设为首页收藏本站language 语言切换
开启辅助访问 切换到宽版

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

鸿鹄论坛»鸿鹄论坛 ≡□≡思科认证≡□≡ CCNP求助答疑 VPN 的 role能否更改
返回列表 发新帖
查看: 2110|回复: 12
收起左侧

[求助] VPN 的 role能否更改

[复制链接]
kai199418
发表于 2017-12-29 13:47:15 | 显示全部楼层 |阅读模式
10鸿鹄币
ASA5510# show isakmp sa

   Active SA: 8
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 8

1   IKE Peer: a.a.a.
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE
2   IKE Peer: b.b.b.b
    Type    : L2L             Role    : responder
    Rekey   : no              State   : MM_ACTIVE

请问一下这个isakmp的role怎么更改,我想把第一个也改为responder,搭建两个site to site VPN的时候,用的相同的命令,却role不一样呢,怎么更改这个role呢

回复

使用道具 举报

xiaoziwuyong
发表于 2017-12-29 15:48:26 | 显示全部楼层
试一下百度一下,应该有的。或者华为官网找一下资料
沙发 2017-12-29 15:48:26 回复 收起回复
回复

使用道具 举报

kai199418
 楼主| 发表于 2018-1-2 10:11:20 | 显示全部楼层
xiaoziwuyong 发表于 2017-12-29 15:48
试一下百度一下,应该有的。或者华为官网找一下资料

百度有我就不来这了
板凳 2018-1-2 10:11:20 回复 收起回复
回复

使用道具 举报

SZXLINDAGUANG
发表于 2018-1-3 09:43:55 | 显示全部楼层
第一我不明白你要更改的原因.L2L VPN 建立连接关系肯定有个    initiator 有一个是responder.你去找找看VPN的报文交互 过程
地板 2018-1-3 09:43:55 回复 收起回复
回复

使用道具 举报

WOLF某某某
发表于 2018-1-3 13:42:25 | 显示全部楼层
在通过IKE协商VPN时, 一端主动发起,一端响应.主动发起的是initiator,响应的一端是responder.就跟建立TCP连接类似, 总需要一端发起协商
5# 2018-1-3 13:42:25 回复 收起回复
回复

使用道具 举报

kai199418
 楼主| 发表于 2018-1-4 14:14:51 | 显示全部楼层
SZXLINDAGUANG 发表于 2018-1-3 09:43
第一我不明白你要更改的原因.L2L VPN 建立连接关系肯定有个    initiator 有一个是responder.你去找找看VPN ...

如今哥们我遇到了一个问题,很诡异,两个公司搭建site to site vpn ,需要A公司访问B公司的某个服务器,但是必须B公司的服务器向A公司发起数据,才能使VPN tunnel起来,但是过一段时间没有数据传输,tunnel就自己drop了,A公司的用户向B公司服务器发起数据,不能让VPN tunnel起来,所以我想改两端的角色,这样能让客服正常访问服务器,
6# 2018-1-4 14:14:51 回复 收起回复
回复

使用道具 举报

kai199418
 楼主| 发表于 2018-1-4 14:17:40 | 显示全部楼层
WOLF某某某 发表于 2018-1-3 13:42
在通过IKE协商VPN时, 一端主动发起,一端响应.主动发起的是initiator,响应的一端是responder.就跟建立TCP连 ...

关键是我想让客户访问对端服务器,客户每次主动发起,不能让VPN tunnel起来,但是服务器要主动发起就能让tunnel起来,所以我才想改变两端的角色,让客户成为发起者,这样每次客户发起连接就能直接使tunnel 起来。我不知道造成这样的原因是什么,只能单方向的访问才能使tunnel起来。
7# 2018-1-4 14:17:40 回复 收起回复
回复

使用道具 举报

WOLF某某某
发表于 2018-1-5 16:17:15 | 显示全部楼层
kai199418 发表于 2018-1-4 14:17
关键是我想让客户访问对端服务器,客户每次主动发起,不能让VPN tunnel起来,但是服务器要主动发起就能让 ...

L2L VPN必须有一端主动发起, 从而触发VPN协商, 至于哪一端主动发起, 就看哪一端先发VPN流量了.
8# 2018-1-5 16:17:15 回复 收起回复
回复

使用道具 举报

q466265670
发表于 2018-1-11 09:47:26 | 显示全部楼层
学习
9# 2018-1-11 09:47:26 回复 收起回复
回复

使用道具 举报

jsjsboy
发表于 2018-1-13 22:06:43 | 显示全部楼层
本帖最后由 jsjsboy 于 2018-1-13 22:09 编辑

你客户能访问服务器却不能触发VPN流量,跟你这个是否是发起者没关系,你要排查的是为什么不能触发VPN流量,是哪边的问题,我估计是你客户那边的出口配置有问题
10# 2018-1-13 22:06:43 回复 收起回复
回复

使用道具 举报

jsjsboy
发表于 2018-1-16 19:08:59 | 显示全部楼层
如果你的问题没有解决,请看一下B公司是不是没有固定IP?A公司用的动态map?
如果是这样的话,A公司就不会有流量可以触发VPN,因为你压根不知道B公司的IP到底是多少!那么VPN触发必须有B公司发起。
至于解决方法:用动态路由的hello包去一直触发VPN,保持不断。
我看你发了很多帖子,给的信息很符合以上特征
11# 2018-1-16 19:08:59 回复 收起回复
回复

使用道具 举报

kai199418
 楼主| 发表于 2018-4-8 10:42:52 | 显示全部楼层
jsjsboy 发表于 2018-1-13 22:06
你客户能访问服务器却不能触发VPN流量,跟你这个是否是发起者没关系,你要排查的是为什么不能触发VPN流量, ...

这个问题我发到国外论坛上了,国外的大神告诉我真正的问题所在,如果防火墙同时做了easy vpn 和L2L vpn,
crypto dynamic-map dyn 100 set transform-set remotevpn,
如果你的L2L的值大于easy vpn的 number设定值,那么就会有问题,必须小于,
也就是说在客户端,crypto map 后面的number小于100,就什么事也没有,大于100就会出现我说的问题。
我让客户把这个值调小后,就再也没出现过这个问题了
12# 2018-4-8 10:42:52 回复 收起回复
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2025-5-10 12:02 , Processed in 0.071918 second(s), 21 queries , Redis On.  

  Powered by Discuz!

  © 2001-2025 HH010.COM

快速回复 返回顶部 返回列表