Bagaimana cara mengatur ulang terowongan VPN pada Cisco ASA?
Pada VPN situs-ke-situs menggunakan ASA 5520 dan 5540, masing-masing, saya perhatikan bahwa dari waktu ke waktu lalu lintas tidak berlalu lagi, kadang-kadang hanya ada lalu lintas yang hilang hanya untuk satu pilihan lalu lintas / ACL tertentu sementara lalu lintas lain melalui VPN yang sama sedang berjalan. Ini terjadi meskipun ada ping yang konstan berjalan. Alasannya mungkin karena VPN ini berjalan melalui tautan satelit yang tidak stabil sempurna.
Bagaimana saya bisa mengatur ulang VPN ke kondisi kerja, alih-alih memuat ulang salah satu ASA?
VPN dapat diatur ulang dengan memasukkan
clear ipsec sa peer <remote-peer-IP>di satu sisi. Lalu lintas berikut akan menyebabkan terowongan IPSEC dibangun kembali.
Anda dapat melakukannya di sisi Anda, memasukkan IP jarak jauh. Atau login ke situs jarak jauh, tetapi mungkin Anda harus melakukannya di luar VPN, jadi menggunakan antarmuka yang berbeda, misalnya menggunakan IP publik alih-alih IP yang Anda sambungkan melalui tunnel.
Akan ada pemadaman VPN singkat saat membangun kembali tunnel. Setelah memasukkan perintah itu, pastikan bahwa tunnel sudah aktif kembali, seperti melakukan ping melaluinya.
Anda bisa mengatur ulang tunnel melalui perangkat lunak ASDM serta di baris perintah.
Dalam ASDM (Versi 6.3):
- Pergi ke Monitoring, lalu pilih VPN dari daftar Interfaces
- Kemudian perluas statistik VPN dan klik pada Sessions.
- Pilih jenis terowongan yang Anda cari dari drop-down di sebelah kanan (IPSEC Site-To-Site misalnya.)
- Klik pada tunnel yang ingin Anda atur ulang dan kemudian klik Logout untuk mengatur ulang tunnel.
Hal ini akan menyebabkan koneksi VPN terputus sementara, tetapi dalam kebanyakan kasus yang saya lihat, Anda hanya melakukan ini karena tunnel sudah tidak aktif.
Namun, semua hal dipertimbangkan, lebih mudah untuk masuk ke CLI dan mengatur ulang tunnel, tetapi saya tahu beberapa orang yang kecanduan ASDM.
Dengan melakukan clear ipsec sa peer <peer IP> hanya akan mengatur ulang bagian IPSec.
Tidak ada cara untuk menghapus hanya satu tunnel isakmp.
Oleh karena itu cara terbaik yang saya tahu adalah menghapus peer dari peta kripto dan menerapkannya kembali.
no crypto map mymap 40 set peer 12.1.1.1
crypto map mymap 40 set peer 12.1.1.1 Dengan cara ini Anda dapat mengeluarkan peer, menunggu tunnel turun dan waktu habis, lalu menerapkannya kembali. Metode ini memberi Anda lebih banyak kendali atas perilaku tunnel.
