HWping解决VRRP切换后IPsec不主动触发协商的问题

发布时间:  2012-07-27 浏览次数:  108 下载次数:  0
问题描述
两台AR46-40配置VRRP作为主备,使用虚IP与对端J厂家设备建立IPsecVPN隧道。
正常情况下IPsecVPN都正常,在主设备链路出故障的时候,备用设备不能及时与对端重新协商建立IPsecVPN。只有在备用设备上带源地址ping对端设备的ip后,才能重新建立vpn连接。
<AR-46-40A>ping -a 172.27.6.252 205.211.226.123
PING 205.211.226.123: 56 data bytes, press CTRL_C to break
Request time out
Reply from 205.211.226.123: bytes=56 Sequence=2 ttl=127 time=4 ms
Reply from 205.211.226.123: bytes=56 Sequence=3 ttl=127 time=3 ms
Reply from 205.211.226.123: bytes=56 Sequence=4 ttl=127 time=4 ms
Reply from 205.211.226.123: bytes=56 Sequence=5 ttl=127 time=4 ms
--- 205.211.226.123 ping statistics ---
5 packet(s) transmitted
4 packet(s) received
20.00% packet loss
round-trip min/avg/max = 3/3/4 ms
<AR-46-40A>dis ike sa
total phase-1 SAs: 2
connection-id peer flag phase doi
----------------------------------------------------------
2 172.30.20.22 RD|ST 1 IPSEC
5 205.211.226.122 RD|ST 1 IPSEC
3 172.30.20.22 RD|ST 2 IPSEC
6 205.211.226.122 RD|ST 2 IPSEC
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
<AR-46-40A>
告警信息
无。
处理过程
配置HWping功能,定时触发一定流量,在VRRP切换后,可以自动触发协商。问题解决。
[Quidway] hwping-agent enable
[Quidway] hwping administrator icmp  
[Quidway] test-type icmp 
[Quidway] destination-ip 205.211.226.123 // set destination
[Quidway] source-ip 200.85.20.8 // set vrrp virtual ip as source
[Quidway] frequency 5 // set the interval as 5 seconds
[Quidway] count 5
[Quidway] timeout 1
[Quidway] test-enable
根因
经过分析,应该是没有流量触发vpn建立。手动带源地址ping会强制触发重新协商。
acl number 3090
 description VPN AMNET
 rule 3 permit ip source 172.27.6.0 0.0.0.255 destination 205.211.226.123 0
 rule 3 permit ip source 200.85.20.8 0.0.0.255 destination 205.211.226.123 0
建议与总结
HWping可以作为辅助工具使用。

END