트래픽을 전달하지 않는 사이트 간 VPN 터널

터널을 통해 많은 데이터를 푸시 할 때 특정 서브넷에서 트래픽을 떨어 뜨리는 사이트 간 VPN이 있습니다. clear ipsec sa다시 돌아가려면 달려야 합니다.

실행할 때 다음을 알 수 show crypto ipsec sa있습니다. SA의 남은 키 수명은 kB에 대해 0에 도달합니다. 이 경우 터널은 트래픽을 전달하지 않습니다. 왜 키가 바뀌지 않는지 이해할 수 없습니다.

inbound esp sas:
      spi: 0x51BB8CAE (1371245742)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         sa timing: remaining key lifetime (kB/sec): (3796789/14690)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0x91CA1D71 (2445942129)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         **sa timing: remaining key lifetime (kB/sec): (0/14678)**
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

2013 년 7 월 1 일 업데이트

ASA 8.6.1을 실행하고 있습니다. Cisco 사이트를 조사한 결과 Bug CSCtq57752 를 찾을 수있었습니다 . 세부 사항은

ASA : IPSec 아웃 바운드 SA 데이터 수명 키 재 지정에 실패 함 증상 :

데이터 수명이 0kB에 도달하면 IPSec 아웃 바운드 SA가 키를 다시 입력하지 못합니다.

정황:

ASA에는 원격 피어가있는 IPSec 터널이 있습니다. ASA의 데이터 수명이 0kB에 도달했지만 수명 (초)은 아직 만료되지 않았습니다.

해결 방법 :

데이터 수명을 매우 높은 값 (또는 최대 값)으로 늘리거나 수명을 초 단위로 줄입니다. kB의 데이터 한계가 0에 도달하기 전에 수명 (초)은 이상적으로 만료되어야합니다. 이러한 방식으로 초 단위로 리키가 트리거되고 데이터 수명 문제를 무시할 수 있습니다.

해결책은 버전 8.6.1 (5)로 업데이트하는 것입니다. 오늘 밤 유지 관리 기간을 예약하고 문제가 해결되는지 확인하려고합니다.

내 문제의 해결책은 내 ASA 이미지를 8.6.1 (5)로 업그레이드하는 것입니다.

이것은 버그 CSCtq57752를 해결합니다

이 버그의 해결 방법은 암호화 맵의 시간 수명을 줄이고 암호화 맵의 트래픽 볼륨 임계 값을 늘리는 것입니다.

crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime seconds 3600
crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime kilobytes 2147483647

위의 암호화 맵은 수명을 3600 초로 낮추고 킬로바이트 임계 값을 가장 높은 값으로 증가시킵니다. 필자의 경우, 킬로바이트 임계 값 전에 초 수명이 소진되도록해야합니다.