IKE SA keepalive與IKE DPD命令的作用相同,用于檢測IPSEC對端設備IKE SA的保活狀態,同步更新本端IKE SA,用于解決以下場景中需要手工復位一端IPSEC SA的問題:
1、IPSEC兩端IPSEC及IKE SA配置不一致,一端IKE SA過期拆除后,另一端IKE SA任處于保活狀態,導致后續新的IKE SA無法建立。
2、兩端IPSEC IKE SA配置一致,但一端設備掉電或異常重啟,導致一端IKE SA任處于保活狀態,導致后續新的IKE SA無法建立。
IPSEC IKE SA的兩端狀態不一致,導致新的IPSEC SA無法建立,必須手工復位一端的IPSEC IKE SA。
為了解決IPSEC兩端IPSEC IKE SA保活狀態一致的問題,可以配置IKE SA keepalive與IKE DPD,配置如下:
IKE SA keepalive配置
ike sa keepalive-timer interval 30
ike sa keepalive-timer timeout 90
IKE DPD配置
ike dpd on-demand 30 5
IKE SA keepalive與IKE DPD配置作用相同,可以同時配置IKE SA keepalive與IKE DPD或其中的一種,推薦配置IKE DPD,ike dpd和ike sa keepalive-timer interval命令都是用來檢測隧道對端的設備是否工作正常,區別是ike dpd命令更節省帶寬,該命令只在報文發送之前或隧道中沒有報文時才會發送檢測報文,而不是周期性的發送檢測報文。
1、所有IPSEC配置都建議添加IKE DPD或IKE SA keepalive。部分老版防火墻只有IKE SA keepalive命令。
2、IKE SA keepalive與IKE DPD的配置必須成對相同配置,僅配置一端或參數配置不一致仍然會出現需要手工復位SA的情況。