Anticisco http://anticisco.ru/forum/ |
|
asa l2l переключатеся на второго провайдера http://anticisco.ru/forum/viewtopic.php?f=2&t=10871 |
Страница 1 из 1 |
Автор: | focus [ 04 мар 2019, 16:16 ] |
Заголовок сообщения: | asa l2l переключатеся на второго провайдера |
Доброго дня, коллеги. Столкнулся с какой-то странностью. Есть asa 5515-х в ЦО. У ней 2 провайдера. 1.1.1.2 (запасной) и 2.2.2.2 (основной). Работает все, переключатеся через SLA. Есть еще 12 офисов. В некоторых 5510 в некоторых 5505. В каких-то по одному, в каких то по 2 провайдера. И тут в конце той недели начал замечать на одной из asa (5510, то же 2 провайдера) в регионе что пропадает связь l2l между нами и ими. Я не вижу asa региональной lan, пакеты теряются. Зашел на wan вижу интересную картину Код: sh isakmp sa IKEv1 SAs: Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1 IKE Peer: 1.1.1.2 Type : L2L Role : initiator Rekey : no State : MM_ACTIVE При этом что в ЦО никакого переключения не сработало, и все как работают на 2.2.2.2 так и работают дальше. Сегодня опять такая же фигня, но на другой asa регион (System image file is "disk0:/asa917-9-k8.bin)" Такая фигня началась может совпадение, после того провайдер 2.2.2.2 дал более широкий канал и мы его сделали основным. В настройках asa регион все как обычно и банально Код: access-list VPN_MSK extended permit ip object-group LOCAL object-group MSK crypto map DEF_CMAP 11 match address VPN_MSK crypto map DEF_CMAP 11 set pfs group1 crypto map DEF_CMAP 11 set peer 1.1.1.2 2.2.2.2 crypto map DEF_CMAP 11 set ikev1 transform-set VPN-KEY tunnel-group 1.1.1.2 type ipsec-l2l tunnel-group 1.1.1.2ipsec-attributes ikev1 pre-shared-key ххх tunnel-group 2.2.2.2 type ipsec-l2l tunnel-group 2.2.2.2 ipsec-attributes ikev1 pre-shared-key ххх Пробовал дать команду clear isakmp sa, нифига все равно висит 1.1.1.2. Пока сделал тупо убрал у 1.1.1.2 ikev1 pre-shared-key ххх, соответственно сразу все подключилось к 2.2.2.2. Основная System image file is "disk0:/asa981-lfbff-k8.SPA" Код: route-map redirect-to-isp2 permit 10 match ip address acl-redirect-to-isp2 set ip next-hop verify-availability 1.1.1.1 1 track 2 set interface WAN route WAN_BKP 0.0.0.0 0.0.0.0 2.2.2.1 1 track 1 route WAN 0.0.0.0 0.0.0.0 1.1.1.1 253 route WAN 8.8.4.4 255.255.255.255 1.1.1.1 1 route WAN_BKP 77.88.8.8 255.255.255.255 2.2.2.1 1 sla monitor 1 type echo protocol ipIcmpEcho 77.88.8.8 interface WAN_BKP num-packets 3 frequency 10 sla monitor schedule 1 life forever start-time now sla monitor 2 type echo protocol ipIcmpEcho 8.8.4.4 interface WAN num-packets 3 frequency 10 sla monitor schedule 2 life forever start-time now Решил пока мож кто какими мыслями поделится. Если мало инфы по конфигам, скажите еще что необходимо расскажу/покажу, но конфиги роут банальные. PBR добавили после того как была первая проблема с одной из региональных asa. |
Автор: | Demm [ 05 мар 2019, 15:19 ] |
Заголовок сообщения: | Re: asa l2l переключатеся на второго провайдера |
Мало инфы. что в логах? С какой стороны падает туннель. отрабатывает ли sla при этом? что там с keep alive? |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |