목차
특징
DPD(Dead PeerDetection)는 피어 간의 통신 중단을 피하기 위해 피어(피어)가 살아 있는지 여부를 감지하거나 한쪽 끝의 IPSEC SA가 지워진 후 다른 쪽 끝이 계속 IPSEC를 사용하는지 감지하는 데 사용되는 IPSEC 프로토콜의 메커니즘입니다. 데이터를 캡슐화하여 피어에게 전송하면 암호화해야 하는 데이터 통신이 중단됩니다.
한쪽 끝이 DPD를 통해 반대쪽 끝을 감지하지 못하면 로컬 장치는 해당 isakmp sa 및 ipsec sa를 삭제합니다. 동시에 새로운 관심 흐름이 있는 경우(또는 자동 실행 기능이 구성됨) isakmp 협상이 이루어집니다. sa 및 ipsec sa가 다시 시작됩니다.
DPD 기능은 두 IPSEC 피어 모두에서 필수 구성이 아니며 일반적으로 데이터 개시자에서만 구성하면 됩니다. 예를 들어 중앙 지점 토폴로지에서 모든 비즈니스 데이터가 본사와 통신하기 위해 지점에서 먼저 시작되고 본사가 지점에 적극적으로 액세스할 필요가 없는 경우 지점에서만 DPD를 구성하면 됩니다.
1. 네트워킹 요구 사항
지점과 본사 사이의 통신이 중단되는 것을 방지하기 위해 지점과 본사 간 IPSEC 피어의 생존을 감지하도록 지점에 DPD 기술을 구성하거나, 본사 라우터에서 지점에 해당하는 IPSEC SA가 비정상적으로 삭제되는 경우 지점과 본사 데이터가 본사로 전송되어 본사에서는 해당 데이터를 정상적으로 복호화할 수 없어 데이터 통신이 중단되었습니다.
2. 네트워크 토폴로지
3. 구성 포인트
1. 기본 IPSEC 기능 구성
2. 분기 1에서 DPD 기능을 구성합니다.
4. 구성 단계
1. 기본 IPSEC 기능 구성
현장 환경과 고객 요구에 따라 적절한 IPSEC 배포 솔루션을 선택하십시오. 자세한 구성은 IPSEC " 기본 구성 " 장을 참조하십시오(일반 구성--->보안--->IPSEC--->기본 구성 )
2. 분기 1에서 DPD 기능을 구성합니다.
crypto isakmp keepalive 10 on-demand //DPD 감지 기간을 10초로 구성합니다(시간이 너무 짧아서는 안 됩니다. 그렇지 않으면 네트워크 지연 문제로 인해 SIPEC가 자주 중단됩니다). 감지 모드는 온디맨드입니다.
참고: DPD에는 주기적 감지와 주문형 감지의 두 가지 감지 모드가 있으며 일반적으로 주문형 감지 모드를 사용할 수 있습니다.
주기적 탐지: 이 메커니즘은 구성된 시간이 초과된 후 주기적으로 DPD 탐지 메시지를 사전에 전송하며, 기본 최대 재전송 횟수는 5입니다.
주문형 감지: 이 메커니즘은 터널 유휴 시간이 구성된 시간을 초과하고 이때 패킷이 전송되는 경우에만 DPD 감지 메시지 전송을 트리거합니다.
5. 구성 확인
1. 지점과 본사 사이에 isakmp sa 및 ipsec sa가 성공적으로 구축될 수 있도록 지점의 본사에 액세스하는 흥미로운 흐름을 시작합니다.
2. 본사 라우터의 외부 네트워크 포트 케이블을 분리합니다.이 때 지점에서는 Peer에 연결할 수 없음을 감지하고 isakmp sa 및 ipsec sa를 지우고 협상을 다시 시작합니다.
site1#암호화 isakmp sa 표시
Destinationsourcestateconn-idlifetime(second) //성공적인 협상이 없는 isakmp sa
site1#암호화 IPsec 표시
인터페이스: FastEthernet 0/0
암호화 지도 태그:mymap
로컬 ipv4 주소 10.0.0.2
미디어 1500명
==================================
하위 맵 유형:정적, seqno:10, id=0
로컬 ID(주소/마스크/prot/포트): (192.168.1.0/0.0.0.255/0/0))
원격 ID(주소/마스크/prot/포트): (192.168.0.0/0.0.0.255/0/0))
허용하다
#pkts 캡슐화: 8, #pkts 암호화: 8, #pkts 다이제스트 0
#pkts 디캡: 8, #pkts 해독: 8, #pkts 확인 0
#send 오류 2, #recv 오류 0
이제 sa가 생성되지 않습니다. //성공적인 협상이 없는 IPsec sa