Mam sieć VPN typu lokacja-lokacja, która wydaje się zmniejszać ruch z określonej podsieci, gdy przez tunel przepychana jest duża ilość danych. Muszę biec, clear ipsec sażeby znów zacząć.
Podczas uruchamiania zauważam następujące informacje show crypto ipsec sa. Pozostały okres ważności klucza czasowego SA osiąga 0 dla kB. Kiedy tak się dzieje, tunel nie przepuszcza ruchu. Nie rozumiem, dlaczego się nie uruchamia ponownie.
inbound esp sas:
spi: 0x51BB8CAE (1371245742)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
sa timing: remaining key lifetime (kB/sec): (3796789/14690)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0x91CA1D71 (2445942129)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
**sa timing: remaining key lifetime (kB/sec): (0/14678)**
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
AKTUALIZACJA 7/1/2013
Korzystam z ASA 8.6.1. Przeszukując witrynę Cisco, udało mi się znaleźć błąd CSCtq57752 . Szczegóły są
ASA: Nieudana ponowna rejestracja danych wyjściowych SA dla wychodzących IPSec Objaw:
Wychodzące oprogramowanie IPSec SA nie jest ponownie uruchamiane, gdy czas życia danych osiągnie zero kB.
Warunki:
ASA ma tunel IPSec ze zdalnym urządzeniem równorzędnym. Czas życia danych w ASA osiąga 0 kB, czas życia w sekundach jeszcze nie upłynął.
Obejście:
Zwiększ żywotność danych do bardzo wysokiej wartości (lub nawet wartości maksymalnej) lub zmniejsz żywotność w sekundach. Czas życia w sekundach powinien idealnie upłynąć, zanim limit danych w kB osiągnie zero. W ten sposób ponowne uruchamianie będzie uruchamiane na podstawie sekund, a problem z czasem życia danych można obejść.
Rozwiązaniem jest aktualizacja do wersji 8.6.1 (5). Spróbuję dziś zaplanować okno konserwacji i zobaczę, czy problem został rozwiązany.