-
ipsec SA存在第1阶段SA
ISAKMP SA
生存周期和第2阶段IPsec SA
生存周期ISAKMP SA
生存周期以两端中配置时间最小为准
IPsec SA
生存周期两端各自以本端配置时间为准 -
ipsec DPD是一种探测对端是否存活的机制
每一个
IPsec SA
对应一个DPD,即每一条隧道对应一个DPD
如果ISAKMP SA
不存,DPD将无法工作,因为DPD发包时需使用ISAKMP SA
进行加解密 -
ipsec NAT穿越是ipsec两端之间存在NAT设备时对隧道报文进行封装的机制
一般使用4500 UDP端口进行封包
如果上面描述同时使用,且ipsec两端生存周期配置不同,则可能引起问题
例如:
双端链路之间存在NAT设备
client端ISAKMP SA
生存周期配置为3600s
,IPsec SA
生存周期配置为28800s
server端ISAKMP SA
生存周期配置为28800s
,IPsec SA
生存周期配置为3600s
当server端ISAKMP SA
到期时,server将删除自己