1676873533,

组网及说明

MSR-----NAT设备---------飞塔设备

问题描述

MSR路由器和飞塔设备建立隧道模式的ipsec，会出现不定时中断的情况（大约每隔20小时会中断一次），中断后需要在MSR设备上reset ike sa就可以恢复。

过程分析

1、故障时间点查看设备上的ike sa在老化，结合现场每20小时会复现，与ike sa重协商的时间间隔基本吻合，怀疑是每次ike重协商的时候，两侧的处理机制不同，导致重协商失败。

  ===============display ike sa=============== 

    Connection-ID   Local               Remote              Flag      DOI   

-------------------------------------------------------------------------

    1191            172.18.5.10         103.20.128.80       RD        IPsec 

    1190            172.18.5.10         103.20.128.80       RD|RL     IPsec  

2、现场出问题的设备组网中需要ipsec穿越NAT，一组未穿越NAT的ipsec设备无相关问题。 怀疑与ipsec穿越NAT时报文端口号500至4500的变化有关。

3、与飞塔工程师沟通，飞塔设备ike sa老化重协商时会对端口校验，因为组网穿越NAT, 飞塔设备希望对端路由器直接发送4500端口号的报文；但是目前MSR路由器按照RFC标准协议流程，ike老化重协商时先发送500端口报文，再发送4500端口报文。

解决方法

现场版本不支持配置设备重新协商保持端口号不变。

升级至6728p23，添加 client source-udp-port dynamic命令。

内容来源：知了社区，基于知识共享署名-相同方式共享3.0中国大陆许可协议
CRM论坛（CRMbbs.com）——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容，欢迎向我们投稿，共建CRM多元化生态体系，创建CRM客户管理一体化生态解决方案。,MSR与飞塔设备对接ipsec后不定时中断