配置IPsec VPN和TTL

Question

我有两个网站，每个使用自己的防火墙。曾经是思科梅拉基，另一个是思科ASA。这两个站点使用IPsec建立一个VPN隧道。

问题是:如果这两个站点在第一和第二阶段的配置中都有不同的TTL，这会干扰VPN的通信吗？我的想法是，如果一个站点在VPN上超时，那么可能会出现连接问题。它是停止接受连接，还是要求新的协议或建立一个新的隧道请求？

举个例子：

网站A: P1 -> 86400 P2 -> 2800

站点B: P1 -> 800 P2-> 600

与传统设置相比：

网站A: P1 -> 86400 P2 -> 2800

网站B: P1 -> 86400 P2 -> 2800

问题是，ASA有一个IPsec的基本许可证，只允许10个并发会话，但是我们在ASA上有15-20个配置好的隧道。我们有可能超过10个同时的限制。

我们希望减少TTL，以减少达到极限的机会。问题是我们只有能力做这一个网站。

Answer 1

双方应具有相同的密钥生存期(！)为每一阶段的顺利运行。第二阶段间隔不应大于第一阶段，通常要小得多(阶段1 : 4-24 h，相2: 5-12小时)。

键生存期(有时称为键TTL )不一定超时会话。为此，您需要激活死对等检测(DPD)。