VPN Tunnel Up-to-Site Tidak Melewati Lalu Lintas

12

Saya memiliki VPN situs-ke-situs yang tampaknya menjatuhkan lalu lintas dari subnet tertentu ketika banyak data didorong melalui terowongan. Saya harus berlari untuk menjalankannya clear ipsec salagi.

Saya perhatikan hal berikut saat menjalankan show crypto ipsec sa. Waktu sisa kunci SA yang tersisa mencapai 0 untuk kB. Ketika ini terjadi terowongan tidak melewati lalu lintas. Saya tidak mengerti mengapa itu tidak dicatat.

inbound esp sas:
      spi: 0x51BB8CAE (1371245742)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         sa timing: remaining key lifetime (kB/sec): (3796789/14690)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0x91CA1D71 (2445942129)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         **sa timing: remaining key lifetime (kB/sec): (0/14678)**
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

PEMBARUAN 7/1/2013

Saya menjalankan ASA 8.6.1. Meneliti situs Cisco, saya dapat menemukan Bug CSCtq57752 . Rinciannya adalah

ASA: Rekey seumur hidup data SA outbound IPSec gagal Gejala:

SA outbound IPSec gagal untuk merekam kembali ketika data seumur hidup mencapai nol kB.

Kondisi:

ASA memiliki terowongan IPSec dengan peer jarak jauh. Masa pakai data pada ASA mencapai 0 kB, masa pakai dalam detik belum kedaluwarsa.

Penanganan masalah:

Tingkatkan masa pakai data ke nilai yang sangat tinggi (atau bahkan nilai maksimum), atau kurangi masa pakai dalam hitungan detik. Masa pakai dalam detik idealnya akan berakhir sebelum batas data dalam kB mencapai nol. Dengan cara ini rekey akan dipicu berdasarkan detik, dan masalah data seumur hidup dapat di-bypass.

Solusinya adalah memperbarui ke versi 8.6.1 (5). Saya akan mencoba dan menjadwalkan jendela pemeliharaan malam ini dan melihat apakah masalahnya telah teratasi.

vpn cisco-asa Rowell
sumber
Apa pengaturan seumur hidup di kedua sisi?
generalnetworkerror
Ini 8 jam dan / atau 4608000 KBytes. Ketika KBytes mencapai 0, itu tidak menegosiasikan kembali terowongan.
Rowell
1
@Rowell, mengenai pembaruan 7/1/2013 Anda .. jika upgrade SW menyelesaikan masalah Anda, silakan posting sebagai jawaban alih-alih mengedit pertanyaan Anda ...
Mike Pennington
1
@ MikePennington Saya pasti bermaksud mempostingnya sebagai solusi jika itu diselesaikan. Saya akan menyilangkan jari saya.
Rowell
@ Payell jika Anda menulis jawaban yang terpisah - sangat dapat diterima untuk menjawab pertanyaan Anda sendiri - Saya dapat mengetahui Anda +50 karunia (jika Anda menulis jawabannya dengan cepat sebelum karunia besok berakhir (menikah 10 Juli).)
Craig Constantine

Jawaban:

7

Resolusi untuk masalah saya adalah meningkatkan citra ASA saya ke 8.6.1 (5).

Ini menyelesaikan bug CSCtq57752

Solusi untuk bug ini adalah dengan menurunkan masa pakai waktu peta crypto dan meningkatkan ambang volume lalu lintas peta crypto:

crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime seconds 3600
crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime kilobytes 2147483647

Peta crypto di atas menurunkan masa pakai menjadi 3600 detik dan meningkatkan ambang kilobyte ke nilai tertinggi. Dalam kasus saya, saya hanya harus memastikan detik masa hidup habis sebelum ambang kilobyte.

Rowell
sumber