Tunnel VPN de site à site ne passant pas le trafic

12

J'ai un VPN de site à site qui semble perdre du trafic à partir d'un sous-réseau particulier lorsque de nombreuses données sont transmises à travers le tunnel. Je dois courir clear ipsec sapour recommencer.

Je remarque ce qui suit lors de l'exécution show crypto ipsec sa. La durée de vie restante de la clé de synchronisation SA atteint 0 pour kB. Lorsque cela se produit, le tunnel ne laisse pas passer le trafic. Je ne comprends pas pourquoi il ne retape pas.

inbound esp sas:
      spi: 0x51BB8CAE (1371245742)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         sa timing: remaining key lifetime (kB/sec): (3796789/14690)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0x91CA1D71 (2445942129)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         **sa timing: remaining key lifetime (kB/sec): (0/14678)**
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

MISE À JOUR 7/1/2013

J'utilise ASA 8.6.1. En recherchant le site de Cisco, j'ai pu trouver le bogue CSCtq57752 . Les détails sont

ASA: échec de la nouvelle clé de la durée de vie des données sortantes IPSec SA Symptôme:

IPSec outbound SA ne parvient pas à ressaisir lorsque la durée de vie des données atteint zéro ko.

Conditions:

ASA a un tunnel IPSec avec un pair distant. La durée de vie des données sur l'ASA atteint 0 Ko, la durée de vie en secondes n'a pas encore expiré.

Solution de contournement:

Augmentez la durée de vie des données à une valeur très élevée (ou même la valeur maximale), ou diminuez la durée de vie en secondes. La durée de vie en secondes devrait idéalement expirer avant que la limite de données en ko n'atteigne zéro. De cette manière, la nouvelle clé sera déclenchée en fonction des secondes et le problème de durée de vie des données peut être ignoré.

La solution consiste à mettre à jour vers la version 8.6.1 (5). Je vais essayer de planifier une fenêtre de maintenance ce soir et voir si le problème est résolu.

Rowell
la source
Quels sont les paramètres de durée de vie des deux côtés?
generalnetworkerror
C'est 8 heures et / ou 4608000 KBytes. Lorsque le KBytes atteint 0, il ne renégocie pas le tunnel.
Rowell
1
@Rowell, concernant votre mise à jour 7/1/2013 .. si une mise à jour logicielle résout votre problème, veuillez la poster comme réponse au lieu d'une modification à votre question ...
Mike Pennington
1
@MikePennington J'ai bien l'intention de la publier comme solution si elle est résolue. Je vais croiser les doigts.
Rowell
@rowell si vous écrivez une réponse séparée - il est parfaitement acceptable de répondre à votre propre question - je peux vous informer de la prime de +50 (si vous écrivez la réponse rapidement avant l'expiration de la prime demain (mercredi 10 juillet).)
Craig Constantine

Réponses:

7

La résolution de mon problème est de mettre à niveau mon image ASA vers 8.6.1 (5).

Cela résout le bogue CSCtq57752

La solution de contournement du bogue consiste à réduire la durée de vie de la carte cryptographique et à augmenter le seuil de volume de trafic de la carte cryptographique:

crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime seconds 3600
crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime kilobytes 2147483647

La carte de chiffrement ci-dessus réduit la durée de vie à 3600 secondes et augmente le seuil de kilo-octets à la valeur la plus élevée. Dans mon cas, je dois juste m'assurer que la durée de vie en secondes est épuisée avant le seuil de kilo-octets.

Rowell
la source