在我们的环境中,我们注意到在 SA 重新加密期间丢包(原因是“未找到 SA”)。流量速率约为 1.2Gbps(包大小:800 字节),并且在重新加密期间发生的数据包丢失在一小时内约为 200-300 个数据包。这是正常的吗?RFC 似乎承认这种丢弃可以发生,并且实现可以为此提供解决方案。( https://wiki.strongswan.org/issues/1291 ) Strongswan 似乎决定不解决这个问题。我们的 IP 堆栈是专有的,但是我想知道是否在其他实现(如 cisco 或 juniper 等)上看到这些丢弃。另外,通常为 SA 配置的生命周期是多少?我们使用了 1 小时,但实际生产网络中通常使用什么?
IPSec:在 SA 重新加密期间看到数据包丢失是否正常?
网络工程
网络安全
2021-07-09 03:18:55
3个回答
是的,这很常见,多年来我在 Cisco (ASA) 和 Juniper (SSG/SRX) 上都亲眼见过它。
至于丢失的数量,这将取决于您的 PPS 和您的 SA 计时器,但我通常会在重新生成密钥期间看到 1-2 秒的丢失。
1.2 Gigabits per second / 8 bytes per bit = .15 GB = 150 Megabytes = 157,286,400 bytes = 196,608 * 800 byte packet per second。
丢失 200-300 个数据包大约是 1.2 毫秒的中断(假设速率恒定)。如果这是您每小时重新键入的命中率,我认为您做得很好!把它放在上下文中,它甚至不足以在 VOIP 呼叫中引起明显的弹出 - 更不用说断开连接了。
我没有以这种速率运行任何 IPSec 隧道,但可以说我通常没有遇到任何常见的连接问题,使用路由器到路由器的基于 IOS 的 VPN 的流量为数十兆比特。尽管如此,在大多数 Internet 连接上,一毫秒左右的流量损失将在线路噪声的范围内。
我已经看到它发生在 Linux ipsec-tools(KAME 堆栈/racoon IKE 守护进程)中,在重新加密期间丢失大约 1-2 秒。