Сегодня заметил очередной глюк в Cisco Adaptive Security Appliance Software Version 8.0(4) на ASA 5510. Дело в том, что при конструкции вида:

crypto map outside_map 20 match address crypto_first
crypto map outside_map 20 set peer 91.xx.xx.xx
crypto map outside_map 20 set transform-set ESP-AES-256-SHA
crypto map outside_map 21 ipsec-isakmp dynamic vpn
crypto map outside_map 22 match address crypto_second
crypto map outside_map 22 set peer 78.xx.xx.xx
crypto map outside_map 22 set transform-set ESP-AES-256-SHA 

система доходила до 20 порядкового криптомапа, видела динамический криптомап и прекращала дальнейший перебор с отвалом первой фазы isakmp. Причем, работать перестала опять же сама по себе. Т.е. эта конструкция реально отработала уже более 2х месяцев. Решение простое:

crypto map outside_map 20 match address crypto_first
crypto map outside_map 20 set peer 91.xx.xx.xx
crypto map outside_map 20 set transform-set ESP-AES-256-SHA
crypto map outside_map 22 match address crypto_second
crypto map outside_map 22 set peer 78.xx.xx.xx
crypto map outside_map 22 set transform-set ESP-AES-256-SHA
crypto map outside_map 40 ipsec-isakmp dynamic vpn

Т.е. просто перенес динамический криптомап в конец, тут же все тунели стартовали.

Похожих записей не найдено.