防护墙VPN

2.9  配置IKE Keepalive功能

1. 功能简介

IKE Keepalive功能用于检测对端是否存活。在对端配置了等待IKE Keepalive报文的超时时间后，必须在本端配置发送IKE Keepalive报文的时间间隔。当对端IKE SA在配置的超时时间内未收到IKE Keepalive报文时，则删除该IKE SA以及由其协商的IPsec SA。

2. 配置限制和指导

·     当有检测对方是否存活的需求时，通常建议配置IKE DPD，不建议配置IKE Keepalive。仅当对方不支持IKE DPD功能且支持IKE Keepalive功能时，才考虑配置IKE Keepalive功能。配置IKE Keepalive功能后，会定时检测对方是否存活，因此会额外消耗网络带宽和计算资源。

·     本端配置的IKE Keepalive报文的等待超时时间要大于对端发送的时间间隔。由于网络中一般不会出现超过连续三次的报文丢失，所以，本端的超时时间可以配置为对端配置的发送IKE Keepalive报文的时间间隔的三倍。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置通过IKE SA向对端发送IKE Keepalive报文的时间间隔。

ike keepalive interval interval

缺省情况下，不向对端发送IKE Keepalive报文。

(3)     配置本端等待对端发送IKE Keepalive报文的超时时间。

ike keepalive timeout seconds

缺省情况下，永不超时，一直等待对端发送IKE Keepalive报文。