我有一个站点到站点 VPN，当大量数据通过隧道推送时，它似乎正在丢弃来自特定子网的流量。我必须跑clear ipsec sa才能让它再次运行。

我在运行时注意到以下内容show crypto ipsec sa。对于 kB，SA 定时剩余密钥寿命达到 0。发生这种情况时，隧道不会通过流量。我不明白为什么它不重新加密。

inbound esp sas:
      spi: 0x51BB8CAE (1371245742)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         sa timing: remaining key lifetime (kB/sec): (3796789/14690)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0x91CA1D71 (2445942129)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map
         **sa timing: remaining key lifetime (kB/sec): (0/14678)**
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

更新 7/1/2013

我正在运行 ASA 8.6.1。研究 Cisco 的网站，我找到了Bug CSCtq57752。详情是

ASA：IPSec 出站 SA 数据生命周期重新加密失败 症状：

当数据生存期达到零 kB 时，IPSec 出站 SA 无法重新加密。

条件：

ASA 有一个带有远程对等体的 IPSec 隧道。ASA 上的数据生命周期达到 0 kB，以秒为单位的生命周期尚未到期。

解决方法：

将数据生命周期增加到一个非常高的值（甚至最大值），或以秒为单位减少生命周期。理想情况下，以秒为单位的生存期应该在以 kB 为单位的数据限制达到零之前到期。通过这种方式，rekey 将基于秒触发，并且可以绕过数据生命周期问题。

解决方案是更新到版本 8.6.1(5)。我打算今晚尝试安排一个维护窗口，看看问题是否得到解决。