<DIV>
<P style="MARGIN: 0cm 0cm 0pt" class=MsoNormal><SPAN style="FONT-FAMILY: Verdana; COLOR: black; mso-bidi-font-size: 10.5pt" lang=EN-US>hi Martin:<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /><o:p></o:p></SPAN></P>
<P style="TEXT-INDENT: 18pt; MARGIN: 0cm 0cm 0pt" class=MsoNormal><SPAN style="FONT-FAMILY: Verdana; COLOR: black; mso-bidi-font-size: 10.5pt" lang=EN-US>First of all , thank you very much for your reply . and I still have a question .<o:p></o:p></SPAN></P>
<P style="TEXT-INDENT: 18pt; MARGIN: 0cm 0cm 0pt" class=MsoNormal><SPAN style="FONT-FAMILY: Verdana; COLOR: black; mso-bidi-font-size: 10.5pt" lang=EN-US><o:p> </o:p></SPAN></P>
<P style="MARGIN: 0cm 0cm 0pt 18pt" class=MsoNormal><SPAN style="FONT-FAMILY: Verdana; COLOR: black; mso-bidi-font-size: 10.5pt" lang=EN-US>>I want to make sure whether the half open IKE_SA exceeding limit will<BR>> lead to xfrm policy appear such “action block” information?<BR><BR>> No, it is unrelated to this message<o:p></o:p></SPAN></P>
<P style="MARGIN: 0cm 0cm 0pt 18pt" class=MsoNormal><SPAN style="FONT-FAMILY: Verdana; COLOR: black; mso-bidi-font-size: 10.5pt" lang=EN-US>you said it is unrelated to this message , but I still confused what cause such “action block” information ? can you give me some examples.</SPAN></P>
<P style="MARGIN: 0cm 0cm 0pt 18pt" class=MsoNormal><SPAN style="FONT-FAMILY: Verdana; COLOR: black; mso-bidi-font-size: 10.5pt" lang=EN-US>Best Regards</SPAN></P>
<P style="MARGIN: 0cm 0cm 0pt 18pt" class=MsoNormal><SPAN style="FONT-FAMILY: Verdana; COLOR: black; mso-bidi-font-size: 10.5pt" lang=EN-US>Anne</SPAN></P></DIV><div><br></div><div><br></div><div style="font-size: 12px;font-family: Arial Narrow;padding:2px 0 2px 0;">------------------ 原始邮件 ------------------</div><div style="font-size: 12px;background:#efefef;padding:8px;"><div><b>发件人:</b> "Martin Willi"<martin@strongswan.org>; </div><div><b>发送时间:</b> 2013年1月24日(星期四) 下午5:38</div><div><b>收件人:</b> "梅香"<747201427@qq.com>; </div><div><b >抄送:</b> "users"<users@lists.strongswan.org>; </div><div><b>主题:</b> Re: [strongSwan] some problems with strongswan4.6.4</div></div><div><br></div>Hi,<BR><BR>> there is abnormal printing in the message ,just like: ignoring IKE_SA<BR>> setup from 10.0.30.74, half open IKE_SA count of 2503 exceeds limit of<BR>> 1000<BR><BR>There is nothing abnormal in this log message. Seems you have configured<BR>"init_limit_half_open = 1000". But as more than 2000 IKE_SAs are in<BR>half-open state, the daemon is considered overloaded and rejects new<BR>connection attempts.<BR><BR>> I want to make sure whether the half open IKE_SA exceeding limit will<BR>> lead to xfrm policy appear such “action block” information?<BR><BR>No, it is unrelated to this message.<BR><BR>> I established 10000 ipsec tunnels use a instrument，then<BR>> I stoped the instrument and many delete messge was found, at last I<BR>> restarted ipsec and then found that the xfrm modules still has many SA<BR>> and SP . I wonder whether this is normal?<BR><BR>During shutdown, charon sends a delete for any active IKE_SA. If you<BR>have many IKE_SAs active, not all delete messages might make it to your<BR>peer, leaving some of them established. If the daemon shuts down<BR>properly, it should clean up all locally installed SAD/SPD entries,<BR>though.<BR><BR>Regards<BR>Martin<BR><BR>.<BR>