Eu tenho uma VPN site a site que parece estar perdendo tráfego de uma sub-rede específica quando muitos dados estão sendo enviados pelo túnel. Eu tenho que correr clear ipsec sa
para voltar a funcionar .
Percebo o seguinte ao executar show crypto ipsec sa
. O tempo de vida útil restante da chave SA atinge 0 para kB. Quando isso acontece, o túnel não passa tráfego. Eu não entendo por que não rekey.
inbound esp sas:
spi: 0x51BB8CAE (1371245742)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
sa timing: remaining key lifetime (kB/sec): (3796789/14690)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0x91CA1D71 (2445942129)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
**sa timing: remaining key lifetime (kB/sec): (0/14678)**
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
ATUALIZAÇÃO 1/7/2013
Estou executando o ASA 8.6.1. Pesquisando no site da Cisco, pude encontrar o Bug CSCtq57752 . Os detalhes são
ASA: A reutilização da vida útil dos dados de saída IPSec SA falha Sintoma:
A SA de saída IPSec falha ao reescrever quando a vida útil dos dados atinge zero kB.
Condições:
O ASA tem um túnel IPSec com um par remoto. A vida útil dos dados no ASA atinge 0 kB, a vida útil em segundos ainda não expirou.
Gambiarra:
Aumente a vida útil dos dados para um valor muito alto (ou até o valor máximo) ou diminua a vida útil em segundos. Idealmente, a vida útil em segundos deve expirar antes que o limite de dados em kB atinja zero. Dessa maneira, a recodificação será acionada com base em segundos e o problema de duração dos dados poderá ser contornado.
A solução é atualizar para a versão 8.6.1 (5). Vou tentar agendar uma janela de manutenção hoje à noite e ver se o problema foi resolvido.
Respostas:
A resolução para o meu problema é atualizar minha imagem ASA para 8.6.1 (5).
Isso resolve o bug CSCtq57752
A solução alternativa para o erro é reduzir a vida útil programada do mapa de criptografia e aumentar o limite de volume de tráfego do mapa de criptografia:
O mapa criptográfico acima reduz a vida útil para 3600 segundos e aumenta o limite de kilobytes para o valor mais alto. No meu caso, só preciso garantir que os segundos de vida útil sejam esgotados antes do limite de kilobytes.
fonte