ipsec vpn 不定时断

排查：首先检查两边配置，发现两边设备第一阶段时间不一致，FW10是28860秒，FW11是86400秒。

关于生存周期解释：

ipsec sa存在第1阶段saisakmp sa生存周期和第2阶段IPsec sa生存周期：

1、isakmp sa生存周期以两端中配置时间最小为准

2、IPsec sa生存周期两端各自以本端配置时间为准

 那么当含有PPPOE的ipsec会有以下两种情况：

第一种现象： 当FW10端isakmp sa到期时，FW10将删除自己的isakmp sa和通知FW11端删除isakmp sa，同时FW10端进行重协商，但由于FW11端在NAT内部，且FW10发出起的第一个协商报文端口为500，所以重协商报文无法到达FW11端。此时双方isakmp sa都不存在，双方IPsec sa还存在，隧道还能互通

第二种现象：当FW10端IPsec sa到期时，FW10将删除自己的IPsec sa和通知FW11端删除IPsec sa，但正巧这个通知报文在网络中被丢弃，那么FW11端没有删除IPsec sa，还认为隧道是可用的，同时DPD也不工作了，这就出现了两端状态不一致问题。此时FW10端隧道状态为断开，而FW11端隧道状态为连接，但实际上双端之间隧道已不能互通了。DPD又不能工作，只能等FW11端IPsec sa生存周期到期才能重协商恢复隧道正常。虽然这种情况出现机率相当小，但还是有可能出现的，所以在配置isakmp sa生存周期和IPsec sa生存周期还是保持两端相同为好

总结：如果两端生存周期相同，那么即使出现了上面的情况，由于两端IPsec sa生存周期一样，当FW10端到期时，FW11端基本上也快到期了，所以即使FW11端没有收到FW10端删除IPsec sa报文，FW11端IPsec sa也很快到期再进行重协商，恢复隧道正常

将两边设备的第一阶段和第二阶段时间调整一致，ipsec后续没有出现不定时断开等现象。

注意：如果运营商那里刷新了PPPOE地址，那么也会导致ipsec中断