El túnel VPN de sitio a sitio no pasa el tráfico

12

Tengo una VPN de sitio a sitio que parece estar bajando el tráfico de una subred en particular cuando se ingresan muchos datos a través del túnel. Tengo que correr clear ipsec sapara que vuelva a funcionar.

Noto lo siguiente cuando corro show crypto ipsec sa. La duración restante de la clave de temporización SA alcanza 0 para kB. Cuando esto sucede, el túnel no pasa el tráfico. No entiendo por qué no cambia la clave.

inbound esp sas:
      spi: 0x51BB8CAE (1371245742)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         sa timing: remaining key lifetime (kB/sec): (3796789/14690)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0x91CA1D71 (2445942129)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         **sa timing: remaining key lifetime (kB/sec): (0/14678)**
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

ACTUALIZACIÓN 01/07/2013

Estoy ejecutando ASA 8.6.1. Investigando el sitio de Cisco pude encontrar el Bug CSCtq57752 . Los detalles son

ASA: falla la nueva clave de por vida de datos SA de IPSec saliente Síntoma:

El SA saliente de IPSec no puede volver a escribir cuando la vida útil de los datos alcanza cero kB.

Condiciones:

ASA tiene un túnel IPSec con un par remoto. La vida útil de los datos en el ASA alcanza 0 kB, la vida útil en segundos aún no ha expirado.

Solución alterna:

Aumente la vida útil de los datos a un valor muy alto (o incluso el valor máximo), o disminuya la vida útil en segundos. La vida útil en segundos idealmente debería expirar antes de que el límite de datos en kB llegue a cero. De esta manera, la nueva clave se activará en función de los segundos y se puede omitir el problema de la vida útil de los datos.

La solución es actualizar a la versión 8.6.1 (5). Voy a intentar programar una ventana de mantenimiento esta noche y ver si el problema está resuelto.

Rowell
fuente
¿Cuáles son las configuraciones de por vida en ambos lados?
generalnetworkerror
Son 8 horas y / o 4608000 KBytes. Cuando KBytes llega a 0, no renegocia el túnel.
Rowell
1
@Rowell, con respecto a su actualización 7/1/2013 ... si una actualización SW resuelve su problema, publíquelo como respuesta en lugar de editar su pregunta ...
Mike Pennington
1
@ MikePennington Definitivamente tengo la intención de publicarlo como una solución si se resuelve. Cruzaré mis dedos
Rowell
@rowell si escribe una respuesta por separado - es perfectamente aceptable responder a su propia pregunta - Puedo conocer la recompensa de +50 (si escribe la respuesta rápidamente antes de que la recompensa expire mañana (miércoles 10 de julio))
Craig Constantine

Respuestas:

7

La resolución de mi problema es actualizar mi imagen ASA a 8.6.1 (5).

Esto resuelve el error CSCtq57752

La solución al error es reducir la vida útil cronometrada del mapa criptográfico y aumentar el umbral de volumen de tráfico del mapa criptográfico:

crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime seconds 3600
crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime kilobytes 2147483647

El mapa de cifrado anterior reduce la vida útil a 3600 segundos y aumenta el umbral de kilobytes al valor más alto. En mi caso, solo tengo que asegurarme de que la vida útil de los segundos se agote antes del umbral de kilobytes.

Rowell
fuente