Tengo una VPN de sitio a sitio que parece estar bajando el tráfico de una subred en particular cuando se ingresan muchos datos a través del túnel. Tengo que correr clear ipsec sa
para que vuelva a funcionar.
Noto lo siguiente cuando corro show crypto ipsec sa
. La duración restante de la clave de temporización SA alcanza 0 para kB. Cuando esto sucede, el túnel no pasa el tráfico. No entiendo por qué no cambia la clave.
inbound esp sas:
spi: 0x51BB8CAE (1371245742)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
sa timing: remaining key lifetime (kB/sec): (3796789/14690)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0x91CA1D71 (2445942129)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
**sa timing: remaining key lifetime (kB/sec): (0/14678)**
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
ACTUALIZACIÓN 01/07/2013
Estoy ejecutando ASA 8.6.1. Investigando el sitio de Cisco pude encontrar el Bug CSCtq57752 . Los detalles son
ASA: falla la nueva clave de por vida de datos SA de IPSec saliente Síntoma:
El SA saliente de IPSec no puede volver a escribir cuando la vida útil de los datos alcanza cero kB.
Condiciones:
ASA tiene un túnel IPSec con un par remoto. La vida útil de los datos en el ASA alcanza 0 kB, la vida útil en segundos aún no ha expirado.
Solución alterna:
Aumente la vida útil de los datos a un valor muy alto (o incluso el valor máximo), o disminuya la vida útil en segundos. La vida útil en segundos idealmente debería expirar antes de que el límite de datos en kB llegue a cero. De esta manera, la nueva clave se activará en función de los segundos y se puede omitir el problema de la vida útil de los datos.
La solución es actualizar a la versión 8.6.1 (5). Voy a intentar programar una ventana de mantenimiento esta noche y ver si el problema está resuelto.