Đường hầm VPN giữa các trang web không vượt qua lưu lượng truy cập


12

Tôi có một VPN site-to-site dường như đang giảm lưu lượng truy cập từ một mạng con cụ thể khi rất nhiều dữ liệu đang được đẩy qua đường hầm. Tôi phải chạy clear ipsec sađể khiến nó đi lại.

Tôi nhận thấy những điều sau đây khi chạy show crypto ipsec sa. Thời gian tồn tại của khóa SA còn lại đạt 0 đối với kB. Khi điều này xảy ra, đường hầm không vượt qua giao thông. Tôi không hiểu tại sao nó không rekey.

inbound esp sas:
      spi: 0x51BB8CAE (1371245742)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         sa timing: remaining key lifetime (kB/sec): (3796789/14690)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0x91CA1D71 (2445942129)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         **sa timing: remaining key lifetime (kB/sec): (0/14678)**
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

CẬP NHẬT 7/1/2013

Tôi đang chạy ASA 8.6.1. Nghiên cứu trang web của Cisco Tôi đã có thể tìm thấy Bug CSCtq57752 . Các chi tiết là

ASA: Rekey trọn đời dữ liệu SA bên ngoài không thành công Triệu chứng:

IPSec outward SA không thể rekey khi tuổi thọ dữ liệu đạt đến 0 kB.

Điều kiện:

ASA có một đường hầm IPSec với một thiết bị ngang hàng từ xa. Tuổi thọ dữ liệu trên ASA đạt 0 kB, thời gian tồn tại tính bằng giây vẫn chưa hết hạn.

Cách giải quyết:

Tăng tuổi thọ dữ liệu lên giá trị rất cao (hoặc thậm chí giá trị tối đa) hoặc giảm tuổi thọ tính bằng giây. Thời gian tồn tại tính bằng giây sẽ hết hạn lý tưởng trước khi giới hạn dữ liệu tính bằng kB bằng không. Theo cách này, rekey sẽ được kích hoạt dựa trên giây và vấn đề trọn đời dữ liệu có thể được bỏ qua.

Giải pháp là cập nhật lên phiên bản 8.6.1 (5). Tôi sẽ thử và sắp xếp một cửa sổ bảo trì tối nay và xem vấn đề đã được giải quyết chưa.


Các thiết lập trọn đời ở cả hai bên là gì?
generalnetworkerror

Đó là 8 giờ và / hoặc 4608000 KByte. Khi KBytes chạm 0, nó không đàm phán lại đường hầm.
Rowell

1
@Rowell, liên quan đến bản cập nhật 7/1/2013 của bạn .. nếu bản nâng cấp SW giải quyết vấn đề của bạn, vui lòng gửi nó dưới dạng câu trả lời thay vì chỉnh sửa câu hỏi của bạn ...
Mike Pennington

1
@MikePennington Tôi chắc chắn có ý định đăng nó như một giải pháp nếu nó được giải quyết. Tôi sẽ vượt qua các ngón tay của tôi.
Rowell

@rowell nếu bạn viết một câu trả lời riêng biệt - nó hoàn toàn có thể chấp nhận để trả lời câu hỏi của riêng bạn - Tôi có thể biết bạn 50 tiền thưởng (nếu bạn viết câu trả lời một cách nhanh chóng trước khi tiền thưởng hết hạn vào ngày mai (kết hôn ngày 10 tháng bảy).)
Craig Constantine

Câu trả lời:


7

Giải pháp cho vấn đề của tôi là nâng cấp hình ảnh ASA của tôi lên 8.6.1 (5).

Điều này giải quyết lỗi CSCtq57752

Cách khắc phục lỗi là hạ thấp thời gian tồn tại của bản đồ tiền điện tử và tăng ngưỡng lưu lượng giao thông của bản đồ mật mã:

crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime seconds 3600
crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime kilobytes 2147483647

Bản đồ mật mã ở trên làm giảm thời gian sống xuống 3600 giây và tăng ngưỡng kilobyte lên giá trị cao nhất. Trong trường hợp của tôi, tôi chỉ cần đảm bảo thời gian tồn tại của giây bị cạn kiệt trước ngưỡng kilobyte.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.