VPN配置对等体存活测验
发布时间:2022-01-05 10:38:54 所属栏目:安全 来源:互联网
导读:在对等体间进行IPSec通信时,Heartbeat机制能够检测对端故障,可以防止流量的丢失,但周期性的heartbeat消息消耗了两端的CPU资源。而对等体存活检测DPD(Dead Peer Detection)机制可在通过dpd消息检测对端故障的同时,降低CPU资源的消耗。 Heartbeat机制和D
|
在对等体间进行IPSec通信时,Heartbeat机制能够检测对端故障,可以防止流量的丢失,但周期性的heartbeat消息消耗了两端的CPU资源。而对等体存活检测DPD(Dead Peer Detection)机制可在通过dpd消息检测对端故障的同时,降低CPU资源的消耗。 Heartbeat机制和DPD机制的区别如下。Heartbeat机制定期发送查询,本端和对端配置需要匹配;DPD机制中本端和对端不需要匹配,当对等体间有正常的IPSec流量时,不会发送DPD消息,只有当一段时间内收不到对端发来的IPSec报文时,才发送DPD消息,节省了CPU资源。当设备同时使用heartbeat机制和DPD机制时,DPD机制生效。两端DPD参数可以单独配置(除DPD报文中的载荷顺序需要匹配外)。 设备根据dpd type命令设置以下两种检测模式开启DPD查询,通过DPD消息检测对等体是否存活。按需型:当本端需要向对端发送IPSec报文时,如判断当前距离最后一次收到对端IPSec报文的时间已超过DPD空闲时间,则本端主动向对端发送DPD请求报文。 周期型:如判断当前距离最后一次收到对端IPSec报文的时间已超过DPD空闲时间,则本端主动向对端发送DPD请求报文。本端主动向对端发送DPD请求报文后,若在DPD报文重传间隔内没有收到对端的DPD回应报文,则向对端重传DPD请求报文,根据重传次数进行重传之后若仍然没有收到对端的DPD回应报文,则认为对端离线,删除该IKE SA和对应的IPSec SA。 (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐