Як я можу скинути тунель VPN на Cisco ASA?

На VPN від сайту до сайту, що використовує ASA 5520 та 5540, відповідно, я помітив, що час від часу трафік більше не проходить, іноді навіть трафік не вистачає лише для одного конкретного вибору трафіку / ACL, тоді як інший трафік більше той же VPN працює. Це трапляється, навіть якщо постійно працює пінг. Причиною може бути те, що він працює по супутниковому каналу, який не є абсолютно стабільним.

Як я можу відновити VPN до робочого стану, замість того, щоб перезавантажувати один із ASA?

VPN можна скинути, ввівши

clear crypto ipsec sa peer <remote-peer-IP>

з одного боку. Наступний трафік призведе до відновлення тунелю IPSEC.

Ви можете зробити це на своєму боці, ввівши віддалений IP. Або увійдіть на віддалений сайт, але, можливо, вам доведеться це робити поза VPN, тому використовуючи інший інтерфейс, наприклад, використовуючи загальнодоступний IP замість IP, до якого ви підключаєтесь через тунель.

Під час відновлення тунелю буде короткий відключення VPN. Після введення цієї команди переконайтеся, що тунель знову запущений, наприклад, виконайте пінг через нього.

Ви можете скинути тунель за допомогою програмного забезпечення ASDM, а також у командному рядку.

У ASDM (версія 6.3):

1. Перейдіть до Моніторингу, а потім виберіть VPN зі списку інтерфейсів
2. Потім розгорніть статистику VPN та натисніть Сесії.
3. Виберіть тип тунелю, який ви шукаєте, зі спадного меню праворуч (наприклад, IPSEC Site-To-Site.)
4. Клацніть на тунель, який потрібно скинути, а потім натисніть кнопку Вийти, щоб скинути тунель.

Це призведе до тимчасового відключення VPN-з'єднання, але в більшості випадків я бачив, ви робите це лише тому, що тунель вже вниз.

Однак, все, що розглядається, простіше увійти в CLI і скинути тунель, але я знаю деяких людей, які залежать від ASDM.

Джерело

Щойно я натрапив на новий спосіб, про який я ніколи не знав, і пропонує ту саму інформацію, яку ви знаходите в інтерфейсі ASDM, включаючи функцію для виходу з сеансу vpn.

Випустіть це, наприклад, щоб отримати список веб-сайтів для тунелів vpn, які розміщені.

show vpn-sessiondb l2l

вихідний приклад:

Connection   : 192.168.1.1
Index        : 330                    IP Addr      : 192.168.121.0
Protocol     : IKE IPsec
Encryption   : DES 3DES               Hashing      : MD5 SHA1
Bytes Tx     : 62226826               Bytes Rx     : 71173170
Login Time   : 17:15:49 PDT Sun Sep 7 2014
Duration     : 19h:08m:49s

Потім для виходу з тунелю VPN ви можете виконати наступне для виходу з системи на основі індексу, показаного вище.

vpn-sessiondb logoff index 330

При цьому clear ipsec sa peer <peer IP>буде скинуто лише частину IPSec.

Не існує способу очистити лише один тунель в isakmp.

Тому найкращий спосіб, який я знаю, - це зняти однолітка з криптовалюти і повторно застосувати його.

no crypto map mymap 40 set peer 12.1.1.1 
crypto map mymap 40 set peer 12.1.1.1 

Таким чином ви можете вивести однолітків, дочекатися сходу тунелю та вимкнення, а потім повторно застосувати його. Цей метод дає вам більше контролю над поведінкою тунелів.

8.4 ви можете скинути одне з'єднання ISAKMP через:

clear cry ikev1 sa <ip>

Або якщо ви використовуєте ikev2, то:

clear cry ikev2 sa <ip>

У старих версіях я вважаю, що команда проста:

clear cry isa sa <ip>

Що стосується відповіді Стефана, якщо ви робите очищення на віддаленому пристрої через VPN, яке ви скидаєте, зазвичай це відновить VPN, і ваш сеанс SSH триватиме нормально миттєво або максимум протягом декількох секунд. Я роблю це досить часто на маршрутизаторах ISR G1 і G2 весь час, коли змінюють свої тунелі.