F1060和F1090建立主模式ipsec,两台F1090做RBM+vrrp主备部署,防火墙起环回地址作为ipsec保护的数据流
RBM没有发生切换时,ipsec隧道正常,业务正常,当RBM发生切换后,ipsec出现中断,重置两边的ike sa和ipsec sa之后,可以建立ipsec隧道。
当RBM发生主备切换后,出现ping不通的情况
debug显示没有ike sa报文被丢弃
因为F1090是用vrrp虚地址与F1060建立ipsec的,F1090发生RBM切换后,对于F1060是无感知的,所以,从F1060去ping 3.3.3.3时依然匹配与原RBM主协商的ipsec sa发出去,没有重新走ipsec 协商流程,导致对端F1090因为没有ike sa出现不通 的情况。此处从F1090侧重新触发一下ipsec协商后既可以通信。
需要在F1060和F1090上都配置dpd检测,DPD(Dead Peer Detection,对等体存活检测)用于检测对端是否存活。本端主动向对端发送DPD请求报文,对对端是否存活进行检测。如果本端在DPD报文的重传时间间隔(retry seconds)内未收到对端发送的DPD回应报文,则重传DPD请求报文,若重传两次之后仍然没有收到对端的DPD回应报文,则删除该IKE SA和对应的IPsec SA。
配置dpd之后RBM切换后,重新触发ipsec协商,协商完成后ping能够正常通信
ike dpd interval 3 retry 3 periodic
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作