Keepalive Feature


Keepalive作用
当×××建立后,中间设备出现任何路由问题、Peer重启等其它意外问题,会造成一个IPSEC黑洞效应。因为默认IPSEC SA生存时间为1小时,那么在这1小时内加密的数据包送到一个没有SA的对端。并且持续消耗着×××设备的CPU资源。
Keepalive工作原理
ISAKMP Keepalive存在两种发包机制,一种是周期性(Periodic),另一种是no-demand
Crypto ISAKMP keepalive 10 2 periodic
每10s发送DPD报文,2s没有响应认为对端SA不存在,删除自身SA重新协商。
Crypto ISAKMP keepalive 10 2 no-demand
当本端只有加密报文没有解密报文时发送DPD
默认路由器为no-demand模式
Keepalive Feature需要双方协商!