IPSec的高可用性技术
认识IPSec
认识IPSecIPSec(互联网协议安全)是一个安全网络协议套件,用于保护互联网或公共网络传输的数据。
IETF在1990 年代中期开发了IPSec 协议,它通过IP网络数据包的身份验证和加密来提供IP 层的安全性。
IPSec简介IPSec 可为通信两端设备提供安全通道,比如用于两个路由器之间以创建点到点VPN,以及在防火墙和Windows 主机之间用于远程访问VPN等。
IPSec 可以实现以下4项功能:•数据机密性:IPSec发送方将包加密后再通过网络发送,可以保证在传输过程中,即使数据包遭截取,信息也无法被读取。
•数据完整性:IPSec可以验证IPSec发送方发送过来的数据包,以确保数据传输时没有被改变。
若数据包遭篡改导致检查不相符,将会被丢弃。
•数据认证:IPSec接受方能够鉴别IPSec包的发送起源,此服务依赖数据的完整性。
•防重放:确保每个IP包的唯一性,保证信息万一被截取复制后不能再被重新利用,不能重新传输回目的地址。
该特性可以防止攻击者截取破译信息后,再用相同的信息包获取非法访问权。
IPSec 不是一个协议,而是一套协议,以下构成了IPSec 套件:AH协议AH(Authentication Header)指一段报文认证代码,确保数据包来自受信任的发送方,且数据没有被篡改,就像日常生活中的外卖封条一样。
在发送前,发送方会用一个加密密钥算出AH,接收方用同一或另一密钥对之进行验证。
然而,AH并不加密所保护的数据报,无法向攻击者隐藏数据。
ESP协议ESP(Encapsulating Security Payload)向需要保密的数据包添加自己的标头和尾部,在加密完成后再封装到一个新的IP包中。
ESP还向数据报头添加一个序列号,以便接收主机可以确定它没有收到重复的数据包。
SA协议安全关联(SA)是指用于协商加密密钥和算法的一些协议,提供AH、ESP操作所需的参数。
最常见的SA 协议之一是互联网密钥交换(IKE),协商将在会话过程中使用的加密密钥和算法。
IPSec协议解析:原理、功能和优势全面解读(一)
IPSec协议解析:原理、功能和优势全面解读在当今互联网时代,网络安全成为人们关注的焦点。
为了保护网络通信的安全性,信息传输过程中需采取一系列安全措施。
其中,IPSec协议成为广泛使用的网络安全协议。
本文将对IPSec协议的原理、功能和优势进行全面解读。
一、IPSec协议原理IPSec(IP Security)是一种网络层安全协议,可用于加密和验证数据传输。
它基于IP协议,在数据报文传输的过程中提供了数据的机密性、完整性、可用性等保护手段。
IPSec协议是一种端到端的安全解决方案,可在网络层而非应用层对数据进行保护。
IPSec协议通过对IP数据报进行处理,实现了对数据传输进行加密和验证。
它主要包括两个主要协议:认证头(AH)和封装安全载荷(ESP)。
AH协议负责数据完整性校验和防篡改操作,而ESP协议则提供了数据加密和数据完整性验证等功能。
通过使用这些协议,IPSec能够保证数据在传输过程中的安全性。
二、IPSec协议功能1. 数据加密:IPSec协议使用对称加密和非对称加密算法来加密传输的数据。
其加密过程可分为两个阶段:第一阶段通过互换密钥协商算法,协商得到对称密钥;第二阶段则使用对称密钥对数据进行加密和解密。
通过加密数据,IPSec协议能够保护数据的机密性,防止敏感信息被恶意获取或篡改。
2. 数据完整性校验:IPSec协议使用消息认证码(MAC)机制对数据进行完整性检验。
在传输数据时,发送端通过对数据使用MAC算法生成认证码,并将其附加在数据中发送。
接收端则通过计算接收到的数据的认证码,并与附加的认证码进行比较,以验证数据的完整性。
通过数据完整性校验,IPSec协议能够检测数据是否被篡改,保证数据的完整性。
3. 身份鉴别和访问控制:IPSec协议提供了身份鉴别的功能,确保通信双方的合法性。
在建立IPSec安全连接时,发送端和接收端会进行身份鉴别,以确保通信双方的身份。
此外,IPSec还支持对通信双方进行访问控制,可以限制不同主机之间的通信权限。
IPSec部署与扩展:实现大规模网络的安全通信(九)
IPSec部署与扩展:实现大规模网络的安全通信引言网络安全一直是当今信息社会亟待解决的核心问题之一。
随着网络规模的不断扩大和技术的不断进步,如何保障大规模网络的通信安全成为了一个急需解决的课题。
本文将讨论IPSec部署与扩展,探讨如何实现大规模网络的安全通信。
一、IPSec的基本原理IPSec是一种在网络层上保护数据传输安全的安全协议。
它通过加密和认证机制,提供了数据的机密性和完整性保护。
IPSec可以运行在IP层上,能够保护整个网络传输链路上的数据安全,包括数据包的加密和解密、主机认证和数据完整性检查等。
二、IPSec的部署策略为了实现大规模网络的安全通信,我们需要制定一套IPSec的部署策略。
以下是几个关键要点:1. 网络拓扑规划在进行IPSec部署之前,需要对网络进行拓扑规划。
根据网络规模和结构,划分不同的区域,并确定哪些区域需要进行IPSec加密和认证。
同时,需要制定明确的策略来管理密钥的生成、分配和更新,以确保密钥的安全性和有效性。
2. 高性能设备的选择大规模网络通信需要处理大量的数据流量,因此选择高性能的安全设备至关重要。
这些设备应具备强大的加密和解密能力,并支持并行处理多个通信链路。
同时,设备的可靠性和可扩展性也是关键考虑因素。
3. 密钥管理与安全策略IPSec的安全性依赖于密钥的管理。
在大规模网络中,密钥管理必须高效和安全。
可采用中心化的密钥管理方案,通过密钥服务器生成、分发和更新密钥。
同时,制定合理的安全策略,包括访问控制和安全隧道的配置,以提高网络的整体安全性。
三、IPSec的扩展方案为了满足大规模网络的需求,IPSec还可以通过一些扩展方案进行功能增强。
以下是几个常见的扩展方案:1. 多协议支持扩展IPSec支持多种协议,如IPv4、IPv6以及虚拟私有网络(VPN)技术。
这样可以更好地适应不同网络环境和需求,提供更全面的安全保护。
2. 智能流量管理对于大规模网络,流量管理是非常关键的一环。
IPSec与SSLVPN比较
IPSec与SSLVPN比较随着互联网的快速发展,网络安全成为一个越来越重要的问题。
为了保护数据的安全性和隐私性,许多组织和企业都采用了虚拟专用网络(VPN)技术。
IPSec和SSLVPN是两种常见的VPN技术,本文将对它们进行比较。
一、IPSec概述IPSec(Internet Protocol Security)是一种广泛应用于网络的VPN安全协议。
它通过在网络层对数据进行加密和认证,确保数据的机密性和完整性。
1. 安全性:IPSec提供了强大的安全性。
它使用加密算法对数据进行加密,同时使用认证算法对数据进行验证,确保数据在传输过程中不被窃听和篡改。
2. 配置复杂性:IPSec的配置相对较为复杂。
它需要在每个连接点上进行单独配置,包括密钥管理、加密算法和认证算法等。
3. 性能损耗:由于IPSec对数据进行加密和解密的过程,会增加数据传输的开销,可能导致一定的性能损耗。
二、SSLVPN概述SSLVPN(Secure Socket Layer Virtual Private Network)是基于SSL 协议的VPN技术。
它使用了一套完整的加密和身份验证机制,确保数据在互联网上传输时的安全性。
1. 安全性:SSLVPN提供了可靠的安全性。
它使用SSL协议对数据进行加密,同时采用X.509证书对用户进行身份验证,确保数据传输过程中的安全性。
2. 配置简单性:相对于IPSec,SSLVPN的配置较为简单。
它使用基于浏览器的接入方式,用户只需在浏览器中输入统一资源定位器(URL),就可以访问企业网络。
3. 性能效率:由于SSLVPN使用的是基于应用层的加密方式,相对于IPSec来说性能开销较小,传输效率较高。
三、IPSec与SSLVPN的比较1. 配置复杂性与用户体验IPSec的配置相对复杂,需要专业知识和一定的技术支持。
而SSLVPN的配置相对简单,用户只需在浏览器中输入URL即可访问企业网络。
从用户体验角度来看,SSLVPN更加友好。
IPSec与QoS:在保证安全的同时提供优质服务
IPSec与QoS:在保证安全的同时提供优质服务随着信息技术领域的发展,网络安全和服务质量成为了企业和个人关注的重点。
为了保护数据和通信的安全,许多组织采用了IPSec (Internet Protocol Security)技术。
同时,为了提供良好的用户体验,QoS(Quality of Service)技术也得到了广泛的应用。
在本文中,我们将讨论IPSec和QoS在网络中的作用,并探讨如何在保证安全的同时提供优质服务。
一、IPSec技术的基本原理和作用IPSec是一种网络协议套件,用于保护IP网络中的通信安全。
它通过加密、认证和完整性校验等手段,确保数据在传输过程中不被窃取、修改或篡改。
IPSec通过在网络层处理IP数据包,可以应用于各种应用和协议,例如VPN、远程访问和站点到站点的连接。
IPSec提供了多种安全性服务,包括数据加密、身份验证和数据完整性校验。
通过使用加密算法,IPSec可以将数据包转换为无法被破解的密文,保护数据的机密性。
此外,IPSec还可以使用数字证书或预共享密钥对通信双方进行身份验证,以防止未经授权的访问。
最后,IPSec还提供了一种机制来检测和防止数据包在传输过程中被篡改的情况,以保证数据的完整性。
二、QoS技术的基本原理和作用QoS是一种网络管理技术,旨在提供对网络资源的合理分配和流量控制,以确保网络服务的质量。
在现代网络中,流量和应用程序的多样性使得网络拥塞和服务质量下降成为了常见问题。
通过使用QoS 技术,网络管理员可以根据不同的应用程序和服务类型,对网络流量进行分类和管理,以确保关键应用程序的性能和可用性。
QoS技术可以通过不同的手段来实现对网络流量的管理,包括带宽控制、排队调度和优先级标记等。
带宽控制可以限制特定流量的带宽使用,以避免对其他重要应用程序造成影响。
排队调度算法可以根据不同应用程序的优先级,对流量进行排序和调度,以确保关键应用程序的及时传输。
优先级标记可以根据应用程序类型或数据包的服务质量要求,对流量进行标记,以便网络设备进行相应的处理。
IPSec协议解析:原理、功能和优势全面解读(五)
IPSec协议解析:原理、功能和优势全面解读在当今数字化时代,网络安全与数据保护变得尤为重要。
为了确保网络通信的机密性、完整性和可用性,IPSec协议被广泛应用于数据通信中。
本文将从原理、功能和优势三个方面对IPSec协议进行全面解析。
一、原理IPSec协议即Internet Protocol Security,是一种加密和认证的网络安全协议。
它的基本原理是通过在数据传输过程中对IP数据包进行加密和认证来保证通信的安全性。
IPSec协议在网络层提供安全性,通过在数据链路层之下对数据包进行处理,确保数据的安全传输。
IPSec协议基于密钥交换和加密技术。
在通信开始之前,双方需要协商密钥,以便在数据传输过程中进行加密和解密操作。
常用的密钥交换协议有IKE(Internet Key Exchange)协议。
加密技术则包括对称加密和非对称加密,常见的算法有DES、3DES、AES等。
二、功能IPSec协议主要提供以下几种功能:1. 机密性:IPSec协议通过加密传输的数据包,使得窃听者无法获取信息内容。
只有经过授权的用户才能解密数据包并读取其中内容。
2. 完整性:IPSec协议使用认证技术确保数据包的完整性。
通过在数据包中添加消息摘要或数字签名等认证信息,接收方可以验证数据的完整性和真实性,确保数据未被篡改。
3. 权限控制:IPSec协议支持访问控制列表(ACL)和安全策略等功能,可以限制特定用户或网络设备的访问权限。
这样可以有效防止未授权的用户进入网络,提高网络的安全性。
4. 抗重放攻击:IPSec协议的认证机制可以防止重放攻击。
通过时间戳和序列号等方式对数据包进行标识,即使攻击者截获并重新发送数据包,接收方也可以通过比对标识来确定是否是重放攻击。
三、优势IPSec协议相比其他加密协议具有许多优势,以下是其中几点:1. 灵活性:IPSec协议可以应用于各种网络环境,包括局域网、广域网以及虚拟专用网络(VPN)等。
IPSec协议解析:原理、功能和优势全面解读(十)
IPSec协议解析:原理、功能和优势全面解读引言在网络通信领域中,安全性是一个至关重要的考虑因素。
IPSec 协议作为一种广泛应用的加密协议,为实现网络通信的安全性提供了有效的解决方案。
本文将全面解读IPSec协议的原理、功能和优势,以帮助读者更好地理解和应用这一协议。
一、IPSec协议的原理IPSec协议是一种在网络层实现安全性的协议,它通过对IP数据包进行加密和认证来保护通信的机密性、完整性和真实性。
IPSec协议主要基于两个协议:认证头(AH)和封装安全负载(ESP)。
认证头是一种提供数据完整性和真实性验证的协议,而封装安全负载则是一种提供数据机密性的协议。
IPSec协议主要通过以下几个步骤实现:1. 安全关联建立:发送方和接收方需要建立安全关联,以确定加密和认证的参数和密钥等信息。
2. 选择安全协议:根据需求选择合适的认证头和封装安全负载协议。
3. 对IP数据包进行处理:发送方在发送数据包时,通过认证头将数据进行认证,同时使用封装安全负载对数据进行加密。
4. 接收方处理:接收方根据安全关联中的密钥和参数对接收到的数据包进行解密和验证。
通过以上步骤,IPSec协议能够提供安全的数据传输通道,确保通信的机密性、完整性和真实性。
二、IPSec协议的功能IPSec协议提供了多种功能来保护网络通信的安全性。
以下是IPSec协议的主要功能:1. 机密性保护:IPSec协议使用加密算法对传输的数据进行加密,保护数据的机密性,避免敏感信息被不正当获取。
2. 完整性保护:IPSec协议使用认证算法对数据进行数字签名,确保数据在传输过程中不被篡改或损坏,保护数据的完整性。
3. 身份认证:IPSec协议使用认证头对数据进行数字签名,用于验证数据发送方的身份,防止伪造和重放攻击。
4. 防止重放攻击:IPSec协议使用安全关联中的序列号来防止接收方重复接收相同数据包,有效避免重放攻击的发生。
通过以上功能,IPSec协议能够提供全面的安全保护,确保网络通信的可靠性和安全性。
IPSec协议解析:原理、功能和优势全面解读(八)
IPSec协议解析:原理、功能和优势全面解读引言网络安全对于现代社会的发展至关重要。
随着网络的快速发展和信息传输的频繁,保障网络通信的安全性成为一项极为重要的任务。
在当今数字时代,安全通信协议IPSec在网络通信中扮演了重要的角色。
本文将对IPSec协议的原理、功能和优势进行全面解读。
一、IPSec协议原理IPSec,即Internet Protocol Security,可理解为网络协议安全性保障。
它是一套用于网络层通信的安全机制,为IP数据包提供了保护,并确保数据在网络中的安全传输。
IPSec协议的核心原理是通过加密、身份验证和数据完整性保护来保护网络通信。
在数据传输过程中,IPSec协议使用不同类型的加密算法进行数据加密,以防止数据在传输过程中被窃取或篡改。
同时,它使用身份验证机制验证通信双方的身份,防止未经授权的访问。
另外,IPSec协议还可以保护数据的完整性,防止数据在传输过程中被修改。
二、IPSec协议功能1. 数据加密IPSec协议通过使用对称加密算法,如DES、3DES和AES等,对数据进行加密。
加密后的数据只能被授权的接收方解密,有效防止黑客对数据的窥视和篡改。
2. 身份验证身份验证是网络通信安全的关键要素,它确保通信双方的身份真实可信。
IPSec协议使用数字证书和密钥交换等机制来验证通信双方的身份。
3. 虚拟专用网络(VPN)IPSec协议可以构建虚拟专用网络(VPN),在公共网络上建立起安全的隧道,实现远程办公、跨地域通信等功能。
通过VPN,用户可以在不安全的网络上实现加密通信,保证数据的安全性。
4. 安全性增强除了对数据进行加密和身份验证,IPSec协议还提供了一些安全增强功能,如抗重播攻击、防止DDoS攻击等。
这些功能有效地提高了网络通信的安全性,保护了数据的隐私和完整性。
三、IPSec协议优势1. 全球标准IPSec协议是一种全球通用的网络协议,被广泛应用于各种网络设备和操作系统中。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
9、IPSec VPN 的高可用性技术:①、DPD (Dead Peer Detection )对等体检测——旨在检查有问题的IPSec VPN 网络,并快速的切换到备用网关②、RRI (Reverse Route Injection )反向路由注入——解决高可用性的路由问题****************DPD**************1、DPD 的工作模式:周期性的工作模式——设置一个定时器,路由器会按照这个定时器所设置的时间周期性的发送DPD 数据包好处在于快速的检测到对等体的问题;缺点是这样周期的发送DPD 会消耗较多的设备资源和网络资源按需工作模式——DPD 默认的工作模式,这样的情况下,DPD 信息会基于流量形式的不同而采取不同的发送方式。
好处是需要发送DPD的时候才发,节约资源和网络带宽;缺点是检测到IPSec VPN 网关故障所需时间稍长。
实验拓扑:默认配置完成,此时是可以建立起IPSec VPN 的:Site2#sho cry en conn activeCrypto Engine ConnectionsID Type Algorithm Encrypt Decrypt LastSeqN IP-Address1 IPsec DES+MD5 0 10 13 23.1.1.32 IPsec DES+MD5 10 0 0 23.1.1.31001 IKE SHA+DES 0 0 0 23.1.1.3那么我们来看一下在没有DPD 功能的时候:Site1#debug crypto isakmpCrypto ISAKMP debugging is onInternet(config)#int f1/0Internet(config-if)#shuSite1#ping 3.3.3.3 so 1.1.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:Packet sent with a source address of 1.1.1.1.....Success rate is 0 percent (0/5)Site1#sho cry en conn activeCrypto Engine ConnectionsID Type Algorithm Encrypt Decrypt LastSeqN IP-Address1 IPsec DES+MD5 0 8 9 12.1.1.12 IPsec DES+MD5 19 0 0 12.1.1.11001 IKE SHA+DES 0 0 0 12.1.1.1这说明没有启用DPD 技术的时候,IPSec VPN 无法探测有问题的网关,因此会继续使用又问题的IPSec SA 加密数据包,接下来再看启用了DPD 的情况:Site1(config)#crypto isakmp keepalive ?<10-3600> Number of seconds between keep alivesSite1(config)#crypto isakmp keepalive 10 periodicSite2(config)#crypto isakmp keepalive 10 periodicSite 1/2#cle crypto isakmpSite 1/2#cle crypto saInternet(config)#int f1/0Internet(config-if)#no shu此时Site1和Site2之间又恢复了通信:Site1#ping 3.3.3.3 so 1.1.1.1Type escape sequence to abort.IPSec 的高可用性技术2015年8月12日17:11Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:Packet sent with a source address of 1.1.1.1.!!!!Success rate is 80 percent (4/5), round-trip min/avg/max = 184/208/240 ms那么在来看一下DPD检测失效网关的效果:Apr 22 23:56:20.535: ISAKMP:(1002):Sending NOTIFY DPD/R_U_THERE protocol 1spi 1746747408, message ID = 1135002381*Apr 22 23:56:20.535: ISAKMP:(1002): seq. no 0x1B47B85D*Apr 22 23:56:20.535: ISAKMP:(1002): sending packet to 23.1.1.3 my_port 500 peer_port 500 (I) QM_IDLE *Apr 22 23:56:20.535: ISAKMP:(1002):Sending an IKE IPv4 Packet.*Apr 22 23:56:20.539: ISAKMP:(1002):purging node 1135002381*Apr 22 23:56:20.539: ISAKMP:(1002):Input = IKE_MESG_FROM_TIMER, IKE_TIMER_IM_ALIVE*Apr 22 23:56:20.543: ISAKMP:(1002):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETESite1#*Apr 22 23:56:20.767: ISAKMP:(1002):purging node 593664099Site1#*Apr 22 23:56:22.539: ISAKMP:(1002):DPD incrementing error counter (1/5)*Apr 22 23:56:22.539: ISAKMP: set new node 511611758 to QM_IDLE*Apr 22 23:56:22.539: ISAKMP:(1002):Sending NOTIFY DPD/R_U_THERE protocol 1spi 1746747408, message ID = 511611758*Apr 22 23:56:22.539: ISAKMP:(1002): seq. no 0x1B47B85E*Apr 22 23:56:22.539: ISAKMP:(1002): sending packet to 23.1.1.3 my_port 500 peer_port 500 (I) QM_IDLE *Apr 22 23:56:22.543: ISAKMP:(1002):Sending an IKE IPv4 Packet.*Apr 22 23:56:22.543: ISAKMP:(1002):purging node 511611758*Apr 22 23:56:22.547: ISAKMP:(1002):Input = IKE_MESG_FROM_TIMER, IKE_TIMER_PEERS_ALIVESite1#*Apr 22 23:56:22.547: ISAKMP:(1002):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETESite1#*Apr 22 23:56:24.543: ISAKMP:(1002):DPD incrementing error counter (2/5)*Apr 22 23:56:24.543: ISAKMP: set new node -2042738143 to QM_IDLE*Apr 22 23:56:24.547: ISAKMP:(1002):Sending NOTIFY DPD/R_U_THERE protocol 1spi 1746747408, message ID = -2042738143*Apr 22 23:56:24.547: ISAKMP:(1002): seq. no 0x1B47B85F*Apr 22 23:56:24.551: ISAKMP:(1002): sending packet to 23.1.1.3 my_port 500 peer_port 500 (I) QM_IDLE *Apr 22 23:56:24.551: ISAKMP:(1002):Sending an IKE IPv4 Packet.*Apr 22 23:56:24.551: ISAKMP:(1002):purging node -2042738143*Apr 22 23:56:24.555: ISAKMP:(1002):Input = IKE_MESG_FROM_TIMER, IKE_TIMER_PEERS_ALIVESite1#*Apr 22 23:56:24.555: ISAKMP:(1002):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETESite1#*Apr 22 23:56:26.555: ISAKMP:(1002):DPD incrementing error counter (3/5)*Apr 22 23:56:26.555: ISAKMP: set new node 1264419706 to QM_IDLE*Apr 22 23:56:26.559: ISAKMP:(1002):Sending NOTIFY DPD/R_U_THERE protocol 1spi 1746747408, message ID = 1264419706*Apr 22 23:56:26.559: ISAKMP:(1002): seq. no 0x1B47B860*Apr 22 23:56:26.559: ISAKMP:(1002): sending packet to 23.1.1.3 my_port 500 peer_port 500 (I) QM_IDLE *Apr 22 23:56:26.563: ISAKMP:(1002):Sending an IKE IPv4 Packet.*Apr 22 23:56:26.563: ISAKMP:(1002):purging node 1264419706*Apr 22 23:56:26.567: ISAKMP:(1002):Input = IKE_MESG_FROM_TIMER, IKE_TIMER_PEERS_ALIVESite1#*Apr 22 23:56:26.567: ISAKMP:(1002):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETESite1#*Apr 22 23:56:28.007: ISAKMP:(1002):purging node 519630341*Apr 22 23:56:28.567: ISAKMP:(1002):DPD incrementing error counter (4/5)*Apr 22 23:56:28.567: ISAKMP: set new node 2041023417 to QM_IDLE*Apr 22 23:56:28.571: ISAKMP:(1002):Sending NOTIFY DPD/R_U_THERE protocol 1spi 1746747408, message ID = 2041023417*Apr 22 23:56:28.571: ISAKMP:(1002): seq. no 0x1B47B861*Apr 22 23:56:28.571: ISAKMP:(1002): sending packet to 23.1.1.3 my_port 500 peer_port 500 (I) QM_IDLE *Apr 22 23:56:28.575: ISAKMP:(1002):Sending an IKE IPv4 Packet.*Apr 22 23:56:28.575: ISAKMP:(1002):purging node 2041023417Site1#*Apr 22 23:56:28.579: ISAKMP:(1002):Input = IKE_MESG_FROM_TIMER, IKE_TIMER_PEERS_ALIVE*Apr 22 23:56:28.579: ISAKMP:(1002):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE*Apr 22 23:56:28.579: ISAKMP:(1002):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETESite1#*Apr 22 23:56:30.579: ISAKMP:(1002):DPD incrementing error counter (5/5)*Apr 22 23:56:30.579: ISAKMP:(1002):peer 23.1.1.3 not responding!*Apr 22 23:56:30.583: ISAKMP:(1002):Input = IKE_MESG_FROM_TIMER, IKE_TIMER_PEERS_ALIVE*Apr 22 23:56:30.583: ISAKMP:(1002):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE*Apr 22 23:56:30.595: ISAKMP (1002): No more ipsec tunnels for this SA.*Apr 22 23:56:30.599: ISAKMP: set new node 1589052764 to QM_IDLE*Apr 22 23:56:30.603: ISAKMP:(1002): sending packet to 23.1.1.3 my_port 500 peer_port 500 (I) QM_IDLE*Apr 22 23:56:30.603: ISAKMP:(1002):Sending an IKE IPv4 Packet.*Apr 22 23:56:30.607: ISAKMP:(1002):purging node 1589052764*Apr 22 23:56:30.607: ISAKMP:(1002):Input = IKE_MESG_FROM_IPSEC, IKE_PHASE2_DEL*Apr 22 23:56:30.611: ISAKMP:(1002):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE*Apr 22 23:56:30.619: ISAKMP: set new node 1168250615 to QM_IDLE*Apr 22 23:56:30.619: ISAKMP:(1002): sendSite1#ing packet to 23.1.1.3 my_port 500 peer_port 500 (I) QM_IDLE*Apr 22 23:56:30.623: ISAKMP:(1002):Sending an IKE IPv4 Packet.*Apr 22 23:56:30.623: ISAKMP:(1002):purging node 1168250615*Apr 22 23:56:30.627: ISAKMP:(1002):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL*Apr 22 23:56:30.627: ISAKMP:(1002):Old State = IKE_P1_COMPLETE New State = IKE_DEST_SA*Apr 22 23:56:30.635: ISAKMP:(1002):deleting SA reason "No reason" state (I) QM_IDLE (peer 23.1.1.3)*Apr 22 23:56:30.635: ISAKMP: Unlocking peer struct 0x68665020 for isadb_mark_sa_deleted(), count 0*Apr 22 23:56:30.639: ISAKMP: Deleting peer node by peer_reap for 23.1.1.3: 68665020*Apr 22 23:56:30.643: ISAKMP:(1002):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH*Apr 22 23:56:30.643: ISAKMP:(1002):Old State = IKE_DEST_SA New State = IKE_DEST_SA*Apr 22 23:56:30.887: ISAKMP:(1002):purging node -1414911362可以看到的是:Site1上的DPD中,如果Site1周期性的发送的DPD信息没有得到远端的确认,那么会连续发送5次,若5次都没有远端的确认。