サイトの半分は、サイトの Cisco VPN のトラフィックを通過していない

問題:

サイト間の VPN は、一方の側に paloalto ファイアウォールと他のシスコ ASA で設定されています。VPN は、一時的にドロップし、それがオンラインに戻ってきたので、asa は、pa にアクセスすることができますが、pa は asa にアクセスすることは出来ません。  どのように問題を引き起こしている側を決定することができますか?

解決策:

IPSec ピアが SA を検出できないパケットを受信すると、接続を開始した VPN デバイスに無効な SPI エラーメッセージが送信されます。  このインスタンスでは、pa デバイスは、pa デバイスがイニシエータであることを示す、無効な spi メッセージを受信しました。  応答側 (ASA) からのログには、より詳細な情報があります。ASA は無効な spi メッセージを送信したため、PA デバイスからのデータを受信していた SAs と一致しなかった可能性があります。これは非常によく ASA がタイムアウトまたは何らかの理由で SA をダウンさせることを意味することができます。いずれの場合も、ASA ログを分析して、無効な spi メッセージを送信した理由を調べる必要があります。

所有者: swhyte