ipsec vpn 不定時斷

排查：首先檢查兩邊配置，發現兩邊設備第一階段時間不一致，FW10是28860秒，FW11是86400秒。

關於生存周期解釋：

ipsec sa存在第1階段saisakmp sa生存周期和第2階段IPsec sa生存周期：

1、isakmp sa生存周期以兩端中配置時間最小為準

2、IPsec sa生存周期兩端各自以本端配置時間為準

 那麼當含有PPPOE的ipsec會有以下兩種情況：

第一種現象： 當FW10端isakmp sa到期時，FW10將刪除自己的isakmp sa和通知FW11端刪除isakmp sa，同時FW10端進行重協商，但由於FW11端在NAT內部，且FW10發出起的第一個協商報文端口為500，所以重協商報文無法到達FW11端。此時雙方isakmp sa都不存在，雙方IPsec sa還存在，隧道還能互通

第二種現象：當FW10端IPsec sa到期時，FW10將刪除自己的IPsec sa和通知FW11端刪除IPsec sa，但正巧這個通知報文在網絡中被丟棄，那麼FW11端沒有刪除IPsec sa，還認為隧道是可用的，同時DPD也不工作了，這就出現了兩端狀態不一致問題。此時FW10端隧道狀態為斷開，而FW11端隧道狀態為連接，但實際上雙端之間隧道已不能互通了。DPD又不能工作，隻能等FW11端IPsec sa生存周期到期才能重協商恢複隧道正常。雖然這種情況出現機率相當小，但還是有可能出現的，所以在配置isakmp sa生存周期和IPsec sa生存周期還是保持兩端相同為好

總結：如果兩端生存周期相同，那麼即使出現了上麵的情況，由於兩端IPsec sa生存周期一樣，當FW10端到期時，FW11端基本上也快到期了，所以即使FW11端沒有收到FW10端刪除IPsec sa報文，FW11端IPsec sa也很快到期再進行重協商，恢複隧道正常

將兩邊設備的第一階段和第二階段時間調整一致，ipsec後續沒有出現不定時斷開等現象。

注意：如果運營商那裏刷新了PPPOE地址，那麼也會導致ipsec中斷