-1

这是我们通过 IPsec 隧道观察到的非常奇怪的行为,我们有两个站点使用站点到站点 VPN 隧道与 cisco ASA 连接,如下所示:

[LAN-1]---------[ASA-1]-------Internet-------[ASA-2]--------[LAN-2]

我们在 LAN-1 上有 Jenkins master,在 LAN-2 上有一些构建 slave。在随机的 vpn 隧道突然闪出几秒钟,它导致詹金斯断开所有从属设备和 distubes 正在运行的工作(RST当我的隧道突然出现并终止所有连接时,我感觉就像 ASA 发送数据包)

另外,如果我在 LAN-1 和 LAN-2 之间建立了 SSH 连接,那么 SSH 连接也会被重置。

当隧道关闭 10 秒并重新初始化所有内容时,Cisco ASA 是否可以发送 RST 数据包SA

4

1 回答 1

1

我会在那里提出一些想法。

  • 检查隧道正常运行时间。相关命令show crypto isakmp sashow crypto ipsec sa peer x.x.x.x. 肯定会下降吗?

  • 您可以通过反弹隧道来复制问题吗?clear crypto ipsec sa peer *x.x.x.x*

  • 绝对使用sysopt connection preserve-vpn-flows. 您是在两侧启用它还是仅在一侧启用它?

  • 你可以运行一个数据包捕获来检查 RST 的发送吗?理想情况下,这
    在主机设备上完成,但也可以在 ASA
    上使用capture命令完成。

于 2019-09-29T14:08:06.460 回答