MSR与飞塔设备对接ipsec后不定时中断

MSR-----NAT设备---------飞塔设备

MSR路由器和飞塔设备建立隧道模式的ipsec，会出现不定时中断的情况（大约每隔20小时会中断一次），中断后需要在MSR设备上reset ike sa就可以恢复。

1、故障时间点查看设备上的ike sa在老化，结合现场每20小时会复现，与ike sa重协商的时间间隔基本吻合，怀疑是每次ike重协商的时候，两侧的处理机制不同，导致重协商失败。

  ===============display ike sa=============== 

    Connection-ID   Local               Remote              Flag      DOI   

-------------------------------------------------------------------------

    1191            172.18.5.10         103.20.128.80       RD        IPsec 

    1190            172.18.5.10         103.20.128.80       RD|RL     IPsec  

2、现场出问题的设备组网中需要ipsec穿越NAT，一组未穿越NAT的ipsec设备无相关问题。 怀疑与ipsec穿越NAT时报文端口号500至4500的变化有关。

3、与飞塔工程师沟通，飞塔设备ike sa老化重协商时会对端口校验，因为组网穿越NAT, 飞塔设备希望对端路由器直接发送4500端口号的报文；但是目前MSR路由器按照RFC标准协议流程，ike老化重协商时先发送500端口报文，再发送4500端口报文。

现场版本不支持配置设备重新协商保持端口号不变。

升级至6728p23，添加 client source-udp-port dynamic命令。