J'ai un VPN de site à site qui semble perdre du trafic à partir d'un sous-réseau particulier lorsque de nombreuses données sont transmises à travers le tunnel. Je dois courir clear ipsec sa
pour recommencer.
Je remarque ce qui suit lors de l'exécution show crypto ipsec sa
. La durée de vie restante de la clé de synchronisation SA atteint 0 pour kB. Lorsque cela se produit, le tunnel ne laisse pas passer le trafic. Je ne comprends pas pourquoi il ne retape pas.
inbound esp sas:
spi: 0x51BB8CAE (1371245742)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
sa timing: remaining key lifetime (kB/sec): (3796789/14690)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0x91CA1D71 (2445942129)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
**sa timing: remaining key lifetime (kB/sec): (0/14678)**
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
MISE À JOUR 7/1/2013
J'utilise ASA 8.6.1. En recherchant le site de Cisco, j'ai pu trouver le bogue CSCtq57752 . Les détails sont
ASA: échec de la nouvelle clé de la durée de vie des données sortantes IPSec SA Symptôme:
IPSec outbound SA ne parvient pas à ressaisir lorsque la durée de vie des données atteint zéro ko.
Conditions:
ASA a un tunnel IPSec avec un pair distant. La durée de vie des données sur l'ASA atteint 0 Ko, la durée de vie en secondes n'a pas encore expiré.
Solution de contournement:
Augmentez la durée de vie des données à une valeur très élevée (ou même la valeur maximale), ou diminuez la durée de vie en secondes. La durée de vie en secondes devrait idéalement expirer avant que la limite de données en ko n'atteigne zéro. De cette manière, la nouvelle clé sera déclenchée en fonction des secondes et le problème de durée de vie des données peut être ignoré.
La solution consiste à mettre à jour vers la version 8.6.1 (5). Je vais essayer de planifier une fenêtre de maintenance ce soir et voir si le problème est résolu.
Réponses:
La résolution de mon problème est de mettre à niveau mon image ASA vers 8.6.1 (5).
Cela résout le bogue CSCtq57752
La solution de contournement du bogue consiste à réduire la durée de vie de la carte cryptographique et à augmenter le seuil de volume de trafic de la carte cryptographique:
La carte de chiffrement ci-dessus réduit la durée de vie à 3600 secondes et augmente le seuil de kilo-octets à la valeur la plus élevée. Dans mon cas, je dois juste m'assurer que la durée de vie en secondes est épuisée avant le seuil de kilo-octets.
la source