Как я могу сбросить VPN-туннель на Cisco ASA?

16

В VPN типа «сеть-сеть», использующей ASA 5520 и 5540 соответственно, я заметил, что время от времени трафик больше не проходит, иногда просто пропускается трафик только для одного конкретного выбора трафика / ACL, в то время как другой трафик превышает тот же VPN работает. Это происходит, даже несмотря на постоянный пинг. Причиной может быть то, что он работает через спутниковую связь, которая не является абсолютно стабильной.

Как я могу сбросить VPN в рабочее состояние вместо перезагрузки одного из ASA?

Стефан
источник

Ответы:

28

VPN можно сбросить, введя

clear crypto ipsec sa peer <remote-peer-IP>

на одной стороне. Следующий трафик приведет к восстановлению туннеля IPSEC.

Вы можете сделать это на своей стороне, введя удаленный IP. Или войдите на удаленный сайт, но, возможно, вам придется делать это вне VPN, поэтому используйте другой интерфейс, например, используя публичный IP вместо IP, к которому вы подключаетесь через туннель.

При восстановлении туннеля произойдет короткий сбой VPN. После ввода этой команды убедитесь, что туннель снова работает, например, выполняя эхо-запрос.

Стефан
источник
14

Вы можете сбросить туннель с помощью программного обеспечения ASDM, а также в командной строке.

В ASDM (версия 6.3):

  1. Перейдите в Мониторинг, затем выберите VPN из списка Интерфейсов.
  2. Затем разверните статистику VPN и нажмите «Сессии».
  3. Выберите тип туннеля, который вы ищете, из выпадающего меню (например, IPSEC Site-To-Site).
  4. Нажмите на туннель, который вы хотите сбросить, а затем нажмите Выход, чтобы сбросить туннель.

Это приведет к временному отключению VPN-подключения, но в большинстве случаев, как я видел, вы делаете это только потому, что туннель уже отключен.

Учитывая все обстоятельства, проще войти в CLI и сбросить туннель, но я знаю некоторых людей, которые зависимы от ASDM.

Источник

Бретт Ликинс
источник
9

Я просто наткнулся на новый способ, о котором я никогда не знал прежде, и предлагает ту же информацию, которую вы найдете в интерфейсе ASDM, включая функцию выхода из сеанса vpn.

Выполните это, например, чтобы получить список запущенных туннелей vpn между сайтами.

show vpn-sessiondb l2l

пример вывода:

Connection   : 192.168.1.1
Index        : 330                    IP Addr      : 192.168.121.0
Protocol     : IKE IPsec
Encryption   : DES 3DES               Hashing      : MD5 SHA1
Bytes Tx     : 62226826               Bytes Rx     : 71173170
Login Time   : 17:15:49 PDT Sun Sep 7 2014
Duration     : 19h:08m:49s

Затем, чтобы выйти из этого VPN-туннеля, вы можете выполнить следующие действия для выхода из системы на основе индекса, показанного выше.

vpn-sessiondb logoff index 330
Джим Скотт
источник
8

При этом clear ipsec sa peer <peer IP>будет сброшена только часть IPSec.

Нет способа очистить только один туннель isakmp.

Поэтому лучший способ, который я знаю, - это удалить одноранговый узел с криптографической карты и повторно применить его.

no crypto map mymap 40 set peer 12.1.1.1 
crypto map mymap 40 set peer 12.1.1.1 

Таким образом, вы можете вывести сверстника, подождать, пока туннель не рухнет, и время ожидания истекло, а затем повторно применить его. Этот метод дает вам больше контроля над поведением туннелей.

tunnelsup
источник
7

На 8.4 вы можете сбросить одно соединение ISAKMP через:

clear cry ikev1 sa <ip>

Или, если вы используете ikev2, то:

clear cry ikev2 sa <ip>

В старых версиях, я считаю, что команда просто:

clear cry isa sa <ip>

Также, что касается ответа Стефана, если вы выполняете сброс на удаленном устройстве через VPN, которую вы переустанавливаете, обычно она восстанавливает VPN, и ваш сеанс SSH будет продолжаться в обычном режиме мгновенно или, самое большее, в течение нескольких секунд. Я делаю это довольно часто на маршрутизаторах ISR G1 и G2 все время при изменении их туннелей.

some_guy_long_gone
источник
4
На ASA более старая clear crypto isakmp saкоманда не принимает аргумент для однорангового узла для сброса. Сбрасывает все сеансы ISAKMP.
Джеймс Снирингер