VPN-туннель типа "сеть-сеть" не пропускает трафик

12

У меня есть VPN типа «сеть-сеть», которая, кажется, отбрасывает трафик из определенной подсети, когда через туннель проталкивается много данных. Мне нужно бежать, clear ipsec saчтобы снова все началось.

Я замечаю следующее при запуске show crypto ipsec sa. Время жизни оставшегося ключа синхронизации SA достигает 0 для кБ. Когда это происходит, туннель не пропускает трафик. Я не понимаю, почему это не изменилось.

inbound esp sas:
      spi: 0x51BB8CAE (1371245742)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         sa timing: remaining key lifetime (kB/sec): (3796789/14690)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0x91CA1D71 (2445942129)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         **sa timing: remaining key lifetime (kB/sec): (0/14678)**
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

ОБНОВЛЕНИЕ 1/1/2013

Я использую ASA 8.6.1. Исследуя сайт Cisco, я смог найти ошибку CSCtq57752 . Подробности

ASA: сбой повторного ключа времени жизни данных IPSec SA Признак:

Исходящему SA IPSec не удается повторно подключиться, когда время жизни данных достигает нуля КБ.

условия:

ASA имеет туннель IPSec с удаленным узлом. Время жизни данных на ASA достигает 0 кБ, время жизни в секундах еще не истекло.

Временное решение:

Увеличьте время жизни данных до очень высокого значения (или даже максимального значения) или уменьшите время жизни в секундах. В идеале время жизни в секундах должно истечь, прежде чем предел данных в кБ достигнет нуля. Таким образом, повторное нажатие будет инициировано на основе секунд, и проблема времени жизни данных может быть обойдена.

Решением является обновление до версии 8.6.1 (5). Я собираюсь попытаться запланировать окно обслуживания сегодня вечером и посмотреть, решена ли проблема.

Роуэлл
источник
Каковы настройки времени жизни с обеих сторон?
generalnetworkerror
Это 8 часов и / или 4608000 КБ. Когда KBytes достигает 0, он не пересматривает туннель.
Роуэлл
1
@Rowell, относительно вашего обновления от 01.07.2013 .. если обновление ПО решит вашу проблему, пожалуйста, опубликуйте его как ответ вместо редактирования вашего вопроса ...
Майк Пеннингтон,
1
@MikePennington Я определенно собираюсь опубликовать его как решение, если оно будет решено. Я буду скрещивать пальцы.
Роуэлл
@ хорошо, если вы напишите отдельный ответ - вполне приемлемо ответить на ваш собственный вопрос - я могу знать вам награду +50 (если вы напишите ответ быстро до истечения срока награды завтра (ср. 10 июля).)
Крейг Константин

Ответы:

7

Решение моей проблемы - обновить образ ASA до 8.6.1 (5).

Это решает ошибку CSCtq57752

Обходной путь к ошибке - уменьшить время жизни криптокарты и увеличить порог трафика для криптокарты:

crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime seconds 3600
crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime kilobytes 2147483647

Приведенная выше криптографическая карта сокращает время жизни до 3600 секунд и увеличивает порог в килобайтах до максимального значения. В моем случае я просто должен убедиться, что время жизни секунд истекло до порога в килобайтах.

Роуэлл
источник