ike中的dpd配置後怎麼查看,命令是什麼
無
(0)
最佳答案
dis cur查看
DPD(Dead Peer Detection,對等體存活檢測)用於檢測對端是否存活。本端主動向對端發送DPD請求報文,對對端是否存活進行檢測。如果本端在DPD報文的重傳時間間隔(retry seconds)內未收到對端發送的DPD回應報文,則重傳DPD請求報文,若重傳四次之後仍然沒有收到對端的DPD回應報文,則刪除該IKE SA和對應的IPsec SA。
· IKE DPD有兩種模式:按需探測模式(on-demand)和定時探測模式(periodic)。一般若無特別要求,建議使用按需探測模式,在此模式下,僅在本端需要發送報文時,才會觸發探測;如果需要盡快地檢測出對端的狀態,則可以使用定時探測模式。在定時探測模式下工作,會消耗更多的帶寬和計算資源,因此當設備與大量的IKE對端通信時,應優先考慮使用按需探測模式。
· 如果IKE profile視圖下和係統視圖下都配置了DPD探測功能,則IKE profile視圖下的DPD配置生效,如果IKE profile視圖下沒有配置DPD探測功能,則采用係統視圖下的DPD配置。
· 建議配置的觸發IKE DPD探測的時間間隔大於DPD報文的重傳時間間隔,使得直到當前DPD探測結束才可以觸發下一次DPD探測,DPD在重傳過程中不觸發新的DPD探測。
· 以定時探測模式為例,若本端的IKE DPD配置如下:ike dpd interval 10 retry 6 periodic,則具體的探測過程為:IKE SA協商成功之後10秒,本端會發送DPD探測報文,並等待接收DPD回應報文。若本端在6秒內沒有收到DPD回應報文,則會第二次發送DPD探測報文。在此過程中總共會發送五次DPD探測報文,若第五次DPD探測報文發出後6秒仍沒收到DPD回應報文,則會刪除發送DPD探測報文的IKE SA及其對應的所有IPsec SA。若在此過程中收到了DPD回應報文,則會等待10秒再次發送DPD探測報文。
(1) 進入係統視圖。
system-view
(2) 配置IKE DPD功能。
ike dpd interval interval [ retry seconds ] { on-demand | periodic }
缺省情況下,IKE DPD功能處於關閉狀態。
<Sysname> display ike global-info
IKE identity type: FQDN
IKE identity: ***.***
IKE dpd: on-demand
IKE dpd interval (seconds): 200
IKE dpd retry (seconds): 20
IKE invalid-spi-recovery: disable
IKE limit max-negotiating-sa: 1024
IKE limit max-sa: 512
IKE nat-keepalive (seconds): 60
IKE signature-identity from-certificate: disable
IKE keepalive timeout (seconds): 4096
IKE keepalive interval (seconds): 2048
表2-1 display ike global-info命令顯示信息描述表
字段 | 描述 |
IKE identity type | IKE本端身份信息。取值包括: · IP-Address:以IP地址標識本端身份 · DN:使用從數字證書中獲得的DN名作為本端身份 · FQDN:以FQDN名稱標識本端身份 · User-FQDN:以User FQDN名稱標識本端身份 |
IKE identity | IKE本端身份信息 |
IKE dpd | IKE DPD的探測模式。取值包括: · on-demand:指定按需探測模式 · periodic:指定定時探測模式 |
IKE dpd interval (seconds) | IKE DPD 探測間隔 |
IKE dpd retry (seconds) | IKE DPD 報文重傳間隔 |
(0)
【命令】
display ike dpd [ dpd-name ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
dpd-name:指定DPD的名字,為1~32個字符的字符串。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ike dpd命令用來顯示DPD配置的參數。
如果不指定參數dpd-name,將顯示所有DPD配置的參數。
相關配置可參考命令ike dpd。
【舉例】
# 顯示DPD配置的參數。
<Sysname> display ike dpd
---------------------------
IKE dpd: dpd1
references: 1
interval-time: 10
time_out: 5
---------------------------
表2-1 display ike dpd命令顯示信息描述表
字段 | 描述 |
references | 引用該DPD配置的IKE對等體的個數 |
Interval-time | 經過多長時間沒有從對端收到IPsec報文則觸發DPD,單位為秒 |
time_out | DPD報文的重傳時間間隔,單位為秒 |
(0)
暫無評論
<Sysname> display ike global-info
IKE identity type: FQDN
IKE identity: ***.***
IKE dpd: on-demand
IKE dpd interval (seconds): 200
IKE dpd retry (seconds): 20
IKE invalid-spi-recovery: disable
IKE limit max-negotiating-sa: 1024
IKE limit max-sa: 512
IKE nat-keepalive (seconds): 60
IKE signature-identity from-certificate: disable
IKE keepalive timeout (seconds): 4096
IKE keepalive interval (seconds): 2048
表2-1 display ike global-info命令顯示信息描述表
字段 | 描述 |
IKE identity type | IKE本端身份信息。取值包括: · IP-Address:以IP地址標識本端身份 · DN:使用從數字證書中獲得的DN名作為本端身份 · FQDN:以FQDN名稱標識本端身份 · User-FQDN:以User FQDN名稱標識本端身份 |
IKE identity | IKE本端身份信息 |
IKE dpd | IKE DPD的探測模式。取值包括: · on-demand:指定按需探測模式 · periodic:指定定時探測模式 |
IKE dpd interval (seconds) | IKE DPD 探測間隔 |
IKE dpd retry (seconds) | IKE DPD 報文重傳間隔 |
IKE invalid-spi-recovery | 針對無效IPsec SPI的IKE SA恢複功能開啟狀態。取值包括: · disable:針對無效IPsec SPI的IKE SA恢複功能未開啟 · enable:針對無效IPsec SPI的IKE SA恢複功能已開啟 |
IKE limit max-negotiating-sa | 允許同時處於協商狀態的IKE一階段和二階段SA的最大總數 |
IKE limit max-sa | 允許建立的IKE一階段SA的最大數 |
IKE nat-keepalive (seconds) | 向對端發送NAT Keepalive報文的間隔 |
IKE signature-identity from-certificate | 設備使用由本端證書中獲得的身份信息參與數字簽名認證功能開啟狀態。取值包括: · disable:設備使用由本端證書中獲得的身份信息參與數字簽名認證功能未開啟 · enable:設備使用由本端證書中獲得的身份信息參與數字簽名認證功能已開啟 |
IKE keepalive timeout (seconds) | 本端等待對端發送IKE Keepalive報文的超時時間 |
IKE keepalive interval (seconds) | 通過IKE SA向對端發送IKE Keepalive報文的間隔 |
(0)
暫無評論
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
暫無評論