Jak mogę zresetować tunel VPN na Cisco ASA?

16

W sieci VPN typu site-to-site używającej odpowiednio ASA 5520 i 5540 zauważyłem, że od czasu do czasu ruch już nie przechodzi, czasami po prostu brakuje ruchu tylko dla jednego określonego wyboru ruchu / ACL, podczas gdy inny ruch ponad działa ta sama sieć VPN. Dzieje się tak, mimo że ciągle działa ping. Przyczyną może być to, że biegnie przez łącze satelitarne, które nie jest idealnie stabilne.

Jak mogę zresetować VPN do stanu roboczego, zamiast ponownie ładować jedną z ASA?

Stefan
źródło

Odpowiedzi:

29

VPN można zresetować, wprowadzając

clear crypto ipsec sa peer <remote-peer-IP>

Z jednej strony. Poniższy ruch spowoduje przywrócenie tunelu IPSEC.

Możesz to zrobić po swojej stronie, wprowadzając zdalny adres IP. Lub zaloguj się do zdalnej strony, ale być może musisz to zrobić poza VPN, więc używając innego interfejsu, na przykład używając publicznego adresu IP zamiast adresu IP, z którym łączysz się przez tunel.

Podczas przywracania tunelu nastąpi krótka awaria VPN. Po wprowadzeniu tego polecenia upewnij się, że tunel jest ponownie włączony, na przykład wykonując ping przez niego.

Stefan
źródło
15

Możesz zresetować tunel za pomocą oprogramowania ASDM, a także w wierszu poleceń.

W ASDM (wersja 6.3):

  1. Przejdź do Monitorowanie, a następnie wybierz VPN z listy interfejsów
  2. Następnie rozwiń statystyki VPN i kliknij Sesje.
  3. Wybierz typ tunelu, którego szukasz, z rozwijanego menu po prawej stronie (na przykład IPSEC Site-To-Site.)
  4. Kliknij tunel, który chcesz zresetować, a następnie kliknij Wyloguj, aby zresetować tunel.

Spowoduje to tymczasowe wyłączenie połączenia VPN, ale w większości przypadków widziałem, robisz to tylko dlatego, że tunel jest już wyłączony.

Biorąc wszystko pod uwagę, łatwiej jest zalogować się do CLI i zresetować tunel, ale znam kilku ludzi uzależnionych od ASDM.

Źródło

Brett Lykins
źródło
10

Właśnie natknąłem się na nowy sposób, o którym nigdy wcześniej nie wiedziałem, i oferuje te same informacje, które można znaleźć w interfejsie ASDM, w tym funkcję wylogowywania się z sesji VPN.

Wydaj to na przykład, aby uzyskać listę tuneli VPN między witrynami i witrynami.

show vpn-sessiondb l2l

przykład wyjścia:

Connection   : 192.168.1.1
Index        : 330                    IP Addr      : 192.168.121.0
Protocol     : IKE IPsec
Encryption   : DES 3DES               Hashing      : MD5 SHA1
Bytes Tx     : 62226826               Bytes Rx     : 71173170
Login Time   : 17:15:49 PDT Sun Sep 7 2014
Duration     : 19h:08m:49s

Następnie, aby wylogować się z tunelu VPN, możesz wykonać następujące czynności, aby się wylogować w oparciu o indeks pokazany powyżej.

vpn-sessiondb logoff index 330
Jim Scott
źródło
9

Wykonanie clear ipsec sa peer <peer IP>spowoduje zresetowanie tylko części IPSec.

Nie ma sposobu na wyczyszczenie tylko jednego tunelu isakmp.

Dlatego najlepszym sposobem, jaki znam, jest usunięcie elementu równorzędnego z mapy kryptograficznej i ponowne zastosowanie go.

no crypto map mymap 40 set peer 12.1.1.1 
crypto map mymap 40 set peer 12.1.1.1 

W ten sposób możesz wyprowadzić peera, poczekać, aż tunel opuści się i skończyć, a następnie ponownie go zastosować. Ta metoda daje większą kontrolę nad zachowaniem tuneli.

tunnelsup
źródło
8

W wersji 8.4 możesz zresetować pojedyncze połączenie ISAKMP poprzez:

clear cry ikev1 sa <ip>

Lub jeśli używasz ikev2, to:

clear cry ikev2 sa <ip>

W starszych wersjach wydaje mi się, że polecenie to po prostu:

clear cry isa sa <ip>

Również w odniesieniu do odpowiedzi Stefana, jeśli wyczyścisz zdalne urządzenie za pośrednictwem VPN, resetujesz, zwykle przywróci VPN, a twoja sesja SSH będzie kontynuowana normalnie natychmiast lub najwyżej w ciągu kilku sekund. Robię to dość często na routerach ISR G1 i G2 cały czas modyfikując ich tunele.

some_guy_long_gone
źródło
4
W ASA starsze clear crypto isakmp sapolecenie nie przyjmuje argumentu, aby peer mógł się zresetować. Resetuje wszystkie sesje ISAKMP.
James Sneeringer