NGFW重新启动后,因对端设备未删除原有隧道而导致对端无法访问连接的内网

发布时间:  2014-09-20 浏览次数:  122 下载次数:  0
问题描述
如图43-1所示,在NGFW_A与NGFW_B之间建立IPSec VPN。NGFW_A设备重新启动(不能是手动执行reset命令或者断开网线)后,之前与NGFW_B建立的IPSec隧道长时间存在,造成NGFW_B侧的客户端无法访问NGFW_A侧的客户端。
图43-1 IPSec VPN组网图

处理过程
步骤 1 检查NGFW_A的配置,关注IKE对等体状态检测的配置。
发现在NGFW_A上配置了DPD机制。发送DPD报文的时间间隔为10秒,DPD报文超时重传的时间间隔为缺省值,即5秒。
ike dpd interval 10
步骤 2 检查NGFW_B的配置,关注IPSec安全联盟生存周期的配置。
NGFW_B上没有配置DPD机制。所以IKE等待Keepalive报文的超时时间为缺省值(NGFW_B上的默认是24小时),导致原来存在的安全联盟至少要经过24小时才会失效,重新建立连接。而NGFW_A上配置了DPD机制,故需在本端也开启DPD机制。
步骤 3 在NGFW_B上配置DPD机制。
增加如下配置:
ike dpd interval 10
问题得到解决。
根因
正常情况下,重新启动NGFW_A设备后,之前建立的隧道会被清空,但在对端NGFW_B上隧道的会话一直存在,因此导致一段时间内NGFW_B侧的客户端与NGFW_A侧的客户端无法通信。
建议与总结
NGFW支持Keepalive和DPD两种对等体检测功能。推荐开启DPD功能。IKEv2默认支持DPD,只要在一端配置DPD,另一端就可以响应DPD报文。IKEv1默认不支持DPD,需要在两端同时配置DPD。两端配置的DPD参数彼此是独立的,不需要匹配。
若一端的设备只支持Keepalive功能,建议配置Keepalive功能。此时需要配置合理的IKE发送Keepalive报文的时间间隔和IKE等待Keepalive报文的超时时间。
DPD、Keepalive功能的配置请参见(推荐)配置IKE对等体检测功能。

END