Tünelden çok fazla veri aktarılırken belirli bir alt ağdan trafik çekiyor gibi görünen bir siteden siteye VPN var. Ben koşmak zorunda clear ipsec sa
tekrar yola çıkmaya.
Çalışırken aşağıdakilere dikkat ediyorum show crypto ipsec sa
. SA zamanlaması kalan anahtar ömrü kB için 0'a ulaşır. Bu olduğunda, tünel trafiği geçmez. Neden yeniden canlanmadığını anlamıyorum.
inbound esp sas:
spi: 0x51BB8CAE (1371245742)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
sa timing: remaining key lifetime (kB/sec): (3796789/14690)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0x91CA1D71 (2445942129)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
**sa timing: remaining key lifetime (kB/sec): (0/14678)**
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
GÜNCELLEME 7/1/2013
ASA 8.6.1 kullanıyorum. Cisco'nun sitesini araştırırken Bug CSCtq57752'yi bulabildim . Ayrıntılar
ASA: IPSec giden SA veri yaşam süresi yeniden anahtarlaması başarısız oluyor Belirti:
IPSec giden SA, veri ömrü sıfır kB'ye ulaştığında yeniden ortaya çıkmaz.
Koşullar:
ASA'nın uzak eşli bir IPSec tüneli vardır. ASA'daki veri ömrü 0 kB'ye ulaşır, saniye cinsinden kullanım ömrü henüz dolmamıştır.
Çözüm:
Veri ömrünü çok yüksek bir değere (hatta maksimum değere) artırın veya kullanım ömrünü saniyeler içinde azaltın. Saniye cinsinden kullanım ömrü ideal olarak kB'deki veri sınırı sıfıra ulaşmadan sona ermelidir. Bu şekilde yeniden anahtarlama saniye bazında tetiklenecek ve veri ömrü sorunu atlanabilir.
Çözüm, 8.6.1 (5) sürümüne güncelleme yapmaktır. Bu gece bir bakım penceresi planlamaya çalışacağım ve sorunun çözülüp çözülmediğini göreceğim.