思科PIX 515e随着时间的推移将IPSEC隧道降至ASA 5505

Question

我们有这样的总部/分局-办公室广域网，

Server LAN <-> Cisco PIX 515e <-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 1
                              <-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 2
                              <-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 3
                               ...  
                              <-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 66

问题：

这些VPN隧道中有5%随着时间的推移而退化。

症状：

• 客户端响应PING，但不响应RPC或RDP。
• 在ASA上，VPN隧道从1xIKE，2xIPSec下降到1xIKE，1xIPSec。
• ASA的重新启动暂时解决了这个问题。

这个PIX是不可靠的，很可能会被更现代的齿轮所取代。虽然通常低于10%，但PIX上的CPU会周期性地达到80%-90%的流量高峰，但我不能说我已经能够将下降的隧道与这些负荷联系起来。

我有几个具体的问题，但我感谢任何和所有的见解。

1. 我能否(通过SNMP)监视PIX上的全部IPSec隧道？这应该永远是(至少？)分支机构数量的两倍，和(至少？)总艾克的两倍-如果下降，那么我可能有一个问题。
2. 当这些隧道中的一条被丢弃时，我可以在PIX自己的日志中报警吗？也许，snmp-server启用陷阱ipsec启动停止。
3. 在PIX被替换之前，我还能做些什么来维持这条隧道的生存吗？我在想如何保持交通畅通，平似乎并没有切断它。我也在寻找空闲的超时值，也许是重键间隔，还有其他的想法吗？

PIX515E# show run isakmp
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto isakmp nat-traversal  20


PIX515E# show run ipsec
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac


PIX515E# show version

Cisco PIX Security Appliance Software Version 7.2(4)
Device Manager Version 5.2(4)

Answer 1

1)您绝对可以监视IPSec隧道的数量，但我们发现这并不是确定连接是否有效的一种真正可靠的方法。最好是通过隧道发送和接收流量以确认连接性(例如ping监视器)。

2)和#1一样--这是可以做到的，但可能不会给你提供有用的信息。隧道将在正常运行过程中开始和停止，这取决于超时时间。

3)虽然它不应该是必要的，但在某些情况下，我们看到了隧道连接的改进，通过频繁地运行ping (3-5分钟)。如果不进行深入的分析，很难说这是否会对这种情况有所帮助。

一般来说，由于前端和远程端VPN对等点之间的VPN配置不匹配，这样的问题经常发生。不同的ACL常常是一个问题。

Answer 2

隧道会自行恢复吗?还是手动干预使隧道恢复正常？

ASA的寿命是多少？

在这两种设备上是否启用/禁用了“保持生命”？

我以前见过一个运行IOS的Cisco 6500和ASA之间的问题，其中IOS很乐意在没有SA的情况下运行(如果它因任何原因过期)，而ASA不存在，隧道会随机死亡一段时间，直到重新协商，隧道恢复运行，直到SA再次过期为止。

Answer 3

我自己也看到了同样的东西。我刚刚在我的PIX515 8.2上安装了一个运行8.04IPsec的ASA5510。它工作得很好，然后隧道就把每个人都甩了。在这段时间里，互联网一直运行得很好。所以，只有隧道有问题。