南京 張韜

這里以GNS3 模擬器來實(shí)現(xiàn)IPSec SA Idle Timer 相關(guān)驗(yàn)證，3 臺路由器連接及IP 地址信息如圖1 所示，R1 同時(shí)和R2 與R3 建立IPSec VPN 隧道，R2和R3 之間不需要建立VPN，路由器上使用環(huán)回口進(jìn)行測試，此處各路由器基本信息和相關(guān)路由配置省略。

（1）配置IPSec siteto-site VPN

R1 上VPN 主要配置

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

分別在R2 和R3 路由器上配置與R1 之間相對應(yīng)的IPSec VPN 信息，此處省略配置。

（2）建立IPSec VPN 隧道

在R1 路由器上向R2 和R3 的環(huán)回口分別發(fā)送流量激活I(lǐng)KE SA，并查看其相應(yīng)狀態(tài)，如下所示，并且可以看到相應(yīng)IPSec SA 也已為活動狀態(tài)，如圖2 所示。

在R1 上可以進(jìn)一步查看與R2 和R3 建立的IKE SA時(shí)間，如圖3 所示。

圖2 查看R1 相應(yīng)狀態(tài)

圖3 進(jìn)一步查看建立的時(shí)間

圖4 R1 和R2 間的正常狀態(tài)

圖5 查看R1 IPSec SA 狀態(tài)

這時(shí)可以清楚的看到當(dāng)前R1 與R2 建立的IKE SA的lifetime 還剩23 小 時(shí)56 分10 秒，與R3 建立的lifetime 還剩23 小時(shí)58 分30 秒。

（3）驗(yàn)證測試

在R1 上設(shè)置IPSec SA Idle Timer 時(shí)間為60s，和IPSec DPD 技術(shù)一樣，配置IPSec SA Idle Timer 之后，必須重新應(yīng)用相關(guān)crypto map 才能生效；這里只在R1單邊配置，如下所示：

在經(jīng)過60s 后，如果R1和R2、R3 之間沒有流量傳遞，則所有的IKE SA 信息會被認(rèn)為是空閑SA 而被刪除。如果此時(shí)R1 再向R2 發(fā)送ping 命令流量進(jìn)行測試，則只會看到R1 和R2 間IKE SA的正常狀態(tài)，但R1 和R3 間沒有，符合我們預(yù)期效果，如圖4 所示。

同時(shí)也可以看到，因?yàn)镽1 與R2 之間有流量，所以與R2 之間的IPSec SA 為活動狀態(tài)，而與R3 之間長時(shí)間沒有流量，所以與R3 的IPSec SA 為非活動狀態(tài)，如圖5 所示。

注意：如果IPSec SA 被刪除，那么IKE SA 也同樣會被刪除。

總結(jié)

在IPSec VPN 中使用SA Idle Timer 機(jī)制可以減少系統(tǒng)資源消耗，提升網(wǎng)絡(luò)性能。和IPSec DPD 一樣，一定要先配置IPSec SA Idle Timer，才能應(yīng)用crypto map到接口，否則先應(yīng)用crypto map 到接口再配置Idle Timer，是不生效的。另外，Idle Timer 既可以在全局下配置，也可以在crypto map下配置，全局下配的對所有VPN peer 的SA 都會生效，而在crypto map 下定義的，只能針對特定VPN peer 的SA才會生效，這樣可以根據(jù)網(wǎng)絡(luò)實(shí)際場景進(jìn)行靈活設(shè)置和優(yōu)化。