站点到站点VPN隧道未通过流量

我有一个站点到站点VPN，当通过隧道推送大量数据时，它似乎正在丢弃来自特定子网的流量。我必须设法clear ipsec sa使其恢复原状。

运行时，我注意到以下内容show crypto ipsec sa。SA定时剩余密钥生存期对于kB达到0。发生这种情况时，隧道不会通过流量。我不明白为什么它不更新密钥。

inbound esp sas:
      spi: 0x51BB8CAE (1371245742)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         sa timing: remaining key lifetime (kB/sec): (3796789/14690)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0x91CA1D71 (2445942129)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         **sa timing: remaining key lifetime (kB/sec): (0/14678)**
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

更新7/1/2013

我正在运行ASA 8.6.1。研究思科的站点，我能够找到Bug CSCtq57752。详细是

ASA：IPSec出站SA数据生存期密钥更改失败症状：

当数据寿命达到零kB时，IPSec出站SA无法重新键入密钥。

条件：

ASA具有带远程对等方的IPSec隧道。ASA上的数据生命周期达到0 kB，以秒为单位的生命周期尚未到期。

解决方法：

将数据生存期增加到很高的值（甚至最大值），或减少生存期（以秒为单位）。理想情况下，以秒为单位的生存期应该在kB的数据限制达到零之前到期。通过这种方式，将基于秒数触发密钥更新，并且可以绕过数据生存期问题。

解决方案是更新到版本8.6.1（5）。我打算尝试在今晚安排一个维护时段，看看问题是否已解决。

vpn cisco-asa

— 罗威尔
source

双方的寿命设置是什么？

— generalnetworkerror 2013年

这是8小时和/或4608000 KB。当千字节达到0时，它不会重新协商隧道。

— 罗威尔

@Rowell，关于您的2013

— Mike Pennington 2013年

@MikePennington如果解决了，我绝对打算将其发布为解决方案。我会交叉手指。

— 罗威尔

@rowell，如果您写一个单独的答案-回答您自己的问题是完全可以接受的-我可以意识到您有+50的悬赏金（如果您在悬赏日明天（7月10日星期三）到期之前迅速写出答案。）

— Craig Constantine

解决我的问题的方法是将我的ASA映像升级到8.6.1（5）。

这解决了错误CSCtq57752

该错误的解决方法是降低加密映射的定时生命周期并增加加密映射的流量阈值：

crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime seconds 3600
crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime kilobytes 2147483647

上面的密码映射将生存期降低到3600秒，并将千字节阈值增加到最大值。就我而言，我只需要确保在千字节阈值之前耗尽了秒寿命。

— 罗威尔
source