AR2220路由器ipsec概率中断

发布时间:  2017-05-11 浏览次数:  245 下载次数:  0
问题描述

某客户局点通过我司AR2220 版本V200R005C20SPC200通过运营商广域网和对端分支机构NE路由器建立ipsec隧道,详细拓扑如图所示:

AR01和NE04之间的IPSEC网络概率出现断开然后快速恢复。

 

 

告警信息
 

分析日志发现首次IPSEC down是从42日开始,约17小时50分中断一次, 前几次IPSEC down因为是在放假或下班期间,down一段时间后链路都自动恢复了,因此,未对客户造成影响,设备上看到的告警如下所示:

 

 

处理过程

1、到达客户现场后第一时间怀疑链路质量问题,通过跟客户交流发现在AR和NE之间的EBGP邻居一直没有出现DOWN现象只是部分ipsec隧道出现down,所以排除链路问题;

2、通过收集设备日志发现ipsec中断时间存在周期性,每17小时50分中断一次:

3、检查两端设备配置发现双方IPSEC一阶段IKE老化重协商时间选择存在差异,AR是在隧道存活时间的70%时间点,而NE是在90%,当AR作为协商响应方时,当到达70%的时间点,AR认为IKE 一阶段已经不可靠,需要进行重新协商了,而对端NE设备又不会发起一阶段重协商,因为NE认为要到90%的时间点才会从新协商,这就导致在这20%的时间差中可能出现问题。

 

根因
 

AR 一阶段的老化重协商时间早于NE时间,AR在进入FD状态后不会主动发送二阶段协商,而NE侧如也不发送主动协商,或协商失败,则会导致IPSEC 二阶段释放,客户业务中断。

建议与总结
IPSEC两端设备需要将第一阶段IKE老化重协商时间改为一致。

END