我在世界各地有許多 Cisco ASA 5505 和 PIX 506e 充當 VPN 端點。它們連接到總部的 Cisco VPN 集中器 3000。我正在使用 Easy VPN 來設定 VPN(即大部分設定集中在 VPN 集中器上),大多數端點都運作良好。
然而,有三個則不然。 2 個 ASA 和 1 個 PIX 與我們網路上的 VLAN 之一斷開連線。這是我的監控伺服器運行的 VLAN - 因此這些端點看起來好像已經關閉。但是,我仍然可以從我們的用戶 VLAN 對端點執行 ping 操作。如果我隨後透過 SSH 連線到端點,並對我的監控伺服器執行 ping 操作,連線就會恢復。大約 10 分鐘後,它再次停止工作。
我查看了端點的配置,沒有發現任何顯著差異。一個常見特徵是受影響的端點透過零售品質路由器連接到網路。但是,我不知道這會如何影響 VPN 隧道內的流量。
有什麼想法或建議嗎?我還在 Cisco 論壇上找到了一個主題:https://supportforums.cisco.com/thread/344638。另一位人士也報告了同樣的問題。
答案1
我認為你的意思是在你有“vlan”的每個地方都說“子網”。我認為 vpn3k 甚至不支援將 vpn 隧道分配給 VLAN。如果您使用分割隧道並為每個子網路推出 2 個不同的路由,那麼在 pix 上,每個子網路最終會得到 1 個 ipsec 安全性關聯。
聽起來這些因為某些原因超時了..
我不確定為什麼會發生這種情況,但我確實知道我多年來一直使用此配置,沒有出現任何問題:
vpnclient server server1 server2
vpnclient mode network-extension-mode
vpnclient nem-st-autoconnect
vpnclient vpngroup group password ********
vpnclient username user password ********
vpnclient management tunnel mana.geme.nt.subnet 255.255.255.0
vpnclient enable
這與您正在運行的配置有什麼不同嗎?