跳转到主要内容

IKE SA keepalive与IKE DPD命令的作用、区别与联系

故障描述
  IKE SA keepalive与IKE DPD命令的作用相同,用于检测IPSEC对端设备IKE SA的保活状态,同步更新本端IKE SA,用于解决以下场景中需要手工复位一端IPSEC SA的问题:   1、IPSEC两端IPSEC及IKE SA配置不一致,一端IKE SA过期拆除后,另一端IKE SA任处于保活状态,导致后续新的IKE SA无法建立。   2、两端IPSEC IKE SA配置一致,但一端设备掉电或异常重启,导致一端IKE SA任处于保活状态,导致后续新的IKE SA无法建立。
故障分析
  IPSEC IKE SA的两端状态不一致,导致新的IPSEC SA无法建立,必须手工复位一端的IPSEC IKE SA。
处理过程
  为了解决IPSEC两端IPSEC IKE SA保活状态一致的问题,可以配置IKE SA keepalive与IKE DPD,配置如下:   IKE SA keepalive配置   ike sa keepalive-timer interval 30   ike sa keepalive-timer timeout 90   IKE DPD配置   ike dpd on-demand 30 5   IKE SA keepalive与IKE DPD配置作用相同,可以同时配置IKE SA keepalive与IKE DPD或其中的一种,推荐配置IKE DPD,ike dpd和ike sa keepalive-timer interval命令都是用来检测隧道对端的设备是否工作正常,区别是ike dpd命令更节省带宽,该命令只在报文发送之前或隧道中没有报文时才会发送检测报文,而不是周期性的发送检测报文。
建议/总结
  1、所有IPSEC配置都建议添加IKE DPD或IKE SA keepalive。部分老版防火墙只有IKE SA keepalive命令。   2、IKE SA keepalive与IKE DPD的配置必须成对相同配置,仅配置一端或参数配置不一致仍然会出现需要手工复位SA的情况。