如何在Cisco ASA上重置VPN隧道？

在分别使用ASA 5520和5540的站点到站点VPN上，我注意到不时的流量不再通过，有时仅针对一种特定的流量选择/ ACL甚至缺少流量，而其他流量超过相同的VPN正在运行。即使不断执行ping操作，也会发生这种情况。原因可能是它运行在不稳定的卫星链路上。

如何将VPN重置为工作状态，而不是重新加载ASA之一？

通过输入以下命令可以重置VPN

clear crypto ipsec sa peer <remote-peer-IP>

在一边。以下流量将导致IPSEC隧道重新建立。

您可以一边输入远程IP一边做。或登录到远程站点，但可能必须在VPN外部进行，因此请使用其他接口，例如使用公共IP而不是通过隧道连接的IP。

重新建立隧道时，VPN将会短暂中断。输入该命令后，请确保再次打开隧道，例如对它进行ping操作。

您可以通过ASDM软件以及在命令行中重置隧道。

在ASDM（版本6.3）中：

1. 转到“监视”，然后从“接口”列表中选择“ VPN”
2. 然后展开VPN统计信息，然后单击会话。
3. 从右侧的下拉列表中选择您要查找的隧道类型（例如IPSEC站点到站点）。
4. 单击您想重置的隧道，然后单击注销以重置隧道。

这将导致VPN连接暂时中断，但是在我所看到的大多数情况下，您这样做只是因为隧道已经关闭。

尽管考虑了所有因素，登录CLI和重置隧道更容易，但是我知道有些人沉迷于ASDM。

资源

我只是遇到了一种以前从未意识到的新方法，它提供了与您在ASDM界面中找到的相同信息，包括注销VPN会话的功能。

例如，发出此命令以获取已启动的站点到站点vpn隧道的列表。

show vpn-sessiondb l2l

输出示例：

Connection   : 192.168.1.1
Index        : 330                    IP Addr      : 192.168.121.0
Protocol     : IKE IPsec
Encryption   : DES 3DES               Hashing      : MD5 SHA1
Bytes Tx     : 62226826               Bytes Rx     : 71173170
Login Time   : 17:15:49 PDT Sun Sep 7 2014
Duration     : 19h:08m:49s

然后要注销该VPN隧道，您可以执行以下操作以根据上面显示的索引注销。

vpn-sessiondb logoff index 330

这样做clear ipsec sa peer <peer IP>只会重置IPSec部分。

没有办法只清除一个isakmp隧道。

因此，我所知道的最好方法是从加密映射中删除对等方，然后重新应用它。

no crypto map mymap 40 set peer 12.1.1.1 
crypto map mymap 40 set peer 12.1.1.1 

这样，您可以将对等方带出，等待隧道断开并超时，然后重新应用它。此方法使您可以更好地控制隧道行为。

在8.4上，您可以通过以下方式重置单个ISAKMP连接：

clear cry ikev1 sa <ip>

或者，如果使用ikev2，则：

clear cry ikev2 sa <ip>

在较旧的版本上，我相信命令很简单：

clear cry isa sa <ip>

另外，关于Stefan的答案，如果您在要重置的VPN上对远程设备进行清除，则通常它将重新建立VPN，并且您的SSH会话将立即正常或最多在几秒钟内继续。修改隧道时，我经常在ISR G1和G2路由器上经常这样做。