MSR系列路由器IKE Keeplive功能的配置

关键词:
功能需求

MSR系列路由器

IKE Keeplive功能的配置

 

关键字:MSR; IKE; Keeplive; IPSec

 

一、组网需求

2MSR通过Keeplive来保证IKE SA的一致性。

设备清单:MSR系列路由器2

二、组网图:

三、配置步骤:

适用设备和版本:MSR系列、Version 5.20, Release 1206后所有版本。

RTA配置

#

 //配置IKE SAKeeplive发送时间间隔,这里为60s

 

 ike sa keepalive-timer interval 60

#

ike peer 1.2.0.2

 pre-shared-key h3c

 remote-address 1.2.0.2

#

ipsec proposal def

#

ipsec policy 1.2.0.2 1 isakmp

 security acl 3000

 ike-peer 1.2.0.2

 proposal def

#

acl number 3000

 rule 0 permit ip source 1.2.0.1 0 destination 1.2.0.2 0

#

interface GigabitEthernet0/0

 port link-mode route

 ip address 1.2.0.1 255.255.255.252

 ipsec policy 1.2.0.2

#

RTB配置

#

 //配置IKE SAKeeplive超时等待时间在这段时间内没有收到对端发送的

 

Keeplive删除IKE SA这里为240s,超时时间设置一般大于对端发送间隔的3

 

 ike sa keepalive-timer timeout 240

#

ike peer 1.2.0.1

 pre-shared-key h3c

 remote-address 1.2.0.1

#

ipsec proposal def

#

ipsec policy 1.2.0.1 1 isakmp

 security acl 3000

 ike-peer 1.2.0.1

 proposal def

#

acl number 3000

 rule 0 permit ip source 1.2.0.2 0 destination 1.2.0.1 0

#

interface GigabitEthernet0/0

 port link-mode route

 ip address 1.2.0.2 255.255.255.252

 ipsec policy 1.2.0.1

#

四、配置关键点

1) Keeplive是单向保活机制(一端配置发送间隔,另一端配置超时),如果需要双向保活需要在两端都配置间隔和超时;

2) 超时时间建议大于发送间隔的3倍;

3) Keeplive是私有的机制,不同厂家的Keeplive不能互通

案例信息

案例类型:典型配置
案例号:KMS - 11920
创建时间:2007年7月12日
更新时间:2012年2月20日
发布时间:2012/2/20 5:46:19
文章密级:游客可见
有效期:长期有效
发布者:丘子隽 [q04986]
点击次数:419
评论平均得分:0
关键词:
产品线:中低端路由器
产品系列:
产品版本:
技术分类:虚拟私有网(非安全产品) IPSec

常用操作
收藏