Eudemon1000由于使用手工方式建立IPSEC隧道导致业务异常中断

发布时间:  2012-12-26 浏览次数:  102 下载次数:  0
问题描述
版本信息:Eudemon1000-V100R002C01SPC001
组网描述:两台Eudemon1000启用双机热备,通过虚地址与远端10个分支节点的Eudemon300建立IPSEC隧道。
故障现象:Eudemon1000增加了高速加密卡后与分支节点的防火墙通过手工方式正常建立了IPSEC隧道,但是一段时间后,分局与中心局的IPSEC隧道异常中断。
告警信息
处理过程
1、检查组网和设备无问题。
2、通过命令display ipsec sa secp发现Sequence Number不断增加。业务长期使用手工IPSEC,会出现Sequence Number溢出,对于一条IPSEC隧道,每加密一个报文,相应的Sequence Number会增加1,一旦Sequence Number溢出后,说明这条IPSEC隧道已经过期,需要重新手工配置新的IPSEC SA来传输IPSEC业务。这是IPSEC协议中规定的,并非是产品的问题。将手工方式建立IPSEC隧道修改为IKE方式建立IPSEC隧道后业务运行稳定。
 
根因
1、组网和设备问题。
2、IPsec策略问题。

 
建议与总结
手工IPSEC需要手工的维护,通常应用在IPSEC业务流量很小的情况下,如果IPSEC VPN业务较大时,通常不建议使用手工模式建立IPSEC隧道。


END