問題描述:
ike profile xxx
keychain xxxxx
dpd interval 3 periodic
exchange-mode aggressive
local-identity user-fqdn xxxx
match remote identity address x.x.x.x 255.255.255.255
match local address x.x.x.x
分支的ike profile配置如上,在晚上互聯網線路中斷並恢複後,發現華三的ike sa沒有自動清除,而總部由於是配置的僅響應,所以導致vpn一直中斷。
dpd interval 3 periodic 這裏沒有配置retry參數的話是否會導致dpd不生效?
- 2025-02-20提問
- 舉報
-
(0)
最佳答案
配置DPD(Dead Peer Detection)功能時,`retry`參數的設置確實對DPD機製的正常運行至關重要。`retry`參數定義了在檢測到對端設備無響應後,設備將嚐試多少次DPD探測報文發送。如果在所有重試嚐試後仍未收到響應,IKE SA將被刪除,以避免資源占用和潛在的安全問題。 在您給出的配置中,`dpd interval 3 periodic`命令僅指定了DPD探測的間隔時間,但未指定`retry`參數。在Comware V7係統中,如果未明確配置`retry`參數,係統將使用缺省值。缺省情況下,`retry`參數的值為5次。這意味著,即使您未顯式地在命令中指定`retry`參數,設備仍將按照缺省的5次重試進行DPD探測。 然而,為了確保DPD功能的明確性和可預測性,建議您在配置DPD時明確指定`retry`參數,以避免因未知的缺省行為導致的不確定性。
- 2025-02-20回答
- 評論(2)
- 舉報
-
(0)
那再請教一下,這裏ike sa不自動清除是什麼情況?如果排查這個問題?
這個要找二線看一下,這裏有個之前的案例 deb顯示ike sa超過限製,但是display ike sa ,分支側實際無在使用的ike sa,懷疑是軟件ike模塊內部實現存在問題。 經過確認現場版本R6728P1401存在ike sa的內存無法釋放問題,概率性觸發
沒有配置retry參數不會導致DPD不生效。
在IKE配置中,dpd interval參數定義了DPD探測的時間間隔,而periodic表示這是一個周期性探測
- 2025-02-20回答
- 評論(1)
- 舉報
-
(0)
那再請教一下,這裏ike sa不自動清除是什麼情況?如果排查這個問題?
那再請教一下,這裏ike sa不自動清除是什麼情況?如果排查這個問題?
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
這個要找二線看一下,這裏有個之前的案例 deb顯示ike sa超過限製,但是display ike sa ,分支側實際無在使用的ike sa,懷疑是軟件ike模塊內部實現存在問題。 經過確認現場版本R6728P1401存在ike sa的內存無法釋放問題,概率性觸發