VPN用户数限制导致登陆失败故障排查思路

基础知识

Easy VPN也叫做EzVPN，是Cisco为远程用户，分支办公室提供的一种远程访问VPN解决方案。EzVPN提供了中心的VPN管理，动态的策略分发，降低了远程访问VPN部署的复杂程度，并且增加了扩展和灵活性。但逐步被思科的Anyconnect VPN替代。

Easy VPN特点介绍:

1.      Easy VPN是Cisco私有技术，只能运用在Cisco设备之间。

2.      Easy VPN适用于中心站点固定地址，客户端动态地址的环境，并且客户端身后网络环境需要尽可能简单，例如:小超市，服装专卖店或者彩票点。

3.      Easy VPN在中心站点配置策略，并且当客户连接的时候推送给客户，降低了分支站点的管理压力

故障描述

客户有三个分支点EzVPN 工作一直正常, 最近客户增加了新的分公司.虽然EzVPN客户端的配置和其它分公司一样,但是VPN总是登陆不成功。

网络拓扑

故障排除

1. EzVPN client 失败登陆的输出

ciscoasa# show vpnclient
 
LOCAL CONFIGURATION
vpnclient server 211.101.1.89
vpnclient mode network-extension-mode
vpnclient nem-st-autoconnect
vpnclient vpngroup mytunnel password *****
vpnclient username cisco password *****
vpnclient enable
 
MISCELLANEOUS INFORMATION
- Key exchange is based on Pre-Shared Key
- Connection attempt will be automatically initiated

2. 收集EzVPN server 段系统日志

通常我们一旦确认配置无误后,首先要从EzVPN server 端的系统日志入手.

将日志级别调成informational 级别:

Logging on
Logging buffered informational

从Syslog message 输出我们可以得到如下信息

%ASA-6-113013: AAA unable to complete the request Error : reason = Simultaneous logins exceeded for user : user = Cisco

该日志信息表明用户名为 "cisco" 的VPN并发连接数超过了最大限制.

此时我们基本可以找到问题根源是同一vpn 用户的并发登陆数量被限制了.

通过 " show vpn-sessiondb remote | include cisco" 我们可以看到有3个用户 "cisco"成功登陆.

ciscoasa(config)# show vpn-sessiondb remote | include cisco
Username : cisco
Username : cisco
Username : cisco

此时我们就已经得到了问题的答案,在ASA IPSEC Remote VPN 中同一用户允许同时登陆的默认数量为3个, 所以我们将这个默认数值更改就可以解决此问题

3. 解决问题

我们将此默认并发值设为4个,修改命令如下:

group-policy tunnel internal
group-policy tunnel attributes
vpn-simultaneous-logins 4

此时再次验证EzVPN client 登陆情况:

ciscoasa# show vpnclient 

LOCAL CONFIGURATION 
vpnclient server 10.75.61.179 
vpnclient mode network-extension-mode 
vpnclient nem-st-autoconnect 
vpnclient vpngroup mytunnel password ***** 
vpnclient username cisco password ***** 
vpnclient enable 

DOWNLOADED DYNAMIC POLICY 
Current Server : 211.101.1.89 
PFS Enabled : No 
Secure Unit Authentication Enabled : No 
User Authentication Enabled : No 
Split Tunnel Networks : 192.168.5.0/255.255.255.0 
Backup Servers : None 

此时我们发现EzVPN登陆成功.