<div style="line-height:1.7;color:#000000;font-size:14px;font-family:arial"><DIV>=======                                         =========                                        ========<BR>   |  AP | <====================> | router|<====================> |  GW  |<BR>=======                                         =========                                        ========<BR>First all, CHILD_SA fap-psk is established between AP and GW. And the GW show me such message:<BR>******************************************************<BR>Jan 31 19:44:47 (none) daemon.info charon: 78[IKE] CHILD_SA fap-psk{3} established with SPIs ca0b653f_i c1c43dbb_o and TS 10.1.0.0/16 172.16.15.0/24 === 10.23.100.1/32  <BR>Jan 31 19:44:47 (none) authpriv.info charon: 78[IKE] CHILD_SA fap-psk{3} established with SPIs ca0b653f_i c1c43dbb_o and TS 10.1.0.0/16 172.16.15.0/24 === 10.23.100.1/32  <BR>******************************************************</DIV>
<DIV>Then, I let the AP restart. I found the IPsec tunnel could not be established as usual. And I check the message of GW:<BR>******************************************************<BR>Jan 31 19:49:18 (none) daemon.info charon: 130[KNL] unable to add SAD entry with SPI c1c43dbb: File exists (17) <BR>Jan 31 19:49:18 (none) daemon.info charon: 130[IKE] unable to install outbound IPsec SA (SAD) in kernel <BR>******************************************************<BR>The SPI c1c43dbb is the same with last time.<BR>But a minute later, the AP send init packet for IPsec again. This time, they can establish IPsec tunnel with another SPI.</DIV>
<DIV>And my questions are:<BR>1, After being restarted, is the AP sending the same SPI allowed?<BR>2,Why they could not establish IPsec tunnel with the same SPI?<BR>3, can they not establish IPsec tunnel all the time, If the AP always send the same SPI to GW ? How to avoid this situation?</DIV>
<DIV> </DIV>
<DIV>thx~~<BR></DIV></div><br><br><span title="neteasefooter"><span id="netease_mail_footer"></span></span>