• 全部
  • 經驗案例
  • 典型配置
  • 技術公告
  • FAQ
  • 漏洞說明
  • 全部
  • 全部
  • 大數據引擎
  • 知了引擎
產品線
搜索
取消
案例類型
發布者
是否解決
是否官方
時間
搜索引擎
匹配模式
高級搜索

msr 路由器 和海康設備對接ipsec,不定時不通

2024-12-05 發表
  • 0關注
  • 0收藏 740瀏覽
王聽宇
王聽宇 五段
粉絲:2人 關注:16人

組網及說明

華三設備出口光貓nat-----運營商---------海康設備

告警信息

不涉及

問題描述

不定時ipsec 業務不通,重啟或reset ike sa  reset ipsec sa後可恢複

過程分析

測試環境,隻有一條感興趣流,因此

 

display ipsec tunnel brief

Tunn-id   Src Address     Dst Address     Inbound SPI   Outbound SPI  Status   

----------------------------------------------------------------------------   

 

        192.168.0.61    192.168.0.64    54321         12345         --

 

tunnel-id tunnel-id:顯示指定IPsec隧道處理的報文統計信息。其中,tunnel-id為隧道的ID號,取值範圍為0~4294967295。通過display ipsec tunnel brief可以查看到已建立的IPsec隧道的ID號。

 

故障時多次查看統計報文發現ipsec報文有發沒收

顯示ID1IPsec隧道處理的報文統計信息。

<Sysname> display ipsec statistics tunnel-id 0

  IPsec packet statistics:

    Received/sent packets: 5124/8231

    Received/sent bytes: 52348/643561

    Dropped packets (received/sent): 0/0

 

排查對端設備,對端反饋此時已經沒有sa了,但是華三設備感知不到對端sa已經刪除了,還在發ipsec的業務報文

解決方法

增加按需探測後正常

//配置ike dpd功能,指定觸發IKE DPD探測的時間間隔為10s;DPD報文重傳時間為3s,探測模式為按需探測模式

ike dpd interval 10 retry 3 on-demand      按需探測方式 需全局一條命令

 

DPD 就是 ISAKMP 的 keepalive 技術,因此 DPD 就是一種特殊的 ISAKMP 數據包

DPD 的按需工作模式:如果路由器加密了數據並發給了對等體,但在一定時間內沒有解密任何源自於對等體的數據,那麼路由器就會向對方發送 DPD 信息來詢問對等體的狀態。如果一台路由器暫時不準備加密任何數據,那麼它也不會發送 DPD 信息。即使這個時候對等體已經有問題了(Dead)。直到 IKE IPSec SA 進行下一輪密鑰更新的時候才會被發現。

 

或者用周期探測

ike dpd interval 10 retry 5 periodic       周期探測方式 需全局一條命令

建議用按需探測,dpd兩邊模式要相同

 

interval interval:指定觸發IKE DPD探測的時間間隔,取值範圍為1300,單位為秒。對於按需探測模式,指定經過多長時間沒有從對端收到IPsec報文,則觸發一次DPD探測;對於定時探測模式,指觸發一次DPD探測的時間間隔。

retry seconds:指定DPD報文的重傳時間間隔,取值範圍為160,單位為秒,缺省值為5

on-demand:指定按需探測模式,根據流量來探測對端是否存活,在本端發送IPsec報文時,如果發現當前距離最後一次收到對端報文的時間超過指定的觸發IKE DPD探測的時間間隔(即通過interval指定的時間),則觸發DPD探測。

periodic:指定定時探測模式,按照觸發IKE DPD探測的時間間隔(即通過interval指定的時間)定時探測對端是否存活。

【使用指導】

IKE DPD有兩種模式:按需探測模式和定時探測模式。一般若無特別要求,建議使用按需探測模式,在此模式下,僅在本端需要發送報文時,才會觸發探測;如果需要盡快地檢測出對端的狀態,則可以使用定時探測模式。在定時探測模式下工作,會消耗更多的帶寬和計算資源,因此當設備與大量的IKE對端通信時,應優先考慮使用按需探測模式。

如果IKE profile視圖下和係統視圖下都配置了DPD探測功能,則IKE profile視圖下的DPD配置生效,如果IKE profile視圖下沒有配置DPD探測功能,則采用係統視圖下的DPD配置。

建議配置的interval大於retry,使得直到當前DPD探測結束才可以觸發下一次DPD探測,在重傳DPD報文的過程中不觸發新的DPD探測。

 

 

相關案例如下:

ipsec多分支互訪+分支自動觸發隧道建立 - 知了社區 (h3c.com)

某局點 MSR設備 ipsec野蠻模式 配置ike dpd協商不起來 - 知了社區 (h3c.com)

MSR-G2係列路由器 IKE DPD功能的典型配置 - 知了社區 (h3c.com)

MSR830 ipsec vpn時通時不通 - 知了社區

 

該案例對您是否有幫助:

您的評價:1

若您有關於案例的建議,請反饋:

0 個評論

該案例暫時沒有網友評論

編輯評論

舉報

×

侵犯我的權益 >
對根叔知了社區有害的內容 >
辱罵、歧視、挑釁等(不友善)

侵犯我的權益

×

泄露了我的隱私 >
侵犯了我企業的權益 >
抄襲了我的內容 >
誹謗我 >
辱罵、歧視、挑釁等(不友善)
騷擾我

泄露了我的隱私

×

您好,當您發現根叔知了上有泄漏您隱私的內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到pub.zhiliao@h3c.com 郵箱,我們會盡快處理。
  • 1. 您認為哪些內容泄露了您的隱私?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)

侵犯了我企業的權益

×

您好,當您發現根叔知了上有關於您企業的造謠與誹謗、商業侵權等內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到 pub.zhiliao@h3c.com 郵箱,我們會在審核後盡快給您答複。
  • 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
  • 3. 是哪家企業?(營業執照,單位登記證明等證件)
  • 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
我們認為知名企業應該坦然接受公眾討論,對於答案中不準確的部分,我們歡迎您以正式或非正式身份在根叔知了上進行澄清。

抄襲了我的內容

×

原文鏈接或出處

誹謗我

×

您好,當您發現根叔知了上有誹謗您的內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到pub.zhiliao@h3c.com 郵箱,我們會盡快處理。
  • 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
我們認為知名企業應該坦然接受公眾討論,對於答案中不準確的部分,我們歡迎您以正式或非正式身份在根叔知了上進行澄清。

對根叔知了社區有害的內容

×

垃圾廣告信息
色情、暴力、血腥等違反法律法規的內容
政治敏感
不規範轉載 >
辱罵、歧視、挑釁等(不友善)
騷擾我
誘導投票

不規範轉載

×

舉報說明

提出建議

    +
網站相關
關於我們
服務條款
幫助中心
經驗與權限
積分規則
聯係我們
聯係我們
建議反饋
常用鏈接
標杆的神器下載
關注我們
H3C官網
BOB登陆 服務公眾號
安仔遠程運維服務
BOB登陆 商城
內容許可
除特別說明外,用戶內容均可采用知識共享署名-相同方式共享3.0中國大陸許可協議進行許可

Copyright©2025BOB登陆 集團保留一切權利 當前呈現版本 NO.1

本圖標版權歸BOB登陆 集團所有,僅限本社區使用,切勿用做商業目的,違者必究

浙ICP備09064986號-1   浙公網安備 33010802004416號

親~登錄後才可以操作哦!

確定

親~檢測到您登陸的賬號未在http://hclhub.h3c.com進行注冊

注冊後可訪問此模塊

跳轉hclhub

你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作