전 세계적으로 VPN 엔드포인트 역할을 하는 다수의 Cisco ASA 5505 및 PIX 506e가 있습니다. 본사의 Cisco VPN Concentrator 3000에 연결됩니다. VPN을 설정하기 위해 Easy VPN을 사용하고 있습니다(즉, 대부분의 구성이 VPN 집중 장치의 중앙에 있습니다). 대부분의 엔드포인트가 완벽하게 작동합니다.
그러나 그렇지 않은 사람이 세 명 있습니다. 2개의 ASA와 1개의 PIX가 네트워크의 VLAN 중 하나에서 연결이 끊어집니다. 이는 내 모니터링 서버가 실행되는 VLAN이므로 해당 엔드포인트는 다운된 것처럼 보입니다. 그러나 여전히 사용자 VLAN에서 엔드포인트를 ping할 수 있습니다. 그런 다음 엔드포인트에 SSH로 접속하고 모니터링 서버에 ping을 실행하면 연결이 다시 돌아옵니다. 그러다가 10분 정도 지나면 다시 작동이 멈춥니다.
엔드포인트 구성을 살펴봤지만 큰 차이점을 찾을 수 없습니다. 일반적인 특징 중 하나는 영향을 받는 엔드포인트가 소매용 품질 라우터를 통해 인터넷에 연결된다는 것입니다. 그러나 이것이 VPN 터널 내의 트래픽에 어떤 영향을 미칠 수 있는지는 알 수 없습니다.
어떤 아이디어나 제안이 있나요? Cisco 포럼에도 스레드가 있습니다.https://supportforums.cisco.com/thread/344638. 다른 한 사람도 같은 문제를 보고했습니다.
답변1
"vlan"이 있는 모든 곳에서 "서브넷"이라고 말하는 것 같습니다. 나는 vpn3k가 VPN 터널을 VLAN에 할당하는 것을 지원하지 않는다고 생각합니다. 분할 터널링을 사용하고 각 서브넷에 대해 2개의 서로 다른 경로를 푸시하는 경우 pix에서는 서브넷당 1개의 IPsec 보안 연결이 생성됩니다.
무슨 이유에서인지 시간이 초과된 것 같습니다..
왜 그런 일이 발생하는지 잘 모르겠지만 수년간 문제 없이 이 구성을 사용해 왔다는 것은 알고 있습니다.
vpnclient server server1 server2
vpnclient mode network-extension-mode
vpnclient nem-st-autoconnect
vpnclient vpngroup group password ********
vpnclient username user password ********
vpnclient management tunnel mana.geme.nt.subnet 255.255.255.0
vpnclient enable
실행 중인 구성과 다른가요?