SecPath F1000-AI-75 反複刪除建立IPsec SA

在 H3C F1000-AK115 和 F1000-AI-75 設備上建立的 IPsec VPN 出現 SA 周期性刪除和重建 的問題，可能由以下幾個原因引起。雖然業務沒有受到影響，但這可能是由於配置或環境的某些細節導致的，以下是詳細的分析和可能的解決方案：

1. SA 生命周期配置不一致

IPsec VPN 中的 SA 會按照協商的生命周期到期後重新建立。如果兩端設備的 SA 生命周期配置不一致，會導致一端主動刪除 SA，觸發重新建立。

檢查和解決方法：

1. 查看生命周期配置： 檢查兩台設備的 IKE 和 IPsec 生命周期配置是否一致。 display ike proposal display ipsec proposal
2. 確保一致性： 配置相同的生命周期值（以秒為單位），例如： ike proposal 1 sa lifetime 86400 ipsec proposal 1 sa lifetime time 3600

2. 對端主動發起 SA 刪除

日誌中提到的 "An IKE SA deletion message was received" 表明對端主動發送了刪除 SA 的消息。這可能是由於對端設備檢測到某些問題，觸發了 SA 刪除。

排查方法：

1. 檢查對端設備是否有其他日誌信息說明刪除原因： display logbuffer
2. 檢查對端是否啟用了特定的 SA 刪除策略，例如 NAT 檢測失敗或心跳檢測異常。

3. DPD（Dead Peer Detection）配置問題

DPD 是用於檢測對端設備連通性的機製。如果 DPD 配置為強製刪除斷開的 SA，可能會觸發這種現象。

檢查和解決方法：

1. 檢查 DPD 配置： 查看兩台設備是否啟用了 DPD，以及其模式是否一致： display ike peer
2. 調整 DPD 模式： 如果配置了強製刪除模式（如 dpd mandatory），可以調整為更寬鬆的模式（如 dpd optional）： ike peer <peer-name> dpd optional

4. NAT-T（NAT Traversal）問題

如果 VPN 通道穿越了 NAT 環境，NAT-T 協商失敗或保活機製異常可能會導致 SA 頻繁重建。

檢查和解決方法：

1. 檢查是否啟用了 NAT-T： display ike peer 確保配置如下： ike peer <peer-name> nat traversal
2. 如果穿越 NAT，確認中間網絡設備是否會丟棄保活數據包。

5. IKE 心跳包問題

在一些場景下，如果心跳包丟失，設備可能會認為對端不可達，從而刪除並重新建立 SA。

檢查和解決方法：

1. 查看心跳包的配置： display ike peer
2. 增加心跳檢測的間隔和重試次數： ike peer <peer-name> dpd retry 3 interval 10

6. IPsec 流量匹配異常

如果 IPsec 的流量匹配出現問題，可能會導致某些流量未正確加密，從而觸發 SA 刪除。

檢查和解決方法：

1. 確認 ACL 的配置是否完全一致： display current-configuration | include ipsec
2. 確保匹配的流量範圍和方向一致。

7. 軟件版本兼容性問題

兩台設備的 IPsec 和 IKE 協議處理可能存在軟件版本差異，導致 SA 處理異常。

檢查和解決方法：

1. 檢查設備的當前軟件版本： display version
2. 如果兩端版本有較大差異，建議升級到最新穩定版本。

總結和推薦操作

1. 核對兩端設備的配置，特別是 IKE 和 IPsec 生命周期、DPD、NAT-T、ACL 等。
2. 確認日誌信息，分析對端主動刪除 SA 的原因。
3. 如果仍未解決，嚐試逐步排除問題並優化配置，同時聯係 H3C 技術支持獲取進一步幫助。

通過以上方法，可以有效排查和解決 IPsec VPN SA 反複刪除和重建的問題。