VPN тунель від сайту до сайту не пропускає трафік


12

У мене є VPN від сайту до сайту, який, здається, скидає трафік з певної підмережі, коли багато тугові даних проштовхується через тунель. Мені потрібно бігти, clear ipsec saщоб знову це відбулося.

Я помічаю наступне при бігу show crypto ipsec sa. Залишковий термін роботи ключа, що залишився, досягає 0 для кБ. Коли це відбувається, тунель не передає трафік. Я не розумію, чому це не змінюється.

inbound esp sas:
      spi: 0x51BB8CAE (1371245742)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         sa timing: remaining key lifetime (kB/sec): (3796789/14690)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0x91CA1D71 (2445942129)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         **sa timing: remaining key lifetime (kB/sec): (0/14678)**
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

ОНОВЛЕННЯ 7.01.2013

Я працюю ASA 8.6.1. Дослідивши сайт Cisco, я зміг знайти помилку CSCtq57752 . Деталі є

ASA: Невдалий перезапуск даних IPSec для вихідних даних SA Симптом:

IPSec вихідний SA не вдається перемовитись, коли термін служби даних досягне нуля кБ.

Умови:

ASA має тунель IPSec з віддаленим одноранговим. Термін служби даних на ASA досягає 0 кБ, термін служби в секундах ще не закінчився.

Обхід:

Збільшити термін служби даних до дуже високого значення (або навіть максимального значення) або зменшити термін служби в секундах. Час життя в секундах в ідеалі повинен закінчитися до того, як межа даних в кБ досягне нуля. Таким чином перезапуск буде запускатися на основі секунд, а питання про життя даних можна обійти.

Рішення - оновити до версії 8.6.1 (5). Я спробую скласти графік вікна технічного обслуговування сьогодні ввечері і побачити, чи вирішена проблема.


Які налаштування тривалості життя з обох сторін?
generalnetworkerror

Це 8 годин та / або 4608000 Кбайт. Коли KBytes ударить 0, тунель не повторюється.
Роуелл

1
@Rowell, щодо оновлення 7.07.2013. Якщо оновлення SW вирішить вашу проблему, опублікуйте це як відповідь замість редагування на ваше запитання ...
Майк Пеннінгтон,

1
@MikePennington Я обов'язково маю намір розмістити його як рішення, якщо воно буде вирішено. Я перетну пальці.
Роуелл

@rowell, якщо ви пишете окрему відповідь - цілком прийнятно відповісти на власне запитання - я можу вам усвідомити +50 баунті (якщо відповідь ви напишете швидко до того, як завтра закінчиться щедрість (ср. липня 10).)
Крейг Костянтин

Відповіді:


7

Вирішення моєї проблеми полягає в тому, щоб оновити образ ASA до 8.6.1 (5).

Це вирішує помилку CSCtq57752

Вирішення помилки полягає в тому, щоб зменшити приурочений час життя криптокарти та збільшити поріг обсягу трафіку криптокарти:

crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime seconds 3600
crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime kilobytes 2147483647

Наведена вище крипто-карта скорочує час життя до 3600 секунд і збільшує поріг кілобайт до найвищого значення. У моєму випадку я просто повинен забезпечити вичерпання часу життя перед порогом кілобайт.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.