Я подключил Juniper SRX5800 и другое устройство enodeB (не знаю производителя) через туннель IPSec. Он использует IKEv1 для согласования ключей. есть 10 ACL на стороне enodeB и на Juniper SRX, я настроил ip-to-any ACL для всех 10 IP-адресов enodeB.
В этой настройке я заметил, что создается только 5 SA. Juniper успешно согласовывает последние три SA, но снова и снова отправляет уведомление об удалении. Итак, последние три SA удаляются. Я хочу знать, знает ли кто-нибудь в этом сообществе об ограничении в серии Juniper SRX5800, которое заставляет его вести себя подобным образом. У меня версия ОС 11.4R2.14
SRX5800 определенно может обрабатывать гораздо больше SA, чем это.
Он может обрабатывать 15000 туннелей в соответствии с таблицей данных по адресу: http://www.juniper.net/us/en/local/pdf/datasheets/1000254-en.pdf
Поэтому я бы подумал, нет предела, это, вероятно, срывает другие SA из-за несоответствия конфигурации. Это VPN на основе маршрута или политики?
Я не знаю ответа на этот конкретный случай, но по моему опыту работы с устройствами Juniper, когда они делают что-то, что не имеет смысла, я открываю JTAC кейс. В каждом выпуске обычно есть ряд ошибок, которые могут объяснить эту проблему. Также может существовать лицензионное ограничение на количество созданных SA.