Índice
5. Verificação de configuração
Características
DPD, ou Dead Peer Detection, é um mecanismo do protocolo IPSEC usado para detectar se o par (peer) está vivo para evitar a interrupção da comunicação entre os pares, ou após o IPSEC SA de uma extremidade ser apagado, a outra extremidade continua usando IPSEC encapsular dados e enviá-los ao peer, fazendo com que a comunicação de dados que precisa ser criptografada seja interrompida.
Quando uma extremidade não consegue detectar a extremidade oposta através do DPD, o dispositivo local limpará o isakmp sa e ipsec sa correspondente; ao mesmo tempo, se houver novos fluxos interessantes (ou a função auto up estiver configurada), a negociação de isakmp sa e ipsec sa serão reiniciados.
A função DPD não é obrigatória para ser configurada em ambos os peers IPSEC, geralmente só precisa ser configurada no inicializador de dados. Por exemplo, na topologia da filial central, se todos os dados de negócios forem iniciados primeiro pela filial para se comunicarem com a sede; e a sede não tiver necessidade de acessar ativamente a filial, então o DPD só precisará ser configurado na filial.
1. Requisitos de rede
Configure a tecnologia DPD na filial para detectar a sobrevivência de pares IPSEC entre a filial e a sede para evitar a interrupção da comunicação entre a filial e a sede, ou quando o IPSEC SA correspondente para a filial no roteador da sede for excluído de forma anormal, a filial continuará a criptografar Os dados foram enviados para a sede, fazendo com que a sede não consiga descriptografar esta parte dos dados normalmente, e a comunicação de dados foi interrompida.
2. Topologia de rede
3. Pontos de configuração
1. Configure funções IPSEC básicas
2. Configure a função DPD na filial 1
4. Etapas de configuração
1. Configure funções IPSEC básicas
De acordo com o ambiente local e as necessidades do cliente, selecione a solução de implantação IPSEC apropriada. Para configuração detalhada, consulte o capítulo " Configuração Básica " do IPSEC (Configuração Típica ---> Segurança ---> IPSEC ---> Configuração Básica )
2. Configure a função DPD na filial 1
crypto isakmp keepalive 10 on-demand //Configure o período de detecção DPD para 10 segundos (o tempo não deve ser muito curto, caso contrário o SIPEC será frequentemente interrompido devido a problemas de atraso na rede), e o modo de detecção é sob demanda.
Nota: O DPD possui dois modos de detecção: detecção periódica e detecção sob demanda; geralmente, o modo de detecção sob demanda pode ser usado.
Detecção periódica: Este mecanismo enviará proativamente mensagens de detecção DPD periodicamente após o tempo configurado ser excedido; o número máximo padrão de retransmissões é 5.
Detecção sob demanda: Este mecanismo só acionará o envio de mensagens de detecção DPD quando o tempo ocioso do túnel exceder o tempo configurado e um pacote for enviado neste momento.
5. Verificação de configuração
1. Iniciar um fluxo interessante de acesso à sede na filial, para que isakmp sa e ipsec sa possam ser estabelecidos com sucesso entre a filial e a sede;
2. Desconecte o cabo da porta de rede externa do roteador da sede. Neste momento, a filial detecta que o peer está inacessível, limpa isakmp sa e ipsec sa e reinicia a negociação.
site1#mostrar criptografia isakmp sa
destinationsourcestateconn-idlifetime(second) //isakmp sa sem negociação bem-sucedida
site1#mostrar cripto ipsec ativado
Interface: Fast Ethernet 0/0
Tag do mapa criptográfico: meu mapa
endereço ipv4 local 10.0.0.2
mídia 1.500 pessoas
=================================
tipo de sub_mapa:estático, seqno:10, id=0
identidade local (endereço/máscara/prot/porta): (192.168.1.0/0.0.0.255/0/0))
identificação remota (endereço/máscara/prot/porta): (192.168.0.0/0.0.0.255/0/0))
PERMITIR
#pkts encaps: 8, #pkts criptografar: 8, #pkts digest 0
#pkts decaps: 8, #pkts descriptografar: 8, #pkts verificar 0
#enviar erros 2, #recv erros 0
Nenhum sa é criado agora. //IPsec sa sem negociação bem-sucedida