ipsec隧道影不影响流量

Posted 2023-03-24

参考技术A 不影响。
基于虚拟隧道接口来定义需要保护的数据流，首先需要在两端的IPsec设备创建一个虚拟的隧道接口Tunnel，然后通过配置以该Tunnel接口为出接口静态路由，以此来将到达某一个子网的数据流量通过IPSec隧道进行转发。因为Tunnel接口为点对点类型的接口，是运行PPP链路层协议的，因此以该接口为出接口的静态路由是可以不指定下一跳IP地址的。

ipsec dpd 使用注意

ipsec sa ike sa 重新建立需要按照规定的时间或者达到指定的流量才会重新建立，此时中途如果一端的隧道中断，另一端可能无法感知，导致***流量不通。
使用dpd技术 相当于心跳报文，当指定周期无法收到对端的dpd报文，删除ipsec相关隧道，重新发起隧道协商，可以减少***隧道中断时间
注意：
1、实践过程中发现  a端配置dpd，b端不配置，导致a端发出的dpd报文无法得到响应，产生dpd failure ，重新发起隧道协商，但是b端认为*** 隧道正常，隧道状态up，导致*** 网络不通，此时需要2端都开启dpd 检测，或者2端都关闭dpd检测