отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
1073
Просмотры
10
Полезный материал
17
Ответы
alex.z
Beginner

помогите разобраться в скрипте для ASA 5506

Всем добра
помоги плиз скрипт до ума довести
суть в том что падает впн между циской и центральным офисом
если адрес из сети центрального офиса не пингуется
надо выполнить clear crypto ipsec

вроде как надо добавить еще
event track 1 state down
но ругается на трек

 

sla monitor 123
 type echo protocol ipIcmpEcho 192.168.ххх.ххх interface LAN
 num-packets 3
 frequency 5
sla monitor schedule 123 life forever start-time now

track 1 rtr 123 reachability

event manager applet VPN_DOWN
 action 2 cli command "clear crypto ipsec sa peer 91.135.ххх.ххх"
17 ОТВЕТ 17
vamikhai
Cisco Employee

Добрый день.

А зачем выполнять сброс? 

dpd keepalive не подходят?

потому что помогает

вторая сторона не умеет keepalive

sergeylisitsin
Beginner

Добрый день,

 

А можно по-подробнее насчёт "ругается на трек"? Приведите пожалуйста сообщение об ошибке.

ERROR: % Invalid input detected at '^' marker.

маркер указывает на слово трек

Ну потому что она так не умеет. Это не ISR и не ASR

________________________________________________________
Если ответ понравился, ставь звёздочку. Если ответ помог решить твою проблему, утверди его в качестве решения

да я понял, в хелпе по команде нет трека

подскажите как правильно сделать

Leonid Voronkin
VIP Collaborator

https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/118087-technote-asa-00.html

________________________________________________________
Если ответ понравился, ставь звёздочку. Если ответ помог решить твою проблему, утверди его в качестве решения

подскажите

 

event syslog id 622001 occurs 2

что делает?

ASA использует syslog ID для идентификации syslog сообщений, которые запускают апплет. Это выполняется с помощью ключевого слова id, которое может быть отдельным syslog сообщением или диапазоном. Опциональное ключевое слово occurs указывает, сколько раз syslog сообщение должно появиться для запуска апплета (по умолчанию 1).

________________________________________________________
Если ответ понравился, ставь звёздочку. Если ответ помог решить твою проблему, утверди его в качестве решения

логично, но пока не понятно пока что за ошибка в логе с id 622001

и как она связана с пропаданием пинга

Тут не всё так в лоб.

Пропадает пинг, реагирует трэк.

Реагирует трэк, пропадает маршрут.

Пропадает маршрут, появляется сислог сообщение.

Появляется сислог сообщение, запускается аплет.

 

Здесь перечень сислог сообщений

https://www.cisco.com/c/en/us/td/docs/security/asa/syslog/b_syslog/syslogs6.html?referring_site=RE&pos=3&page=https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/118087-technote-asa-00.html

________________________________________________________
Если ответ понравился, ставь звёздочку. Если ответ помог решить твою проблему, утверди его в качестве решения

это я видел

а вот какой ид генерит отсутствие пинга в моем случае, не знаю как найти

Сообщение появляется, не от отсутствия пинга. Перечитайте моё предыдущее сообщение. Я его отредактировал. Но вы его прочитали, судя по всему, до того как я его отредактировал

________________________________________________________
Если ответ понравился, ставь звёздочку. Если ответ помог решить твою проблему, утверди его в качестве решения

так может мне и не нужна последняя часть?

пропадает пинг и мне бы сразу clear crypto ipsec sa peer

типа

track 1 rtr 123 reachability
action cli command "clear crypto ipsec sa peer 91.135.ххх.ххх"