这是我们在IPsec隧道中观察到的非常奇怪的行为,我们有两个站点使用站点间VPN隧道与cisco ASA连接,如下所示:
[LAN-1]---------[ASA-1]-------Internet-------[ASA-2]--------[LAN-2]
我们在LAN-1上拥有Jenkin主服务器,在LAN-2上拥有一些从服务器。在vpn隧道突然随机出现几秒钟的情况下,这导致詹金斯断开了与所有从属的连接,并分散了正在运行的工作(我感觉就像ASA在隧道突然退出并终止所有连接时发送ASA时发送RST
数据包)
如果我在LAN-1和LAN-2之间建立了SSH连接,那么SSH连接也将重置。
当隧道中断10秒钟并重新初始化所有SA
时,Cisco ASA是否可以发送RST数据包?
我将提出一些想法。
检查隧道正常运行时间。相关命令show crypto isakmp sa
和show crypto ipsec sa peer x.x.x.x
。它肯定会下降吗?
您可以通过弹跳隧道来复制问题吗? clear crypto ipsec sa peer *x.x.x.x*
绝对使用sysopt connection preserve-vpn-flows
。难道您在两侧还是仅在一侧启用它?
您可以运行数据包捕获来检查是否发送了RST吗?这个理想情况是在主机设备上完成,但也可以在ASA上完成使用capture
命令。