На VPN между сайтами, использующей ASA 5520 и 5540 соответственно, я заметил, что время от времени трафик больше не проходит, иногда даже пропадает трафик только для одного конкретного выбора трафика / ACL, в то время как другой трафик через ту же VPN работает. Это происходит даже несмотря на постоянный пинг. Причина может быть в том, что VPN работает по спутниковому каналу, который не является идеально стабильным.
Как я могу вернуть VPN в рабочее состояние, вместо того, чтобы перезагружать один из ASA?
VPN можно сбросить, введя
clear ipsec sa peer <remote-peer-IP>
с одной стороны. Следующий трафик приведет к восстановлению туннеля IPSEC.
Вы можете сделать это на своей стороне, введя удаленный IP. Или войти на удаленный сайт, но, возможно, вам придется сделать это вне VPN, то есть используя другой интерфейс, например, используя публичный IP вместо IP, к которому вы подключаетесь через туннель.
Во время восстановления туннеля будет наблюдаться кратковременный перерыв в работе VPN. После ввода этой команды убедитесь, что туннель снова работает, например, выполните ping через него.
Сброс туннеля можно выполнить как через программу ASDM, так и в командной строке.
В ASDM (версия 6.3):
Это приведет к временному отключению VPN-соединения, но в большинстве случаев, которые я видел, вы делаете это только потому, что туннель уже отключен.
В любом случае, проще войти в CLI и сбросить туннель, но я знаю некоторых людей, которые пристрастились к ASDM.
Выполнение команды clear ipsec sa peer <peer IP>
приведет только к сбросу части IPSec.
Не существует способа очистить только один туннель isakmp.
Поэтому лучший способ, который я знаю, это удалить peer из crypto map и применить его заново.
no crypto map mymap 40 set peer 12.1.1.1
crypto map mymap 40 set peer 12.1.1.1
Таким образом, вы можете удалить peer, подождать, пока туннель не завершится и не истечет время, а затем снова применить его. Этот метод дает вам больше контроля над поведением туннеля.