ipsec经常断

两边都配置dpd检测。

ike dpd命令用来配置全局IKE DPD功能。

undo ike dpd命令用来关闭全局IKE DPD功能。

【命令】

ike dpd interval interval [ retry seconds ] { on-demand | periodic }

undo ike dpd interval

【缺省情况】

全局IKE DPD功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

interval interval：指定触发IKE DPD探测的时间间隔，取值范围为1～300，单位为秒。对于按需探测模式，指定经过多长时间没有从对端收到IPsec报文，则触发一次DPD探测；对于定时探测模式，指触发一次DPD探测的时间间隔。

retry seconds：指定DPD报文的重传时间间隔，取值范围为1～60，单位为秒，缺省值为5秒。

on-demand：指定按需探测模式，根据流量来探测对端是否存活，在本端发送IPsec报文时，如果发现当前距离最后一次收到对端报文的时间超过指定的触发IKE DPD探测的时间间隔（即通过interval指定的时间），则触发DPD探测。

periodic：指定定时探测模式，按照触发IKE DPD探测的时间间隔（即通过interval指定的时间）定时探测对端是否存活。

【使用指导】

IKE DPD有两种模式：按需探测模式和定时探测模式。一般若无特别要求，建议使用按需探测模式，在此模式下，仅在本端需要发送报文时，才会触发探测；如果需要尽快地检测出对端的状态，则可以使用定时探测模式。在定时探测模式下工作，会消耗更多的带宽和计算资源，因此当设备与大量的IKE对端通信时，应优先考虑使用按需探测模式。

如果IKE profile视图下和系统视图下都配置了DPD探测功能，则IKE profile视图下的DPD配置生效，如果IKE profile视图下没有配置DPD探测功能，则采用系统视图下的DPD配置。

建议配置的interval大于retry，使得直到当前DPD探测结束才可以触发下一次DPD探测，在重传DPD报文的过程中不触发新的DPD探测。

【举例】

# 配置流量触发IKE DPD探测间隔时间为10秒，重传时间间隔为5秒，探测模式为按需探测。

<Sysname> system-view

[Sysname] ike dpd interval 10 retry 5 on-demand