Saya memiliki VPN situs-ke-situs yang tampaknya menjatuhkan lalu lintas dari subnet tertentu ketika banyak data didorong melalui terowongan. Saya harus berlari untuk menjalankannya clear ipsec salagi.
Saya perhatikan hal berikut saat menjalankan show crypto ipsec sa. Waktu sisa kunci SA yang tersisa mencapai 0 untuk kB. Ketika ini terjadi terowongan tidak melewati lalu lintas. Saya tidak mengerti mengapa itu tidak dicatat.
inbound esp sas:
spi: 0x51BB8CAE (1371245742)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
sa timing: remaining key lifetime (kB/sec): (3796789/14690)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0x91CA1D71 (2445942129)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
**sa timing: remaining key lifetime (kB/sec): (0/14678)**
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
PEMBARUAN 7/1/2013
Saya menjalankan ASA 8.6.1. Meneliti situs Cisco, saya dapat menemukan Bug CSCtq57752 . Rinciannya adalah
ASA: Rekey seumur hidup data SA outbound IPSec gagal Gejala:
SA outbound IPSec gagal untuk merekam kembali ketika data seumur hidup mencapai nol kB.
Kondisi:
ASA memiliki terowongan IPSec dengan peer jarak jauh. Masa pakai data pada ASA mencapai 0 kB, masa pakai dalam detik belum kedaluwarsa.
Penanganan masalah:
Tingkatkan masa pakai data ke nilai yang sangat tinggi (atau bahkan nilai maksimum), atau kurangi masa pakai dalam hitungan detik. Masa pakai dalam detik idealnya akan berakhir sebelum batas data dalam kB mencapai nol. Dengan cara ini rekey akan dipicu berdasarkan detik, dan masalah data seumur hidup dapat di-bypass.
Solusinya adalah memperbarui ke versi 8.6.1 (5). Saya akan mencoba dan menjadwalkan jendela pemeliharaan malam ini dan melihat apakah masalahnya telah teratasi.