目录
IKE对等体检测技术
配置hearbeat检测
工作原理
本端定时向对端发送heartbeat报文来告知对端自己处于活动状态
如果本端在超时时间内没有收到hearbeat报文,则认为对端不可达:如果此时IKE SA带有Timeout标记,则删除IKE对等体之间的IKE SA和IPSec SA;如果此时IKE SA没有Timeout标记,则将其标记为Timeout
特点
- 本端和对端两边的配置需要匹配(一般对端配置的等待heartbeat报文超时时间为本端配置的发送heartbeat报文间隔的3倍)
- 只有IKEv1才支持hearbeat检测
- 会对SA的状态产生影响
- hearbeat检测不是统一的标准,各个厂商可能无法对接
- 周期性的发送hearbeat报文消耗了两端的CPU资源
配置DPD检测
工作原理
如果本端可以收到对端发来的IPSec流量,则认为对端处于活动状态
如果一定时间间隔内没有当收到对端发来的IPSec流量,则发送DPD报文探测对端的状态
如果发送几次DPD报文后抑制没有收到对端的回应,则认为对端不可达,删除IKE对等体之间的SA(IKE SA和IPSec SA)
DPD工作模式
DPD包括周期和按需两种模式
周期模式
如果当前距离上一次收到对端的IPSec报文或者DPD报文的时间超过DPD空闲时间
则本端主动向对端发送DPD报文
按需模式
当本端需要向对端发送IPSec报文时再进行DPD检测
如果当前距离上一次收到对端的IPSec报文超过DPD空闲时间
则本端主动向对端发送DPD报文
特点
- DPD为IPsec协议中的标准功能,各个厂商都可支持
- 本端和对端两边的配置不需要匹配(即可以只在一边进行配置)
- 不会对SA的状态产生影响