Доброго дня, коллеги.
Столкнулся с какой-то странностью.
Есть asa 5515-х в ЦО. У ней 2 провайдера. 1.1.1.2 (запасной) и 2.2.2.2 (основной). Работает все, переключатеся через SLA.
Есть еще 12 офисов. В некоторых 5510 в некоторых 5505. В каких-то по одному, в каких то по 2 провайдера.
И тут в конце той недели начал замечать на одной из asa (5510, то же 2 провайдера) в регионе что пропадает связь l2l между нами и ими. Я не вижу asa региональной lan, пакеты теряются.
Зашел на wan вижу интересную картину
Код:
sh isakmp sa
IKEv1 SAs:
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 1.1.1.2
Type : L2L Role : initiator
Rekey : no State : MM_ACTIVE
При этом что в ЦО никакого переключения не сработало, и все как работают на 2.2.2.2 так и работают дальше.
Сегодня опять такая же фигня, но на другой asa регион (System image file is "disk0:/asa917-9-k8.bin)"
Такая фигня началась может совпадение, после того провайдер 2.2.2.2 дал более широкий канал и мы его сделали основным.
В настройках asa регион все как обычно и банально
Код:
access-list VPN_MSK extended permit ip object-group LOCAL object-group MSK
crypto map DEF_CMAP 11 match address VPN_MSK
crypto map DEF_CMAP 11 set pfs group1
crypto map DEF_CMAP 11 set peer 1.1.1.2 2.2.2.2
crypto map DEF_CMAP 11 set ikev1 transform-set VPN-KEY
tunnel-group 1.1.1.2 type ipsec-l2l
tunnel-group 1.1.1.2ipsec-attributes
ikev1 pre-shared-key ххх
tunnel-group 2.2.2.2 type ipsec-l2l
tunnel-group 2.2.2.2 ipsec-attributes
ikev1 pre-shared-key ххх
Пробовал дать команду clear isakmp sa, нифига все равно висит 1.1.1.2.
Пока сделал тупо убрал у 1.1.1.2 ikev1 pre-shared-key ххх, соответственно сразу все подключилось к 2.2.2.2.
Основная System image file is "disk0:/asa981-lfbff-k8.SPA"
Код:
route-map redirect-to-isp2 permit 10
match ip address acl-redirect-to-isp2
set ip next-hop verify-availability 1.1.1.1 1 track 2
set interface WAN
route WAN_BKP 0.0.0.0 0.0.0.0 2.2.2.1 1 track 1
route WAN 0.0.0.0 0.0.0.0 1.1.1.1 253
route WAN 8.8.4.4 255.255.255.255 1.1.1.1 1
route WAN_BKP 77.88.8.8 255.255.255.255 2.2.2.1 1
sla monitor 1
type echo protocol ipIcmpEcho 77.88.8.8 interface WAN_BKP
num-packets 3
frequency 10
sla monitor schedule 1 life forever start-time now
sla monitor 2
type echo protocol ipIcmpEcho 8.8.4.4 interface WAN
num-packets 3
frequency 10
sla monitor schedule 2 life forever start-time now
Решил пока мож кто какими мыслями поделится.
Если мало инфы по конфигам, скажите еще что необходимо расскажу/покажу, но конфиги роут банальные.
PBR добавили после того как была первая проблема с одной из региональных asa.