ike中的dpd配置後怎麼查看，命令是什麼

2.11  配置全局IKE DPD功能

1. 功能簡介

DPD（Dead Peer Detection，對等體存活檢測）用於檢測對端是否存活。本端主動向對端發送DPD請求報文，對對端是否存活進行檢測。如果本端在DPD報文的重傳時間間隔（retry seconds）內未收到對端發送的DPD回應報文，則重傳DPD請求報文，若重傳四次之後仍然沒有收到對端的DPD回應報文，則刪除該IKE SA和對應的IPsec SA。

2. 配置限製和指導

·     IKE DPD有兩種模式：按需探測模式（on-demand）和定時探測模式（periodic）。一般若無特別要求，建議使用按需探測模式，在此模式下，僅在本端需要發送報文時，才會觸發探測；如果需要盡快地檢測出對端的狀態，則可以使用定時探測模式。在定時探測模式下工作，會消耗更多的帶寬和計算資源，因此當設備與大量的IKE對端通信時，應優先考慮使用按需探測模式。

·     如果IKE profile視圖下和係統視圖下都配置了DPD探測功能，則IKE profile視圖下的DPD配置生效，如果IKE profile視圖下沒有配置DPD探測功能，則采用係統視圖下的DPD配置。

·     建議配置的觸發IKE DPD探測的時間間隔大於DPD報文的重傳時間間隔，使得直到當前DPD探測結束才可以觸發下一次DPD探測，DPD在重傳過程中不觸發新的DPD探測。

·     以定時探測模式為例，若本端的IKE DPD配置如下：ike dpd interval 10 retry 6 periodic，則具體的探測過程為：IKE SA協商成功之後10秒，本端會發送DPD探測報文，並等待接收DPD回應報文。若本端在6秒內沒有收到DPD回應報文，則會第二次發送DPD探測報文。在此過程中總共會發送五次DPD探測報文，若第五次DPD探測報文發出後6秒仍沒收到DPD回應報文，則會刪除發送DPD探測報文的IKE SA及其對應的所有IPsec SA。若在此過程中收到了DPD回應報文，則會等待10秒再次發送DPD探測報文。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     配置IKE DPD功能。

ike dpd interval interval [ retry seconds ] { on-demand | periodic }

缺省情況下，IKE DPD功能處於關閉狀態。

<Sysname> display ike global-info

IKE identity type: FQDN

IKE identity: ***.***

IKE dpd: on-demand

IKE dpd interval (seconds): 200

IKE dpd retry (seconds): 20

IKE invalid-spi-recovery: disable

IKE limit max-negotiating-sa: 1024

IKE limit max-sa: 512

IKE nat-keepalive (seconds): 60

IKE signature-identity from-certificate: disable

IKE keepalive timeout (seconds): 4096

IKE keepalive interval (seconds): 2048

表2-1 display ike global-info命令顯示信息描述表