5期Adwan分支方案，VXLAN over IPSEC，路由器的IPSEC配置由控制器下發(fā)?？偛?、分支對(duì)接的ipsec建立失敗。

　　配置看沒(méi)什么問(wèn)題。

　　看debug信息，已經(jīng)在重傳第2階段，隧道建不起來(lái)的原因是sa沖突。

　　*Nov 22 15:14:23:974 2022 JJY-RT-0536-0318-01 IKE/7/EVENT: vrf = 0, local = 192.168.1.2, remote = 60.217.64.253/500

　　Collision of phase 2 negotiation is found when acquired sa.

　　查看設(shè)備IPSEC SA及IKE SA，發(fā)現(xiàn)SA數(shù)量異常。該組網(wǎng)環(huán)境IPSEC SA正常應(yīng)為IKE SA的2至4倍，現(xiàn)網(wǎng)總部設(shè)備IPSEC SA的數(shù)量22944條，IKE SA數(shù)量1864條，IPSEC SA約為IKE SA的12倍。該現(xiàn)象與某已知軟件問(wèn)題相符。正常情況下，IPSEC SA因超期等原因需要重新協(xié)商時(shí)，會(huì)存在新舊兩個(gè)SA，舊SA（RD|RL狀態(tài)）刪除后，新SA（RD狀態(tài)）接替舊SA指導(dǎo)業(yè)務(wù)轉(zhuǎn)發(fā)。在現(xiàn)網(wǎng)版本下，穿越NAT的IPSEC SA需要重新協(xié)商過(guò)程中軟件處理異常，同一條IPSEC感興趣流觸發(fā)多條IPSEC SA協(xié)商，多條IPSEC SA之間判斷存在沖突，導(dǎo)致協(xié)商失敗。該問(wèn)題非必現(xiàn)，多次IPSEC SA振蕩過(guò)程中小概率觸發(fā)，觸發(fā)該問(wèn)題后，IPSEC SA會(huì)持續(xù)累計(jì)，導(dǎo)致所有后續(xù)IPSEC SA協(xié)商失敗。

　　版本已知問(wèn)題：

　　l CMW710-R7821P14版本解決問(wèn)題列表 l

　　202103301127 問(wèn)題現(xiàn)象：ike進(jìn)程反復(fù)異常退出，無(wú)法起來(lái)，并產(chǎn)生core 問(wèn)題產(chǎn)生條件： ADWAN中心-分支組網(wǎng)，Internet穿NAT，建立IPsec隧道后，中心側(cè)重啟ike進(jìn)程

　　建議升級(jí)總部SR6604設(shè)備版本至R8128P22解決該問(wèn)題。