У меня есть VPN типа «сеть-сеть», которая, кажется, отбрасывает трафик из определенной подсети, когда через туннель проталкивается много данных. Мне нужно бежать, clear ipsec sa
чтобы снова все началось.
Я замечаю следующее при запуске show crypto ipsec sa
. Время жизни оставшегося ключа синхронизации SA достигает 0 для кБ. Когда это происходит, туннель не пропускает трафик. Я не понимаю, почему это не изменилось.
inbound esp sas:
spi: 0x51BB8CAE (1371245742)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
sa timing: remaining key lifetime (kB/sec): (3796789/14690)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0x91CA1D71 (2445942129)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
**sa timing: remaining key lifetime (kB/sec): (0/14678)**
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
ОБНОВЛЕНИЕ 1/1/2013
Я использую ASA 8.6.1. Исследуя сайт Cisco, я смог найти ошибку CSCtq57752 . Подробности
ASA: сбой повторного ключа времени жизни данных IPSec SA Признак:
Исходящему SA IPSec не удается повторно подключиться, когда время жизни данных достигает нуля КБ.
условия:
ASA имеет туннель IPSec с удаленным узлом. Время жизни данных на ASA достигает 0 кБ, время жизни в секундах еще не истекло.
Временное решение:
Увеличьте время жизни данных до очень высокого значения (или даже максимального значения) или уменьшите время жизни в секундах. В идеале время жизни в секундах должно истечь, прежде чем предел данных в кБ достигнет нуля. Таким образом, повторное нажатие будет инициировано на основе секунд, и проблема времени жизни данных может быть обойдена.
Решением является обновление до версии 8.6.1 (5). Я собираюсь попытаться запланировать окно обслуживания сегодня вечером и посмотреть, решена ли проблема.
Ответы:
Решение моей проблемы - обновить образ ASA до 8.6.1 (5).
Это решает ошибку CSCtq57752
Обходной путь к ошибке - уменьшить время жизни криптокарты и увеличить порог трафика для криптокарты:
Приведенная выше криптографическая карта сокращает время жизни до 3600 секунд и увеличивает порог в килобайтах до максимального значения. В моем случае я просто должен убедиться, что время жизни секунд истекло до порога в килобайтах.
источник