อุโมงค์ VPN จากไซต์สู่ไซต์ไม่ส่งการรับส่งข้อมูล


12

ฉันมี VPN ไซต์ต่อไซต์ที่ดูเหมือนว่าจะลดทราฟฟิกจากซับเน็ตเฉพาะเมื่อข้อมูลจำนวนมากถูกส่งผ่านอุโมงค์ ฉันต้องวิ่งclear ipsec saเพื่อให้มันไปได้อีกครั้ง

show crypto ipsec saผมแจ้งให้ทราบต่อไปนี้เมื่อทำงาน อายุการใช้งาน SA ที่เหลืออยู่ของคีย์จะสูงถึง 0 สำหรับ kB เมื่อสิ่งนี้เกิดขึ้นอุโมงค์ไม่ผ่านการจราจร ฉันไม่เข้าใจว่าทำไมมันไม่ rekey

inbound esp sas:
      spi: 0x51BB8CAE (1371245742)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         sa timing: remaining key lifetime (kB/sec): (3796789/14690)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0x91CA1D71 (2445942129)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         **sa timing: remaining key lifetime (kB/sec): (0/14678)**
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

อัพเดท 7/1/2556

ฉันใช้ ASA 8.6.1 ค้นคว้าเว็บไซต์ของซิสโก้ก็สามารถที่จะหาCSCtq57752 Bug โดยมีรายละเอียดดังนี้

ASA: rekey IPS ตลอดชีวิตข้อมูลขาออกของ SA ล้มเหลวอาการ:

IPSec outbound SA ล้มเหลวในการ rekey เมื่ออายุการใช้งานข้อมูลถึงศูนย์ kB

เงื่อนไข:

ASA มีอุโมงค์ IPSec พร้อมด้วยรีโมตเพียร์ ข้อมูลอายุการใช้งานของ ASA จะถึง 0 kB อายุการใช้งานในหน่วยวินาทีนั้นยังไม่หมดอายุ

การแก้ปัญหา:

เพิ่มอายุการใช้งานข้อมูลเป็นค่าที่สูงมาก (หรือแม้แต่ค่าสูงสุด) หรือลดอายุการใช้งานในไม่กี่วินาที อายุการใช้งานเป็นวินาทีควรหมดอายุก่อนที่ขีด จำกัด ข้อมูลในหน่วย kB จะถึงศูนย์ ในลักษณะนี้ rekey จะถูกทริกเกอร์ตามวินาทีและปัญหาข้อมูลตลอดชีวิตสามารถข้าม

วิธีแก้ไขคือการอัพเดตเป็นเวอร์ชั่น 8.6.1 (5) ฉันจะลองและกำหนดเวลาบำรุงรักษาหน้าต่างคืนนี้และดูว่าปัญหาได้รับการแก้ไขหรือไม่


การตั้งค่าอายุการใช้งานของทั้งสองด้านคืออะไร
Generalnetworkerror

มันคือ 8 ชั่วโมงและ / หรือ 4608000 KBytes เมื่อ KBytes กด 0 จะไม่ทำการเจรจาใหม่ช่องสัญญาณ
Rowell

1
@Rowell เกี่ยวกับการอัปเดต 7/1/2556 ของคุณ .. หากการอัปเกรด SW ช่วยแก้ไขปัญหาของคุณโปรดโพสต์เป็นคำตอบแทนการแก้ไขคำถามของคุณ ...
Mike Pennington

1
@ MikePennington ฉันตั้งใจจะโพสต์มันเป็นวิธีแก้ปัญหาหากได้รับการแก้ไข ฉันจะข้ามมือของฉัน
Rowell

@rowell ถ้าคุณเขียนคำตอบที่แยกต่างหาก - เป็นที่ยอมรับอย่างสมบูรณ์ที่จะตอบคำถามของคุณเอง - ฉันสามารถตระหนักถึงคุณ 50 รางวัล (ถ้าคุณเขียนคำตอบอย่างรวดเร็วก่อนที่โปรดปรานจะหมดอายุในวันพรุ่งนี้ (10 กรกฎาคมพ.))
เคร็กคอนสแตนติ

คำตอบ:


7

ความละเอียดในการแก้ไขปัญหาของฉันคือการอัพเกรดอิมเมจ ASA เป็น 8.6.1 (5)

สิ่งนี้จะช่วยแก้ไขข้อผิดพลาดCSCtq57752

วิธีแก้ปัญหาข้อบกพร่องคือการลดอายุการใช้งานแผนที่ crypto และเพิ่มเกณฑ์ปริมาณการรับส่งข้อมูลแผนที่ crypto:

crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime seconds 3600
crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime kilobytes 2147483647

การเข้ารหัสลับแผนที่ด้านบนลดอายุการใช้งานเหลือ 3600 วินาทีและเพิ่มเกณฑ์กิโลไบต์เป็นค่าสูงสุด ในกรณีของฉันฉันแค่ต้องให้แน่ใจว่าอายุการใช้งานของวินาทีหมดลงก่อนขีด จำกัด กิโลไบต์

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.