目次
特徴
DPD (Dead Peer Detection) は、ピア (ピア) が生きているかどうかを検出してピア間の通信の中断を回避するために使用される IPSEC プロトコルのメカニズムです。または、一方の端の IPSEC SA がクリアされた後、もう一方の端は IPSEC の使用を継続します。データをカプセル化してピアに送信すると、暗号化が必要なデータ通信が中断されます。
DPDによる相手の検出に失敗した場合、自装置は対応するisakmp saとipsec saをクリアし、同時に新たな興味のあるフローが存在した場合(または自動up機能が設定されている場合)、isakmpのネゴシエーションを解除する。 sa と ipsec sa が再開始されます。
DPD 機能は両方の IPSEC ピアで設定する必要はなく、通常はデータ イニシエータでのみ設定する必要があります。たとえば、中央ブランチ トポロジでは、すべてのビジネス データが最初にブランチによって開始されて本社と通信し、本社がブランチにアクティブにアクセスする必要がない場合、DPD はブランチでのみ構成する必要があります。
1. ネットワーク要件
ブランチで DPD テクノロジーを構成し、ブランチと本社の間の IPSEC ピアの生存を検出して、ブランチと本社間の通信の中断を回避します。または、本社ルータ上のブランチに対応する IPSEC SA が異常に削除された場合、ブランチは暗号化を継続します データが本社に送信されたため、本社はこの部分のデータを正常に復号できなくなり、データ通信が中断されました。
2. ネットワークトポロジ
3. 構成のポイント
1. 基本的な IPSEC 機能を設定する
2. ブランチ 1 で DPD 機能を設定します。
4. 設定手順
1. 基本的な IPSEC 機能を設定する
オンサイトの環境と顧客のニーズに応じて、適切な IPSEC 導入ソリューションを選択してください。詳細な構成については、IPSEC の「基本構成」の章を参照してください (標準構成 ---> セキュリティ ---> IPSEC ---> 基本構成)
2. ブランチ 1 で DPD 機能を設定します。
crypto isakmp keepalive 10 on-demand //DPD 検出期間を 10 秒に設定します (短すぎないように注意してください。短すぎると、ネットワーク遅延の問題により SIPEC が頻繁に中断されます)。検出モードはオンデマンドです。
注: DPD には定期検出とオンデマンド検出の 2 つの検出モードがあり、通常はオンデマンド検出モードが使用できます。
定期的な検出: このメカニズムは、設定された時間を超えた後、事前に DPD 検出メッセージを定期的に送信します。再送信のデフォルトの最大数は 5 です。
オンデマンド検出: このメカニズムは、トンネルのアイドル時間が設定された時間を超え、この時点でパケットが送信された場合にのみ、DPD 検出メッセージの送信をトリガーします。
5. 構成の検証
1. ブランチの本社にアクセスするための興味深いフローを開始し、ブランチと本社の間で isakmp sa と ipsec sa を正常に確立できるようにします。
2. 本社ルータの外部ネットワークポートケーブルを切断すると、支社はピアに到達できないことを検知し、isakmp saとipsec saをクリアしてネゴシエーションを再開する。
site1#show crypto isakmp sa
destinationsourcestateconn-idlifetime(second) // ネゴシエーションが成功しなかった isakmp sa
site1#show crypto ipsec on
インターフェイス: ファストイーサネット 0/0
クリプト マップ タグ:mymap
ローカル IPv4 アドレス 10.0.0.2
メディア 1500名
=================================
sub_map タイプ:静的、シーケンス番号:10、id=0
ローカル ID (アドレス/マスク/プロット/ポート): (192.168.1.0/0.0.0.255/0/0))
リモート ID (アドレス/マスク/プロット/ポート): (192.168.0.0/0.0.0.255/0/0))
許可する
#pkts カプセル化: 8、#pkts 暗号化: 8、#pkts ダイジェスト 0
#pkts decaps: 8、#pkts decrypt: 8、#pkts verify 0
#送信エラー 2、#受信エラー 0
現在、SA は作成されていません。//ネゴシエーションが成功しない IPsec SA