Túnel VPN site a site não passa tráfego

12

Eu tenho uma VPN site a site que parece estar perdendo tráfego de uma sub-rede específica quando muitos dados estão sendo enviados pelo túnel. Eu tenho que correr clear ipsec sapara voltar a funcionar .

Percebo o seguinte ao executar show crypto ipsec sa. O tempo de vida útil restante da chave SA atinge 0 para kB. Quando isso acontece, o túnel não passa tráfego. Eu não entendo por que não rekey.

inbound esp sas:
      spi: 0x51BB8CAE (1371245742)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         sa timing: remaining key lifetime (kB/sec): (3796789/14690)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0x91CA1D71 (2445942129)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         **sa timing: remaining key lifetime (kB/sec): (0/14678)**
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

ATUALIZAÇÃO 1/7/2013

Estou executando o ASA 8.6.1. Pesquisando no site da Cisco, pude encontrar o Bug CSCtq57752 . Os detalhes são

ASA: A reutilização da vida útil dos dados de saída IPSec SA falha Sintoma:

A SA de saída IPSec falha ao reescrever quando a vida útil dos dados atinge zero kB.

Condições:

O ASA tem um túnel IPSec com um par remoto. A vida útil dos dados no ASA atinge 0 kB, a vida útil em segundos ainda não expirou.

Gambiarra:

Aumente a vida útil dos dados para um valor muito alto (ou até o valor máximo) ou diminua a vida útil em segundos. Idealmente, a vida útil em segundos deve expirar antes que o limite de dados em kB atinja zero. Dessa maneira, a recodificação será acionada com base em segundos e o problema de duração dos dados poderá ser contornado.

A solução é atualizar para a versão 8.6.1 (5). Vou tentar agendar uma janela de manutenção hoje à noite e ver se o problema foi resolvido.

vpn  cisco-asa 
Rowell
fonte
Quais são as configurações da vida útil nos dois lados?
generalnetworkerror
São 8 horas e / ou 4608000 KBytes. Quando o KBytes atinge 0, ele não renegocia o túnel.
Rowell
1
@Rowell, em relação a sua atualização 2013/07/01 .. se um upgrade SW resolve o seu problema, por favor, postá-lo como uma resposta em vez de uma edição para a sua pergunta ...
Mike Pennington
1
@ MikePennington Definitivamente pretendo publicá-lo como uma solução, se for resolvido. Eu cruzarei meus dedos.
Rowell
@rowell se você escrever uma resposta separada - é perfeitamente aceitável responder à sua própria pergunta - eu posso lhe dar uma recompensa de +50 (se você escrever a resposta rapidamente antes que a recompensa expire amanhã (quarta-feira, 10 de julho).)
Craig Constantine

Respostas:

7

A resolução para o meu problema é atualizar minha imagem ASA para 8.6.1 (5).

Isso resolve o bug CSCtq57752

A solução alternativa para o erro é reduzir a vida útil programada do mapa de criptografia e aumentar o limite de volume de tráfego do mapa de criptografia:

crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime seconds 3600
crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime kilobytes 2147483647

O mapa criptográfico acima reduz a vida útil para 3600 segundos e aumenta o limite de kilobytes para o valor mais alto. No meu caso, só preciso garantir que os segundos de vida útil sejam esgotados antes do limite de kilobytes.

Rowell
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.