Сообщения без ответов | Активные темы Текущее время: 25 мар 2019, 11:28



Ответить на тему  [ Сообщений: 2 ] 
asa l2l переключатеся на второго провайдера 
Автор Сообщение

Зарегистрирован: 24 сен 2018, 21:58
Сообщения: 17
Доброго дня, коллеги.
Столкнулся с какой-то странностью.
Есть asa 5515-х в ЦО. У ней 2 провайдера. 1.1.1.2 (запасной) и 2.2.2.2 (основной). Работает все, переключатеся через SLA.
Есть еще 12 офисов. В некоторых 5510 в некоторых 5505. В каких-то по одному, в каких то по 2 провайдера.
И тут в конце той недели начал замечать на одной из asa (5510, то же 2 провайдера) в регионе что пропадает связь l2l между нами и ими. Я не вижу asa региональной lan, пакеты теряются.
Зашел на wan вижу интересную картину
Код:
 sh isakmp sa

IKEv1 SAs:

   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 1.1.1.2
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE


При этом что в ЦО никакого переключения не сработало, и все как работают на 2.2.2.2 так и работают дальше.
Сегодня опять такая же фигня, но на другой asa регион (System image file is "disk0:/asa917-9-k8.bin)"
Такая фигня началась может совпадение, после того провайдер 2.2.2.2 дал более широкий канал и мы его сделали основным.
В настройках asa регион все как обычно и банально
Код:
access-list VPN_MSK extended permit ip object-group LOCAL object-group MSK

crypto map DEF_CMAP 11 match address VPN_MSK
crypto map DEF_CMAP 11 set pfs group1
crypto map DEF_CMAP 11 set peer 1.1.1.2 2.2.2.2
crypto map DEF_CMAP 11 set ikev1 transform-set VPN-KEY

tunnel-group 1.1.1.2 type ipsec-l2l
tunnel-group 1.1.1.2ipsec-attributes
 ikev1 pre-shared-key ххх

tunnel-group 2.2.2.2  type ipsec-l2l
tunnel-group 2.2.2.2 ipsec-attributes
 ikev1 pre-shared-key ххх

Пробовал дать команду clear isakmp sa, нифига все равно висит 1.1.1.2.
Пока сделал тупо убрал у 1.1.1.2 ikev1 pre-shared-key ххх, соответственно сразу все подключилось к 2.2.2.2.
Основная System image file is "disk0:/asa981-lfbff-k8.SPA"
Код:
route-map redirect-to-isp2 permit 10
 match ip address acl-redirect-to-isp2
 set ip next-hop verify-availability 1.1.1.1 1 track 2
 set interface WAN

route WAN_BKP 0.0.0.0 0.0.0.0 2.2.2.1 1 track 1
route WAN 0.0.0.0 0.0.0.0 1.1.1.1 253
route WAN 8.8.4.4 255.255.255.255 1.1.1.1 1
route WAN_BKP 77.88.8.8 255.255.255.255 2.2.2.1 1

sla monitor 1
 type echo protocol ipIcmpEcho 77.88.8.8 interface WAN_BKP
 num-packets 3
 frequency 10
sla monitor schedule 1 life forever start-time now
sla monitor 2
 type echo protocol ipIcmpEcho 8.8.4.4 interface WAN
 num-packets 3
 frequency 10
sla monitor schedule 2 life forever start-time now

Решил пока мож кто какими мыслями поделится.
Если мало инфы по конфигам, скажите еще что необходимо расскажу/покажу, но конфиги роут банальные.
PBR добавили после того как была первая проблема с одной из региональных asa.


04 мар 2019, 16:16
Профиль Отправить email

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 464
Мало инфы. что в логах? С какой стороны падает туннель.
отрабатывает ли sla при этом?
что там с keep alive?


05 мар 2019, 15:19
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 2 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Bessmertniy, Google [Bot], _2e_ и гости: 18


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB