dpd 工作模式
dpd 有週期性工作模式和按需工作模式兩種。
1.週期性工作模式
週期性 dpd 會設臵乙個定時器,路由器會按照這個定時器所設臵的時間週期傳送dpd 資料報(除非這台路由器收到了源自於對端的 dpd 資料報)。
使用週期性 dpd 的優勢在於,能夠更快地檢測到有問題的對等體。然而,這樣頻繁的週期性的傳送 dpd 資料報,會消耗較多的裝置資源和網路資源。
2.按需工作模式
dpd 按需工作模式是 dpd 的預設工作模式。在這種工作模式下,dpd 資訊會基於流量形式的不同而採取不同的傳送方式。
如果路由器加密了資料並發給了對等體,但在一定時間內沒有解密任何源自於對等體的資料,那麼路由器就會向對方傳送 dpd 資訊來詢問對等體的狀態。如果一台路由器暫時不準備加密任何資料,那麼它也不會傳送 dpd 資訊。即使這個時候對等體已經 dead(有問題)。鑑於路由器並不準備傳送任何資料到這個對等體,因此這個對等體是否有問題,對於本地路由器而言沒有任何意義。對等體的問題可能只有等到 ike和 ipsec sa 不得不進行 rekey(金鑰更新)的時候才會被發現。
綜上所述我們會發現,按需工作模式相比於週期性工作模式的 dpd,會傳送更少的dpd 資訊,更加節約資源和網路頻寬,但檢測到有 ipsec vpn 閘道器故障所需的時間稍長。
hubip route 0.0.0.0 0.0.0.0 202.100.1.1
ip access-list extended vpn
permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key mima address 202.100.2.100
crypto isakmp keepalive 10 periodic
crypto ipsec transform-set yewu esp-aes esp-sha-hmac
mode tunnel
crypto map celue 10 ipsec-isakmp
set peer 202.100.2.100 default
set security-association idle-time 600
set transform-set yewu
match address vpn
inte***ce ethernet0/0
crypto map celue
gw1inte***ce ethernet0/1
standby 1 ip 202.100.2.100
standby 1 priority 105
standby 1 preempt
standby 1 name mingzi
redundancy
redundancy inter-device
scheme standby mingzi
ip route 0.0.0.0 0.0.0.0 202.100.2.4
ip access-list extended vpn
permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key mima address 202.100.1.2
crypto isakmp keepalive 10 periodic
crypto ipsec transform-set yewu esp-aes esp-sha-hmac
mode tunnel
crypto map celue 10 ipsec-isakmp
set peer 202.100.1.2
set security-association idle-time 600
set transform-set yewu
set reverse-route tag 10
match address vpn
reverse-route static
route-map s2ovpn permit 10
match tag 10
router ospf 110
redistribute static subnets route-map s2ovpn
inte***ce ethernet0/1
crypto map celue redundancy mingzi
gw2inte***ce ethernet0/1
standby 1 ip 202.100.2.100
standby 1 preempt
standby 1 name mingzi
redundancy
redundancy inter-device
scheme standby mingzi
ip route 0.0.0.0 0.0.0.0 202.100.2.4
ip access-list extended vpn
permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key mima address 202.100.1.2
crypto isakmp keepalive 10 periodic
crypto ipsec transform-set yewu esp-aes esp-sha-hmac
mode tunnel
crypto map celue 10 ipsec-isakmp
set peer 202.100.1.2
set security-association idle-time 600
set transform-set yewu
set reverse-route tag 10
match address vpn
reverse-route static
route-map s2ovpn permit 10
match tag 10
router ospf 110
redistribute static subnets route-map s2ovpn
inte***ce ethernet0/1
crypto map celue redundancy mingzi
思科OptionA解決方案
方案a 跨域vpn optiona方式需要在pe和asbr pe上分別配置vpn例項,前者用於接入ce,後者用於接入對端asbr pe 在pe和asbr之間執行mp ibgp協議交換vpn ipv4路由資訊。兩個asbr之間可以執行普通的pe ce路由協議 bgp或igp多例項 或靜態路由來互動vp...
思科安全解決方案 構建思科自防禦網路 pdf格式
思科安全解決方案 構建思科自防禦網路 目 錄安全為何如此重要 保護聲譽.2 遵守法規.2 減輕法律責任 2 高效的業務運營.2 從這些問題開始.2 在討論單個產品之前先介紹 思科自防禦網路.3 思科自防禦網路簡介.3 cisco asa 5500系列自適應安全產品 簡介 6 主要優勢.7 引發興趣的...
mysql 解決方案 Mysql解決方案
mysql解決方案 一 centos7安裝mysql5.7 wget rpm uvh mysql80 community release el7 3.noarch.rpm yum repolist all grep mysql 發現預設mysql8.0是預設安裝的,然而我們要安裝的是mysql5.7...