VPN:配置对等体存活检测
2021-11-25
来源:计算机与网络安全
关键词:
VPN
在对等体间进行IPSec通信时,Heartbeat机制能够检测对端故障,可以防止流量的丢失,但周期性的heartbeat消息消耗了两端的CPU资源。而对等体存活检测DPD(Dead Peer Detection)机制可在通过dpd消息检测对端故障的同时,降低CPU资源的消耗。
Heartbeat机制和DPD机制的区别如下。Heartbeat机制定期发送查询,本端和对端配置需要匹配;DPD机制中本端和对端不需要匹配,当对等体间有正常的IPSec流量时,不会发送DPD消息,只有当一段时间内收不到对端发来的IPSec报文时,才发送DPD消息,节省了CPU资源。当设备同时使用heartbeat机制和DPD机制时,DPD机制生效。两端DPD参数可以单独配置(除DPD报文中的载荷顺序需要匹配外)。
设备根据dpd type命令设置以下两种检测模式开启DPD查询,通过DPD消息检测对等体是否存活。
按需型:当本端需要向对端发送IPSec报文时,如判断当前距离最后一次收到对端IPSec报文的时间已超过DPD空闲时间,则本端主动向对端发送DPD请求报文。
周期型:如判断当前距离最后一次收到对端IPSec报文的时间已超过DPD空闲时间,则本端主动向对端发送DPD请求报文。
本端主动向对端发送DPD请求报文后,若在DPD报文重传间隔内没有收到对端的DPD回应报文,则向对端重传DPD请求报文,根据重传次数进行重传之后若仍然没有收到对端的DPD回应报文,则认为对端离线,删除该IKE SA和对应的IPSec SA。配置对等体存活检测的具体步骤见表1。
本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306116;邮箱:aet@chinaaet.com。