ASAのIPSecトンネルが切断され続ける
ASA5505とMicrosoftTMG 2010SP2の間にASAPISecトンネルを設定しています。
トンネルは、数時間機能してから切断される場合もあれば、5分間機能してから切断される場合もあります。
切断すると、SAの再確立に10分かかる場合もあれば、SAの再確立に45分かかる場合もあります。
トンネルの片側が接続の再入力を行っており、もう一方はそうではないのではないかと疑っていますが、これをトラブルシューティングする方法がよくわかりません。 ASA側からのトラブルシューティングは、TMGからこの情報を取得するという鈍い性質のため、TMG側からのトラブルシューティングよりも大幅に簡単です。 TMGが問題のあるところだと思いますが。
ASAのどこに移動して、IPSecトンネルがドロップしている理由を特定できますか。
トンネルの両側でボリュームベースのキーの再生成が無効になっているにもかかわらず、一方の側がとにかくキーの再生成を試みていました(どちらかはわかりませんが、TMGの疑いがあります)。そのため、数週間のトラブルシューティングの後、リンクの両側で4GBの後にキーの再生成を設定しましたが、それ以来、堅実です。
時間ベースのキー再生成は1時間です。また、4GBのトラフィックが1時間以内にそのリンクを流れる可能性は非常に低いため、それ以来安定しています。
トンネルを介してルーティングプロトコルを使用していますか?その場合は、トンネルを介してリモートエンドポイントアドレスへのルートを取得していないことを再確認してください。例えば1.2.3.4と2.3.4.5の間にトンネルがある場合は、適切なネクストホップアドレスを経由する静的ルートが1.2.3.4から2.3.4.5にあることを確認してください。
トンネルが絶えず上下するため、このエラーが発生したときに見た症状と似ています。最初にトンネルを確立し、次にルーティングネイバーシップを確立し、次にルートを交換します。多くの場合、リモートエンドポイントの接続ルートが送信されます。したがって、リモートエンドポイントへのルートはトンネルを経由し、タイムアウトすると、ネイバーシップが失敗します。つまり、ルートが削除され、トンネルが再び立ち上がる可能性があります。このサイクルは、適切な静的ルートを追加するまで無限に繰り返されます。