国产婷婷在线视频-国产资源一区二区三区-HD在线观看,亚洲精选久久,日本亚洲精品,日韩久久久一区二区

跳轉(zhuǎn)到主要內(nèi)容

IKE SA keepalive與IKE DPD命令的作用、區(qū)別與聯(lián)系

故障描述

  IKE SA keepalive與IKE DPD命令的作用相同,用于檢測IPSEC對端設(shè)備IKE SA的?;顮顟B(tài),同步更新本端IKE SA,用于解決以下場景中需要手工復(fù)位一端IPSEC SA的問題:
  1、IPSEC兩端IPSEC及IKE SA配置不一致,一端IKE SA過期拆除后,另一端IKE SA任處于?;顮顟B(tài),導(dǎo)致后續(xù)新的IKE SA無法建立。
  2、兩端IPSEC IKE SA配置一致,但一端設(shè)備掉電或異常重啟,導(dǎo)致一端IKE SA任處于?;顮顟B(tài),導(dǎo)致后續(xù)新的IKE SA無法建立。

故障分析

  IPSEC IKE SA的兩端狀態(tài)不一致,導(dǎo)致新的IPSEC SA無法建立,必須手工復(fù)位一端的IPSEC IKE SA。

處理過程

  為了解決IPSEC兩端IPSEC IKE SA?;顮顟B(tài)一致的問題,可以配置IKE SA keepalive與IKE DPD,配置如下:
  IKE SA keepalive配置
  ike sa keepalive-timer interval 30
  ike sa keepalive-timer timeout 90
  IKE DPD配置
  ike dpd on-demand 30 5
  IKE SA keepalive與IKE DPD配置作用相同,可以同時(shí)配置IKE SA keepalive與IKE DPD或其中的一種,推薦配置IKE DPD,ike dpd和ike sa keepalive-timer interval命令都是用來檢測隧道對端的設(shè)備是否工作正常,區(qū)別是ike dpd命令更節(jié)省帶寬,該命令只在報(bào)文發(fā)送之前或隧道中沒有報(bào)文時(shí)才會(huì)發(fā)送檢測報(bào)文,而不是周期性的發(fā)送檢測報(bào)文。

建議/總結(jié)

  1、所有IPSEC配置都建議添加IKE DPD或IKE SA keepalive。部分老版防火墻只有IKE SA keepalive命令。
  2、IKE SA keepalive與IKE DPD的配置必須成對相同配置,僅配置一端或參數(shù)配置不一致仍然會(huì)出現(xiàn)需要手工復(fù)位SA的情況。