Eu acho que você quer dizer "sub-rede" em todos os lugares que você tem "vlan". Eu não acho que o vpn3k até mesmo apoiou a atribuição de túneis vpn para vlans. se você estiver usando o tunelamento dividido e empurrando duas rotas diferentes para cada uma dessas sub-redes, então no pix você terminará com uma associação de segurança ipsec por sub-rede.
Parece que estes estão expirando por algum motivo ...
Não sei por que isso aconteceria, mas sei que uso essa configuração há anos sem problemas:
vpnclient server server1 server2
vpnclient mode network-extension-mode
vpnclient nem-st-autoconnect
vpnclient vpngroup group password ********
vpnclient username user password ********
vpnclient management tunnel mana.geme.nt.subnet 255.255.255.0
vpnclient enable
Isso é diferente da configuração que você está executando?