• 全部
  • 經驗案例
  • 典型配置
  • 技術公告
  • FAQ
  • 漏洞說明
  • 全部
  • 全部
  • 大數據引擎
  • 知了引擎
產品線
搜索
取消
案例類型
發布者
是否解決
是否官方
時間
搜索引擎
匹配模式
高級搜索

ike中的dpd配置後怎麼查看,命令是什麼

2025-03-07提問
  • 0關注
  • 0收藏,613瀏覽
粉絲:0人 關注:0人

問題描述:

ike中的dpd配置後怎麼查看,命令是什麼

組網及組網描述:

最佳答案

粉絲:115人 關注:8人

dis cur查看


2.11  配置全局IKE DPD功能

1. 功能簡介

DPD(Dead Peer Detection,對等體存活檢測)用於檢測對端是否存活。本端主動向對端發送DPD請求報文,對對端是否存活進行檢測。如果本端在DPD報文的重傳時間間隔(retry seconds)內未收到對端發送的DPD回應報文,則重傳DPD請求報文,若重傳四次之後仍然沒有收到對端的DPD回應報文,則刪除該IKE SA和對應的IPsec SA。

2. 配置限製和指導

·     IKE DPD有兩種模式:按需探測模式(on-demand)和定時探測模式(periodic)。一般若無特別要求,建議使用按需探測模式,在此模式下,僅在本端需要發送報文時,才會觸發探測;如果需要盡快地檢測出對端的狀態,則可以使用定時探測模式。在定時探測模式下工作,會消耗更多的帶寬和計算資源,因此當設備與大量的IKE對端通信時,應優先考慮使用按需探測模式。

·     如果IKE profile視圖下和係統視圖下都配置了DPD探測功能,則IKE profile視圖下的DPD配置生效,如果IKE profile視圖下沒有配置DPD探測功能,則采用係統視圖下的DPD配置。

·     建議配置的觸發IKE DPD探測的時間間隔大於DPD報文的重傳時間間隔,使得直到當前DPD探測結束才可以觸發下一次DPD探測,DPD在重傳過程中不觸發新的DPD探測。

·     以定時探測模式為例,若本端的IKE DPD配置如下:ike dpd interval 10 retry 6 periodic,則具體的探測過程為:IKE SA協商成功之後10秒,本端會發送DPD探測報文,並等待接收DPD回應報文。若本端在6秒內沒有收到DPD回應報文,則會第二次發送DPD探測報文。在此過程中總共會發送五次DPD探測報文,若第五次DPD探測報文發出後6秒仍沒收到DPD回應報文,則會刪除發送DPD探測報文的IKE SA及其對應的所有IPsec SA。若在此過程中收到了DPD回應報文,則會等待10秒再次發送DPD探測報文。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     配置IKE DPD功能。

ike dpd interval interval [ retry seconds ] { on-demand | periodic }

缺省情況下,IKE DPD功能處於關閉狀態。


<Sysname> display ike global-info

IKE identity type: FQDN

IKE identity: ***.***

IKE dpd: on-demand

IKE dpd interval (seconds): 200

IKE dpd retry (seconds): 20

IKE invalid-spi-recovery: disable

IKE limit max-negotiating-sa: 1024

IKE limit max-sa: 512

IKE nat-keepalive (seconds): 60

IKE signature-identity from-certificate: disable

IKE keepalive timeout (seconds): 4096

IKE keepalive interval (seconds): 2048

表2-1 display ike global-info命令顯示信息描述表

字段

描述

IKE identity type

IKE本端身份信息。取值包括:

·     IP-Address:以IP地址標識本端身份

·     DN:使用從數字證書中獲得的DN名作為本端身份

·     FQDN:以FQDN名稱標識本端身份

·     User-FQDN:以User FQDN名稱標識本端身份

IKE identity

IKE本端身份信息

IKE dpd

IKE DPD的探測模式。取值包括:

·     on-demand:指定按需探測模式

·     periodic:指定定時探測模式

IKE dpd interval (seconds)

IKE DPD 探測間隔

IKE dpd retry (seconds)

IKE DPD 報文重傳間隔

暫無評論

2 個回答
粉絲:31人 關注:1人

2.1.5  display ike dpd

【命令】

display ike dpd dpd-name ] [ | { begin | exclude | include } regular-expression ]

【視圖】

任意視圖

【缺省級別】

1:監控級

【參數】

dpd-name:指定DPD的名字,為1~32個字符的字符串。

|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。

begin:從包含指定正則表達式的行開始顯示。

exclude:隻顯示不包含指定正則表達式的行。

include:隻顯示包含指定正則表達式的行。

regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。

【描述】

display ike dpd命令用來顯示DPD配置的參數。

如果不指定參數dpd-name,將顯示所有DPD配置的參數。

相關配置可參考命令ike dpd

【舉例】

# 顯示DPD配置的參數。

<Sysname> display ike dpd

 

---------------------------

 IKE dpd: dpd1

   references: 1

   interval-time: 10

   time_out: 5

---------------------------

表2-1 display ike dpd命令顯示信息描述表

字段

描述

references

引用該DPD配置的IKE對等體的個數

Interval-time

經過多長時間沒有從對端收到IPsec報文則觸發DPD,單位為秒

time_out

DPD報文的重傳時間間隔,單位為秒

暫無評論

zhl188 五段
粉絲:1人 關注:2人

<Sysname> display ike global-info

IKE identity type: FQDN

IKE identity: ***.***

IKE dpd: on-demand

IKE dpd interval (seconds): 200

IKE dpd retry (seconds): 20

IKE invalid-spi-recovery: disable

IKE limit max-negotiating-sa: 1024

IKE limit max-sa: 512

IKE nat-keepalive (seconds): 60

IKE signature-identity from-certificate: disable

IKE keepalive timeout (seconds): 4096

IKE keepalive interval (seconds): 2048

表2-1 display ike global-info命令顯示信息描述表

字段

描述

IKE identity type

IKE本端身份信息。取值包括:

·     IP-Address:以IP地址標識本端身份

·     DN:使用從數字證書中獲得的DN名作為本端身份

·     FQDN:以FQDN名稱標識本端身份

·     User-FQDN:以User FQDN名稱標識本端身份

IKE identity

IKE本端身份信息

IKE dpd

IKE DPD的探測模式。取值包括:

·     on-demand:指定按需探測模式

·     periodic:指定定時探測模式

IKE dpd interval (seconds)

IKE DPD 探測間隔

IKE dpd retry (seconds)

IKE DPD 報文重傳間隔

IKE invalid-spi-recovery

針對無效IPsec SPI的IKE SA恢複功能開啟狀態。取值包括:

·     disable:針對無效IPsec SPI的IKE SA恢複功能未開啟

·     enable:針對無效IPsec SPI的IKE SA恢複功能已開啟

IKE limit max-negotiating-sa

允許同時處於協商狀態的IKE一階段和二階段SA的最大總數

IKE limit max-sa

允許建立的IKE一階段SA的最大數

IKE nat-keepalive (seconds)

向對端發送NAT Keepalive報文的間隔

IKE signature-identity from-certificate

設備使用由本端證書中獲得的身份信息參與數字簽名認證功能開啟狀態。取值包括:

·     disable:設備使用由本端證書中獲得的身份信息參與數字簽名認證功能未開啟

·     enable:設備使用由本端證書中獲得的身份信息參與數字簽名認證功能已開啟

IKE keepalive timeout (seconds)

本端等待對端發送IKE Keepalive報文的超時時間

IKE keepalive interval (seconds)

通過IKE SA向對端發送IKE Keepalive報文的間隔

暫無評論

編輯答案

你正在編輯答案

如果你要對問題或其他回答進行點評或詢問,請使用評論功能。

分享擴散:

提出建議

    +

親~登錄後才可以操作哦!

確定

親~檢測到您登陸的賬號未在http://hclhub.h3c.com進行注冊

注冊後可訪問此模塊

跳轉hclhub

你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作

舉報

×

侵犯我的權益 >
對根叔社區有害的內容 >
辱罵、歧視、挑釁等(不友善)

侵犯我的權益

×

泄露了我的隱私 >
侵犯了我企業的權益 >
抄襲了我的內容 >
誹謗我 >
辱罵、歧視、挑釁等(不友善)
騷擾我

泄露了我的隱私

×

您好,當您發現根叔知了上有泄漏您隱私的內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到pub.zhiliao@h3c.com 郵箱,我們會盡快處理。
  • 1. 您認為哪些內容泄露了您的隱私?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)

侵犯了我企業的權益

×

您好,當您發現根叔知了上有關於您企業的造謠與誹謗、商業侵權等內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到 pub.zhiliao@h3c.com 郵箱,我們會在審核後盡快給您答複。
  • 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
  • 3. 是哪家企業?(營業執照,單位登記證明等證件)
  • 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
我們認為知名企業應該坦然接受公眾討論,對於答案中不準確的部分,我們歡迎您以正式或非正式身份在根叔知了上進行澄清。

抄襲了我的內容

×

原文鏈接或出處

誹謗我

×

您好,當您發現根叔知了上有誹謗您的內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到pub.zhiliao@h3c.com 郵箱,我們會盡快處理。
  • 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
我們認為知名企業應該坦然接受公眾討論,對於答案中不準確的部分,我們歡迎您以正式或非正式身份在根叔知了上進行澄清。

對根叔社區有害的內容

×

垃圾廣告信息
色情、暴力、血腥等違反法律法規的內容
政治敏感
不規範轉載 >
辱罵、歧視、挑釁等(不友善)
騷擾我
誘導投票

不規範轉載

×

舉報說明