IPSECVPN，DPD探測超時怎辦

🔹 常見原因

1. 網絡原因

   • 兩端公網鏈路抖動或丟包，UDP 500/4500 報文丟失。

   • 中間防火牆/NAT 屏蔽了 DPD 報文。

   • ESP 協議（IP協議號 50）被屏蔽。

2. 配置原因

   • DPD 配置時間間隔/超時時間太短，稍微網絡波動就觸發超時。

   • 雙方 DPD 配置不一致（有的設備嚴格要求一致）。

   • NAT-T 未啟用，而鏈路中存在 NAT 設備。

3. 設備/係統問題

   • 對端設備高負載，IKE/DPD 響應報文處理不過來。

   • 軟件 bug（某些版本固件存在 DPD 異常觸發）。

🔹 處理建議

1. 檢查連通性

   • 確認公網地址可達，ping 對端公網 IP。

   • 確認 UDP 500/4500、ESP 協議在中間鏈路未被丟棄。

2. 調整 DPD 參數

   • 將探測間隔調大一些，例如 10~15 秒。

   • 將超時時間調大一些，例如 30~60 秒，避免輕微抖動導致掉線。

   示例（H3C/Huawei 風格）：

   ike dpd interval 15 retry 3

   （表示 15 秒發一次探測，連續 3 次無響應才判定超時）

3. 開啟 NAT-T

   • 如果中間有 NAT，必須啟用 NAT-T（UDP 4500 封裝 ESP）。

4. 對端配合排查

   • 確認兩端設備的 DPD 都啟用且參數合理。

   • 查看對端 CPU/內存，避免設備繁忙時丟棄 DPD 報文。

5. 日誌排查

   • H3C/Huawei：display ike sa / display ipsec sa / debugging ike all

   • Cisco：debug crypto isakmp / debug crypto ipsec

6. 升級固件

   • 如果確認網絡和配置正常，可能是固件已知 bug，建議升級設備軟件版本。

🔹 臨時繞過方案

• 如果隻是偶爾 DPD 超時，可以暫時關閉 DPD（不推薦長期關閉，因為檢測不到對端宕機）。

• 另一種方案是開啟 keepalive（某些廠商設備支持 VPN keepalive 替代 DPD）。