Cisco ASA站点到站点VPN故障转移

21

最近,我们用新的ASA 5510和站点到站点VPN取代了国际MPLS。但是,当我们部署它时,我们遇到了一个问题,其中每个远程位置都有2个ISP进行冗余,但是当在两个接口上启用VPN时,它会在两个接口之间摆动,并且随着隧道的拆除和在隧道之间的移动,隧道也会上下移动。 ISP。思科已经为此工作了8个月,但我们仍然没有与多个ISP保持稳定的隧道。

远程办公室: 

access-list RWS_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list RWS_TUNNEL extended permit ip object-group BNG_tunnel_NETS object-group CORP_tunnel_NETS
crypto map RWS_TUNNEL 1 match address RWS_TUNNEL
crypto map RWS_TUNNEL 1 set peer 216.xxx.102.2 
crypto map RWS_TUNNEL 1 set transform-set IND-RWS
tunnel-group 216.xxx.102.2 type ipsec-l2l
tunnel-group 216.xxx.102.2 ipsec-attributes
 pre-shared-key *****


route outside 0.0.0.0 0.0.0.0 216.xxx.206.1 1 track 2
route outside2 0.0.0.0 0.0.0.0 182.xxx.26.229 100
sla monitor 55
 type echo protocol ipIcmpEcho 63.251.61.142 interface outside
 num-packets 5
 timeout 1000
 frequency 10
sla monitor schedule 55 life forever start-time now
track 2 rtr 55 reachability

中心办公室: 

access-list BNG_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list BNG_TUNNEL extended permit ip object-group CORP_tunnel_NETS object-group BNG_tunnel_NETS 

route outside2 0.0.0.0 0.0.0.0 216.xxx.102.1
crypto map BNG_TUNNEL 1 match address BNG_TUNNEL
crypto map BNG_TUNNEL 1 set peer 182.xxx.26.230 216.xxx.206.4
crypto map BNG_TUNNEL 1 set transform-set L2L

tunnel-group 182.xxx.26.230 type ipsec-l2l
tunnel-group 182.xxx.26.230 ipsec-attributes
 pre-shared-key *****
tunnel-group 216.xxx.206.4 type ipsec-l2l
tunnel-group 216.xxx.206.4 ipsec-attributes
 pre-shared-key *****

因此,我发现,当在两个外部接口(远程办公室)上都启用了ISAKMP并且两个IP被配置为对等端(中心办公室)时,VPN会在两个接口上成功建立,但是有时会在IP之间开始震荡。无论有没有SLA监视,这都是正确的,因此,即使路由全部是静态的,行为仍然会发生。

任何见解均表示赞赏。

cisco  cisco-asa  vpn  failover  redundancy 
斯科特·鲍灵豪斯(Scott Boultinghouse)
source
为了帮助诊断问题,请尝试启用“ crypto isakmp断开通知”功能,并让我们知道您的发现。我很想知道为什么这些隧道最终开始震荡。
skrumcd

Answers:

14

出于这个原因,我一直在从基于策略的VPN迁移站点。当涉及到故障转移行为时,基于策略的VPN太不可预测了。我更喜欢基于路由的IPsec隧道,即点对点或DMVPN。不幸的是,据我所知,ASA平台仍然不支持基于路由的隧道。

杰里米·舒特
source
9

我建议使用DMVPN解决方案通过ASA之间的L2L(局域网到局域网)IPSec隧道连接远程站点。DMVPN解决方案更容易,更清洁,并且也允许辐对讲通信。

twidfeki
source
您能否详细说明其背后的基本思想以及如何实施?
SimonJGreen
使用DMVPN解决方案,所有配置都在客户端(分支)上完成,您无需在初始设置后对集线器进行任何更改。对于客户端,您可以创建一个模板来反复使用。您可以具有从分支到多个集线器的多个隧道,并使用路由协议来确定将流量路由到哪个隧道。另外,您可以将DMVPN配置为使用多点GRE,并且辐条可以直接相互通信,而无需通过集线器传递流量。
twidfeki
4

可能:

CSCub92666

ASA:旧连接在切换时拆除IPSEC vpn隧道

症状:在ASA上的IPsec vpn隧道故障转移配置中,从主链路到备份链路的故障转移有效。但是,从备份到主链路vpn隧道的第二次故障转移后,几分钟后开始震荡,并且仍然不稳定。由于旧的剩余连接仍指向备份isp,因此可以观察到该行为。

00
source
2

我同意上述说法。使用简单的基于VTI的IPSEC或DMVPN。只需记住在隧道内和不在隧道内运行不同的路由协议实例即可。是的,您必须用ISR替换ASA。

两家ISP是否都回到一个或两个单一的总部ASA?如果有两个,我很难看清(至少在配置可用的情况下)如何发生此行为,但是如果它是相同的ASA(或相同的对),则可能是相关的。

wintermute000
source
是的,我们在中心位置有一个HA对。BGP路由将多个ISP隐藏在那里,但是对于远程办公室,ISP直接终止于ASA。
Scott Boultinghouse,
我拆分了前端,以便其他ISP连接在另一台设备上终止,或者至少在ASA上的另一物理接口/ IP上进入。那应该有助于/尝试使用其他终端设备应该是免费的/无干扰的,现在就使用备用ISR
wintermute000
2

作为该问题的后续措施,我已经与Cisco TAC进行了一年以上的合作。他们最终确定这是ASA平台处理连接方式的错误。从本质上讲,当它将隧道移动到另一个接口时,并没有清除一个接口的连接,当它开始看到连接表中两个接口的条目时,它将失去控制。

我已经在具有两个ISP的防火墙上部署了IOS版本8.4.7,实际上它似乎运行正常。当主接口关闭时发生故障转移,然后在主接口返回并保留在该接口上时移回。我们拭目以待。

斯科特·鲍灵豪斯(Scott Boultinghouse)
source
1
您是否有TAC处理过的错误的错误ID?
还原主数据库后,隧道是否会从备份到主数据库抢占?
费德里
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.