IKE SA keepalive與IKE DPD命令的作用相同,用于檢測IPSEC對端設(shè)備IKE SA的保活狀態(tài),同步更新本端IKE SA,用于解決以下場景中需要手工復(fù)位一端IPSEC SA的問題:
1、IPSEC兩端IPSEC及IKE SA配置不一致,一端IKE SA過期拆除后,另一端IKE SA任處于保活狀態(tài),導(dǎo)致后續(xù)新的IKE SA無法建立。
2、兩端IPSEC IKE SA配置一致,但一端設(shè)備掉電或異常重啟,導(dǎo)致一端IKE SA任處于保活狀態(tài),導(dǎo)致后續(xù)新的IKE SA無法建立。
IPSEC IKE SA的兩端狀態(tài)不一致,導(dǎo)致新的IPSEC SA無法建立,必須手工復(fù)位一端的IPSEC IKE SA。
為了解決IPSEC兩端IPSEC IKE SA保活狀態(tài)一致的問題,可以配置IKE SA keepalive與IKE DPD,配置如下:
IKE SA keepalive配置
ike sa keepalive-timer interval 30
ike sa keepalive-timer timeout 90
IKE DPD配置
ike dpd on-demand 30 5
IKE SA keepalive與IKE DPD配置作用相同,可以同時配置IKE SA keepalive與IKE DPD或其中的一種,推薦配置IKE DPD,ike dpd和ike sa keepalive-timer interval命令都是用來檢測隧道對端的設(shè)備是否工作正常,區(qū)別是ike dpd命令更節(jié)省帶寬,該命令只在報(bào)文發(fā)送之前或隧道中沒有報(bào)文時才會發(fā)送檢測報(bào)文,而不是周期性的發(fā)送檢測報(bào)文。
1、所有IPSEC配置都建議添加IKE DPD或IKE SA keepalive。部分老版防火墻只有IKE SA keepalive命令。
2、IKE SA keepalive與IKE DPD的配置必須成對相同配置,僅配置一端或參數(shù)配置不一致仍然會出現(xiàn)需要手工復(fù)位SA的情況。