clear crypto isakmp dla konkretnego peera

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron, PatrykW

Wiadomość
Autor
eljot
wannabe
wannabe
Posty: 67
Rejestracja: 27 sty 2012, 12:37

clear crypto isakmp dla konkretnego peera

#1

#1 Post autor: eljot »

Witam,
Można to jakoś zrealizować na routerze? Wiem, że możemy wyczyścić 1 fazę per connection-id, ale ja potrzebuję zrobić to per peer ip.

Generalnie tło problemu jest takie, że mam dwa routery 2851, do każdego podłączony inny isp i z obu tunele s2s (crypto mapy) do urządzenia firmy trzeciej ( nie mam tam dostępu, nie jest to cisco - zwykle jakiś zywall lub mikrotik). Mam uruchomiony mechanizm trackowania icmp adresu peera + skrypt EEM czyszczący tunel na podstawowym routerze w przypadku powrotu łącza głównego do życia:

Kod: Zaznacz cały

event manager applet VPNTRACK
 event track 2 state up
 action 1.0 syslog msg "Primary ISP is back online, clearing SAs"
 action 2.0 cli command "enable"
 action 3.0 cli command "clear crypto isakmp"
 action 4.0 cli command "clear crypto sa"
Kombinacja robi co powinna, ale przy okazji (co dość oczywiste) kładzie mi na chwilę dodatkowo ok. 20 tuneli dmvpn. Ideałem byłoby czyszczenie fazy isakmp per ip peera, gdyż connection-id nie jestem w stanie przewidzieć na poziomie skryptu (dla ipsec sa można to zrobić).
Może znacie inne rozwiązanie owego problemu (bez angażowania w to dynamicznych protokołów routingu)? Pomyślałem o DPD, tylko musi to obsłużyć sensownie druga strona.

dorvin
CCIE
CCIE
Posty: 1688
Rejestracja: 21 sty 2008, 13:21
Lokalizacja: Wrocław
Kontakt:

#2

#2 Post autor: dorvin »

Próbowałeś "clear crypto session"?

eljot
wannabe
wannabe
Posty: 67
Rejestracja: 27 sty 2012, 12:37

#3

#3 Post autor: eljot »

A widzisz. Rozumiem, że masz na myśli opcję clear crypto session remote "IP". Wg. dokumentacji czyści obie fazy, także to może być to. Jak tylko pozwolą mi przeprowadzić testy spróbuję.
Dzięki wielkie!

ODPOWIEDZ