Cisco ASAデッドピア検出 - 調整

私はL2Lトンネルをいくつかの周辺回路上に持っていますが、頻繁に次のようなメッセージが表示されます。

%ASA-3-713123:グループ= 50.x.x.x、IP = 50.x.x.x、リモートピアとのIKE接続の切断、接続の削除(キープアライブタイプ:DPD)

これらは静的に定義されたトンネルであり、通常は数秒で復帰します。これらには二次的なピアはありません。

しきい値を設定し、DPDキープアライブを再試行する方法については多くの情報がありますが、使用するタイミングと最適な設定を決定する方法についてはほとんどガイドがありません。

私はそれらの変更をテストして、変更を加えることができ、何も悪いことは起こりませんが、何か良いことが起こっているかどうかは確かです(アップ/ダウンのバウンスは頻繁に起こり、特定のトンネルではまれです)。私が生産の束を変え始める前に、私は健全性チェックに感謝するでしょう:

  • 限界回路(およびこれらのうちのいくつかは低品質で時には忙しい)、特に二次的なピアがないということは論理的に思えますが、DPDは遅くなるはずです再試行を2秒(合計6)から10(合計30)に変更することを考えています。

  • しきい値を引き上げても利点はありません。再試行時間を調整する場合、しきい値を調整する理由はありますか?

  • これを対称的に設定しなければならないと言う文書もありますが、デバッグ時に違った価値観で害を感じることはありません。私は違うつもりはありませんが、各ルータに展開するには時間がかかります。一定の期間、それぞれの端で異なる(ただし、オフにならない)場合は問題はありますか?

  • 各トンネル(両端)を個別に変更する必要があります。私はDefaultL2LGroup(個々の静的トンネルグループがあることを認識している)を変更しようとしましたが、期待通りに影響はありません。デフォルトを変更する方法がないので、各トンネル(および各エンド)を変更する必要があります。

環境:一般的に、ASA5505は5525と5515で、バージョンは8.2(5)59〜9.5(2)6です。スポーク上の回路は一般に低速(ケーブルモデム、DSLなど)で、通常はビジーではありませんが、時にはビジー状態です。

変更が必要なトンネルは約85ありますので、これが比較的安全(と思われる)であっても、これを一度だけ行うことにします。私は正しい軌道にいるように聞こえますか?

1
答えがあなたを助けましたか?もしそうなら、回答を受け入れて、質問が永遠に現れず、答えを探してください。あるいは、あなた自身の答えを提供して受け入れることもできます。
追加された 著者 Ron Maupin,
ファイアウォールがネーティブしている場合、DPDキープリーブメッセージの1つの使用法はNAT変換エントリを維持します。
追加された 著者 crasic,

1 答え

さて、ここに行く:

DPDは(もしあれば)遅くなる必要があるので、周辺回路(そしてこれらのうちのいくつかは低品質で時には忙しい)、特に二次的なピアがないと論理的に思えるので、 2秒(合計6回)から10回(合計30回)まで再試行します。

私はあなたが正しい設定になっていると思っています。私は通常、再試行タイマーのために10秒を使います。セカンダリピアがなければ、どれくらいの速さで障害が検出されても問題ありません。

しかし、閾値を伸ばすことには何のメリットもありません。再試行時間を調整すると、しきい値を調整する理由はありますか?

私が考えることができる良いものはありません。おそらく、リンク上にトラフィックを生き残らせるために多くのトラフィックがない場合や、それが不経済な高価なサテライトリンクである場合は、しきい値を少し上回る可能性があります。

いくつかのドキュメントでは、これらを対称的に設定する必要があると言われていますが、デバッグ時に違った価値観で害を見ることはありません。私は異なっているつもりはありませんが、各ルータに展開するには時間がかかります。一定の期間、これらのルータが両端で異なる(ただし、オフにならない)場合は問題はありますか?

DPDは、トンネルが完全にアイドル状態のときだけ起動します。つまり、双方向モード(デフォルト)を使用している限り、各ノードからのRU-THERE /レスポンスメッセージはトラフィックとしてカウントされますをクリックし、毎回遠端のスレッシュホールドをリセットします(カウンタが一方の端ではるかに長い場合でも)。

各トンネル(両端)を個別に変更する必要があります。私はDefaultL2LGroup(個々の静的トンネルグループがあることを認識している)を変更しようとしましたが、期待通りに影響はありません。デフォルトを変更する方法がないのですが、各トンネル(および各端)を変更する必要がありますか?

私はASAに触れて以来、長い時間が経ちましたが、L2Lトンネルの各インスタンスがデフォルトのグループから継承するのではなく、独立した設定を持っていることは間違いありません。

がんばろう!

1
追加された
ありがとう、ベンジャミン、私は正気のチェックを感謝します。実際に、DPDパケットはトラフィックとしてカウントされます。トンネルのどの端を確実に戻して、デバッグモードでトラフィックを確実に確認するためにpingしたかを慎重に調べる必要がありました(もう一方の端では、開始側のDPDからのトラフィックを見て、それ自体を送信しない)。あまりにもひどいデフォルトがないのは残念ですが、私はそれぞれのタイプですべてのタイプを調べるつもりです。ほとんどのスクリプトを書く価値がある。
追加された 著者 David Richerby,