目录
功能介绍
DPD,即Dead Peer Detection,是IPSEC协议中一种用于检测对等体(peer)是否存活的机制,以避免对等体之间通信中断、或者某一端的IPSEC SA被清除后,另一端继续使用IPSEC将数据封装发送到对端,导致需要加密的数据通信中断。
当某一端通过DPD检测对端失败后,本地将清除相应的isakmp sa和ipsec sa;同时如果有新的感兴趣流(或者配置了auto up功能),将重新发起isakmp sa和ipsec sa的协商。
DPD功能没有强制必须在两个IPSEC对等体上都配置,一般只需在数据发起方配置即可。比如在总分拓扑结构中,如果所有业务数据都由分支首先发起,与总部进行通信;而总部没有主动访问分支的需求,那么DPD只需在分支上配置即可。
一、组网需求
通过在分支上配置DPD技术来检测分支与总部间IPSEC对等体的存活情况,避免分支与总部间的通信中断、或者总部路由器上针对该分支相应的IPSEC SA被异常删除后,分支继续将加密数据发往总部,导致总部无法对这部分数据正常解密,数据通信中断。
二、组网拓扑
三、配置要点
1、配置基本的IPSEC功能
2、在分支1上配置DPD功能
四、配置步骤
1、配置基本的IPSEC功能
根据现场环境及客户需求,选择合适的IPSEC部署方案,详细配置参考IPSEC“基础配置”章节(典型配置--->安全--->IPSEC--->基础配置)
2、在分支1上配置DPD功能
crypto isakmp keepalive 10 on-demand//配置DPD探测周期为10秒(时间不宜太短,否则会因为网络延时问题导致SIPEC频繁中断),并且探测模式为按需(on-demand)。
注意:DPD的探测模式有周期探测和按需探测两种;一般使用按需探测模式即可。
周期探测:该机制是在超过配置的时间后就会主动,周期性地发送 DPD探测消息;默认最大重传次数5次。
按需探测:该机制在隧道闲置时间超过配置的时间,且此时有报文发送时,才会触发发送 DPD 探测消息。
五、配置验证
1、在分支上发起访问总部的感兴趣流,使分支与总部成功建立isakmp sa和ipsec sa;
2、断开总部路由器外网口线缆,此时分支检测到对端不可达,清除isakmp sa和ipsec sa,并重新发起协商
site1#show crypto isakmp sa
destinationsourcestateconn-idlifetime(second) //无协商成功的isakmp sa
site1#show crypto ipsec sa
Interface: FastEthernet 0/0
Crypto map tag:mymap
local ipv4 addr 10.0.0.2
media mtu 1500
==================================
sub_map type:static, seqno:10, id=0
local ident (addr/mask/prot/port): (192.168.1.0/0.0.0.255/0/0))
remote ident (addr/mask/prot/port): (192.168.0.0/0.0.0.255/0/0))
PERMIT
#pkts encaps: 8, #pkts encrypt: 8, #pkts digest 0
#pkts decaps: 8, #pkts decrypt: 8, #pkts verify 0
#send errors 2, #recv errors 0
No sa is created now.//无协商成功的ipsec sa