FAQ-为什么IPSec手工模式协商时一端设备重启会导致业务中断一段时间

发布时间:  2014-09-18 浏览次数:  113 下载次数:  0
问题描述
为什么IPSec手工模式协商时一端设备重启会导致业务中断一段时间?
解决方案
手工模式时,隧道两端设备之间没有协商报文,无法通知对方。一端设备重启后,业务中断一段时间是因为另一端设备认为是重放攻击报文,等待重启那端通过发送流量使报文序列号达到原来的值才能重新正常通信。这种情况下,可以通过在两端设备使用命令reset ipsec sa清除sa,使两端序列号重新开始计数来解决该问题。建议现网中应用尽量使用IKE协商模式。

END