Cisco ASAサイト間VPNフェールオーバー

21

最近、国際的なMPLSを新しいASA 5510とサイト間VPNに置き換えました。ただし、これを展開すると、各リモートロケーションに冗長性のために2つのISPがあるという問題が発生しましたが、両方のインターフェイスでVPNを有効にすると、2つの間でフラップし、トンネルが引き裂かれて移動するときにトンネルが上下しますISP。シスコは現在8か月間これに取り組んでおり、複数のISPとの安定したトンネルはまだありません。

リモートオフィス：

access-list RWS_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list RWS_TUNNEL extended permit ip object-group BNG_tunnel_NETS object-group CORP_tunnel_NETS
crypto map RWS_TUNNEL 1 match address RWS_TUNNEL
crypto map RWS_TUNNEL 1 set peer 216.xxx.102.2 
crypto map RWS_TUNNEL 1 set transform-set IND-RWS
tunnel-group 216.xxx.102.2 type ipsec-l2l
tunnel-group 216.xxx.102.2 ipsec-attributes
 pre-shared-key *****


route outside 0.0.0.0 0.0.0.0 216.xxx.206.1 1 track 2
route outside2 0.0.0.0 0.0.0.0 182.xxx.26.229 100
sla monitor 55
 type echo protocol ipIcmpEcho 63.251.61.142 interface outside
 num-packets 5
 timeout 1000
 frequency 10
sla monitor schedule 55 life forever start-time now
track 2 rtr 55 reachability

中央局：

access-list BNG_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list BNG_TUNNEL extended permit ip object-group CORP_tunnel_NETS object-group BNG_tunnel_NETS 

route outside2 0.0.0.0 0.0.0.0 216.xxx.102.1
crypto map BNG_TUNNEL 1 match address BNG_TUNNEL
crypto map BNG_TUNNEL 1 set peer 182.xxx.26.230 216.xxx.206.4
crypto map BNG_TUNNEL 1 set transform-set L2L

tunnel-group 182.xxx.26.230 type ipsec-l2l
tunnel-group 182.xxx.26.230 ipsec-attributes
 pre-shared-key *****
tunnel-group 216.xxx.206.4 type ipsec-l2l
tunnel-group 216.xxx.206.4 ipsec-attributes
 pre-shared-key *****

したがって、ISAKMPが両方の外部インターフェイス（リモートオフィス）で有効になっていて、両方のIPがピア（セントラルオフィス）として構成されている場合、VPNは両方のインターフェイスで正常に起動しますが、ある時点でIP間のフラッピングが開始されます。これは、SLAモニタリングの有無にかかわらず当てはまるため、ルートがすべて静的であっても、動作は引き続き発生します。

どんな洞察も大歓迎です。

— スコット・ブルティングハウス
ソース

問題の診断に役立てるために、「crypto isakmp disconnect-notify」機能を有効にしてみて、見つけたことをお知らせください。これらのトンネルが最終的にはじけ始める理由を知りたいと思います。

— skrumcd

14

この理由から、ポリシーベースのVPNからサイトを移行しています。ポリシーベースのVPNは、フェールオーバーの動作に関しては予測不可能です。私は、ポイントツーポイントまたはDMVPNのいずれかのルートベースのIPsecトンネルを好みます。残念ながら、私の知る限り、ASAプラットフォームはまだルートベースのトンネルをサポートしていません。

— ジェレミーストレッチ
ソース

9

DMVPNソリューションを使用して、ASA間のL2L（Lan-to-Lan）IPSecトンネルを介してリモートサイトを接続することをお勧めします。DMVPNソリューションは、はるかに簡単でクリーンであり、スポーク間通信も可能にします。

— ツウィデフキ
ソース

この背後にある基本的な考え方と、これがどのように実装されるかについて詳しく説明してください。

— SimonJGreen

DMVPNソリューションでは、すべての構成がクライアント側（スポーク）で行われるため、初期セットアップ後にハブを変更する必要はありません。クライアントの場合、テンプレートを作成して繰り返し使用できます。スポークから複数のハブへの複数のトンネルを作成し、ルーティングプロトコルを使用して、トラフィックをルーティングするトンネルを決定できます。また、マルチポイントGREを使用するようにDMVPNを設定し、スポークがハブを介してトラフィックを渡すことなく直接相互に通信できます。

— -twidfeki

4

になり得る：

CSCub92666

ASA：スイッチオーバーで古い接続がIPSEC VPNトンネルを切断する

症状：ASAのIPsec VPNトンネルフェールオーバー構成で、プライマリリンクからバックアップリンクへのフェールオーバーが機能します。しかし、バックアップからプライマリリンクVPNトンネルへの2回目のフェイルオーバーの後、数分でフラッピングが始まり、不安定なままです。この動作は、古い残りの接続がまだバックアップispを指しているために観察されます。

— t0i
ソース

2

上記の声明に同意します。シンプルなVTIベースのIPSECまたはDMVPNを選択してください。トンネル内およびトンネルなしで異なるルーティングプロコトールインスタンスを実行することを忘れないでください。ええ、ASAをISRに置き換える必要があります。

両方のISPは単一の本社ASAまたは2つに戻りますか？2つの場合、この動作がどのように発生する可能性があるか（少なくとも構成を使用可能）で確認するのが難しいが、同じASA（または同じペア）であれば関連する可能性があります。

— wintermute000
ソース

ええ、中央にHAペアがあります。BGPルーティングは複数のISPを隠しますが、リモートオフィスの場合、ISPはASAに直接終端します。

— スコットボルティングハウス

他のISP接続が別のデバイスで終端されるか、少なくともASAの異なる物理インターフェイス/ IPで接続されるように、ヘッドエンドを分割します。それは助けになるはず/別の終端デバイスを試すことは無料/中断なしで、今のところ予備のISRを使用するだけ

— です-wintermute000

2

この質問のフォローアップとして、1年以上にわたってCisco TACと協力してきました。最終的に、これはASAプラットフォームが接続を処理する方法のバグであることを確認しました。本質的には、トンネルを他のインターフェイスに移動したときに1つのインターフェイスからの接続をクリアしていなかったため、両方のインターフェイスから接続テーブルのエントリが見え始めたため、制御不能になりました。

2つのISPを備えたファイアウォールにIOSバージョン8.4.7を展開しましたが、実際には正しく動作しているようです。プライマリインターフェイスがダウンしたときにフェールオーバーが発生し、そのインターフェイスが戻ってそのインターフェイスに残ったときに元に戻ります。表示されます。

— スコット・ブルティングハウス
ソース

1

TACが取り組んだバグのバグタックIDはありますか？

プライマリが復元されると、トンネルはバックアップからプライマリへのプリエンプションを実行しますか？

— フェデリ