FAQ-正常情况下防火墙什么时候会清除IPSec SA

发布时间:  2014-09-19 浏览次数:  188 下载次数:  0
问题描述
正常情况下防火墙什么时候会清除IPSec SA?
解决方案
IPSec VPN共有两阶段:IKE SA和IPSec SA,两个阶段都有超时时间的概念。SA超时时间分为软超时和硬超时,软超时到期(软超时时间缺省约为硬超时时间的9/10)时,IKE自动协商新的SA准备接替老的SA;当硬超时时间到期时,老的SA将被删除(无论新SA是否建立)。IKE SA硬超时到期,将删除IKE SA;如果IPSec SA已经建立,将同时删除IPSec SA。IPSec SA硬超时到期将同时删除IKE SA和IPSec SA。
另外,若开启了IKE SA Keepalive或DPD功能,Keepalive超时或DPD超时也会删除IKE SA和IPSec SA。

END