USG3000重新启动后IPSec长时间连接不上

发布时间:  2012-07-18 浏览次数:  73 下载次数:  0
问题描述
USG3000设备重新启动(不能是reset或断网线),重新启动之前与USG50建立的隧道在很长的时间不消失,造成USG3000启动完成之后,USG50下面的客户端与USG3000下面的客户端连接不上,需要在USG50上用reset ike sa x(x代表序号),然后才能连通.
告警信息
处理过程
   对USG3000和USG50配置进行检查:
    发现在USG3000上配置了:
    ike sa keepalive-timer interval 30   
    ike sa keepalive-timer timeout 90    (默认是24小时)
    但在USG50上没有该配置,所以 ike sa keepalive-timer timeout默认是24 小时,导致ike需要24小时才能重新连接
    因此,在USG50上增加如下配置:
    ike sa keepalive-timer interval 30   
    ike sa keepalive-timer timeout 90
    问题得到解决。
根因
从现象上看,重新启动USG3000设备后,UUSG3000上隧道被清空,但在对端USG50上隧道会话一直保持着没有释放,因此需要手动reset隧道会话,才能释放掉,最终重新建立连接。
建议与总结
建议在使能IKE之后自动使能:
ike sa keepalive-timer interval 30   
ike sa keepalive-timer timeout 90(单位是秒)

END