ipsec-isakmp trouble

From

Eugene M. Zheganin (2:5054/37.63)

To

All (2:5054/37)

Date

2007-11-08T18:54:46Z

Area

RU.CISCO

 Приветствую, All!

Есть 2821, IOS 12.4(15)T1.
К ней звездой 100+ тоннелей, gre/ipinip, поверх них ipsec/isakmp ah+esp.

Со временем появилась проблема - некоторые точки, это одна-две из более чем сотни, не могут пропихнуть isakmp sa, и перейти в Quick Mode. И дальше не заводится туннель, потому что невозможно пропихнуть друг другу SA.

Диагностика такая: фильтров между ними, мешающих isakmp нет, оба конца пингуются, оба шлют друг другу пакеты, и оба ругаются на Death by retransmission. И снова начинают друг другу пропозалы слать. Также в логах стоит ругань в ключе "ремота начала Main Mode proposals заново, тогда я тоже начну заново".

В данный момент все это лечится cle crypto isakmp на центральном Ipsec-хабе. После этого все некоторое время работает.
cle crypto isakmp на ремотах не помогает. Также известно, что такой бедой периодически страдают все ремоты, в случайном порядке.

Нет ли каких таймеров MM, которые можно подкрутить ?
Пробовал заменить MM на Aggressive Mode, те же яйца.

                                    На этом остаюсь искренне Ваш, Евгений.
--- GoldED+/BSD 1.1.5-b20061116
 * Origin:  Если drook оказался vdrook (c)  (2:5054/37.63)