vpn keeplive机制

如果对方某个接口dwon,这边的安全关联是不会消失的,生存期是1个小时。1个小时加密的流量相当于被仍到黑洞里面去。永远只有加密。

我们希望能够探测到这个安全是否ok,那么我们需要一个包活机制,来周期性的发送一个hello包,来探测对方的活动状态,这个技术叫做cry isakmp keeplive.这个机制都两种,一个是周期性的发送dpd包,每10秒钟,如果对方没有回应的话,发现sa不行了,就可以关掉第一阶段的isakmp的sa和第二阶段的ipsec的sa,周期的发送很快就能探测到,但是这个机制由于周期的发送,所以浪费了很多包,浪费资源。后来出现了一个新的技术on-dcmand,是按需的,就是默认情况下我不会像这样周期性的发送keeplive包,如果能够成功的加密解密流量,说明sa是活着的,所以没必要发送keeplive包,只有当我发送包出去了,在一定时间以内你没有回包,就觉得可能有问题了,就会发送dpd(死亡对端检测)包进行询问,这个包加密发送出去,尽然没有解密回来,我认为这个可能会有问题,这个时候发送dpd,如果成功回来说明没有问题。如果没有回,我会关掉第一阶段的sa,第二阶段的sa.启用周期keeplive方法:

cry isakmp keepalive 10 periodic (10秒钟周期性的发送dpd)

之二个技术的使用是双方协商的,只有双方都支持才能ok!如果只在一边配置,另一边不配置是没有这个机制存在的。

启用on-dcomand:

crypto isakmp keepalive 10(默认就是on-dcomand)