Существует ли ограничение Juniper на количество SA в ACL 'any to any' в IKEv1

Question

Существует ли ограничение Juniper на количество SA в ACL 'any to any' в IKEv1

Я подключил Juniper SRX5800 и другое устройство enodeB (не знаю поставщика) по туннелю IPSec. Он использует IKEv1 для согласования ключей. на стороне enodeB имеется 10 ACL, а на Juniper SRX я настроил ACL ip-to-any для всех 10 IP-адресов enodeB.

Когда в этой настройке, я наблюдаю, что только 5 SA создаются. Juniper, хотя и успешно согласовывает последние три SA, снова и снова отправляет уведомление об удалении. Итак, последние три SA удаляются. Я хочу знать, знает ли кто-нибудь в этом сообществе ограничение в серии Juniper SRX5800, которое заставляет его вести себя так. Версия ОС у меня 11.4R2.14

0

networking ipsec juniper junos srx

Источник

Arun Kumar M S 28 дек '12 в 07:39

2 ответа

Другие вопросы по тегам networking ipsec juniper junos srx

SpacemanSpiff 29 дек '12 в 03:06 2012-12-29 03:06 · Answer 1 · 2012-12-29 03:06

SRX5800, безусловно, может обрабатывать гораздо больше SA, чем это.

Он может обрабатывать 15 000 тоннелей в соответствии с таблицей данных по адресу: http://www.juniper.net/us/en/local/pdf/datasheets/1000254-en.pdf

Так что я бы подумал, что нет предела, вероятно, он разрушает другие SA из-за несоответствия конфигурации. Это VPN на основе маршрутов или политик?

Cawflands 28 дек '12 в 07:49 2012-12-28 07:49 · Answer 2 · 2012-12-28 07:49

Я не знаю ответа на этот конкретный случай, но из моего опыта работы с устройствами Juniper, когда они делают что-то, что, кажется, не имеет смысла, я открываю дело JTAC. В каждом выпуске обычно есть несколько ошибок, которые могут объяснить эту проблему. Также может быть лицензионное ограничение на количество созданных SA.