VPN-туннель «сайт-сайт» не передает трафик

У меня есть VPN-соединение между сайтами, которое, по-видимому, отбрасывает трафик из определенной подсети, когда большое количество данных проталкивается через туннель. Мне нужно запустить clear ipsec sa, чтобы снова запустить его.

Я заметил следующее при запуске show crypto ipsec sa. Время жизни ключа, оставшегося до времени SA, достигает 0 для kB. Когда это происходит, туннель не пропускает трафик. Я не понимаю, почему это не делает ключ.

inbound esp sas:
      spi: 0x51BB8CAE (1371245742)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         sa timing: remaining key lifetime (kB/sec): (3796789/14690)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0x91CA1D71 (2445942129)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         **sa timing: remaining key lifetime (kB/sec): (0/14678)**
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

ОБНОВЛЕНИЕ 7/1/2013

Я запускаю ASA 8.6.1. Изучив сайт Cisco, я смог найти Ошибка CSCtq57752 . Подробности

  

ASA: IPSec исходящий SA-файл времени жизни повторно не срабатывает Симптом:

     

IPSec outbound SA не может повторно переключиться, когда срок службы данных достигнет нуля kB.

     

Условия:

     

ASA имеет туннель IPSec с удаленным одноранговым узлом. Время жизни данных на   ASA достигает 0 kB, срок службы в секундах еще не истек.

     

Обход проблемы:

     

Увеличьте время жизни данных до очень высокого значения (или даже максимального   значение) или уменьшить время жизни в секундах. Время жизни в секундах   должен идеально заканчиваться до того, как предел данных в kB достигнет нуля. В   таким образом, ключ будет запускаться на основе секунд, а данные   срок жизни может быть обойден.

Решение должно обновиться до версии 8.6.1 (5). Я собираюсь попробовать запланировать окно обслуживания сегодня вечером и посмотреть, устранена ли проблема.

12 голосов | спросил Rowell 30 J0000006Europe/Moscow 2013, 07:59:42

1 ответ


6

Решение моей проблемы - обновить изображение ASA до 8.6.1 (5).

Это устраняет ошибку CSCtq57752

Обходной путь к ошибке заключается в том, чтобы снизить время жизни криптографической карты и увеличить порог объема трафика криптографической карты:

crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime seconds 3600
crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime kilobytes 2147483647

Вышеупомянутая криптографическая карта снижает время жизни до 3600 секунд и увеличивает порог килобайта до самого высокого значения. В моем случае я просто должен убедиться, что продолжительность жизни в секундах исчерпана до порога килобайта.

ответил Rowell 10 J000000Wednesday13 2013, 21:30:54

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132