HWping solve IPsec negotiation problem after VRRP switched over

Publication Date:  2012-07-27 Views:  259 Downloads:  0
Issue Description
Two AR46-40 work with VRRP, using virtual IP to establish IPsec VPN with opposite J company device.
Normally, IPsec VPN is ok, but when main link failed, the slave AR46-40 cannot start negotiation immediately with opposite device. Only ping with source ip can trigger it to establish IPsec VPN again.
<AR-46-40A>ping -a 172.27.6.252 205.211.226.123
PING 205.211.226.123: 56 data bytes, press CTRL_C to break
Request time out
Reply from 205.211.226.123: bytes=56 Sequence=2 ttl=127 time=4 ms
Reply from 205.211.226.123: bytes=56 Sequence=3 ttl=127 time=3 ms
Reply from 205.211.226.123: bytes=56 Sequence=4 ttl=127 time=4 ms
Reply from 205.211.226.123: bytes=56 Sequence=5 ttl=127 time=4 ms
--- 205.211.226.123 ping statistics ---
5 packet(s) transmitted
4 packet(s) received
20.00% packet loss
round-trip min/avg/max = 3/3/4 ms
<AR-46-40A>dis ike sa
total phase-1 SAs: 2
connection-id peer flag phase doi
----------------------------------------------------------
2 172.30.20.22 RD|ST 1 IPSEC
5 205.211.226.122 RD|ST 1 IPSEC
3 172.30.20.22 RD|ST 2 IPSEC
6 205.211.226.122 RD|ST 2 IPSEC
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
<AR-46-40A>
Alarm Information
No.
Handling Process
Configure HWping function, to generate traffic with specific interval, then after VRRP switchover, it can trigger VPN negotiation automatically. 
Problem solved.
[Quidway] hwping-agent enable
[Quidway] hwping administrator icmp  
[Quidway] test-type icmp 
[Quidway] destination-ip 205.211.226.123 // set destination
[Quidway] source-ip 200.85.20.8 // set vrrp virtual ip as source
[Quidway] frequency 5 // set the interval as 5 seconds
[Quidway] count 5
[Quidway] timeout 1
[Quidway] test-enable
Root Cause
After test and analyze it, it should be that there is no traffic to trigger the negotiation. When did ping with source IP, it just triggered it.
acl number 3090
 description VPN AMNET
 rule 3 permit ip source 172.27.6.0 0.0.0.255 destination 205.211.226.123 0
 rule 3 permit ip source 200.85.20.8 0.0.0.255 destination 205.211.226.123 0
Suggestions
HWping could be used as assistant tools in some cases.

END