SVN2230 ipsec vpn主备业务切换问题

发布时间:  2014-10-23 浏览次数:  360 下载次数:  0
问题描述
SVN双机热备,与USG设备建立IPSec隧道;当SVN出现主备切换时,IPSec业务需要3-4分钟之后才能恢复。
SVN双机热备不支持IPSec会话的备份。在SVN主备切换后,USG保持着老的IKE SA和IPSec SA,未与切换后的SVN主设备重新建立IPSec隧道,致使IPSec业务一直未恢复。而手动清除USG的IKE SA和IPSec SA后,USG会快速和切换后的SVN主设备重新建立IPSec隧道,IPSec业务也随之恢复。
告警信息
处理过程
1.查看用户配置,发现用户没有配置DPD,指导用户配置DPD检测:发现切换还是较慢。
2.发现用户对端USG设备是拨号接入,改成静态IP,ipsec切换时间稍稍快了一分钟,还是有3分钟左右的时间。
3.检查用户配置,确认无问题后,将该问题上升给研发处理。
根因
USG,对于IKEv1方式的IPSec和IKEv2方式的IPSec,其检测对端下线的机制不同,导致检测间隔时间也不同。
对于IKEv2方式的IPSec,超时重传时间间隔从1到64以指数增长的方式增加。在8次尝试后还未收到对端发过来的报文,则认为对端已经下线,清空自己的IKE SA和IPSec SA。8次尝试间隔2分58秒,才能检测到对端已经下线。
   DPD2秒DPD(retransmit 1)4秒DPD(retransmit 2)8秒DPD(retransmit 3)16秒DPD(retransmit 4)32秒DPD(retransmit 5)64秒DPD(retransmit 6)64秒DPD(retransmit 7)
对于IKEv1方式的IPSec,检测对端已经下线的时间长度,由下面的check-interval和retry-interval决定。
   ike dpd [ interval | on-demand ] check-interval [ retry-interval ]
check-interval表示触发DPD检测的时间,即在设定的时间间隔内没有收到对端IPSec报文,则会触发DPD检测。默认值为10。
retry-interval 表示DPD报文超时重传的时间间隔。发送DPD报文后,如果超过此时间间隔未收到正确的应答报文,DPD记录失败事件1次。当失败事件达到5次时,删除IKE SA和相应的IPSec SA。重传时间间隔仅对IKEv1方式的IPSec有效。默认值为5。
也就是默认情况下,IKEv1方式的IPSec,需要10+5*5=35秒,检测到对端已经下线。 而将retry-interval修改为2后,需要10+5*2=20秒,检测到对端已经下线。
解决方案
已建议客户关闭ike v2,切换时间在1分钟左右,客户已接受。
建议与总结
研发建议双机环境配置时,尽量使用ike v1版本,可以缩短切换时间。

END