让思科和帕洛阿尔托之间的IKEv1隧道更快地建立隧道的问题

Question

我有一个思科2901路由器，有一个IKEv1 IPSec VPN与帕洛阿尔托防火墙。我们有一个问题，我们现有的VPN设置，需要很长时间才能让隧道重新谈判(大约30分钟左右)。两端都有相同的IKE配置文件。我们通过显式地将两个对等点设置为主模式来修复它。现在，重新谈判后恢复隧道大约需要10分钟左右的时间。

但是这条消息在日志中不断弹出，即使我已经通过在我的终端上设置crypto isakmp aggressive-mode disable来禁用了攻击模式。

%CRYPTO-5-IKMP_AG_MODE_DISABLED: Unable to initiate or respond to Aggressive Mode while disabled

这两个同行已经可以建立隧道，但它仍然需要一段时间来提出它的在线。上面的消息不断重复大约5到6次，IKEv1协商在这段时间内失败，直到第5或第6次之后，上面的消息出现，然后它带来隧道在线。

甚至在我们显式地将两个对等点设置为使用主模式之前，这个消息就会不断弹出。这比以前好多了，但还需要一段时间才能使隧道恢复正常运行。

Answer 1

似乎你有一个更广泛的问题，这个具体的信息。10分钟重建隧道是完全不正常的。

这里有几点您应该检查：

• 不要再使用IKEv1了，切换到IKEv2
• 双重交叉检查两个端点上的设置，并确保它们匹配。在您的情况下，更确切地说，是生存期值。
• 检查两个对等点是否可以启动隧道。如果其中一个只被配置为响应程序，那么当它检测到隧道关闭时，它仍然必须等待另一方检测它并重新启动连接。
• 与上面的点相关，确保端点之间和端点本身之间的防火墙允许来自两个对等点的流量启动隧道。
• 如果可能的话，减少提案的数量(理想的情况是保持一个单一的强一个)。
• 如果使用扩展身份验证，请在相关日志中搜索身份验证过程中可能出现的任何问题。