IKE SA keepalive与IKE DPD命令的作用、区别与联系

发布时间:  2012-07-17 浏览次数:  327 下载次数:  0
问题描述

IKE SA keepalive与IKE DPD命令的作用相同,用于检测IPSEC对端设备IKE SA的保活状态,同步更新本端IKE SA,用于解决以下场景中需要手工复位一端IPSEC SA的问题:

1、IPSEC两端IPSEC及IKE SA配置不一致,一端IKE SA过期拆除后,另一端IKE SA任处于保活状态,导致后续新的IKE SA无法建立。

2、两端IPSEC IKE SA配置一致,但一端设备掉电或异常重启,导致一端IKE SA任处于保活状态,导致后续新的IKE SA无法建立。

告警信息
处理过程

为了解决IPSEC两端IPSEC IKE SA保活状态一致的问题,可以配置IKE SA keepalive与IKE DPD,配置如下:

IKE SA keepalive配置

ike sa keepalive-timer interval 30
ike sa keepalive-timer timeout 90

IKE DPD配置
 
ike dpd on-demand 30 5

IKE SA keepalive与IKE DPD配置作用相同,可以同时配置IKE SA keepalive与IKE DPD或其中的一种,推荐配置IKE DPD,ike dpd和ike sa keepalive-timer interval命令都是用来检测隧道对端的设备是否工作正常,区别是ike dpd命令更节省带宽,该命令只在报文发送之前或隧道中没有报文时才会发送检测报文,而不是周期性的发送检测报文。

根因
IPSEC IKE SA的两端状态不一致,导致新的IPSEC SA无法建立,必须手工复位一端的IPSEC IKE SA。
建议与总结

1、所有IPSEC配置都建议添加IKE DPD或IKE SA keepalive。部分老版防火墙只有IKE SA keepalive命令。

2、IKE SA keepalive与IKE DPD的配置必须成对相同配置,仅配置一端或参数配置不一致仍然会出现需要手工复位SA的情况。

END