サイト間VPNでASA5520と5540をそれぞれ使用しているのですが、時々トラフィックが通らなくなり、同じVPN上の他のトラフィックが実行されているにもかかわらず、ある特定のトラフィック選択/ACLだけトラフィックが欠落することがあります。常にpingを実行しているにもかかわらず起こります。原因としては、完全には安定していない衛星回線を使っていることが考えられます。
ASAをリロードするのではなく、VPNを正常な状態に戻すにはどうしたらよいでしょうか?
を入力することで、VPNをリセットすることができます。
clear ipsec sa peer <remote-peer-IP>
を片側で入力します。以下のようなトラフィックで、IPsecトンネルが再確立されます。
自分側でリモートIPを入力して行うことができます。または、リモートサイトにログインしますが、おそらくVPNの外で行う必要がありますので、トンネルで接続するIPの代わりにパブリックIPを使用するなど、別のインターフェースを使用します。
トンネルを再確立する際に、短時間のVPN停止が発生します。このコマンドを入力した後、トンネルを介してpingを実行するなどして、トンネルが再び稼働していることを確認してください。
トンネルのリセットは、ASDMソフトウェアやコマンドラインで行うことができます。
ASDM(バージョン6.3)の場合。
1.モニタリング」を選択し、「インターフェイス」のリストから「VPN」を選択します。 2.VPN統計」を選択し、「セッション」をクリックします。 3.右側のドロップダウンから探しているトンネルの種類を選択する(例:IPSEC Site-to-Site) 4.リセットしたいトンネルをクリックし、「ログアウト」をクリックするとトンネルがリセットされます。
これにより、一時的にVPN接続が停止しますが、私が見たほとんどのケースでは、すでにトンネルが停止しているためにこの操作を行っているに過ぎません。
全てを考慮すると、CLIにログインしてトンネルをリセットする方が簡単ですが、ASDMにはまっている人もいますね。
出典を参照してください。
clear ipsec sa peer
一つのisakmpトンネルだけをクリアする方法はありません。
したがって、私が知っている最良の方法は、crypto mapからpeerを削除して再適用することです。
no crypto map mymap 40 set peer 12.1.1.1
crypto map mymap 40 set peer 12.1.1.1
この方法では、ピアを削除し、トンネルがダウンしてタイムアウトするのを待ってから、再適用することができます。この方法では、トンネルの動作をより制御することができます。