Standort-zu-Standort-VPN-Tunnel leitet keinen Datenverkehr weiter

12

Ich besitze ein Site-to-Site-VPN, das den Datenverkehr von einem bestimmten Subnetz zu trennen scheint, wenn viele Daten durch den Tunnel übertragen werden. Ich muss rennen clear ipsec sa, um es wieder in Gang zu bringen.

Folgendes bemerke ich beim Laufen show crypto ipsec sa. Die verbleibende Lebensdauer des SA-Timings erreicht 0 für kB. In diesem Fall passiert der Tunnel keinen Verkehr. Ich verstehe nicht, warum es nicht umschlüsselt.

inbound esp sas:
      spi: 0x51BB8CAE (1371245742)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         sa timing: remaining key lifetime (kB/sec): (3796789/14690)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0x91CA1D71 (2445942129)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         **sa timing: remaining key lifetime (kB/sec): (0/14678)**
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

UPDATE 01.07.2013

Ich verwende ASA 8.6.1. Nachforschungen an der Cisco-Website haben ergeben, dass ich den Fehler CSCtq57752 gefunden habe . Die Details sind

ASA: Der lebenslange Neuschlüssel für ausgehende IPSec-SA-Daten schlägt fehl

Die ausgehende IPSec-Sicherheitszuordnung kann nicht erneut verschlüsselt werden, wenn die Datenlebensdauer null KB erreicht.

Bedingungen:

ASA verfügt über einen IPSec-Tunnel mit einem Remote-Peer. Die Datenlebensdauer auf dem ASA erreicht 0 kB, die Lebensdauer in Sekunden ist noch nicht abgelaufen.

Problemumgehung:

Erhöhen Sie die Lebensdauer der Daten auf einen sehr hohen Wert (oder sogar den Maximalwert) oder verringern Sie die Lebensdauer in Sekunden. Die Lebensdauer in Sekunden sollte idealerweise ablaufen, bevor das Datenlimit in kB Null erreicht. Auf diese Weise wird der Neuschlüssel auf der Grundlage von Sekunden ausgelöst, und das Problem mit der Datenlebensdauer kann umgangen werden.

Die Lösung besteht darin, auf Version 8.6.1 (5) zu aktualisieren. Ich werde heute Abend versuchen, ein Wartungsfenster zu planen und herauszufinden, ob das Problem behoben ist.

vpn cisco-asa Rowell
quelle
Wie sind die Lebenseinstellungen auf beiden Seiten?
Generalnetworkerror
Es sind 8 Stunden und / oder 4608000 KByte. Wenn die KBytes 0 treffen, wird der Tunnel nicht neu ausgehandelt.
Rowell
1
@ Rowell, in Bezug auf Ihr Update vom 01.07.2013. Wenn ein SW-Upgrade Ihr Problem behebt, posten Sie es bitte als Antwort anstelle einer
Mike Pennington
1
@ MikePennington Ich beabsichtige definitiv, es als Lösung zu veröffentlichen, wenn es gelöst ist. Ich werde meine Finger kreuzen.
Rowell
@rowell, wenn Sie eine separate Antwort schreiben - es ist durchaus akzeptabel, Ihre eigene Frage zu beantworten - Ich kann Ihnen die +50-Prämie bewusst machen (wenn Sie die Antwort schnell schreiben, bevor die Prämie morgen abläuft (Mi 10. Juli).)
Craig Constantine

Antworten:

7

Die Lösung für mein Problem besteht darin, mein ASA-Image auf 8.6.1 (5) zu aktualisieren.

Dies behebt den Fehler CSCtq57752

Die Problemumgehung für den Fehler besteht darin, die zeitliche Lebensdauer der Kryptokarte zu verringern und den Schwellenwert für das Verkehrsaufkommen der Kryptokarte zu erhöhen:

crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime seconds 3600
crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime kilobytes 2147483647

Die obige Kryptokarte verringert die Lebensdauer auf 3600 Sekunden und erhöht den Kilobyte-Schwellenwert auf den höchsten Wert. In meinem Fall muss ich nur sicherstellen, dass die Lebensdauer der Sekunden vor dem Kilobyte-Schwellenwert abgelaufen ist.

Rowell
quelle