Tôi có một VPN site-to-site dường như đang giảm lưu lượng truy cập từ một mạng con cụ thể khi rất nhiều dữ liệu đang được đẩy qua đường hầm. Tôi phải chạy clear ipsec sađể khiến nó đi lại.
Tôi nhận thấy những điều sau đây khi chạy show crypto ipsec sa. Thời gian tồn tại của khóa SA còn lại đạt 0 đối với kB. Khi điều này xảy ra, đường hầm không vượt qua giao thông. Tôi không hiểu tại sao nó không rekey.
inbound esp sas:
spi: 0x51BB8CAE (1371245742)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
sa timing: remaining key lifetime (kB/sec): (3796789/14690)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0x91CA1D71 (2445942129)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
**sa timing: remaining key lifetime (kB/sec): (0/14678)**
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
CẬP NHẬT 7/1/2013
Tôi đang chạy ASA 8.6.1. Nghiên cứu trang web của Cisco Tôi đã có thể tìm thấy Bug CSCtq57752 . Các chi tiết là
ASA: Rekey trọn đời dữ liệu SA bên ngoài không thành công Triệu chứng:
IPSec outward SA không thể rekey khi tuổi thọ dữ liệu đạt đến 0 kB.
Điều kiện:
ASA có một đường hầm IPSec với một thiết bị ngang hàng từ xa. Tuổi thọ dữ liệu trên ASA đạt 0 kB, thời gian tồn tại tính bằng giây vẫn chưa hết hạn.
Cách giải quyết:
Tăng tuổi thọ dữ liệu lên giá trị rất cao (hoặc thậm chí giá trị tối đa) hoặc giảm tuổi thọ tính bằng giây. Thời gian tồn tại tính bằng giây sẽ hết hạn lý tưởng trước khi giới hạn dữ liệu tính bằng kB bằng không. Theo cách này, rekey sẽ được kích hoạt dựa trên giây và vấn đề trọn đời dữ liệu có thể được bỏ qua.
Giải pháp là cập nhật lên phiên bản 8.6.1 (5). Tôi sẽ thử và sắp xếp một cửa sổ bảo trì tối nay và xem vấn đề đã được giải quyết chưa.