故障描述
IKE SA keepalive與IKE DPD命令的作用相同,用于檢測(cè)IPSEC對(duì)端設(shè)備IKE SA的?;顮顟B(tài),同步更新本端IKE SA,用于解決以下場(chǎng)景中需要手工復(fù)位一端IPSEC SA的問題:
1、IPSEC兩端IPSEC及IKE SA配置不一致,一端IKE SA過期拆除后,另一端IKE SA任處于?;顮顟B(tài),導(dǎo)致后續(xù)新的IKE SA無法建立。
2、兩端IPSEC IKE SA配置一致,但一端設(shè)備掉電或異常重啟,導(dǎo)致一端IKE SA任處于?;顮顟B(tài),導(dǎo)致后續(xù)新的IKE SA無法建立。
故障分析
IPSEC IKE SA的兩端狀態(tài)不一致,導(dǎo)致新的IPSEC SA無法建立,必須手工復(fù)位一端的IPSEC IKE SA。
處理過程
為了解決IPSEC兩端IPSEC IKE SA保活狀態(tài)一致的問題,可以配置IKE SA keepalive與IKE DPD,配置如下:
IKE SA keepalive配置
ike sa keepalive-timer interval 30
ike sa keepalive-timer timeout 90
IKE DPD配置
ike dpd on-demand 30 5
IKE SA keepalive與IKE DPD配置作用相同,可以同時(shí)配置IKE SA keepalive與IKE DPD或其中的一種,推薦配置IKE DPD,ike dpd和ike sa keepalive-timer interval命令都是用來檢測(cè)隧道對(duì)端的設(shè)備是否工作正常,區(qū)別是ike dpd命令更節(jié)省帶寬,該命令只在報(bào)文發(fā)送之前或隧道中沒有報(bào)文時(shí)才會(huì)發(fā)送檢測(cè)報(bào)文,而不是周期性的發(fā)送檢測(cè)報(bào)文。
建議/總結(jié)
1、所有IPSEC配置都建議添加IKE DPD或IKE SA keepalive。部分老版防火墻只有IKE SA keepalive命令。
2、IKE SA keepalive與IKE DPD的配置必須成對(duì)相同配置,僅配置一端或參數(shù)配置不一致仍然會(huì)出現(xiàn)需要手工復(fù)位SA的情況。