IPSEC

From

Ruslan Petrenko (2:5020/400)

To

All (2:5054/37.63)

Date

2005-04-07T11:41:26Z

Area

RU.CISCO

From: Ruslan Petrenko <starcat@starcat.dp.ua>

Добрый день!

   Скажите пожалуйста, не сталкивался ли кто-нибудь с такой ситуаций: 
поднят IPSEC между 7200 и PIX'ом. Периодически, когда заканчивается 
время жизни SA, вместо того, чтобы сначала создать новый, а потом 
удаляться старый SA - сначала удаляется старый :( Связь через туннель 
соответственно пропадает.
   Рядом стоит еще один PIX с настройками один в один с первым - с ним 
такой проблемы нет.
   Вот кусочек логов:

05:12:28: %PIX-7-702201: ISAKMP Phase 1 delete received (local 
xxx.xxx.xxx.2 (initiator), remote xxx.xxx.xxx.1)
05:12:28: %PIX-6-602302: deleting SA, (sa) sa_dest= xxx.xxx.xxx.2, 
sa_prot=50, sa_spi=0x4dd02984(1305487748), sa_trans= esp-3des 
esp-sha-hmac , sa_conn_id= 5
05:12:28: %PIX-6-602302: deleting SA, (sa) sa_dest= xxx.xxx.xxx.1, 
sa_prot= 50, sa_spi=0x6906f517(1762063639), sa_trans= esp-3des 
esp-sha-hmac, sa_conn_id= 6
05:12:28: %PIX-6-602203: ISAKMP session disconnected (local 
xxx.xxx.xxx.2 (initiator), remote xxx.xxx.xxx.1)
05:12:34: %PIX-4-402101: decaps: rec'd IPSEC packet has invalid spi for 
destaddr=xxx.xxx.xxx.2, prot=esp, spi=0x4dd02984(1305487748)
... и так долго-долго ...

   Это от 7200:
05:12:28: IPSEC(lifetime_expiry): SA lifetime threshold reached, 
expiring in 151 seconds
05:12:28: ISAKMP: received ke message (1/1)
05:12:28: ISAKMP: set new node 0 to QM_IDLE
05:12:28: ISAKMP (0:1380): sitting IDLE. Starting QM immediately 
(QM_IDLE      )
05:12:28: ISAKMP (0:1380): beginning Quick Mode exchange, M-ID of 2448883
05:12:28: ISAKMP (0:1380): peer does not do paranoid keepalives.
05:12:28: ISAKMP (0:1380): deleting SA reason "death by retransmission 
throw" state (R) QM_IDLE  (peer xxx.xxx.xxx.2) input queue 0


   Что за может означать причина "death by retransmission throw"? Поиск 
на сайте Cisco / в google - ничего не дал :(
   Да, на PIX - 6.3(4), на 7200 IOS - 12.3(10)
--- ifmail v.2.15dev5.3
 * Origin: Alkar Teleport News Server (2:5020/400)
SEEN-BY: 46/50 50/203 520 400/814 450/159 186 247 1024 451/30 457/64 461/43
SEEN-BY: 461/640 465/11 469/999 4625/8 4626/6 4627/10 5000/76 5000 5001/5001
SEEN-BY: 5002/79 5003/19 5006/1 5007/1 5010/70 5011/13 5015/10 5019/31 5020/52
SEEN-BY: 5020/118 175 400 545 639 715 758 937 1042 1057 1523 1604 1630 1909
SEEN-BY: 5020/1922 2020 2238 4441 8383 5021/29 5022/128 5025/3 750 5026/14 45
SEEN-BY: 5026/49 5027/16 5030/115 473 500 966 1063 1900 5031/70 5036/1 34
SEEN-BY: 5042/13 5047/43 5049/1 36 5051/15 5054/1 4 8 9 18 28 30 35 36 37 67
SEEN-BY: 5054/72 81 5057/1 5060/88 5061/15 5062/1 10 5063/3 5066/18 5069/7
SEEN-BY: 5070/1222 5075/5 35 5080/80 1003 5081/2 5082/6 5083/21 5085/13
SEEN-BY: 5090/108 5093/57 5095/20 5096/18 5099/4 6000/12 254 6001/3 6009/1
SEEN-BY: 6096/10

PATH: 5020/400 4441 545 5054/1 37