Można to jakoś zrealizować na routerze? Wiem, że możemy wyczyścić 1 fazę per connection-id, ale ja potrzebuję zrobić to per peer ip.
Generalnie tło problemu jest takie, że mam dwa routery 2851, do każdego podłączony inny isp i z obu tunele s2s (crypto mapy) do urządzenia firmy trzeciej ( nie mam tam dostępu, nie jest to cisco - zwykle jakiś zywall lub mikrotik). Mam uruchomiony mechanizm trackowania icmp adresu peera + skrypt EEM czyszczący tunel na podstawowym routerze w przypadku powrotu łącza głównego do życia:
Kod: Zaznacz cały
event manager applet VPNTRACK
event track 2 state up
action 1.0 syslog msg "Primary ISP is back online, clearing SAs"
action 2.0 cli command "enable"
action 3.0 cli command "clear crypto isakmp"
action 4.0 cli command "clear crypto sa"
Może znacie inne rozwiązanie owego problemu (bez angażowania w to dynamicznych protokołów routingu)? Pomyślałem o DPD, tylko musi to obsłużyć sensownie druga strona.