5期Adwan分支方案，VXLAN over IPSEC，路由器的IPSEC配置由控制器下发。总部、分支对接的ipsec建立失败。

　　配置看没什么问题。

　　看debug信息，已经在重传第2阶段，隧道建不起来的原因是sa冲突。

　　*Nov 22 15:14:23:974 2022 JJY-RT-0536-0318-01 IKE/7/EVENT: vrf = 0, local = 192.168.1.2, remote = 60.217.64.253/500

　　Collision of phase 2 negotiation is found when acquired sa.

　　查看设备IPSEC SA及IKE SA，发现SA数量异常。该组网环境IPSEC SA正常应为IKE SA的2至4倍，现网总部设备IPSEC SA的数量22944条，IKE SA数量1864条，IPSEC SA约为IKE SA的12倍。该现象与某已知软件问题相符。正常情况下，IPSEC SA因超期等原因需要重新协商时，会存在新旧两个SA，旧SA（RD|RL状态）删除后，新SA（RD状态）接替旧SA指导业务转发。在现网版本下，穿越NAT的IPSEC SA需要重新协商过程中软件处理异常，同一条IPSEC感兴趣流触发多条IPSEC SA协商，多条IPSEC SA之间判断存在冲突，导致协商失败。该问题非必现，多次IPSEC SA振荡过程中小概率触发，触发该问题后，IPSEC SA会持续累计，导致所有后续IPSEC SA协商失败。

　　版本已知问题：

　　l CMW710-R7821P14版本解决问题列表 l

　　202103301127 问题现象：ike进程反复异常退出，无法起来，并产生core 问题产生条件： ADWAN中心-分支组网，Internet穿NAT，建立IPsec隧道后，中心侧重启ike进程

　　建议升级总部SR6604设备版本至R8128P22解决该问题。