ฉันมี VPN ไซต์ต่อไซต์ที่ดูเหมือนว่าจะลดทราฟฟิกจากซับเน็ตเฉพาะเมื่อข้อมูลจำนวนมากถูกส่งผ่านอุโมงค์ ฉันต้องวิ่งclear ipsec saเพื่อให้มันไปได้อีกครั้ง
show crypto ipsec saผมแจ้งให้ทราบต่อไปนี้เมื่อทำงาน อายุการใช้งาน SA ที่เหลืออยู่ของคีย์จะสูงถึง 0 สำหรับ kB เมื่อสิ่งนี้เกิดขึ้นอุโมงค์ไม่ผ่านการจราจร ฉันไม่เข้าใจว่าทำไมมันไม่ rekey
inbound esp sas:
spi: 0x51BB8CAE (1371245742)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
sa timing: remaining key lifetime (kB/sec): (3796789/14690)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0x91CA1D71 (2445942129)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
**sa timing: remaining key lifetime (kB/sec): (0/14678)**
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
อัพเดท 7/1/2556
ฉันใช้ ASA 8.6.1 ค้นคว้าเว็บไซต์ของซิสโก้ก็สามารถที่จะหาCSCtq57752 Bug โดยมีรายละเอียดดังนี้
ASA: rekey IPS ตลอดชีวิตข้อมูลขาออกของ SA ล้มเหลวอาการ:
IPSec outbound SA ล้มเหลวในการ rekey เมื่ออายุการใช้งานข้อมูลถึงศูนย์ kB
เงื่อนไข:
ASA มีอุโมงค์ IPSec พร้อมด้วยรีโมตเพียร์ ข้อมูลอายุการใช้งานของ ASA จะถึง 0 kB อายุการใช้งานในหน่วยวินาทีนั้นยังไม่หมดอายุ
การแก้ปัญหา:
เพิ่มอายุการใช้งานข้อมูลเป็นค่าที่สูงมาก (หรือแม้แต่ค่าสูงสุด) หรือลดอายุการใช้งานในไม่กี่วินาที อายุการใช้งานเป็นวินาทีควรหมดอายุก่อนที่ขีด จำกัด ข้อมูลในหน่วย kB จะถึงศูนย์ ในลักษณะนี้ rekey จะถูกทริกเกอร์ตามวินาทีและปัญหาข้อมูลตลอดชีวิตสามารถข้าม
วิธีแก้ไขคือการอัพเดตเป็นเวอร์ชั่น 8.6.1 (5) ฉันจะลองและกำหนดเวลาบำรุงรักษาหน้าต่างคืนนี้และดูว่าปัญหาได้รับการแก้ไขหรือไม่