У мене є VPN від сайту до сайту, який, здається, скидає трафік з певної підмережі, коли багато тугові даних проштовхується через тунель. Мені потрібно бігти, clear ipsec sa
щоб знову це відбулося.
Я помічаю наступне при бігу show crypto ipsec sa
. Залишковий термін роботи ключа, що залишився, досягає 0 для кБ. Коли це відбувається, тунель не передає трафік. Я не розумію, чому це не змінюється.
inbound esp sas:
spi: 0x51BB8CAE (1371245742)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
sa timing: remaining key lifetime (kB/sec): (3796789/14690)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0x91CA1D71 (2445942129)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
**sa timing: remaining key lifetime (kB/sec): (0/14678)**
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
ОНОВЛЕННЯ 7.01.2013
Я працюю ASA 8.6.1. Дослідивши сайт Cisco, я зміг знайти помилку CSCtq57752 . Деталі є
ASA: Невдалий перезапуск даних IPSec для вихідних даних SA Симптом:
IPSec вихідний SA не вдається перемовитись, коли термін служби даних досягне нуля кБ.
Умови:
ASA має тунель IPSec з віддаленим одноранговим. Термін служби даних на ASA досягає 0 кБ, термін служби в секундах ще не закінчився.
Обхід:
Збільшити термін служби даних до дуже високого значення (або навіть максимального значення) або зменшити термін служби в секундах. Час життя в секундах в ідеалі повинен закінчитися до того, як межа даних в кБ досягне нуля. Таким чином перезапуск буде запускатися на основі секунд, а питання про життя даних можна обійти.
Рішення - оновити до версії 8.6.1 (5). Я спробую скласти графік вікна технічного обслуговування сьогодні ввечері і побачити, чи вирішена проблема.