Túnel VPN site a site não passa tráfego

12

Eu tenho uma VPN site a site que parece estar perdendo tráfego de uma sub-rede específica quando muitos dados estão sendo enviados pelo túnel. Eu tenho que correr clear ipsec sapara voltar a funcionar .

Percebo o seguinte ao executar show crypto ipsec sa. O tempo de vida útil restante da chave SA atinge 0 para kB. Quando isso acontece, o túnel não passa tráfego. Eu não entendo por que não rekey.

inbound esp sas:
      spi: 0x51BB8CAE (1371245742)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         sa timing: remaining key lifetime (kB/sec): (3796789/14690)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0x91CA1D71 (2445942129)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         **sa timing: remaining key lifetime (kB/sec): (0/14678)**
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

ATUALIZAÇÃO 1/7/2013

Estou executando o ASA 8.6.1. Pesquisando no site da Cisco, pude encontrar o Bug CSCtq57752 . Os detalhes são

ASA: A reutilização da vida útil dos dados de saída IPSec SA falha Sintoma:

A SA de saída IPSec falha ao reescrever quando a vida útil dos dados atinge zero kB.

Condições:

O ASA tem um túnel IPSec com um par remoto. A vida útil dos dados no ASA atinge 0 kB, a vida útil em segundos ainda não expirou.

Gambiarra:

Aumente a vida útil dos dados para um valor muito alto (ou até o valor máximo) ou diminua a vida útil em segundos. Idealmente, a vida útil em segundos deve expirar antes que o limite de dados em kB atinja zero. Dessa maneira, a recodificação será acionada com base em segundos e o problema de duração dos dados poderá ser contornado.

A solução é atualizar para a versão 8.6.1 (5). Vou tentar agendar uma janela de manutenção hoje à noite e ver se o problema foi resolvido.

Rowell
fonte
Quais são as configurações da vida útil nos dois lados?
generalnetworkerror
São 8 horas e / ou 4608000 KBytes. Quando o KBytes atinge 0, ele não renegocia o túnel.
Rowell
1
@Rowell, em relação a sua atualização 2013/07/01 .. se um upgrade SW resolve o seu problema, por favor, postá-lo como uma resposta em vez de uma edição para a sua pergunta ...
Mike Pennington
1
@ MikePennington Definitivamente pretendo publicá-lo como uma solução, se for resolvido. Eu cruzarei meus dedos.
Rowell
@rowell se você escrever uma resposta separada - é perfeitamente aceitável responder à sua própria pergunta - eu posso lhe dar uma recompensa de +50 (se você escrever a resposta rapidamente antes que a recompensa expire amanhã (quarta-feira, 10 de julho).)
Craig Constantine

Respostas:

7

A resolução para o meu problema é atualizar minha imagem ASA para 8.6.1 (5).

Isso resolve o bug CSCtq57752

A solução alternativa para o erro é reduzir a vida útil programada do mapa de criptografia e aumentar o limite de volume de tráfego do mapa de criptografia:

crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime seconds 3600
crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime kilobytes 2147483647

O mapa criptográfico acima reduz a vida útil para 3600 segundos e aumenta o limite de kilobytes para o valor mais alto. No meu caso, só preciso garantir que os segundos de vida útil sejam esgotados antes do limite de kilobytes.

Rowell
fonte