IKE SA keepalive與I•πδ☆KE DPD命令的(de)作(zuò)用(yòng)相(&↓∑≠xiàng)同,用(yòng)于檢測IPSEC對(du'↔ì)端設備IKE SA的(de)保活狀态,同步更新本端IKE S≤πA,用(yòng)于解決以下(xià)場(chǎng)景中需要(y₽↑®ào)手工(gōng)複位一(yī)端IPSEC SA的(de)問(wèn₽±)題:
1、IPSEC兩端IPSEC及IKE SA配置不(bù)一•↓(yī)緻,一(yī)端IKE SA過期拆除後,另一(yī)©£≥端IKE SA任處于保活狀态,導緻後續新的(de)IKE <ΩSA無法建立。
2、兩端IPSEC IKE SA配置一(y∞≤ī)緻,但(dàn)一(yī)端設備掉電(diα✘àn)或異常重啓,導緻一(yī)端IKE SA任處于保活狀态,導緻後續新的¥ (de)IKE SA無法建立。
IPSEC IKE SA的(de)兩端狀态不(bù)一(yī≤)緻,導緻新的(de)IPSEC SA無法建立,必須手工(gō♦₩•↕ng)複位一(yī)端的(de)IPSEC IKE SA。
為(wèi)了(le)解決IPSEC兩端IPSEC IKE≠" SA保活狀态一(yī)緻的(de)問(wèn)題,可(kě)以配置γ ≠IKE SA keepalive與IKE DPD,配置如(rú)下(xià):↓
IKE SA keepalive配置
ike sa keepalive-timer interval 30
ike sa keepalive-timer timeout ☆$90
IKE DPD配置
ike dpd on-demand 30 5
IKE SA keepalive與IKE DPD配置作(zuò) ∏×用(yòng)相(xiàng)同,可(kě)以同時(shí)配置IKE Sδ☆A keepalive與IKE DPD或其中的(de)一(yī)種,推薦配$±±₽置IKE DPD,ike dpd和(hé)ike sa keepalivα≈∏e-timer interval命令都(dōu)是(shì)用(yòβ←ng)來(lái)檢測隧道(dào)對(duì )端的(de)設備是(shì)否工(gōng)作( ↔zuò)正常,區(qū)别是(shì)ike dpd命令更節省✔§•Ω帶寬,該命令隻在報(bào)文(wén)發送之前或隧道(dào)中沒有(yǒu'÷↔★)報(bào)文(wén)時(shí)才會(huì)發送檢測報(bào)文(w₽₩én),而不(bù)是(shì)周期性的(de)發送檢測報(bà' "εo)文(wén)。
1、所有(yǒu)IPSEC配置都(dōu)建♠∑↔÷議(yì)添加IKE DPD或IKE SA keepalive。部分(ε✔fēn)老(lǎo)版防火(huǒ)牆隻有(yǒu)IK₩≤↑→E SA keepalive命令。
2、IKE SA keepalive與IKE DPD的(d☆₹e)配置必須成對(duì)相(xiàng)同配♦λ✔置,僅配置一(yī)端或參數(shù)配置不(bù)一(yī)緻仍然會™×≠(huì)出現(xiàn)需要(yào)手工(gφ✘ōng)複位SA的(de)情況。