思科ASA ipsec IKEv1远程接入为Avaya电话-没有客户端地址分配

Question

我在ASA集群上的远程访问VPN连接有一个奇怪的问题。

正常的点对点隧道和AnyConnect连接工作得很好.但是，一个特殊的ipsec ikev1隧道不会。它建立，并保持不动，但客户端(在本例中是Avaya VPN电话)既不接收客户端地址，也不要求客户端地址(有点不确定该怪谁)。

此图像显示建立连接时的连接。注意，指定的IP地址是空的。字节TX是"0“是很自然的，因为内部的网络没有客户端路由到。

我试过通过ASDM调试这个，但没有成功。我对CLI没有足够的信心来进行控制台调试，因为我们大量使用"notification“关键字来匹配我们拥有的每个ACL。

有什么建议吗？

Answer 1

这需要一些工作才能弄清楚..。

首先，客户端(确切地说是电话)没有获得IP地址的原因是电话配置错误。它没有"Config IKE“标志集，这意味着它基本上放弃了从ASA推送的任何配置。

当我修复这个问题时，出现了另一个主要的问题。事实证明，我们的AnyConnect客户端根本不工作。为了解决另一个问题，我们最近升级到ASA 8.4.4，这个版本带来了针对NAT规则的新规则检查器，这样它们就不会与备用IP地址发生冲突：

http://www.cisco.com/en/US/products/ps6120/products_高科技_note09186a0080bcf110.shtml

这是我们的主要展示，因为在一个大型MPLS网络中，防火墙后面有无数子网，VPN客户端需要连接。创建新的主机/网络组，仅仅是为了不与备用IP冲突，至少需要两天的时间，所以我将降级为ASA 8.4.3，直到Cisco能够找到更好的解决方案。