购买或续订
购买或续订
Umbrella 发布说明和公告现已在 Cisco 社区发布!点击查看详情。
取消
开启建议
自动建议可通过在您键入时建议可能的匹配,而快速缩小您的搜索结果范围。
显示结果 
搜索替代 
您的意思是: 
cancel
开始对话
8041
查看次数
0
有帮助
3
回复

ASA8.4 L2L Ipsec VPN 两个peer引起的问题

查看解答
edenzhang
Level 1
Level 1

发布时间 ‎04-15-2015 06:06 PM

中心站点有两个ASA,配置了RRI,没有配置高可用性,在分支站点ASA的crypto map 中设置了中心站点的两个peer,结果在中心站点的ASA上看到debug crypto ikev1信息,轮流地拆除与两个peer的会话,原因是peer的地址变了。记得分支站点用路由器时不会有这种问题,ASA 的一个crypto map里不能同时有两个peer吗?那为什么又可以设置多个peer?
求指点!

标签:
0 有帮助
1 个已接受解答

已接受的解答

查看解答
Yanli Sun
Community Manager
Community Manager

发布时间 ‎04-15-2015 06:06 PM

您好,已经有人回复您的问题了,不知您的问题是否已经得到满意答复,如果是请您选择“已解决”,感谢您的支持~~~

在原帖中查看解决方案

0 有帮助
3 条回复3

查看解答
Yanli Sun
Community Manager
Community Manager

发布时间 ‎04-15-2015 06:06 PM

您好,已经有人回复您的问题了,不知您的问题是否已经得到满意答复,如果是请您选择“已解决”,感谢您的支持~~~
0 有帮助

查看解答
13nash
Level 8
Level 8

发布时间 ‎04-17-2015 06:43 AM

多站点不是也多个peer么?贴个配置看看
0 有帮助

查看解答
edenzhang
Level 1
Level 1

发布时间 ‎04-20-2015 12:18 AM

本帖最后由 edenzhang 于 2015-4-21 04:58 编辑
在思科英文论坛我也发了类似的帖子,有个老外回答说“ASA在一个crypto map里如果得到了SA,此时如果收到了另外的peer请求,就会关闭当前的SA“。他还说,我所能做的就是把这边的ASA设为”initiator only",另一头的2个ASA设为"responder only",并说2个peer只能互为备份。事实上他的回答是我已经看到了的现象。看来ASA的一个crypto map里两个peer是不能同时工作的。
以下是两个站点的配置,贴出来也没什么用的。
这是站点A的配置:
ASA802(config)# show run cry
crypto ipsec transform-set TS esp-des esp-md5-hmac
crypto map CM 10 match address VPN
crypto map CM 10 set peer asa1 asa2
crypto map CM 10 set transform-set TS
crypto map CM interface outside
crypto isakmp identity key-id 888
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption des
hash md5
group 2
lifetime 3600
no crypto isakmp nat-traversal
ASA802(config)# show run tunn
tunnel-group DefaultL2LGroup ipsec-attributes
isakmp keepalive threshold 3600 retry 2
tunnel-group DefaultRAGroup ipsec-attributes
isakmp keepalive threshold 3600 retry 2
tunnel-group DefaultWEBVPNGroup ipsec-attributes
isakmp keepalive threshold 3600 retry 2
tunnel-group 100.0.0.1 type ipsec-l2l
tunnel-group 100.0.0.1 ipsec-attributes
pre-shared-key *
isakmp keepalive threshold 3600 retry 2
tunnel-group 100.0.0.2 type ipsec-l2l
tunnel-group 100.0.0.2 ipsec-attributes
pre-shared-key *
isakmp keepalive threshold 3600 retry 2
ASA802(config)# show run name
name 100.0.0.1 asa1
name 100.0.0.2 asa2
ASA802(config)# show run access-l
access-list VPN extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list VPN extended permit ip 172.16.2.0 255.255.255.0 172.16.1.0 255.255.255.0
ASA802(config)#
这是站点B的一个ASA的配置,另一个ASA2与此类似:
asa1(config)# show run cry
crypto ipsec ikev1 transform-set TS esp-des esp-md5-hmac
crypto map CM 10 match address VPN
crypto map CM 10 set peer 200.0.0.1
crypto map CM 10 set ikev1 transform-set TS
crypto map CM interface outside
crypto isakmp identity hostname
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication pre-share
encryption des
hash md5
group 2
lifetime 3600
asa1(config)# show run tunn
tunnel-group 200.0.0.1 type ipsec-l2l
tunnel-group 200.0.0.1 ipsec-attributes
ikev1 pre-shared-key *****
asa1(config)# show run access-l
access-list VPN extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
access-list VPN extended permit ip 172.16.1.0 255.255.255.0 172.16.2.0 255.255.255.0
asa1(config)#
0 有帮助
快捷链接

浏览社区快速链接并以您的母语获取个性化内容:

发布或浏览文章 分享想法或新闻 观看我们的所有视频视频
Customers Also Viewed These Support Documents