一半站点到站点的 Cisco VPN 不通过通信

问题：

一个站点到站点的 VPN 已经建立了与 paloalto 防火墙在一边和思科 ASA 在另一个。VPN 暂时下降, 因为它回到了在线, ASA 可以访问 PA, 但 PA 无法访问 ASA。  如何确定是哪一侧引起的问题？

分辨率︰

当 IPSec 对等方收到无法找到 SA 的数据包时, 它会向启动该连接的 VPN 设备发送无效的 SPI 错误消息。  在此实例中, pa 设备接收到无效的 spi 消息, 表明 pa 设备是启动器。  响应方 (ASA) 的日志将有更多的详细信息。ASA 发送了无效的 spi 消息, 因此它可能从 PA 设备接收到的数据与它所拥有的任何 sa 不匹配。这很可能意味着 ASA 因某种原因超时或降低 SA。在任何情况下, 都应该分析 ASA 日志, 以了解它为什么发送无效的 spi 消息。

所有者: swhyte