system
ipsec invalid-spi-recovery enable# ipsec sa单端断联后恢复,否者只能等dpd超时
ipsec df clear #ipsec分片
ike nat-keepalive-timer interval 25 #nat会话保持
ike peer peer1
dpd type periodic #在没有数据要发送时也发送dpd消息,总部设为on-demand分部设为periodic
dpd idle-time 30 #dpd消息间隔,一般nat会话不少于30s
ikev2 fragmentation #ike报文分片
但是有时候发现连接时间长了上级路由器的nat会卡断,只有更换IP或端口号才能继续连接,对于这种情况可以考虑每天重启路由器或把nat-keepalive-timer及dpd idle-time设长一些