思科DPD 解決方案

2021-10-08 16:29:02 字數 3352 閱讀 7126

dpd 工作模式

dpd 有週期性工作模式和按需工作模式兩種。

1.週期性工作模式

週期性 dpd 會設臵乙個定時器,路由器會按照這個定時器所設臵的時間週期傳送dpd 資料報(除非這台路由器收到了源自於對端的 dpd 資料報)。

使用週期性 dpd 的優勢在於,能夠更快地檢測到有問題的對等體。然而,這樣頻繁的週期性的傳送 dpd 資料報,會消耗較多的裝置資源和網路資源。

2.按需工作模式

dpd 按需工作模式是 dpd 的預設工作模式。在這種工作模式下,dpd 資訊會基於流量形式的不同而採取不同的傳送方式。

如果路由器加密了資料並發給了對等體,但在一定時間內沒有解密任何源自於對等體的資料,那麼路由器就會向對方傳送 dpd 資訊來詢問對等體的狀態。如果一台路由器暫時不準備加密任何資料,那麼它也不會傳送 dpd 資訊。即使這個時候對等體已經 dead(有問題)。鑑於路由器並不準備傳送任何資料到這個對等體,因此這個對等體是否有問題,對於本地路由器而言沒有任何意義。對等體的問題可能只有等到 ike和 ipsec sa 不得不進行 rekey(金鑰更新)的時候才會被發現。

綜上所述我們會發現,按需工作模式相比於週期性工作模式的 dpd,會傳送更少的dpd 資訊,更加節約資源和網路頻寬,但檢測到有 ipsec vpn 閘道器故障所需的時間稍長。

hubip route 0.0.0.0 0.0.0.0 202.100.1.1

ip access-list extended vpn

permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

crypto isakmp policy 10

encr aes

authentication pre-share

group 2

crypto isakmp key mima address 202.100.2.100

crypto isakmp keepalive 10 periodic

crypto ipsec transform-set yewu esp-aes esp-sha-hmac

mode tunnel

crypto map celue 10 ipsec-isakmp

set peer 202.100.2.100 default

set security-association idle-time 600

set transform-set yewu

match address vpn

inte***ce ethernet0/0

crypto map celue

gw1inte***ce ethernet0/1

standby 1 ip 202.100.2.100

standby 1 priority 105

standby 1 preempt

standby 1 name mingzi

redundancy

redundancy inter-device

scheme standby mingzi

ip route 0.0.0.0 0.0.0.0 202.100.2.4

ip access-list extended vpn

permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

crypto isakmp policy 10

encr aes

authentication pre-share

group 2

crypto isakmp key mima address 202.100.1.2

crypto isakmp keepalive 10 periodic

crypto ipsec transform-set yewu esp-aes esp-sha-hmac

mode tunnel

crypto map celue 10 ipsec-isakmp

set peer 202.100.1.2

set security-association idle-time 600

set transform-set yewu

set reverse-route tag 10

match address vpn

reverse-route static

route-map s2ovpn permit 10

match tag 10

router ospf 110

redistribute static subnets route-map s2ovpn

inte***ce ethernet0/1

crypto map celue redundancy mingzi

gw2inte***ce ethernet0/1

standby 1 ip 202.100.2.100

standby 1 preempt

standby 1 name mingzi

redundancy

redundancy inter-device

scheme standby mingzi

ip route 0.0.0.0 0.0.0.0 202.100.2.4

ip access-list extended vpn

permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

crypto isakmp policy 10

encr aes

authentication pre-share

group 2

crypto isakmp key mima address 202.100.1.2

crypto isakmp keepalive 10 periodic

crypto ipsec transform-set yewu esp-aes esp-sha-hmac

mode tunnel

crypto map celue 10 ipsec-isakmp

set peer 202.100.1.2

set security-association idle-time 600

set transform-set yewu

set reverse-route tag 10

match address vpn

reverse-route static

route-map s2ovpn permit 10

match tag 10

router ospf 110

redistribute static subnets route-map s2ovpn

inte***ce ethernet0/1

crypto map celue redundancy mingzi

思科OptionA解決方案

方案a 跨域vpn optiona方式需要在pe和asbr pe上分別配置vpn例項,前者用於接入ce,後者用於接入對端asbr pe 在pe和asbr之間執行mp ibgp協議交換vpn ipv4路由資訊。兩個asbr之間可以執行普通的pe ce路由協議 bgp或igp多例項 或靜態路由來互動vp...

思科安全解決方案 構建思科自防禦網路 pdf格式

思科安全解決方案 構建思科自防禦網路 目 錄安全為何如此重要 保護聲譽.2 遵守法規.2 減輕法律責任 2 高效的業務運營.2 從這些問題開始.2 在討論單個產品之前先介紹 思科自防禦網路.3 思科自防禦網路簡介.3 cisco asa 5500系列自適應安全產品 簡介 6 主要優勢.7 引發興趣的...

mysql 解決方案 Mysql解決方案

mysql解決方案 一 centos7安裝mysql5.7 wget rpm uvh mysql80 community release el7 3.noarch.rpm yum repolist all grep mysql 發現預設mysql8.0是預設安裝的,然而我們要安裝的是mysql5.7...