Wie kann ich einen VPN-Tunnel auf einem Cisco ASA zurücksetzen?

15

Bei einem Site-to-Site-VPN mit einem ASA 5520 bzw. 5540 ist mir aufgefallen, dass der Datenverkehr von Zeit zu Zeit nicht mehr weitergeleitet wird. Manchmal fehlt sogar der Datenverkehr nur für eine bestimmte Datenverkehrsauswahl / Zugriffssteuerungsliste, während der Datenverkehr für andere Datenströme übergeht das gleiche VPN läuft. Es passiert, obwohl ständig ein Ping läuft. Der Grund könnte sein, dass es über eine Satellitenverbindung läuft, die nicht perfekt stabil ist.

Wie kann ich das VPN auf den Betriebszustand zurücksetzen, anstatt einen der ASAs neu zu laden?

cisco cisco-asa vpn cisco-commands Stefan
quelle

Antworten:

27

Das VPN kann durch Eingabe zurückgesetzt werden

clear ipsec sa peer <remote-peer-IP>

Auf der einen Seite. Durch den folgenden Datenverkehr wird der IPSEC-Tunnel wiederhergestellt.

Sie können dies auf Ihrer Seite tun, indem Sie die Remote-IP eingeben. Oder melden Sie sich an der Remote-Site an. Möglicherweise müssen Sie dies jedoch außerhalb des VPN tun, indem Sie eine andere Schnittstelle verwenden, z. B. die öffentliche IP anstelle der IP, zu der Sie über den Tunnel eine Verbindung herstellen.

Während der Wiederherstellung des Tunnels kommt es zu einem kurzen VPN-Ausfall. Stellen Sie nach Eingabe dieses Befehls sicher, dass der Tunnel wieder aktiv ist, z. B. durch Pingen.

Stefan
quelle
13

Sie können den Tunnel sowohl über die ASDM-Software als auch über die Befehlszeile zurücksetzen.

In der ASDM (Version 6.3):

  1. Gehen Sie zu Überwachung und wählen Sie dann VPN aus der Liste der Schnittstellen aus
  2. Erweitern Sie dann die VPN-Statistiken und klicken Sie auf Sitzungen.
  3. Wählen Sie den gewünschten Tunneltyp aus der Dropdown-Liste rechts aus (z. B. IPSEC Site-to-Site).
  4. Klicken Sie auf den Tunnel, den Sie zurücksetzen möchten, und klicken Sie dann auf Abmelden, um den Tunnel zurückzusetzen.

Dies führt zu einem vorübergehenden Ausfall der VPN-Verbindung. In den meisten Fällen tun Sie dies jedoch nur, weil der Tunnel bereits ausgefallen ist.

Alles in allem ist es einfacher, sich in die CLI einzuloggen und den Tunnel zurückzusetzen, aber ich kenne einige Leute, die vom ASDM abhängig sind.

Quelle

Brett Lykins
quelle
8

Dadurch clear ipsec sa peer <peer IP>wird nur der IPSec-Teil zurückgesetzt.

Es gibt keine Möglichkeit, nur einen isakmp-Tunnel zu löschen.

Daher ist der beste Weg, den ich kenne, den Peer von der Kryptokarte zu entfernen und erneut anzuwenden.

no crypto map mymap 40 set peer 12.1.1.1 
crypto map mymap 40 set peer 12.1.1.1

Auf diese Weise können Sie den Peer herausnehmen, warten, bis der Tunnel heruntergekommen ist, und eine Auszeit nehmen und ihn dann erneut anwenden. Diese Methode gibt Ihnen mehr Kontrolle über das Tunnelverhalten.

Tunnelauf
quelle
7

In 8.4 können Sie eine einzelne ISAKMP-Verbindung zurücksetzen über:

clear cry ikev1 sa <ip>

Oder wenn Sie ikev2 verwenden, dann:

clear cry ikev2 sa <ip>

In älteren Versionen lautet der Befehl meines Erachtens einfach:

clear cry isa sa <ip>

Auch in Bezug auf Stefans Antwort: Wenn Sie auf einem Remote-Gerät eine Löschung über das zurückgesetzte VPN vornehmen, wird das VPN in der Regel wiederhergestellt, und Ihre SSH-Sitzung wird augenblicklich oder höchstens innerhalb von Sekunden normal fortgesetzt. Ich mache das ziemlich oft auf ISR G1- und G2-Routern, wenn ich ihre Tunnel ändere.

Irgendjemand_lang_vergangen
quelle
4
Auf dem ASA clear crypto isakmp saakzeptiert der ältere Befehl kein Argument für das Zurücksetzen des Peers. Es werden alle ISAKMP-Sitzungen zurückgesetzt.
James Sneeringer
7

Ich bin gerade auf einen neuen Weg gestoßen, den ich noch nie gekannt habe und der dieselben Informationen bietet, die Sie in der ASDM-Oberfläche finden, einschließlich der Funktion zum Abmelden einer VPN-Sitzung.

Geben Sie dies beispielsweise aus, um eine Liste der aktiven VPN-Tunnel von Site zu Site abzurufen. 

show vpn-sessiondb l2l

Ausgabebeispiel:

Connection   : 192.168.1.1
Index        : 330                    IP Addr      : 192.168.121.0
Protocol     : IKE IPsec
Encryption   : DES 3DES               Hashing      : MD5 SHA1
Bytes Tx     : 62226826               Bytes Rx     : 71173170
Login Time   : 17:15:49 PDT Sun Sep 7 2014
Duration     : 19h:08m:49s

Um sich dann von diesem VPN-Tunnel abzumelden, können Sie Folgendes ausführen, um sich gemäß dem oben gezeigten Index abzumelden.

vpn-sessiondb logoff index 330
Jim Scott
quelle