Mam sieć VPN typu lokacja-lokacja, która wydaje się zmniejszać ruch z określonej podsieci, gdy przez tunel przepychana jest duża ilość danych. Muszę biec, clear ipsec sa
żeby znów zacząć.
Podczas uruchamiania zauważam następujące informacje show crypto ipsec sa
. Pozostały okres ważności klucza czasowego SA osiąga 0 dla kB. Kiedy tak się dzieje, tunel nie przepuszcza ruchu. Nie rozumiem, dlaczego się nie uruchamia ponownie.
inbound esp sas:
spi: 0x51BB8CAE (1371245742)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
sa timing: remaining key lifetime (kB/sec): (3796789/14690)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0x91CA1D71 (2445942129)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
**sa timing: remaining key lifetime (kB/sec): (0/14678)**
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
AKTUALIZACJA 7/1/2013
Korzystam z ASA 8.6.1. Przeszukując witrynę Cisco, udało mi się znaleźć błąd CSCtq57752 . Szczegóły są
ASA: Nieudana ponowna rejestracja danych wyjściowych SA dla wychodzących IPSec Objaw:
Wychodzące oprogramowanie IPSec SA nie jest ponownie uruchamiane, gdy czas życia danych osiągnie zero kB.
Warunki:
ASA ma tunel IPSec ze zdalnym urządzeniem równorzędnym. Czas życia danych w ASA osiąga 0 kB, czas życia w sekundach jeszcze nie upłynął.
Obejście:
Zwiększ żywotność danych do bardzo wysokiej wartości (lub nawet wartości maksymalnej) lub zmniejsz żywotność w sekundach. Czas życia w sekundach powinien idealnie upłynąć, zanim limit danych w kB osiągnie zero. W ten sposób ponowne uruchamianie będzie uruchamiane na podstawie sekund, a problem z czasem życia danych można obejść.
Rozwiązaniem jest aktualizacja do wersji 8.6.1 (5). Spróbuję dziś zaplanować okno konserwacji i zobaczę, czy problem został rozwiązany.