我通过 IPSec 隧道连接了 Juniper SRX5800 和另一台 enodeB 设备(不知道供应商)。它使用 IKEv1 进行密钥协商。enodeB 端有 10 个 ACL,在 Juniper SRX 上,我已配置ip 到任意所有 10 个 enodeB IP 地址的 ACL。
在此设置中,我观察到只创建了 5 个 SA。Juniper 虽然成功协商了最后三个 SA,但还是一次又一次地发送删除通知。因此,最后三个 SA 被删除了。我想知道这个社区中是否有人知道 Juniper SRX5800 系列的一个限制,导致它出现这种情况。我的操作系统版本是 11.4R2.14
答案1
我不知道这个具体案例的答案,但从我使用瞻博网络设备的经验来看,当它们做任何似乎没有意义的事情时,我都会打开一个联合终端管制员这种情况。每个版本通常都有许多错误,这可以解释这个问题。创建的 SA 数量也可能存在许可限制。
答案2
SRX5800 显然可以处理更多的 SA。
根据数据表,它可以处理 15,000 个隧道:http://www.juniper.net/us/en/local/pdf/datasheets/1000254-en.pdf
所以我认为,没有限制,它可能因为配置不匹配而拆除了其他 SA。这是基于路由还是基于策略的 VPN?