華三設備—出口光貓nat-----運營商---------海康設備
不涉及
不定時ipsec 業務不通,重啟或reset ike sa reset ipsec sa後可恢複
測試環境,隻有一條感興趣流,因此
display ipsec tunnel brief
Tunn-id Src Address Dst Address Inbound SPI Outbound SPI Status
----------------------------------------------------------------------------
0 192.168.0.61 192.168.0.64 54321 12345 --
tunnel-id tunnel-id:顯示指定IPsec隧道處理的報文統計信息。其中,tunnel-id為隧道的ID號,取值範圍為0~4294967295。通過display ipsec tunnel brief可以查看到已建立的IPsec隧道的ID號。
故障時多次查看統計報文發現ipsec報文有發沒收
# 顯示ID為1的IPsec隧道處理的報文統計信息。
<Sysname> display ipsec statistics tunnel-id 0
IPsec packet statistics:
Received/sent packets: 5124/8231
Received/sent bytes: 52348/643561
Dropped packets (received/sent): 0/0
排查對端設備,對端反饋此時已經沒有sa了,但是華三設備感知不到對端sa已經刪除了,還在發ipsec的業務報文
增加按需探測後正常
//配置ike dpd功能,指定觸發IKE DPD探測的時間間隔為10s;DPD報文重傳時間為3s,探測模式為按需探測模式
ike dpd interval 10 retry 3 on-demand 按需探測方式 隻需全局一條命令
DPD 就是 ISAKMP 的 keepalive 技術,因此 DPD 就是一種特殊的 ISAKMP 數據包
DPD 的按需工作模式:如果路由器加密了數據並發給了對等體,但在一定時間內沒有解密任何源自於對等體的數據,那麼路由器就會向對方發送 DPD 信息來詢問對等體的狀態。如果一台路由器暫時不準備加密任何數據,那麼它也不會發送 DPD 信息。即使這個時候對等體已經有問題了(Dead)。直到 IKE 和 IPSec SA 進行下一輪密鑰更新的時候才會被發現。
或者用周期探測
ike dpd interval 10 retry 5 periodic 周期探測方式 隻需全局一條命令
建議用按需探測,dpd兩邊模式要相同
interval interval:指定觸發IKE DPD探測的時間間隔,取值範圍為1~300,單位為秒。對於按需探測模式,指定經過多長時間沒有從對端收到IPsec報文,則觸發一次DPD探測;對於定時探測模式,指觸發一次DPD探測的時間間隔。
retry seconds:指定DPD報文的重傳時間間隔,取值範圍為1~60,單位為秒,缺省值為5秒。
on-demand:指定按需探測模式,根據流量來探測對端是否存活,在本端發送IPsec報文時,如果發現當前距離最後一次收到對端報文的時間超過指定的觸發IKE DPD探測的時間間隔(即通過interval指定的時間),則觸發DPD探測。
periodic:指定定時探測模式,按照觸發IKE DPD探測的時間間隔(即通過interval指定的時間)定時探測對端是否存活。
【使用指導】
IKE DPD有兩種模式:按需探測模式和定時探測模式。一般若無特別要求,建議使用按需探測模式,在此模式下,僅在本端需要發送報文時,才會觸發探測;如果需要盡快地檢測出對端的狀態,則可以使用定時探測模式。在定時探測模式下工作,會消耗更多的帶寬和計算資源,因此當設備與大量的IKE對端通信時,應優先考慮使用按需探測模式。
如果IKE profile視圖下和係統視圖下都配置了DPD探測功能,則IKE profile視圖下的DPD配置生效,如果IKE profile視圖下沒有配置DPD探測功能,則采用係統視圖下的DPD配置。
建議配置的interval大於retry,使得直到當前DPD探測結束才可以觸發下一次DPD探測,在重傳DPD報文的過程中不觸發新的DPD探測。
相關案例如下:
ipsec多分支互訪+分支自動觸發隧道建立 - 知了社區 (h3c.com)
某局點 MSR設備 ipsec野蠻模式 配置ike dpd協商不起來 - 知了社區 (h3c.com)
MSR-G2係列路由器 IKE DPD功能的典型配置 - 知了社區 (h3c.com)