Die Hälfte der Website-vor-Ort-Cisco VPN nicht passieren Verkehr
Resolution
Problem:
Mit der paloalto-Firewall auf der einen und einer Cisco ASA auf der anderen Seite wurde ein VPN-Website eingerichtet. Das VPN fiel momentan und da es wieder online kam, kann die ASA auf die PA zugreifen, aber die PA kann nicht auf die ASA zugreifen. Wie kann festgestellt werden, welche Seite das Problem verursacht?
Lösung:
Wenn ein IPSec-Peer ein Paket erhält, für das er keine SA finden kann, sendet er eine ungültige SPI-Fehlermeldung an das VPN-Gerät, das die Verbindung initiiert hat. In diesem Fall erhielt das PA-Gerät die ungültige SPI-Nachricht, die anzeigt, dass das PA-Gerät der Initiator war. Die Protokolle von The Responder (The ASA) werden mehr Details haben. Die ASA schickte die ungültige SPI-Nachricht, so dass Sie Daten von der PA-Vorrichtung erhalten haben könnte, die nicht mit irgendwelchen SAS übereinstimmen, die Sie hatte. Das könnte sehr wohl bedeuten, dass die ASA aus irgendeinem Grund eine SA ausgab oder herunterbrachte. In jedem Fall sollten die ASA-Protokolle analysiert werden, um herauszufinden, warum Sie die ungültigen SPI-Nachrichten gesendet haben.
Besitzer: swhyte