Il tunnel VPN da sito a sito non trasmette traffico


12

Ho una VPN da sito a sito che sembra far cadere il traffico da una particolare sottorete quando molti dati vengono trasferiti attraverso il tunnel. Devo correre clear ipsec saper farlo ripartire.

Noto quanto segue durante l'esecuzione show crypto ipsec sa. La durata residua della chiave di temporizzazione SA raggiunge 0 per kB. Quando ciò accade, il tunnel non passa il traffico. Non capisco perché non rekey.

inbound esp sas:
      spi: 0x51BB8CAE (1371245742)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         sa timing: remaining key lifetime (kB/sec): (3796789/14690)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0x91CA1D71 (2445942129)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         **sa timing: remaining key lifetime (kB/sec): (0/14678)**
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

AGGIORNAMENTO 7/1/2013

Sto eseguendo ASA 8.6.1. Effettuando ricerche sul sito di Cisco sono stato in grado di trovare Bug CSCtq57752 . I dettagli sono

ASA: la rekey della durata dei dati SA in uscita IPSec non riesce Sintomo:

SA SA in uscita IPSec non riesce a ricomporre quando la durata dei dati raggiunge zero kB.

condizioni:

ASA ha un tunnel IPSec con un peer remoto. La durata dei dati sull'ASA raggiunge 0 kB, la durata in secondi non è ancora scaduta.

Soluzione:

Aumenta la durata dei dati a un valore molto elevato (o addirittura il valore massimo) o diminuisci la durata in secondi. La durata in secondi dovrebbe idealmente scadere prima che il limite di dati in kB raggiunga lo zero. In questo modo la rekey verrà attivata in base ai secondi e il problema della durata dei dati può essere aggirato.

La soluzione è aggiornare alla versione 8.6.1 (5). Stasera proverò a programmare una finestra di manutenzione per vedere se il problema è stato risolto.


Quali sono le impostazioni di durata su entrambi i lati?
generalnetworkerror

Sono 8 ore e / o 4608000 KBytes. Quando i KByte colpiscono 0, non rinegozia il tunnel.
Rowell,

1
@Rowell, per quanto riguarda l'aggiornamento del 7/1/2013 .. se un aggiornamento SW risolve il problema, si prega di pubblicarlo come risposta anziché come modifica alla domanda ...
Mike Pennington,

1
@MikePennington Ho intenzione di pubblicarlo come soluzione se viene risolto. Incrocio le dita.
Rowell,

@rowell se scrivi una risposta separata - è perfettamente accettabile rispondere alla tua stessa domanda - Posso conoscerti la ricompensa +50 (se scrivi la risposta rapidamente prima della scadenza della grazia domani (mer 10 lug))
Craig Constantine

Risposte:


7

La soluzione al mio problema è aggiornare la mia immagine ASA a 8.6.1 (5).

Questo risolve il bug CSCtq57752

La soluzione alternativa al bug consiste nel ridurre la durata della mappa crittografica e aumentare la soglia del volume di traffico della mappa crittografica:

crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime seconds 3600
crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime kilobytes 2147483647

La suddetta mappa crittografica riduce la durata a 3600 secondi e aumenta la soglia dei kilobyte al valore più alto. Nel mio caso, devo solo assicurarmi che la durata dei secondi sia esaurita prima della soglia dei kilobyte.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.