Очередной глюк в Cisco ASA 5510
Пятница, 22.05.2009 – 14:37Сегодня заметил очередной глюк в Cisco Adaptive Security Appliance Software Version 8.0 (4) на ASA 5510. Дело в том, что при конструкции вида:
crypto map outside_map 20 match address crypto_first crypto map outside_map 20 set peer 91.xx.xx.xx crypto map outside_map 20 set transform-set ESP-AES-256-SHA crypto map outside_map 21 ipsec-isakmp dynamic vpn crypto map outside_map 22 match address crypto_second crypto map outside_map 22 set peer 78.xx.xx.xx crypto map outside_map 22 set transform-set ESP-AES-256-SHA
система доходила до 20 порядкового криптомапа, видела динамический криптомап и прекращала дальнейший перебор с отвалом первой фазы isakmp. Причем, работать перестала опять же сама по себе. Т.е. эта конструкция реально отработала уже более 2х месяцев. Решение простое:
crypto map outside_map 20 match address crypto_first crypto map outside_map 20 set peer 91.xx.xx.xx crypto map outside_map 20 set transform-set ESP-AES-256-SHA crypto map outside_map 22 match address crypto_second crypto map outside_map 22 set peer 78.xx.xx.xx crypto map outside_map 22 set transform-set ESP-AES-256-SHA crypto map outside_map 40 ipsec-isakmp dynamic vpn
Т.е. просто перенес динамический криптомап в конец, тут же все тунели стартовали.
Похожие публикации:
Извините, комментирование отключено.