Tunel VPN typu site-to-site nie przepuszcza ruchu

12

Mam sieć VPN typu lokacja-lokacja, która wydaje się zmniejszać ruch z określonej podsieci, gdy przez tunel przepychana jest duża ilość danych. Muszę biec, clear ipsec sażeby znów zacząć.

Podczas uruchamiania zauważam następujące informacje show crypto ipsec sa. Pozostały okres ważności klucza czasowego SA osiąga 0 dla kB. Kiedy tak się dzieje, tunel nie przepuszcza ruchu. Nie rozumiem, dlaczego się nie uruchamia ponownie.

inbound esp sas:
      spi: 0x51BB8CAE (1371245742)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         sa timing: remaining key lifetime (kB/sec): (3796789/14690)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0x91CA1D71 (2445942129)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         **sa timing: remaining key lifetime (kB/sec): (0/14678)**
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

AKTUALIZACJA 7/1/2013

Korzystam z ASA 8.6.1. Przeszukując witrynę Cisco, udało mi się znaleźć błąd CSCtq57752 . Szczegóły są

ASA: Nieudana ponowna rejestracja danych wyjściowych SA dla wychodzących IPSec Objaw:

Wychodzące oprogramowanie IPSec SA nie jest ponownie uruchamiane, gdy czas życia danych osiągnie zero kB.

Warunki:

ASA ma tunel IPSec ze zdalnym urządzeniem równorzędnym. Czas życia danych w ASA osiąga 0 kB, czas życia w sekundach jeszcze nie upłynął.

Obejście:

Zwiększ żywotność danych do bardzo wysokiej wartości (lub nawet wartości maksymalnej) lub zmniejsz żywotność w sekundach. Czas życia w sekundach powinien idealnie upłynąć, zanim limit danych w kB osiągnie zero. W ten sposób ponowne uruchamianie będzie uruchamiane na podstawie sekund, a problem z czasem życia danych można obejść.

Rozwiązaniem jest aktualizacja do wersji 8.6.1 (5). Spróbuję dziś zaplanować okno konserwacji i zobaczę, czy problem został rozwiązany.

vpn cisco-asa Rowell
źródło
Jakie są ustawienia cyklu życia po obu stronach?
generalnetworkerror
To 8 godzin i / lub 4608000 KB. Kiedy KBytes osiągnie 0, nie renegocjuje tunelu.
Rowell
1
@Rowell, dotyczące aktualizację 7/1/2013 .. jeśli upgrade SW rozwiązuje problemu, należy opublikować go jako odpowiedź zamiast edytuje swoje pytanie ...
Mike Pennington
1
@MikePennington Zdecydowanie zamierzam opublikować go jako rozwiązanie, jeśli zostanie rozwiązane. Skrzyżuję kciuki.
Rowell
@rowell, jeśli napiszesz osobną odpowiedź - odpowiedź na własne pytanie jest całkowicie do przyjęcia - mogę cię poznać nagrodę +50 (jeśli napiszesz odpowiedź szybko, zanim wygasa jutro (środa 10 lipca).)
Craig Constantine

Odpowiedzi:

7

Rozwiązaniem mojego problemu jest uaktualnienie obrazu ASA do wersji 8.6.1 (5).

To rozwiązuje błąd CSCtq57752

Obejściem problemu jest obniżenie czasu życia mapy kryptograficznej i zwiększenie progu natężenia ruchu mapy kryptograficznej:

crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime seconds 3600
crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime kilobytes 2147483647

Powyższa mapa kryptograficzna obniża żywotność do 3600 sekund i zwiększa próg kilobajtów do najwyższej wartości. W moim przypadku muszę tylko upewnić się, że czas życia sekund jest wyczerpany przed progiem kilobajtów.

Rowell
źródło