實現Idle Timer 機制

南京 張韜

這里以GNS3 模擬器來實現IPSec SA Idle Timer 相關驗證，3 臺路由器連接及IP 地址信息如圖1 所示，R1 同時和R2 與R3 建立IPSec VPN 隧道，R2和R3 之間不需要建立VPN，路由器上使用環回口進行測試，此處各路由器基本信息和相關路由配置省略。

（1）配置IPSec siteto-site VPN

R1 上VPN 主要配置

圖1 網絡拓撲結構

分別在R2 和R3 路由器上配置與R1 之間相對應的IPSec VPN 信息，此處省略配置。

（2）建立IPSec VPN 隧道

在R1 路由器上向R2 和R3 的環回口分別發送流量激活IKE SA，并查看其相應狀態，如下所示，并且可以看到相應IPSec SA 也已為活動狀態，如圖2 所示。

在R1 上可以進一步查看與R2 和R3 建立的IKE SA時間，如圖3 所示。

圖2 查看R1 相應狀態

圖3 進一步查看建立的時間

圖4 R1 和R2 間的正常狀態

圖5 查看R1 IPSec SA 狀態

這時可以清楚的看到當前R1 與R2 建立的IKE SA的lifetime 還剩23 小 時56 分10 秒，與R3 建立的lifetime 還剩23 小時58 分30 秒。

（3）驗證測試

在R1 上設置IPSec SA Idle Timer 時間為60s，和IPSec DPD 技術一樣，配置IPSec SA Idle Timer 之后，必須重新應用相關crypto map 才能生效；這里只在R1單邊配置，如下所示：

在經過60s 后，如果R1和R2、R3 之間沒有流量傳遞，則所有的IKE SA 信息會被認為是空閑SA 而被刪除。如果此時R1 再向R2 發送ping 命令流量進行測試，則只會看到R1 和R2 間IKE SA的正常狀態，但R1 和R3 間沒有，符合我們預期效果，如圖4 所示。

同時也可以看到，因為R1 與R2 之間有流量，所以與R2 之間的IPSec SA 為活動狀態，而與R3 之間長時間沒有流量，所以與R3 的IPSec SA 為非活動狀態，如圖5 所示。

注意：如果IPSec SA 被刪除，那么IKE SA 也同樣會被刪除。

總結

在IPSec VPN 中使用SA Idle Timer 機制可以減少系統資源消耗，提升網絡性能。和IPSec DPD 一樣，一定要先配置IPSec SA Idle Timer，才能應用crypto map到接口，否則先應用crypto map 到接口再配置Idle Timer，是不生效的。另外，Idle Timer 既可以在全局下配置，也可以在crypto map下配置，全局下配的對所有VPN peer 的SA 都會生效，而在crypto map 下定義的，只能針對特定VPN peer 的SA才會生效，這樣可以根據網絡實際場景進行靈活設置和優化。