ASA 5510 - Acesso assimétrico na VPN

Boa tarde,

Meu ambiente,
Unidade conectada com matrzi por meio de MPLS e como bakcup um link de internet com VPN fechada no ASA 5510.

O tráfego é dividido entre os dois links, e em cada ponta verifico a comunicação com ip sla para definir se o link está ok e se não estiver alterar a rota para o link que está ok.

Tudo funciona quase bem até que em um dos lado, por exemplo, unidade remota o sla que verifica o MPLS fica Down e na unidade matriz continuca Up, neste caso a unidade remota começa a enviar o tráfego pela VPN mas como a matriz ainda está mandando pelo MPLS o ASA "reclama" que recebeu um tráfego de entrada sem trer sido solicitado.

Não sei se consegui me explicar direito.

Mas estive pesquisando que o ASA trata isso como tráfego assimétrico, ou seja, alguem de fora tantando acesso interno.

Como consigo tratar isso no ASA?

Na verdade o problema é que o tráfego vai por um lado e tenta voltar por outro.
Você precisa mudar a verificação do IP SLA. Qual IP você pinga para ver se o link está no ar?

Coloque na filial para pingar o IP da Matriz, e na Matriz para pingar o ip da filial. Acho que assim não haverá falha.

Então o ipls já está desta forma, inclusive já configurei i delay no track para ter mais certeza de que o link se foi mesmo, só que ainda não consegui estabilizar o ambiente.

Estive acompanhando bem, as vezes mesmo com o link bom perde alguns pings apesar do acesso continuar normal, aí alterei o track para testar com tcp-connect e não o ping, mas tambem não estabilizou o ambinete de um jeito satisfatório.

Voce sabe dizer se consigo liberar o tráfego assimétrico no ASA apenas para esta rede específica que vem pela VPN?

É possível liberar o tráfego assimétrico, mas EU NÃO RECOMENDO.
Veja o link abaixo, e lembre-se que neste caso o firewall não será mais statefull (pelo menos para a rede que você especificar).

http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/conns_tcpstatebypass.html