FAQ-USG产品ipsec vpn对接问题

发布时间:  2014-10-27 浏览次数:  201 下载次数:  0
问题描述
问题1
IPSec隧道两端的内网网络是否可以设置为同一网段?
问题2
正常情况下防火墙什么时候会清除IPSec SA?
问题3
配置IPSec之前需要关闭二层接口快速转发功能吗
解决方案
问题1
不可以设置为同一网段。
如果两端内网设备的IP地址配置在同一网段,那当本端设备向对端发送报文时,会按照路由表中记录的路由信息在本端内网范围内进行路由查找,而不会发送到对端内网中。即报文不能经过隧道发送到对端。
问题2
IPSec VPN共有两阶段:IKE SA和IPSec SA,两个阶段都有超时时间的概念。SA超时时间分为软超时和硬超时,软超时到期(软超时时间缺省约为硬超时时间的9/10)时,IKE自动协商新的SA准备接替老的SA;当硬超时时间到期时,老的SA将被删除(无论新SA是否建立)。IKE SA硬超时到期,将删除IKE SA;如果IPSec SA已经建立,将同时删除IPSec SA。IPSec SA硬超时到期将同时删除IKE SA和IPSec SA。
另外,若开启了IKE SA Keepalive或DPD功能,Keepalive超时或DPD超时也会删除IKE SA和IPSec SA。
问题3
不需要。IPSec特性工作在IP层,二层接口快速转发功能对IPSec功能没有影响,故不用关闭。

END