Replay Protection
- 给每个加密后的数据包分配唯一的 seq,对端在解密时,会对seq 进行监测,Anti-Reply 机制会丢弃重复的 或者 旧的数据包
- 可以设置监控的窗口大小 window-size ,默认是64个数据包,Cisco建议使用最大值1024
- crypto ipsec security-association replay window-size window-size
- 每个incoming IPsec SA 需要提供额外128Bytes 空间来存储 seq
Dear Peer Detection
- 监测对端是否存活,有2种工作模式
- on-demand 按需模式,只有在需要沟通时才会监测,发送ARE-U-THERE 的数据包,如果对端没有响应,则按照retry internal 重复5次,如果还没有收到响应,就宣告对方 Dead
- periodic 周期模式:周期性发送ARE-U-THERE 的数据,较为常用
- crypto isamkp keepalive
NAT Keepalives
- 两端之间的设备在做NAT,而IPsec 穿越NAT。NAT会话会维持1个 Timer,如果会话停止,就会开始倒计时,到0后,NAT记录就会被清空。
- NAT 重新建立时,可能会改变Port、IP,导致IPsec 连接失效,
- 为了避免IPsec 通信空档期,连接被断掉。就需要设置NAT Keep alive,NAT keepalive 是1个 UDP数据包,包含1个未经加密的字节,让中间设备认为两端设备一直有通信,而不会激活倒计时,会话不会被断掉
- crypto isakmp nat keepalive seconds
若有收获,就点个赞吧
0 人点赞
