IKE 存活消息
IKE消息基于UDP,因此是无连接的,当对端失去IP连结性的时候,IKE和IPSec是无法发现的。会导致流量丢失,无法激活备用对等体,当对等体恢复后,对等体可能没有IKE和IPSec SA,导致后续加密分组到达对等体后,对等体因为没有有效的SA而丢弃。旧的IKE和IPSec SA仍可能存在,并影响新的IKE和IPSec SA的建立。
CIsco 支持在IOS IPSec对等体之间配置一种IKE存活机制。
crypto isakMp keøpalive 60 3
每个对等体定期的发送IKE存活消息,以告知对方自己处于活动状态。如果3条存活消息未得到确认,则对方不可达,进而删除相关的SA,如果有备用的对等体,则建立一条备用隧道。上述范例中,每60s发送一条存活消息,重试次数为3。IKE存活消息将被加密和验证,就像其他IIKE IPSec分组一样。这种方法无法检测对等体有效,但实际通信点不可达的这种情况。
失效对等体检测
失效对等体检测(DPD)可以代替IKE存活机制检测失效IPSec对等体,其拓展性更高,DPD 是一种基于数据流的检测方式。如果两个对等体之间有数据流交互,则DPD认为对等体都是有效的。另一方面,如果对等体之间不需要传递数据流,其实并不需要关心对等体之间是否有效。DPD避免发送多余的消息,给出现故障的网络中留出了更长的恢复时间。
在IPSec协商期间,使用厂商IE来协商DPD
若有收获,就点个赞吧
0 人点赞
