USG3000对端设备异常重启导致ipsec vpn业务不通

发布时间:  2012-07-18 浏览次数:  111 下载次数:  0
问题描述
用户采用USG3000和USG50组成点对点的ipsec vpn,组网方式如下:
PC----USG3000-----internet------USG50----PC
当USG50异常掉电后,从USG3000侧发起的ipsec vpn访问业务长时间不通,只能从USG50侧发起ipsec vpn访问业务。
告警信息
处理过程
1、这种情况可以通过设置ike sa的保活时间来检测ike sa的状态,及时清除不处于存活状态的sa。
2、根据用户的应用环境,设置ike sa keepalive-timer interval 20和ike sa keepalive-timer timeout 60。当USG50异常重启,等待大约1分钟时间后,USG3000上的ipsec sa自动拆除。新的ipsec sa能正常建立。
根因
1、ipsec sa默认生存周期为1小时,ike sa的默认生存周期为24小时。USG50异常重启,无法通知USG3000清除ipsec sa和ike sa,导致USG3000上的ipsec sa和ike sa在生存周期达到之前一直存在。
2、从USG3000侧发起的ipsec vpn访问业务因为数据流匹配到原有的ipsec sa导致新的ipsec sa无法建立
建议与总结
在配置ipsec vpn业务时,建议配置ike sa的保活时间,防止因为设备异常重启导致的ipsec vpn业务不通。
配置ike-sa保活时需要注意,对端必须是我司设备,否则无法支持我司设备发出的keepalive报文。
对于USG3000,E100E,E200等目前只能这样配置
而对于USG5300,可以配置dpd来代替keepalive,dpd是有rfc标准的,绝大部分友商设备都支持。

END