Bagaimana saya bisa mereset terowongan VPN pada Cisco ASA?

15

Pada VPN situs-ke-situs menggunakan ASA 5520 dan 5540, masing-masing, saya perhatikan bahwa dari waktu ke waktu lalu lintas tidak lagi berlalu, kadang-kadang bahkan ada lalu lintas yang hilang hanya untuk satu pemilihan lalu lintas tertentu / ACL sementara lalu lintas lainnya berakhir VPN yang sama sedang berjalan. Itu terjadi meskipun ada ping yang berjalan konstan. Alasannya mungkin karena ia menggunakan tautan satelit yang tidak sepenuhnya stabil.

Bagaimana saya bisa mereset VPN ke kondisi kerja, alih-alih memuat ulang salah satu ASA?

Stefan
sumber

Jawaban:

27

VPN dapat diatur ulang dengan memasukkan

clear crypto ipsec sa peer <remote-peer-IP>

di satu sisi. Lalu lintas berikut akan menyebabkan terowongan IPSEC dibangun kembali.

Anda dapat melakukannya di sisi Anda, memasuki IP jarak jauh. Atau masuk ke situs jarak jauh, tetapi mungkin Anda harus melakukannya di luar VPN, jadi gunakan antarmuka yang berbeda, misalnya menggunakan IP publik, bukan IP yang Anda hubungkan melalui terowongan.

Akan ada pemadaman VPN singkat saat membangun kembali terowongan. Setelah memasukkan perintah itu, pastikan bahwa terowongan sudah naik lagi, seperti melakukan ping melaluinya.

Stefan
sumber
13

Anda dapat mengatur ulang terowongan melalui perangkat lunak ASDM serta di baris perintah.

Dalam ASDM (Versi 6.3):

  1. Buka Pemantauan, lalu pilih VPN dari daftar Antarmuka
  2. Kemudian perluas statistik VPN dan klik Sesi.
  3. Pilih jenis terowongan yang Anda cari dari drop-down di sebelah kanan (IPSEC Site-To-Site misalnya.)
  4. Klik pada terowongan yang ingin Anda atur ulang dan kemudian klik Logout untuk mengatur ulang terowongan.

Ini akan menyebabkan terputusnya koneksi VPN sementara, tetapi dalam banyak kasus saya telah melihat, Anda hanya melakukan ini karena terowongan sudah turun.

Semua hal dipertimbangkan, lebih mudah untuk masuk ke CLI dan mengatur ulang terowongan, tapi saya tahu beberapa orang yang kecanduan ASDM.

Sumber

Brett Lykins
sumber
8

Dengan melakukan clear ipsec sa peer <peer IP>hanya akan mereset porsi IPSec.

Tidak ada cara untuk menghapus hanya satu terowongan isakmp.

Karena itu cara terbaik yang saya tahu adalah menghapus peer dari peta crypto dan menerapkannya kembali.

no crypto map mymap 40 set peer 12.1.1.1 
crypto map mymap 40 set peer 12.1.1.1 

Dengan cara ini Anda dapat mengambil peer keluar, tunggu terowongan turun dan waktu habis, lalu menerapkannya kembali. Metode ini memberi Anda lebih banyak kontrol atas perilaku terowongan.

tunnelsup
sumber
8

Saya baru saja menemukan cara baru yang tidak pernah saya sadari sebelumnya dan menawarkan informasi yang sama seperti yang Anda temukan di antarmuka ASDM, termasuk fitur untuk keluar dari sesi vpn.

Masalah ini misalnya untuk mendapatkan daftar terowongan vpn situs ke situs yang naik.

show vpn-sessiondb l2l

contoh output:

Connection   : 192.168.1.1
Index        : 330                    IP Addr      : 192.168.121.0
Protocol     : IKE IPsec
Encryption   : DES 3DES               Hashing      : MD5 SHA1
Bytes Tx     : 62226826               Bytes Rx     : 71173170
Login Time   : 17:15:49 PDT Sun Sep 7 2014
Duration     : 19h:08m:49s

Kemudian untuk keluar dari terowongan VPN itu, Anda dapat menjalankan yang berikut untuk keluar berdasarkan indeks yang ditunjukkan di atas.

vpn-sessiondb logoff index 330
Jim Scott
sumber
7

Pada 8.4 Anda dapat mengatur ulang satu koneksi ISAKMP melalui:

clear cry ikev1 sa <ip>

Atau jika menggunakan ikev2, maka:

clear cry ikev2 sa <ip>

Pada versi yang lebih lama, saya percaya perintahnya sederhana:

clear cry isa sa <ip>

Terkait dengan jawaban Stefan, jika Anda melakukan pembersihan pada perangkat jarak jauh melalui VPN yang Anda atur ulang, biasanya itu akan membangun kembali VPN dan sesi SSH Anda akan berlanjut seperti biasa secara instan atau paling banyak dalam hitungan detik. Saya sering melakukannya pada router ISR G1 dan G2 setiap saat ketika memodifikasi terowongan mereka.

some_guy_long_gone
sumber
4
Di ASA, clear crypto isakmp saperintah yang lebih lama tidak menerima argumen untuk diatur ulang oleh rekan. Ini me-reset semua sesi ISAKMP.
James Sneeringer