李超,RBM切换后ipsec不通
组网及说明
F1060和F1090建立主模式ipsec,两台F1090做RBM+VRRP主备部署,防火墙起环回地址作为ipsec保护的数据流
问题描述
RBM没有发生切换时,ipsec隧道正常,业务正常,当RBM发生切换后,ipsec出现中断,重置两边的ike sa和ipsec sa之后,可以建立ipsec隧道。
过程分析
当RBM发生主备切换后,出现ping不通的情况
debug显示没有ike sa报文被丢弃
因为F1090是用vrrp虚地址与F1060建立ipsec的,F1090发生RBM切换后,对于F1060是无感知的,所以,从F1060去ping 3.3.3.3时依然匹配与原RBM主协商的ipsec sa发出去,没有重新走ipsec 协商流程,导致对端F1090因为没有ike sa出现不通 的情况。此处从F1090侧重新触发一下ipsec协商后既可以通信。
解决方法
需要在F1060和F1090上都配置dpd检测,DPD(Dead Peer Detection,对等体存活检测)用于检测对端是否存活。本端主动向对端发送DPD请求报文,对对端是否存活进行检测。如果本端在DPD报文的重传时间间隔(retry seconds)内未收到对端发送的DPD回应报文,则重传DPD请求报文,若重传两次之后仍然没有收到对端的DPD回应报文,则删除该IKE SA和对应的IPsec SA。
配置dpd之后RBM切换后,重新触发ipsec协商,协商完成后ping能够正常通信
ike dpd interval 3 retry 3 periodic
版权声明:我们致力于保护作者版权,注重分享,本文内容及图片(只作为美观性配图使用)由CRM小助手整理收集与网络(无任何非法侵犯第三方意图),仅供学习参考交流使用,不代表CRM论坛观点。如有侵权,请联系我们,我们将及时删除处理。
CRM论坛投稿:投稿地址
CRM论坛(CRMBBS.COM)始办于2019年,是致力于CRM实施方案、免费CRM软件、SCRM系统、客户管理系统的垂直内容社区网站,CRM论坛持续专注于CRM领域,在不断深化理解CRM系统的同时,进一步利用新型互联网技术,为用户实现企业、客户、合作伙伴与产品之间的无缝连接与交互。