Туннель в Пало-Альто продолжает выходить из строя
-
Идентификатор туннеля Локальный Удаленный fvrf/ivrf Статус
2x
.x.90.166/500 x.x.77.118/500 нет/нет ГОТОВ
Шифрование: AES-CBC, размер ключа: 256, PRF: SHA256, хеш: SHA256, DH Grp:14, подпись аутентификации: PSK, проверка аутентификации: PSK
Срок действия/Время активности: 86400/853 сек
Идентификатор CE: 1146, Идентификатор сеанса: 35733
Локальный spi: BB75A6756CDC6398 Удаленный spi: 987E12B7285B2F92
IPv6 Crypto IKEv2 SA
Идентификатор туннеля Локальный Удаленный fvrf/ivrf Статус
2x
.x.90.166/500 x.x.77.118/500 нет/нет ГОТОВ
Шифрование: AES-CBC, размер ключа: 256, PRF: SHA256, хеш: SHA256, DH Grp:14, подпись аутентификации: PSK, проверка аутентификации: PSK
Срок действия/Время активности: 86400/891 сек
Идентификатор CE: 1146, Идентификатор сеанса: 35733
Локальный spi: BB75A6756CDC6398 Удаленный spi: 987E12B7285B2F92
Описание статуса: Переговоры завершены
Локальный идентификатор: x.x.90.166
Удаленный идентификатор: x.x.77.118
Локальный идентификатор запроса: 4 Удаленный идентификатор запроса: 90
Локальный следующий идентификатор сообщения: 4 Удаленный следующий идентификатор сообщения: 90
Локальные запросы в очереди: 4 Удаленные запросы в очереди: 90
Локальное окно: 5 Удаленное окно: 1
DPD настроен на 0 секунд, повторная попытка 0
Фрагментация не настроена.
Динамическое обновление маршрута: отключено
Расширенная аутентификация не настроена.
NAT-T не обнаружен
Cisco Trust Security SGT отключен
Инициатор SA: Да
ТИП ПАРТНЕРА: Другой
IPv6 Crypto IKEv2 SA -
интерфейс: GigabitEthernet0/0/1
Cryptomaptag: IPSec_VPN_tunnels, localaddrx.x.90.166
protectedvrf: (нет)
local ident (addr/mask/prot/port): (10.255.10.20/255.255.255.255/0/0)
удаленный идентификатор (адрес/маска/протокол/порт): (10.255.20.10/255.255.255.255/0/0)
текущий_peerx.x.77.118порт500
PERMIT, флаги={origin_is_acl,}
#pkts encaps: 3839, #pkts encrypt: 3839, #pkts digest: 3839
#pkts decaps: 3842, #pkts decrypt: 3842, #pkts verify: 3842
#pkts compressed: 0, #pkts decompressed: 0
#pkts не сжатых: 0, #pkts сжатых с ошибкой: 0
#pkts не распакованных: 0, #pkts распаковка не удалась: 0
#send errors 0, #recv errors 0
localcrypto endpt.:x.x.90.166, remotecrypto endpt.:x.x.77.118
plaintextmtu1438, pathmtu1500, ipmtu1500, ipmtuidb GigabitEthernet0/0/1
текущий исходящий SPI: 0xA9070BD5(2835811285)
PFS (Y/N): N, DHgroup: нет
inboundespsas:
spi:0x31EB5314(837505812)
transform: esp-aes esp-sha256-hmac ,
inusesettings={Tunnel, }
connid:12639, flow_id:ESG:10639, sibling_flags FFFFFFFF80000048, cryptomap: IPSec_VPN_tunnels, initiator: False
satiming:remainingkey lifetime (k/sec): (4607898/1294)
IVsize:16 байт
replaydetectionsupport: Y
Статус: ACTIVE(ACTIVE)
inboundahsas:
inboundpcpsas:
исходящие esp:
spi:0xA9070BD5(2835811285)
transform: esp-aes esp-sha256-hmac ,
inusesettings={Tunnel, }
connid:12640, flow_id:ESG:10640, sibling_flags FFFFFFFF80000048, cryptomap: IPSec_VPN_tunnels, initiator: False
satiming:remainingkey lifetime (k/sec): (4607916/1294)
IVsize:16 байт
replaydetectionsupport: Y
Статус: ACTIVE(ACTIVE)
outboundahsas:
исходящие PCP AS: -
Спасибо, теперь понятно, почему его там нет! Мой ответ вам постоянно исчезает, не знаю, почему. Что конкретно вы ищете?
-
Чтобы решить эту проблему и заставить маршрутизатор повторно инициировать ikev2 при рассинхронизации VPN, необходимо запустить DPD DPD, настроенный на 0 секунд, повторная попытка 0 <<- MHM
-
Хорошо, спасибо, значит #crypto isakmp keepalive [секунды] по требованию? Это вводится даже если нет профиля ISAKMP? Тогда конфигурация вводится глобально?
-
В IKEv2 нет Isakmp Чтобы настроить dpd в ikev2 dpd
interval
retry-interval
{
on-demand
|
periodic
} <<- добавьте это в профиль ikev2. MHM -
Хорошо, я ввел это как dpd 500 50 on-demand в профиле, и это сработало. Достаточно ли этих параметров?
-
Хорошо, я настроил его в профиле (см. ниже). Но при выполнении команды show я не вижу, что она была применена к туннелю. crypto ikev2 profile tunnel.1020
match identity remote address x.x.77.118 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local tunnel.1020
dpd 10 2 on-demand Tunnel-id Local Remote fvrf/ivrf Status
2 x.x.90.166/500 x.x.77.118/500 none/none READY
Encr: AES-CBC, keysize: 256, PRF: SHA256, хеш: SHA256, DH Grp:14, аутентификация: PSK, проверка аутентификации: PSK
Срок действия/время активности: 86400/9442 сек
CE id: 18433, Session-id: 35813
Локальный spi: 980DECE8986B0D6E Удаленный spi: D68B4B613C2EE74E
Описание состояния: Переговоры завершены
Локальный id: x.x.90.166
Удаленный id: x.x.77.118
Локальный id запроса: 20 Удаленный id запроса: 953
Локальный id следующего сообщения: 20 Удаленный id следующего сообщения: 953
Локальный запрос в очереди: 20 Удаленный запрос в очереди: 953
Локальное окно: 5 Удаленное окно: 1
DPD настроен на 0 секунд, повторная попытка 0
Фрагментация не настроена.
Динамическое обновление маршрута: отключено
Расширенная аутентификация не настроена.
NAT-T не обнаружен
Cisco Trust Security SGT отключен
Инициатор SA: Да
ТИП ПАРТНЕРА: Другой -
Любые изменения в IPSec требуют четкого Очистить криптографию sa Очистить ikev2 sa MHM
-
Туннель теперь держится, спасибо!
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти