サイト間VPNトンネルがトラフィックを通過させない

多くのデータがトンネルを介してプッシュされているときに特定のサブネットからトラフィックをドロップしているように見えるサイト間VPNがあります。clear ipsec saもう一度走らせるには走らなければなりません。

実行中に次のことに気付きますshow crypto ipsec sa。SAタイミングの残りのキーの有効期間は、kBで0に達します。これが発生すると、トンネルはトラフィックを通過させません。キーを再生成しない理由がわかりません。

inbound esp sas:
      spi: 0x51BB8CAE (1371245742)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         sa timing: remaining key lifetime (kB/sec): (3796789/14690)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0x91CA1D71 (2445942129)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         **sa timing: remaining key lifetime (kB/sec): (0/14678)**
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

更新2013/7/1 /

ASA 8.6.1を実行しています。シスコのサイトを調査すると、バグCSCtq57752が見つかりました。詳細は

ASA：IPSecアウトバウンドSAデータライフタイムキー再生成が失敗する

IPSecアウトバウンドSAは、データのライフタイムが0 kBに達すると、キーの再生成に失敗します。

条件：

ASAには、リモートピアとのIPSecトンネルがあります。ASAのデータライフタイムは0 kBに達し、秒単位のライフタイムはまだ期限切れではありません。

回避策：

データの寿命を非常に高い値（または最大値）に増やすか、寿命を秒単位で減らします。秒単位のライフタイムは、kB単位のデータ制限がゼロに達する前に期限切れになるのが理想的です。この方法では、秒単位でキーの再生成がトリガーされ、データライフタイムの問題を回避できます。

解決策は、バージョン8.6.1（5）に更新することです。今夜メンテナンスウィンドウをスケジュールして、問題が解決するかどうかを確認します。

私の問題の解決策は、ASAイメージを8.6.1（5）にアップグレードすることです。

これにより、バグCSCtq57752が解決されます

このバグの回避策は、暗号マップの時間制限を短くし、暗号マップのトラフィック量のしきい値を増やすことです。

crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime seconds 3600
crypto map *YOUR-CRYPTO-MAP ID* set security-association lifetime kilobytes 2147483647

上記の暗号マップは、ライフタイムを3600秒に短縮し、キロバイトのしきい値を最大値に増やします。私の場合、キロバイトのしきい値の前に秒のライフタイムが枯渇することを確認する必要があります。