Отключение туннеля Cisco ASA IPsec, отправка RST всем хостам

Question

Это очень странное поведение, которое мы наблюдаем с нашим туннелем IPsec, у нас есть два сайта, связанные с Cisco ASA, используя VPN-туннель сайт-сайт, как указано ниже:

[LAN-1]---------[ASA-1]-------Internet-------[ASA-2]--------[LAN-2]

У нас есть мастер Jenkin в LAN-1, а некоторые сборки подчиненного в LAN-2.Случайно случайно туннель vpn выскакивает на несколько секунд, вызывая отключение jenkins от всех подчиненных и выполняющих работу заданий (я чувствовал, что ASA отправляет пакет RST, когда отключается мой туннель, и разрывает все соединение)

также, если у меня установлено соединение SSH между LAN-1 и LAN-2, это соединение SSH также получило сброс.

возможно ли, чтобы Cisco ASA отправлял пакет RST, когда туннель отключается в течение 10 секунд, и повторно инициализирует все SA

Answer 1

Я выскажу некоторые идеи.

• Проверьте время работы туннеля.Соответствующие команды show crypto isakmp sa и show crypto ipsec sa peer x.x.x.x.Это точно произойдет?

• Можете ли вы повторить проблему, прыгнув в туннель?clear crypto ipsec sa peer *x.x.x.x*

• Определенно используйте sysopt connection preserve-vpn-flows.Вы включили его с обеих сторон или, возможно, только с одной стороны?

• Можете ли вы запустить захват пакетов, чтобы проверить отправку RST?Это
  в идеале выполняется на хост-устройстве, но также может быть сделано на ASA * ​​1022 * с помощью команды capture.