либо DMVPN. К сожалению, насколько мне известно, платформа ASA все еще не поддерживает туннели на основе маршрутов.

Джереми Стретч
источник
9

Я бы рекомендовал использовать решение DMVPN для подключения удаленных сайтов через туннели L2L (Lan-to-Lan) IPSec между ASA. Решение DMVPN намного проще, чище и позволит также общаться со спицами.

twidfeki
источник
Можете ли вы уточнить основные идеи, стоящие за этим, и как это будет реализовано?
SimonJGreen
С помощью решения DMVPN вся конфигурация выполняется на стороне клиента (спицы), вам не нужно вносить какие-либо изменения в концентраторы после начальной настройки. Для клиента вы можете создать шаблон для использования снова и снова. Вы можете иметь несколько туннелей от лучей к нескольким концентраторам и использовать протоколы маршрутизации, чтобы определить, через какой туннель маршрутизировать трафик. Кроме того, вы можете настроить DMVPN для использования многоточечной GRE, и спицы могут напрямую общаться друг с другом, не пропуская трафик через концентраторы.
twidfeki
4

Может быть:

CSCub92666

ASA: старые соединения разрушают IPSEC vpn туннель при переключении

Симптом: в туннеле IPsec vpn происходит переключение при сбое конфигурации на ASA, переключение с основного на резервное соединение работает. Но после второго перехода из резервной копии в первичную линию туннель vpn начинает колебаться через несколько минут и остается нестабильным. Поведение наблюдается из-за того, что старое оставшееся соединение все еще указывает на резервный провайдер.

T0i
источник
2

Я согласен с вышеуказанными утверждениями. Перейти простой VTI на основе IPSEC или альтернативно DMVPN. Просто не забывайте запускать разные экземпляры протокола маршрутизации внутри туннелей и без них. Да, вам придется заменить ASA на ISR.

Оба провайдера возвращаются в один головной офис ASA или два? Если два, мне трудно понять (по крайней мере, с доступным конфигом), как это может происходить, но если это тот же ASA (или та же пара), то это может быть связано.

wintermute000
источник
Да, у нас есть пара HA в центральном месте. BGP-маршрутизация скрывает несколько ISP, но для удаленных офисов ISP завершается непосредственно на ASA.
Скотт Боултингхаус
Я бы отделил головной узел, чтобы другое ISP-соединение было прервано на другом устройстве или, по крайней мере, подключено к другому физическому интерфейсу / IP на ASA. Это должно помочь / пробовать другое оконечное устройство должно быть бесплатным / без прерывания работы, просто используйте запасной ISR сейчас
wintermute000
2

В качестве продолжения этого вопроса я работаю с Центром технической поддержки Cisco более года. Они наконец определили, что это ошибка в способе, которым платформа ASA обрабатывает соединения. по сути, он не очищал соединения от одного интерфейса, когда он перемещал туннель к другому интерфейсу, и он выходил из-под контроля, когда начинал видеть записи в таблице соединений из обоих интерфейсов.

Я развернул IOS версии 8.4.7 на брандмауэре с двумя Интернет-провайдерами, и он действительно работает правильно. Аварийное переключение происходит, когда основной интерфейс выходит из строя, а затем возвращается, когда этот интерфейс возвращается И остается на этом интерфейсе. Посмотрим.

Скотт Боултингхаус
источник
1
У вас есть идентификатор ошибки для работы с TAC?
Туннель выгружает из резервной копии первичную при восстановлении первичной?
Федери