Siteden Siteye VPN Tüneli Yukarı Trafik Geçmiyor


12

Tünelden çok fazla veri aktarılırken belirli bir alt ağdan trafik çekiyor gibi görünen bir siteden siteye VPN var. Ben koşmak zorunda clear ipsec satekrar yola çıkmaya.

Çalışırken aşağıdakilere dikkat ediyorum show crypto ipsec sa. SA zamanlaması kalan anahtar ömrü kB için 0'a ulaşır. Bu olduğunda, tünel trafiği geçmez. Neden yeniden canlanmadığını anlamıyorum.

inbound esp sas:
      spi: 0x51BB8CAE (1371245742)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         sa timing: remaining key lifetime (kB/sec): (3796789/14690)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0x91CA1D71 (2445942129)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         **sa timing: remaining key lifetime (kB/sec): (0/14678)**
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

GÜNCELLEME 7/1/2013

ASA 8.6.1 kullanıyorum. Cisco'nun sitesini araştırırken Bug CSCtq57752'yi bulabildim . Ayrıntılar

ASA: IPSec giden SA veri yaşam süresi yeniden anahtarlaması başarısız oluyor Belirti:

IPSec giden SA, veri ömrü sıfır kB'ye ulaştığında yeniden ortaya çıkmaz.

Koşullar:

ASA'nın uzak eşli bir IPSec tüneli vardır. ASA'daki veri ömrü 0 kB'ye ulaşır, saniye cinsinden kullanım ömrü henüz dolmamıştır.

Çözüm:

Veri ömrünü çok yüksek bir değere (hatta maksimum değere) artırın veya kullanım ömrünü saniyeler içinde azaltın. Saniye cinsinden kullanım ömrü ideal olarak kB'deki veri sınırı sıfıra ulaşmadan sona ermelidir. Bu şekilde yeniden anahtarlama saniye bazında tetiklenecek ve veri ömrü sorunu atlanabilir.

Çözüm, 8.6.1 (5) sürümüne güncelleme yapmaktır. Bu gece bir bakım penceresi planlamaya çalışacağım ve sorunun çözülüp çözülmediğini göreceğim.


Her iki tarafta da ömür boyu ayarlar nelerdir?
generalnetworkerror

8 saat ve / veya 4608000 KByte. KBytes 0'a çarptığında tüneli yeniden müzakere etmez.
Rowell

1
@Rowell, 7/1/2013 güncellemenizle ilgili .. bir SW güncellemesi sorununuzu çözüyorsa, lütfen sorunuzu düzenlemek yerine yanıt olarak gönderin ...
Mike Pennington

1
@MikePennington Çözülürse kesinlikle bir çözüm olarak göndermeyi planlıyorum. Parmaklarımı geçeceğim.
Rowell

@rowell ayrı bir cevap yazarsanız - kendi sorunuzu cevaplamak son derece kabul edilebilir - +50 ödülün farkında olabilirim (cevabı yarın sona ermeden hızlı bir şekilde yazarsanız (Çar 10 temmuz))
Craig Constantine

Yanıtlar:


7

Sorunumun çözümü ASA imajımı 8.6.1'e (5) yükseltmektir.

Bu, CSCtq57752 hatasını giderir

Hatanın çözümü, kripto haritasının zamanlanmış ömrünü azaltmak ve kripto haritasının trafik hacmi eşiğini artırmaktır:

crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime seconds 3600
crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime kilobytes 2147483647

Yukarıdaki kripto haritası ömrü 3600 saniyeye düşürüyor ve kilobayt eşiğini en yüksek değere yükseltiyor. Benim durumumda, saniye ömrünün kilobayt eşiğinden önce tükendiğinden emin olmalıyım.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.