ipsec sa ike sa 重新建立需要按照规定的时间或者达到指定的流量才会重新建立,此时中途如果一端的隧道中断,另一端可能无法感知,导致***流量不通。
使用dpd技术 相当于心跳报文,当指定周期无法收到对端的dpd报文,删除ipsec相关隧道,重新发起隧道协商,可以减少***隧道中断时间
注意:
1、实践过程中发现 a端配置dpd,b端不配置,导致a端发出的dpd报文无法得到响应,产生dpd failure ,重新发起隧道协商,但是b端认为*** 隧道正常,隧道状态up,导致*** 网络不通,此时需要2端都开启dpd 检测,或者2端都关闭dpd检测