Keepalive Feature
Keepalive作用
當×××建立後,中間裝置出現任何路由問題、Peer重新開機等其它意外問題,會造成一個IPSEC黑洞效應。因為預設IPSEC SA生存時間為1小時,那麼在這1小時内加密的資料包送到一個沒有SA的對端。并且持續消耗着×××裝置的CPU資源。
Keepalive工作原理
ISAKMP Keepalive存在兩種發包機制,一種是周期性(Periodic),另一種是no-demand
Crypto ISAKMP keepalive 10 2 periodic
每10s發送DPD封包,2s沒有響應認為對端SA不存在,删除自身SA重新協商。
Crypto ISAKMP keepalive 10 2 no-demand
當本端隻有加密封包沒有解密封包時發送DPD
預設路由器為no-demand模式
Keepalive Feature需要雙方協商!
轉載于:https://blog.51cto.com/ciscoskys/851312