我有一个站点到站点VPN,当通过隧道推送大量数据时,它似乎正在丢弃来自特定子网的流量。我必须运行clear ipsec sa才能再次运行它。

运行show crypto ipsec sa时,我注意到以下内容。 SA定时剩余密钥生存期对于kB达到0。发生这种情况时,隧道不会通过流量。我不明白为什么它不重新输入密钥。

inbound esp sas:
      spi: 0x51BB8CAE (1371245742)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         sa timing: remaining key lifetime (kB/sec): (3796789/14690)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0x91CA1D71 (2445942129)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         **sa timing: remaining key lifetime (kB/sec): (0/14678)**
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001


UPDATE 7/1/2013

我正在运行ASA 8.6.1。 。研究思科的站点,我能够找到Bug CSCtq57752。详细信息为


ASA:IPSec出站SA数据生存期重新生成密钥失败症状:

当数据生存期达到零kB时,IPSec出站SA无法重新生成密钥。 >
条件:

ASA具有带有远程对等方的IPSec隧道。
ASA上的数据寿命达到0 kB,以秒为单位的寿命尚未到期。

解决方法:

将数据生存期提高到非常高的值(甚至是最大的
值),或者减少生存期(以秒为单位)。理想情况下,以秒为单位的生存期应该在kB的数据限制达到零之前到期。以这种方式,将基于秒触发密钥更新,并且可以绕过数据生存期问题。


解决方案是更新到8.6版。 1(5)。我打算今晚尝试安排一个维护时段,看看问题是否解决。

评论

双方的寿命设置是什么?

这是8小时和/或4608000 KB。当千字节达到0时,它不会重新协商隧道。

@Rowell,关于您的7/1/2013更新。.如果软件升级解决了您的问题,请发布它作为答案,而不是对您的问题进行编辑...

@MikePennington如果解决了,我绝对打算将其发布为解决方案。我会用手指交叉。

@rowell,如果您编写单独的答案-回答您自己的问题是完全可以接受的-我可以知道+50的悬赏金(如果您在悬赏日明天(7月10日星期三)到期之前迅速写出答案。)

#1 楼

解决我的问题的方法是将我的ASA映像升级到8.6.1(5)。

这解决了错误CSCtq57752

该错误的解决方法是降低加密映射的定时生存时间并增加加密映射的流量阈值:

crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime seconds 3600
crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime kilobytes 2147483647


上述加密映射将生存期降低到3600秒,并将千字节阈值提高到最大值。就我而言,我只需要确保在千字节阈值之前耗尽了秒寿命。