站点之间Ipsec隧道存在异常中断

客户公司之间有数据访问的需求，为了在互联网上进行数据安全访问，公司之间建立ipsec VPN，每个公司站点的出口防火墙部署为华为USG6500系列防火墙，建立完成后，部分VPN线路时常发生中断故障，一段时间后可自行恢复，或则手动重置隧道恢复

分公司之间的ipsec隧道时常出现中断故障，一段时间后自行恢复或者手动重置恢复

1，ipsec是建立在两端公网地址连通的前提下，所以我们先测试网络连通性

   分公司A防火墙带源外网地址ping分公司B的防火墙外网地址是OK的，排除站点之间互联网丢包或不通问题

2，检查ipsec配置后的感兴趣流业务地址是否可以访问

  分公司A内网业务地址ping分公司B的内网业务地址是Ok的，说明前期ipsec隧道是建立成功的

3，待到故障复现时进行抓包分析处理

   查看ipsec隧道报文是否存在异常，发现ipsec的ike重协商的报文概率性被丢弃，进而认为IKEv1的版本在重协商时遇到链路丢包就会概率发生隧道不通，

   所以更改IKE版本为IKEv2

ike peer X 

version 2 

undo version 1

4，重置隧道，在一端键入配置，使得ipsec隧道重新协商建立，建立后目前运行稳定，不再出现时常中断故障

   reset ike sa remote X.X.X.X(对端IP地址)

1，各隧道使用的VPN协商版本是ikev1版本。在隧道重协商时，最后一个重协商报文被链路丢弃，导致一端认为重协商成功，另一端仍然用老隧道。从而导致隧道通信异常。

如下图抓包，重协商的三个报文中，第三个报文被链路丢弃

1，现网使用ikev1，在重协商时遇到链路丢包就会概率发生隧道不通。ikev2重协商机制比ikev1完善，将隧道改成ikev2后问题解决

ike peer X 

version 2 

undo version 1

将流量生命周期改为200G，也可减少重协商频率降低问题发生概率。但保留生命周期不变，改成ikev2协商，目前运行稳定，显然是更好的解决方法