Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 12:18



Ответить на тему  [ Сообщений: 4 ] 
Cisco 891 зависает ikev2 
Автор Сообщение

Зарегистрирован: 09 мар 2018, 16:19
Сообщения: 47
Привет.

Cisco 891, два провайдера, ikev2, vti с ASA5525
Примерно после 5-7 дней работы на 891 перестает устанавливаться ikev2.
clear crypto sa, clear crypto ikev2 sa не помогает, sh crypto ikev2 sa - статичен.
Помогает только перезагрузка роутера.
сейчас стоит C890-UNIVERSALK9-M, Version 15.8(3)M2, пробовал c890-universalk9-mz.159-3.M1.bin - тоже самое.
Посоветуйте что глянуть при следующем появлении проблемы?



sh crypto ikev2 sa
Код:
Tunnel-id Local                 Remote                fvrf/ivrf            Status
3         ISP2-SAT-EXT-WAN/500    ASA-WAN/500   none/none            IN-NEG
      Encr: AES-CBC, keysize: 256, PRF: SHA1, Hash: SHA96, DH Grp:5, Auth sign: Unknown - 0, Auth verify: Unknown - 0
      Life/Active Time: 120/0 sec

Tunnel-id Local                 Remote                fvrf/ivrf            Status
1         ISP1-NAT-LOCAL-WAN/4500     ASA-WAN/4500  none/none            IN-NEG
      Encr: AES-CBC, keysize: 256, PRF: SHA1, Hash: SHA96, DH Grp:5, Auth sign: PSK, Auth verify: Unknown - 0
      Life/Active Time: 86400/0 sec

Tunnel-id Local                 Remote                fvrf/ivrf            Status
2         ISP1-NAT-LOCAL-WAN/4500     ASA-WAN/4500  none/none            IN-NEG
      Encr: AES-CBC, keysize: 256, PRF: SHA1, Hash: SHA96, DH Grp:5, Auth sign: PSK, Auth verify: Unknown - 0
      Life/Active Time: 86400/0 sec

Tunnel-id Local                 Remote                fvrf/ivrf            Status
6         ISP1-NAT-LOCAL-WAN/4500     ASA-WAN/4500  none/none            IN-NEG
      Encr: AES-CBC, keysize: 256, PRF: SHA1, Hash: SHA96, DH Grp:5, Auth sign: PSK, Auth verify: Unknown - 0
      Life/Active Time: 86400/0 sec

Tunnel-id Local                 Remote                fvrf/ivrf            Status
8         ISP1-NAT-LOCAL-WAN/4500     ASA-WAN/4500  none/none            IN-NEG
      Encr: AES-CBC, keysize: 256, PRF: SHA1, Hash: SHA96, DH Grp:5, Auth sign: PSK, Auth verify: Unknown - 0
      Life/Active Time: 86400/0 sec




03 окт 2022, 06:14
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
halt писал(а):
Посоветуйте что глянуть при следующем появлении проблемы?

То же, что и всегда. Config и debug.
Такое понятие как Network Troubleshooting вам знакомо?

Для начала разберитесь что вы там намутили с "два провайдера".

И включите invalid-spi-recovery и DPD. DPD is disabled by default.

crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 180 10 periodic
crypto isakmp nat keepalive 15

invalid-spi-recovery
However, this command does not work under all crypto configurations. The only configurations that this command
will work are, static crypto maps where the peer is explicitly defined, and static peers derived
from instantiated crypto maps, eg., sVTI.

_________________
Knowledge is Power


03 окт 2022, 08:00
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
Для IKEv2 команды отличаются, но суть та же.

Код:
crypto ikev2 profile My_Profile
 dpd 180 10 periodic
 nat keepalive 15

Или проще глобально.
Perform this task to configure global IKEv2 options that are independent of peers.

crypto ikev2 dpd 180 10 periodic
crypto ikev2 nat keepalive 15

invalid-spi-recovery
However, this command does not work under all crypto configurations. The only configurations that this command
will work are, static crypto maps where the peer is explicitly defined, and static peers derived
from instantiated crypto maps, eg., sVTI.
You can enable DPD (crypto isakmp keepalive) on the spoke to help with the tunnel recovery.

https://community.cisco.com/t5/vpn/cryp ... -p/1531178

Configuring Internet Key Exchange Version 2 (IKEv2) and FlexVPN Site-to-Site
https://www.cisco.com/en/US/docs/ios-xm ... -flex.html

_________________
Knowledge is Power


03 окт 2022, 08:40
Профиль

Зарегистрирован: 09 мар 2018, 16:19
Сообщения: 47
Debug к сожалению не сохранен, было что-то типа "INVALID PSH HANDLE".
Ладно, будет дебаг - отпишусь.


03 окт 2022, 08:47
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 4 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 90


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB