IPSEC使用DPD(dead peer detection)功能来检测对端peer是否存活,类似到其它协议中的hello或keepalive机制,目前我司 DPD支持两种机制:
1)on-demand 机制,该机制在隧道闲置时间超过指定配置的时间,且此时有报文发送,才会刺激发送 DPD探测消息。
2)periodic机制,该机制是在超过配置的时间后就会主动发送 DPD 探测消息。最大重传次数5次。
on-deman机制配置:Ruijie(config)#cry isakmp keepalive 10 //配置隧道闲置时间为10秒,采用on-demand机制。
periodic机制配置:cry isakmp keepalive 10 periodic //配置隧道闲置时间为10秒,采用periodic机制。
IPSEC使用DPD(dead peer detection)功能来检测对端peer是否存活,类似到其它协议中的hello或keepalive机制,目前我司 DPD支持两种机制。
1.on-demand 机制,该机制在隧道闲置时间超过指定配置的时间,且此时有报文发送,才会刺激发送 DPD探测消息。
2.periodic机制,该机制是在超过配置的时间后就会主动发送 DPD 探测消息。最大重传次数5次。
on-deman机制配置:Ruijie(config)#cry isakmp keepalive 10 //配置隧道闲置时间为10秒,采用on-demand机制。
periodic机制配置:cry isakmp keepalive 10 periodic //配置隧道闲置时间为10秒,采用periodic机制。
失效邻居检测,因为IPSec SA是单向的,进入est状态后,在isakmp超时前将认为对方一直有效。DPD主要是用一个询问应答包检测隧道对端是否仍然有效。如果询问包没有被应答,则超时并重新初始化本地到远程的IPSec SA。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024