Cisco ASA IPsec 隧道断开向所有主机发送 RST

Question

这是我们通过 IPsec 隧道观察到的非常奇怪的行为，我们有两个站点使用站点到站点 VPN 隧道与 cisco ASA 连接，如下所示：

[LAN-1]---------[ASA-1]-------Internet-------[ASA-2]--------[LAN-2]

我们在 LAN-1 上有 Jenkins 主机，在 LAN-2 上有一些构建从机。在随机 vpn 隧道突然闪出几秒钟，它导致 jenkins 断开与所有从属设备和 distubes 运行工作的连接（当我的隧道突然出现并终止所有连接时，我感觉就像 ASA 发送 RST 数据包）

如果我在 LAN-1 和 LAN-2 之间建立了 SSH 连接，那么 SSH 连接也会被重置。

当隧道关闭 10 秒并重新初始化所有 SA 时，Cisco ASA 是否可以发送 RST 数据包？

Answer 1

我会提出一些想法。

• 检查隧道正常运行时间。相关命令show crypto isakmp sa 和 show crypto ipsec sa peer x.x.x.x。它肯定会下降吗？

• 您能否通过反弹隧道来重现该问题？ clear crypto ipsec sa peer *x.x.x.x*

• 一定要使用sysopt connection preserve-vpn-flows。做过 您在两侧启用它还是仅在一侧启用它？

• 您能否运行数据包捕获来检查 RST 是否正在发送？这
  理想情况下在主机设备上完成，但也可以在 ASA 上完成
  使用capture 命令。