ike dpd 对等体存活检测DPD（Dead Peer Detection）

ike dpd 对等体存活检测DPD（Dead Peer Detection）
命令功能
ike dpd命令用来配置全局DPD（Dead Peer Detection）空闲时间、DPD报文重传间隔和重传次数。
缺省情况下，全局DPD空闲时间、DPD报文重传间隔和重传次数分别为30秒、15秒和3次。


背景信息
IKE对等体间进行IPSec通信时，heartbeat检测能够检测对端故障，阻止流量的丢失，但周期性的发送heartbeat消息消耗了两端的CPU资源，这限制了可建立的IPSec会话的数量。
对等体存活检测DPD（Dead Peer Detection）机制不用周期发送heartbeat报文，而是通过使用IPSec流量来最小化对等体状态检测所需发送消息报文的数量。若本端可以收到对端发来的IPSec流量，则认为对端处于活动状态；只有当一定时间间隔内没有收到对端发来的IPSec流量时，才会发送DPD报文探测对端的状态。若发送几次DPD报文后一直没有收到对端的回应，则认为对端不可达，此时将删除IKE对等体间的安全联盟（IKE SA和IPSec SA）。
heartbeat检测和DPD检测的区别：heartbeat检测定期发送报文，本端和对端配置需要匹配；DPD检测中本端和对端不需要匹配（除DPD报文中的载荷顺序需要匹配外），当IKE对等体间有正常的IPSec流量时，不会发送DPD消息，只有当一段时间内收不到对端发来的IPSec报文时，才发送DPD消息，节省了CPU资源。

当设备同时使用heartbeat机制和DPD机制，DPD机制生效。
设备根据命令dpd type或ike dpd type设置检测模式并开启DPD功能，DPD有如下两种检测模式：
（1）按需型
当本端需要向对端发送IPSec报文时，判断当前距离最后一次收到对端的IPSec报文已超过DPD空闲时间，则本端主动向对端发送DPD请求报文。
（2）周期型
如果当前距离最后一次收到对端的IPSec报文或DPD请求报文的时长已超过DPD空闲时间，则本端主动向对端发送DPD请求报文。

本端主动向对端发送DPD请求报文后，若在DPD报文重传间隔内没有收到对端的DPD回应报文，则向对端重传DPD请求报文，根据重传次数进行重传之后，若仍然没有收到对端的DPD回应报文，则认为对端离线，删除该IKE SA和对应的IPSec SA。
对等体存活检测可在全局配置，也可在IKE对等体下配置。系统优先使用IKE对等体下的配置，IKE对等体下未开启DPD检测时才采用全局配置。

操作步骤
全局配置DPD
（1）执行命令system-view，进入系统视图。
（2）（可选）执行命令ike dpd msg { seq-hash-notify | seq-notify-hash }，配置DPD报文中的载荷顺序。
缺省情况下，DPD报文中的载荷顺序为seq-hash-notify。
两端对等体配置的DPD报文中的载荷顺序需要一致，否则对等体存活检测功能无效。
（3）执行命令ike dpd type { on-demand | periodic }，配置DPD检测模式。
缺省情况下，未配置全局DPD检测模式，DPD检测功能处于关闭状态。
配置了DPD检测模式后，DPD检测功能处于开启状态。
（4）执行命令ike dpd { idle-time interval | retransmit-interval interval | retry-limit times }，配置DPD空闲时间、DPD报文重传间隔和重传次数。
缺省情况下，全局DPD空闲时间、DPD报文重传间隔和重传次数分别为30秒、15秒和3次。
（5）（可选）执行命令ike dpd packet receive if-related enable，开启接收DPD报文的接口与建立IPSec SA的接口一致性检查功能。
缺省情况下，接收DPD报文的接口与建立IPSec SA的接口一致性检查功能处于关闭状态。
在设备多个接口上应用不同名称的IPSec策略（这些策略中参数相同），且开启了IPSec后反查功能的场景中，接口发生切换时，如果接收加密流量的接口与建立IPSec SA的接口不一致，设备会丢弃该加密流量。但是，IKE对等体DPD探测结果仍为正常，无法触发IKE重协商，导致业务长时间中断。此时，可以执行命令ike dpd packet receive if-related enable开启接收DPD报文的接口与建立IPSec SA的接口一致性检查功能，如果两者不一致，设备丢弃DPD报文，使得DPD探测异常，这样导致设备删除IPSec SA，触发IKE重新协商。
该功能仅适用于物理接口应用IPSec策略的场景。

在IKE对等体下配置DPD
（1）执行命令system-view，进入系统视图。
（2）执行命令ike peer peer-name，进入IKE对等体视图。
（3）（可选）执行命令dpd msg { seq-hash-notify | seq-notify-hash }，配置DPD报文中的载荷顺序。
缺省情况下，DPD报文中的载荷顺序缺省值为seq-hash-notify。
两端对等体配置的DPD报文中的载荷顺序需要一致，否则对等体存活检测功能无效。
（4）（可选）执行命令dpd msg notify-hash-sequence learning，开启DPD报文的载荷顺序自学习功能。
缺省情况下，DPD报文的载荷顺序自学习功能处于开启状态。
配置后，当收到对端DPD报文时，本端会学习对端DPD报文的载荷顺序，并以对端DPD报文的载荷顺序发送DPD报文。
（5）执行命令dpd { idle-time interval | retransmit-interval interval | retry-limit times }，配置DPD空闲时间、DPD报文重传间隔和重传次数。
缺省情况下，IKE对等体的DPD空闲时间、DPD报文重传间隔和重传次数分别为30秒、15秒和3次。
（6）执行命令dpd type { on-demand | periodic }，配置DPD检测模式：按需型或周期型。
缺省情况下，IKE对等体没有设置DPD检测模式。
（7）（可选）执行命令dpd packet receive if-related enable，开启接收DPD报文的接口与建立IPSec SA的接口一致性检查功能。
缺省情况下，接收DPD报文的接口与建立IPSec SA的接口一致性检查功能处于关闭状态。
在设备多个接口上应用不同名称的IPSec策略（这些策略中参数相同），且开启了IPSec后反查功能的场景中，接口发生切换时，如果接收加密流量的接口与建立IPSec SA的接口不一致，设备会丢弃该加密流量。但是，IKE对等体DPD探测结果仍为正常，无法触发IKE重协商，导致业务长时间中断。此时，可以执行命令dpd packet receive if-related enable开启接收DPD报文的接口与建立IPSec SA的接口一致性检查功能，如果两者不一致，设备丢弃DPD报文，使得DPD探测异常，这样导致设备删除IPSec SA，触发IKE重新协商。
该功能仅适用于物理接口应用IPSec策略的场景。