У меня есть Cisco ASA 5505 8.2(5) - ASA_1 в главном офисе, настроенный с тремя интерфейсами:
снаружи - ааа.ааа.ааа.ааа
резервное копирование - bbb.bbb.bbb.bbb
внутри - 192.168.10.1
Переключение между внешним и резервным копированием настраивается с помощью монитора sla и отслеживания:
sla monitor 1
type echo protocol ipIcmpEcho 212.116.103.121 interface outside
num-packets 3
frequency 10
sla monitor schedule 1 life forever start-time now
!
track 1 rtr 1 reachability
!
route outside 0.0.0.0 0.0.0.0 aaa.aaa.aaa.121 1 track 1
route backup 0.0.0.0 0.0.0.0 bbb.bbb.bbb.65 10
route inside 0.0.0.0 0.0.0.0 192.168.10.1 tunneled
И тот же ASA_2 в удаленном офисе с двумя интерфейсами:
снаружи - ccc.ccc.ccc.ccc
внутри - 192.168.2.1
Я построил VPN-туннель между ними. Когда внешний интерфейс на ASA_1 не работает, трафик проходит через интерфейс резервного копирования. Но в этом случае мой тоннель рушится.
Я добавил криптографическую карту в интерфейс резервного копирования:
crypto map vpdn 1 match address outside_1_cryptomap
crypto map vpdn 1 set pfs group1
crypto map vpdn 1 set peer ccc.ccc.ccc.ccc
crypto map vpdn 1 set transform-set ESP-DES-SHA
crypto map vpdn 10 ipsec-isakmp dynamic vpdn-map
crypto map vpdn interface outside
crypto map vpdn interface backup
и настроил второй туннель в ASA_2 (с резервным IP-адресом в качестве однорангового):
crypto map outside_map 1 match address outside_1_cryptomap
crypto map outside_map 1 set pfs group1
crypto map outside_map 1 set peer aaa.aaa.aaa.aaa
crypto map outside_map 1 set transform-set ESP-DES-SHA
crypto map outside_map 2 match address outside_1_cryptomap
crypto map outside_map 2 set pfs group1
crypto map outside_map 2 set peer bbb.bbb.bbb.bbb
crypto map outside_map 2 set transform-set ESP-DES-SHA
crypto map outside_map interface outside
как вы можете видеть обе криптокарты используют один и тот же acl.
Но когда я выключаю внешний интерфейс, пакет-трассировщик в ASA_1 (от основной локальной сети к удаленной) отображает следующее:
...
Phase: 11
Type: VPN
Subtype: encrypt
Result: DROP
Config:
Additional Information:
Forward Flow based lookup yields rule:
out id=0xd8e3d950, priority=70, domain=encrypt, deny=false
hits=0, user_data=0x0, cs_id=0xd8e99c80, reverse, flags=0x0, protocol=0
src ip=192.168.10.0, mask=255.255.255.0, port=0
dst ip=dop-off1, mask=255.255.255.0, port=0, dscp=0x0
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
И то же самое в ASA_2 (из удаленной локальной сети в основную)
Вывод sh isakmp на ASA_1 при включенном внешнем интерфейсе:
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: ccc.ccc.ccc.ccc
Type : L2L Role : initiator
Rekey : no State : MM_ACTIVE
когда снаружи внизу sh isakmp не показывает никаких туннелей вообще.
Вывод sh isakmp на ASA_2 либо когда внешний интерфейс на ASA_1 включен, либо выключен:
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: aaa.aaa.aaa.aaa
Type : L2L Role : initiator
Rekey : no State : MM_ACTIVE
Как я могу решить эту проблему?
PS Извините за мой английский, я из России)