F500双机热备主备模式IPSEC SA是否可以重建

我们的防火墙支持在对端设备切换后，通过DPD检测机制主动发现对端离线并删除旧的IKE SA和IPSec SA，从而触发并重新协商建立新的隧道连接。在典型的RBM+VRRP主备切换场景中，这正是通过配置DPD来实现快速感知对端状态变化并重建SA的关键方法。

设备默认的DPD空闲时间（检测间隔）为30秒，重传间隔15秒，重传3次。这意味着在最坏情况下，检测到对端故障并完成SA删除可能需要超过30秒的时间。你可以根据实际需求调整这些参数以缩短检测时间，这样可以显著减少业务中断时间，使其满足30秒内的要求。 

答案是肯定的：完全可以重新协商建立 IPSec SA。

对端设备切换后，您无需做任何复杂改动，华三防火墙完全具备重新协商的能力。不过，根据您“可接受 30 秒中断”的需求，建议对现有配置进行针对性优化，将恢复时间控制在预期范围内。

核心原理：为什么默认会中断？

要理解为什么需要优化，首先得知道问题出在哪里。当对端防火墙切换时，它的公网 IP 可能变化，或者旧的 SA（安全联盟，即 Security Association，是 IPSec 中建立的安全连接参数集合）信息已失效。此时，您的华三防火墙会认为“旧连接已经断了”，只有当它通过 DPD（死亡对等体检测，一种用于检测 IPSec 对端是否存活的心跳机制）探测到对端无响应并等待超时后，才会触发重新协商 。

默认情况下，这个 DPD 探测间隔通常很长，可能达到几十秒甚至几分钟。 这就是导致业务长时间中断的根本原因。

解决方案：三步优化实现 30 秒内切换

要实现 30 秒内的快速切换，核心思路是“让防火墙更快地发现对端挂了，并更快地重建隧道”。请按照以下三个步骤操作，对于支持 fast-failover 命令的版本，第三步效果最为显著，强烈建议执行。

第一步：开启快速检测（DPD）并缩短探测周期

DPD 是让防火墙主动检测对端是否存活的关键。通过配置 DPD，可以大大缩短设备感知到对端故障的时间。

在您的华三防火墙和对端（友商）防火墙上都需要进行如下配置：

配置命令示例（在 IKE 对等体视图下）：

注意：这个配置需要同时在您和华三防火墙和对端的友商防火墙上进行，才能达到最佳效果 。

第二步：确保使用 VRRP 虚地址建立隧道（最佳实践）

这是保证切换平滑的关键。请检查您的 IPSec 配置，是否使用了 VRRP 虚拟 IP 地址与对端建立隧道。

• 正确做法：在 ipsec policy 和 ike peer 的配置中，将 local-address 指定为 VRRP 的虚拟地址。

• 为什么要这样做？ 对于对端设备来说，它看到的一直是这个虚拟地址。当您内部的主备防火墙发生切换时，对端感知不到物理地址的变化，不会中断现有连接，也就无需重新协商。这个地址是应对本端设备切换的，当对端设备切换时，同样可以缩短本端因地址不匹配而产生的协商延迟 。

第三步（强烈推荐）：开启 IKE 和 IPsec 快速故障切换

如果您的防火墙软件版本支持，这是最能满足您“30秒恢复”要求的一步。这条命令强制设备在感知到链路变化时，立即清除旧的 SA 并触发新的协商，而不是被动等待超时 。

配置命令如下：

执行此命令后，当主备切换发生，您的华三防火墙会瞬间“忘记”旧的隧道信息，立刻主动向对端发起新的协商，将中断时间从分钟级缩短到秒级 。

总结与验证

完成以上三步配置后，您大可放心。您的华三防火墙不仅可以重新协商，而且整个恢复过程预计将远低于 30 秒。

为了确保万无一失，建议在业务空闲期进行一次手动切换测试，并通过 display ipsec sa 命令观察 SA 的重建情况。如果测试中发现恢复时间超过 30 秒，可以尝试将 ike fast-failover enable 命令调整为 ike fast-failover enable immediate，以获得最快的切换速度 

您好，防火墙支持友商主备切换后自动重协商隧道，合理配置 DPD（10 秒探测 + 2 次重传）可将中断控制在 30 秒内，无需复杂改造

关于F500双机热备主备模式下IPSec SA是否可以重建的问题，下面结合现有技术资料，帮你分析一下可能的情况和排查思路。

 背景分析：为什么没有官方答复？

这个问题暂时没有官方答复，最可能的原因是你当前部署的RBM（Remote Backup Management，远端备份管理）+ VRRP（Virtual Router Redundancy Protocol，虚拟路由冗余协议）主备模式，很可能不支持IPSec SA（Security Association，安全联盟）的同步。

一个类似案例显示，仅采用RBM+VRRP，主备切换后隧道通常会中断5-10分钟，这远超你提到的30秒预期。在这种情况下，F500不会主动发起重协商，而是被动等待对端（你的防火墙）发起新的IKE协商，这正好解释了你的提问。

 关键机制分析

结合资料，我们需要从两个主要机制来分析IPSec SA的行为：

1. 双机热备的SA同步机制

H3C双机热备确实具备IPSec SA备份能力，可以将主设备的SA信息实时同步至备设备，但这里需要特别注意区分两种场景：

结论很明确：在你当前的部署中，H3C F500的备机在切换为主机后，不具备主动发起IPSec SA协商的能力。

2. 心跳线配置的作用

RBM配置中的心跳线（heartbeat link）其主要功能是作为两台H3C防火墙之间的独立通信链路，用于实时协商和监控主备状态。它不参与与友商防火墙的IPSec SA同步。

 核心行动建议：配置DPD快速检测

如果确认当前配置下F500无法主动重协商，那么为了达到客户可接受的30秒中断时间，关键点在于你的防火墙（友商墙）需要能够快速感知到对端（H3C墙）的变化，并主动发起新的IPSec协商。

最有效的措施是启用并优化 DPD（Dead Peer Detection，对等体存活检测）功能。DPD可以让你配置的防火墙在很短周期（如10秒）内探测对端IKE对等体是否存活。一旦探测失败，它将立即触发新一轮的IPSec协商。

因此，建议在你的防火墙和H3C F500主备设备上同时检查和配置DPD，将探测间隔设置为10秒或更低，以确保问题能在30秒内解决。一个典型配置示例如下：

 其他重要配置检查项

为了让备用设备能在主备切换后顺利处理业务，还需确保以下两点：

1. IPSec策略配置一致性：务必手动确保主、备两台F500上的IPSec策略（加密算法、认证方式、感兴趣流ACL等）完全一致。

2. 使用VRRP虚地址：在主、备F500上配置IPSec策略时，local-address 字段应指定为VRRP备份组的虚拟IP地址，而不是设备的物理接口地址。这样做的好处是，让友商防火墙始终与一个固定的“虚拟”地址通信，从而屏蔽后端真实设备的主备角色切换。