Failover VPN da sito a sito Cisco ASA

Di recente abbiamo sostituito MPLS internazionali con nuovi ASA 5510 e VPN da sito a sito. Tuttavia, quando lo abbiamo implementato, abbiamo riscontrato un problema in cui ogni posizione remota ha 2 ISP per la ridondanza, ma quando si abilita la VPN su entrambe le interfacce si alza tra i due e il tunnel è su e giù mentre il tunnel viene abbattuto e spostato tra ISP. Cisco ci sta lavorando da 8 mesi e non abbiamo ancora tunnel stabili con più ISP.

Ufficio remoto:

access-list RWS_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list RWS_TUNNEL extended permit ip object-group BNG_tunnel_NETS object-group CORP_tunnel_NETS
crypto map RWS_TUNNEL 1 match address RWS_TUNNEL
crypto map RWS_TUNNEL 1 set peer 216.xxx.102.2 
crypto map RWS_TUNNEL 1 set transform-set IND-RWS
tunnel-group 216.xxx.102.2 type ipsec-l2l
tunnel-group 216.xxx.102.2 ipsec-attributes
 pre-shared-key *****


route outside 0.0.0.0 0.0.0.0 216.xxx.206.1 1 track 2
route outside2 0.0.0.0 0.0.0.0 182.xxx.26.229 100
sla monitor 55
 type echo protocol ipIcmpEcho 63.251.61.142 interface outside
 num-packets 5
 timeout 1000
 frequency 10
sla monitor schedule 55 life forever start-time now
track 2 rtr 55 reachability

Ufficio centrale:

access-list BNG_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list BNG_TUNNEL extended permit ip object-group CORP_tunnel_NETS object-group BNG_tunnel_NETS 

route outside2 0.0.0.0 0.0.0.0 216.xxx.102.1
crypto map BNG_TUNNEL 1 match address BNG_TUNNEL
crypto map BNG_TUNNEL 1 set peer 182.xxx.26.230 216.xxx.206.4
crypto map BNG_TUNNEL 1 set transform-set L2L

tunnel-group 182.xxx.26.230 type ipsec-l2l
tunnel-group 182.xxx.26.230 ipsec-attributes
 pre-shared-key *****
tunnel-group 216.xxx.206.4 type ipsec-l2l
tunnel-group 216.xxx.206.4 ipsec-attributes
 pre-shared-key *****

Quindi quello che ho scoperto è che quando ISAKMP è abilitato su entrambe le interfacce esterne (ufficio remoto) ed entrambi gli IP sono configurati come peer (ufficio centrale) la VPN si presenta correttamente su entrambe le interfacce, ma ad un certo punto inizierà a passare da un IP all'altro. Questo è vero con o senza il monitoraggio SLA, quindi anche se le route sono tutte statiche, si verifica comunque un comportamento.

Qualsiasi intuizione è apprezzata.

Per questo motivo ho migrato i siti lontano da VPN basate su criteri. Le VPN basate su criteri sono troppo imprevedibili quando si tratta di comportamenti di failover. Preferisco di gran lunga i tunnel IPsec basati sul percorso, da punto a punto o DMVPN. Sfortunatamente, per quanto ne so, la piattaforma ASA non supporta ancora tunnel basati su route.

Consiglierei di utilizzare una soluzione DMVPN per connettere siti remoti su tunnel IPSec L2L (Lan-to-Lan) tra ASA. La soluzione DMVPN è molto più semplice, più pulita e consentirà anche la comunicazione da parlato a raggio.

Potrebbe essere:

CSCub92666

ASA: I vecchi collegamenti abbattono il tunnel VPN IPSEC al passaggio di corrente

Sintomo: nel tunnel VPN IPsec failover sulla configurazione su ASA, il failover dal collegamento primario a quello di backup funziona. Ma dopo il secondo failover dal backup al collegamento primario il tunnel VPN inizia a sbattere in pochi minuti e rimane instabile. Il comportamento si osserva a causa della vecchia connessione rimanente che punta ancora a isp di backup.

Sono d'accordo con le dichiarazioni di cui sopra. Passa al semplice IPSEC basato su VTI o in alternativa a DMVPN. Ricorda solo di eseguire diverse istanze di procotol di routing all'interno e senza i tunnel. Sì, dovrai sostituire gli ASA con gli ISR.

Entrambi gli ISP tornano in una singola sede ASA o due? Se due trovo difficile vedere (con la configurazione disponibile almeno) come potrebbe verificarsi questo comportamento, ma se è lo stesso ASA (o la stessa coppia) potrebbe essere correlato.

Come follow-up su questa domanda, ho lavorato con Cisco TAC su questo per oltre un anno. Hanno finalmente identificato che questo è un bug nel modo in cui la piattaforma ASA gestisce le connessioni. essenzialmente non stava cancellando le connessioni da un'interfaccia quando spostava il tunnel sull'altra interfaccia e sarebbe sfuggito al controllo quando ha iniziato a vedere le voci nella tabella delle connessioni da entrambe le interfacce.

Ho distribuito IOS versione 8.4.7 sul firewall con due ISP e sembra che si stia comportando correttamente. Il failover si verifica quando l'interfaccia principale si interrompe, quindi torna indietro quando l'interfaccia ritorna e rimane su quell'interfaccia. Vedremo.