SecPath F1000-AI-75 反复删除建立IPsec SA

在 H3C F1000-AK115 和 F1000-AI-75 设备上建立的 IPsec VPN 出现 SA 周期性删除和重建 的问题，可能由以下几个原因引起。虽然业务没有受到影响，但这可能是由于配置或环境的某些细节导致的，以下是详细的分析和可能的解决方案：

1. SA 生命周期配置不一致

IPsec VPN 中的 SA 会按照协商的生命周期到期后重新建立。如果两端设备的 SA 生命周期配置不一致，会导致一端主动删除 SA，触发重新建立。

检查和解决方法：

1. 查看生命周期配置： 检查两台设备的 IKE 和 IPsec 生命周期配置是否一致。 display ike proposal display ipsec proposal
2. 确保一致性： 配置相同的生命周期值（以秒为单位），例如： ike proposal 1 sa lifetime 86400 ipsec proposal 1 sa lifetime time 3600

2. 对端主动发起 SA 删除

日志中提到的 "An IKE SA deletion message was received" 表明对端主动发送了删除 SA 的消息。这可能是由于对端设备检测到某些问题，触发了 SA 删除。

排查方法：

1. 检查对端设备是否有其他日志信息说明删除原因： display logbuffer
2. 检查对端是否启用了特定的 SA 删除策略，例如 NAT 检测失败或心跳检测异常。

3. DPD（Dead Peer Detection）配置问题

DPD 是用于检测对端设备连通性的机制。如果 DPD 配置为强制删除断开的 SA，可能会触发这种现象。

检查和解决方法：

1. 检查 DPD 配置： 查看两台设备是否启用了 DPD，以及其模式是否一致： display ike peer
2. 调整 DPD 模式： 如果配置了强制删除模式（如 dpd mandatory），可以调整为更宽松的模式（如 dpd optional）： ike peer <peer-name> dpd optional

4. NAT-T（NAT Traversal）问题

如果 VPN 通道穿越了 NAT 环境，NAT-T 协商失败或保活机制异常可能会导致 SA 频繁重建。

检查和解决方法：

1. 检查是否启用了 NAT-T： display ike peer 确保配置如下： ike peer <peer-name> nat traversal
2. 如果穿越 NAT，确认中间网络设备是否会丢弃保活数据包。

5. IKE 心跳包问题

在一些场景下，如果心跳包丢失，设备可能会认为对端不可达，从而删除并重新建立 SA。

检查和解决方法：

1. 查看心跳包的配置： display ike peer
2. 增加心跳检测的间隔和重试次数： ike peer <peer-name> dpd retry 3 interval 10

6. IPsec 流量匹配异常

如果 IPsec 的流量匹配出现问题，可能会导致某些流量未正确加密，从而触发 SA 删除。

检查和解决方法：

1. 确认 ACL 的配置是否完全一致： display current-configuration | include ipsec
2. 确保匹配的流量范围和方向一致。

7. 软件版本兼容性问题

两台设备的 IPsec 和 IKE 协议处理可能存在软件版本差异，导致 SA 处理异常。

检查和解决方法：

1. 检查设备的当前软件版本： display version
2. 如果两端版本有较大差异，建议升级到最新稳定版本。

总结和推荐操作

1. 核对两端设备的配置，特别是 IKE 和 IPsec 生命周期、DPD、NAT-T、ACL 等。
2. 确认日志信息，分析对端主动删除 SA 的原因。
3. 如果仍未解决，尝试逐步排除问题并优化配置，同时联系 H3C 技术支持获取进一步帮助。

通过以上方法，可以有效排查和解决 IPsec VPN SA 反复删除和重建的问题。