Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR
IPsec Dead Peer Detection Periodic Message Option
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 243 KB | Inglés (24 Marzo 2011) | Comentarios

Contenidos

Dead Peer Detection del IPSec periódico
Opción del Mensaje

Encontrar la información de la característica

Contenido

Requisitos previos para el Dead Peer Detection del IPSec periódico
Opción del Mensaje

Restricciones para el Dead Peer Detection del IPSec periódico
Opción del Mensaje

Información sobre el Dead Peer Detection del IPSec
Opción de Mensaje Periódico

Cómo Funcionan las Funciones DPD y Cisco IOS Keepalive

Uso de IPsec Dead Peer Detection Periodic Message Option

Usando el DPD y las Funciones keepalives del Cisco IOS
con los peeres múltiples en la correspondencia de criptografía

Uso de DPD en una Configuración Easy VPN Remote

Cómo configurar el Dead Peer Detection del IPSec periódico
Opción del Mensaje

Configuración de un Mensaje DPD Periódico

Configurar el DPD y el Keepalives del Cisco IOS con los peeres múltiples
en la correspondencia de criptografía

Configuración de DPD para Easy VPN Remote

Verificación de que DPD está Habilitado

Ejemplos de configuración para el Dead Peer Detection del IPSec
Opción de Mensaje Periódico

Configuración de Sitio a Sitio con el DPD Periódico Habilitado: Ejemplo:

Easy VPN Remote con DPD Habilitado: Ejemplo:

Verificación de la Configuración de DPD con el Comando debug crypto isakmp: Ejemplo:

DPD y Cisco IOS Keepalives Usados Conjuntamente con Varios Peers en una Crypto Map: Ejemplo:

DPD Usado Conjuntamente con varios Peers para un Easy VPN Remote: Ejemplo:

Referencias adicionales

Documentos Relacionados

Estándares

MIB

RFC

Asistencia Técnica

Información de la característica para la opción del mensaje periódico del Dead Peer Detection del IPSec


Dead Peer Detection del IPSec periódico
Opción del Mensaje


Primera publicación: 1 de mayo de 2004
Última actualización: De marzo el 24 de 2011

La característica de la opción del mensaje periódico del Dead Peer Detection del IPSec se utiliza para configurar al router para preguntar la vivacidad de su par del Internet Key Exchange (IKE) a intervalos regulares. La ventaja de este enfoque sobre el enfoque predeterminado (detección de peer muerto bajo demanda) es una detección más temprana de peers muertos.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para la sección de la opción del mensaje periódico del Dead Peer Detection del IPSec”.

Utilice Cisco Feature Navigator para buscar información sobre el soporte de plataformas y el soporte de imágenes del software Cisco IOS y Catalyst OS. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en Cisco.com no se requiere.

Contenido

Requisitos previos para la opción del mensaje periódico del Dead Peer Detection del IPSec

Restricciones para la opción del mensaje periódico del Dead Peer Detection del IPSec

Información sobre la opción del mensaje periódico del Dead Peer Detection del IPSec

Cómo configurar la opción del mensaje periódico del Dead Peer Detection del IPSec

Ejemplos de configuración para la opción del mensaje periódico del Dead Peer Detection del IPSec

Referencias adicionales

Información de la característica para la opción del mensaje periódico del Dead Peer Detection del IPSec

Requisitos previos para el Dead Peer Detection del IPSec periódico
Opción del Mensaje

Antes de configurar la característica de la opción del mensaje periódico del Dead Peer Detection del IPSec, usted debe tener el siguiente:

Familiaridad con configurar la seguridad IP (IPSec).

Un par IKE que soporta DPD (Dead Peer Detection). Las implementaciones que soportan el DPD incluyen el concentrador, el Cisco PIX Firewall, el Cliente Cisco VPN, y el Cisco IOS Software del Cisco VPN 3000 en todos los modos de operación — sitio a localizar, Easy VPN Remote, y Easy VPN Server.

Restricciones para el Dead Peer Detection del IPSec periódico
Opción del Mensaje

Usando el DPD periódico potencialmente permite que el router detecte a un par insensible IKE con un mejor tiempo de respuesta cuando está comparado al DPD a pedido. Sin embargo, el uso del DPD periódico incurre en los gastos indirectos adicionales. Al comunicar a un gran número de pares IKE, usted debe considerar usar el DPD a pedido en lugar de otro.

Información sobre el Dead Peer Detection del IPSec
Opción de Mensaje Periódico

Para configurar la opción del mensaje periódico del Dead Peer Detection del IPSec, usted debe entender los conceptos siguientes:

Cómo Funcionan las Funciones DPD y Cisco IOS Keepalive

Uso de IPsec Dead Peer Detection Periodic Message Option

Usando el DPD y las Funciones keepalives del Cisco IOS con los peeres múltiples en la correspondencia de criptografía

Uso de DPD en una Configuración Easy VPN Remote

Cómo Funcionan las Funciones DPD y Cisco IOS Keepalive

DPD y función del Keepalives del Cisco IOS en base del temporizador. Si el temporizador se fija por 10 segundos, el router envía un mensaje de saludo cada 10 segundos (a menos que, por supuesto, el router recibe un mensaje de saludo del par). La ventaja del Keepalives IOS y del DPD periódico es detección anterior de peeres muertos. Sin embargo, el Keepalives IOS y el DPD periódico confían en los mensajes periódicos que tienen que ser enviados con la considerable frecuencia. El resultado de enviar los mensajes frecuentes es que los pares de comunicación deben cifrar y desencriptar más paquetes.

El DPD también tiene un acercamiento a pedido. El acercamiento a pedido que pone en contraste es el valor por defecto. Con el DPD a pedido, los mensajes se envían en base de los patrones de tráfico. Por ejemplo, si un router tiene que enviar el tráfico saliente y la vivacidad del par es cuestionable, el router envía un mensaje DPD para preguntar el estatus del par. Si un router no tiene ningún tráfico a enviar, nunca envía un mensaje DPD. Si un par está muerto, y el router nunca tiene cualquier tráfico a enviar al par, el router no descubre que esto hasta el IKE o la asociación de seguridad IPSec (SA) tiene que ser reintroducido (la vivacidad del par es poco importante si el router no está intentando comunicar con el par). Por otra parte, si el router tiene tráfico a enviar al par, y el par no responde, el router inicia un mensaje DPD para determinar el estado del par.

Uso de IPsec Dead Peer Detection Periodic Message Option

Con la característica de la opción del mensaje periódico del Dead Peer Detection del IPSec, usted puede configurar a su router de modo que los mensajes DPD sean “forzados” a intervalos regulares. Esto forzó los resultados del acercamiento en la detección anterior de peeres muertos. Por ejemplo, si un router no tiene ningún tráfico a enviar, un mensaje DPD todavía se envía a intervalos regulares, y si un par está muerto, el router no tiene que esperar hasta los tiempos IKE SA hacia fuera para descubrir.

Si usted quiere configurar la opción del mensaje periódico DPD, usted debe utilizar crypto isakmp keepalive el comando con periodic la palabra clave. Si usted no configura periodic la palabra clave, los valores predeterminados del router al acercamiento a pedido.


Observecuando crypto isakmp keepalive el comando se configura, el Cisco IOS Software negocia el uso del Keepalives del Cisco IOS o del DPD, dependiendo cuyo de protocolo el par soporta.


Usando el DPD y las Funciones keepalives del Cisco IOS
con los peeres múltiples en la correspondencia de criptografía

Las Funciones keepalives DPD y IOS se pueden utilizar conjuntamente con los peeres múltiples en la correspondencia de criptografía para tener en cuenta la Conmutación por falla apátrida. El DPD permite que el router detecte a un par muerto IKE, y cuando el router detecta el estado muerto, el router borra el IPSec y el IKE SA al par. Si usted configura a los peeres múltiples, los switches del router encima al par mencionado siguiente para una Conmutación por falla apátrida.

Uso de DPD en una Configuración Easy VPN Remote

El DPD se puede utilizar en una configuración VNP remota sencilla. Vea la sección el “configurar del DPD para sección de un Easy VPN Remote”.

Cómo configurar el Dead Peer Detection del IPSec periódico
Opción del Mensaje

Esta sección contiene las siguientes tareas:

Configuración de un Mensaje DPD Periódico

Configurar el DPD y el Keepalives del Cisco IOS con los peeres múltiples en la correspondencia de criptografía

Configuración de DPD para Easy VPN Remote

Verificación de que DPD está Habilitado

Configuración de un Mensaje DPD Periódico

Para configurar un mensaje periódico DPD, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto isakmp keepalive seconds[]retry-seconds[periodic | on-demand]

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto isakmp keepalive seconds [retry-seconds] [periodic | on-demand]

Example:

Router (config)# crypto isakmp keepalive 10 periodic

Permite que el gateway envíe los mensajes DPD al par.

seconds — Cuando periodic se utiliza la palabra clave, este argumento es el número de segundos entre los mensajes DPD; el rango es a partir 10 a 3600 segundos.

Cuando on-demand se utiliza la palabra clave, este argumento es el número de segundos durante los cuales el tráfico no se reciba del par antes de que se envíen los mensajes de la recomprobación DPD si hay tráfico de los datos (IPSec) a enviar; el rango es a partir 10 a 3600 segundos.

Observesi usted no especifican un intervalo de tiempo, aparece un mensaje de error.

retry-seconds — Número (opcional) de segundos entre los mensajes de la recomprobación DPD si el mensaje de la recomprobación DPD es faltado por el par; el rango es a partir 2 a 60 segundos.

Una vez que 1 mensaje DPD es faltado por el par, el router se traslada a un estado más agresivo y envía el mensaje de la recomprobación DPD en el intervalo entre reintentos más rápido, que es el número de segundos entre las recomprobaciones DPD si el mensaje DPD es faltado por el par. El mensaje de la recomprobación del valor por defecto DPD se envía cada 2 segundos. Cinco mensajes agresivos de la recomprobación DPD pueden ser faltados antes de que el túnel se marque como abajo.

Observepara configurar el DPD con alta disponibilidad de IPSec (HA), la recomendación es utilizar un valor con excepción del valor por defecto (que es 2 segundos). Un temporizador KEEPALIVE de 10 segundos con 5 recomprobaciones parece trabajar bien con el HA debido al tiempo que toma para que el router consiga en el modo activo.

periodic — Los mensajes (opcionales) DPD se envían a intervalos regulares.

on-demand — (Opcional) el comportamiento predeterminado. Las recomprobaciones DPD se envían a pedido.

Observeporque esta opción es el valor por defecto, on-demand la palabra clave no aparece en el resultado de la configuración.

Configurar el DPD y el Keepalives del Cisco IOS con los peeres múltiples
en la correspondencia de criptografía

Para configurar el Keepalives DPD y IOS que se utilizará conjuntamente con la correspondencia de criptografía para tener en cuenta la Conmutación por falla apátrida, realice los pasos siguientes. Esta configuración hace a un router completar un ciclo a través de la lista del peer cuando detecta que el primer par está muerto.

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto map map-name seq-num ipsec-isakmp

4.set peer {host-name []dynamic | ip-address}

5. set transform-set transform-set-name

6.match address [access-list-id | name]

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto map map-name seq-num ipsec-isakmp

Example:

Router (config)# crypto map green 1 ipsec-isakmp

Ingresa al modo de configuración de la correspondencia de criptografía y crea o modifica una entrada de correspondencia de criptografía.

ipsec-isakmp La palabra clave indica que el IKE está utilizado para establecer el SA de IPSec para proteger el tráfico especificado por esta entrada de correspondencia de criptografía.

Paso 4 

set peer {host-name [dynamic] | ip-address}

Example:

Router (config-crypto-map)# set peer 10.12.12.12

Especifica un peer IPSec en una entrada de crypto map.

Usted puede especificar a los peeres múltiples relanzando este comando.

Paso 5 

set transform-set transform-set-name

Example:

Router (config-crypto-map)# set transform-set txfm

Especifica qué conjuntos de transformación se pueden utilizar con la entrada de crypto map.

Usted puede especificar más de uno transforma el nombre del conjunto relanzando este comando.

Paso 6 

match address [access-list-id | name]

Example:

Router (config-crypto-map)# match address 101

Especifica una lista de acceso ampliada para una entrada de crypto map.

Configuración de DPD para Easy VPN Remote

Para configurar el DPD en una configuración VNP remota sencilla, realice los pasos siguientes. Esta configuración también hace a un router completar un ciclo a través de la lista del peer cuando detecta que el primer par está muerto.


El KeepalivesIOS de la nota no se soporta para las configuraciones VNP remotas sencillas.


PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto ipsec client ezvpn name

4.connect {auto | manual}

5. group group-name key group-key

6.mode {client | network-extension}

7.peer {ipaddress | hostname}

PASOS DETALLADOS

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto ipsec client ezvpn name

Example:

Router (config)# crypto ipsec client ezvpn ezvpn-config1

Crea una configuración remota de Cisco Easy VPN e ingresa al modo de configuración remota de Cisco Easy VPN.

Paso 4 

connect {auto | manual}

Example:

Router (config-crypto-ezvpn)# connect manual

Establece y termina manualmente un túnel del IPSec VPN a pedido.

auto La opción de palabra clave es la configuración predeterminada.

Paso 5 

group group-name key group-key

Example:

Router (config-crypto-ezvpn)# group unity key preshared

Especifica el nombre del grupo y el valor de la clave para la conexión de Red privada virtual (VPN).

Paso 6 

mode {client | network-extension}

Example:

Router (config-crypto-ezvpn)# mode client

Especifica el modo de operación VPN del router.

Paso 7 

peer {ipaddress | hostname}

Example:

Router (config-crypto-ezvpn)# peer 10.10.10.10

Fija el IP Address de Peer o el nombre del host para la conexión VPN.

Un nombre de host puede ser especificado solamente cuando el router tiene un servidor DNS disponible para la resolución del hostname.

Este comando se puede relanzar las épocas múltiples.

Verificación de que DPD está Habilitado

El DPD permite que el router borre el estado IKE cuando un par hace inalcanzable. Si se habilita el DPD y el par es inalcanzable por algún tiempo, usted puede utilizar clear crypto session el comando manualmente IKE claro y el SA de IPSec.

debug crypto isakmp El comando se puede utilizar para verificar que el DPD está habilitado.

PASOS SUMARIOS

1. enable

2.clear crypto session [[]local ip-address port local-portdel [[]]remote ip-address port remote-port] | []fvrf vrf-namedel []ivrf vrf-name

3. debug crypto isakmp

PASOS DETALLADOS

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

clear crypto session [local ip-address [port local-port]] [remote ip-address [port remote-port]] | [fvrf vrf-name] [ivrf vrf-name]

Example:

Router# clear crypto session

Sesiones de criptografía de las cancelaciones (IPSec y IKE SA).

Paso 3 

debug crypto isakmp

Example:

Router# debug crypto isakmp

Muestra mensajes sobre los eventos IKE.

Ejemplos de configuración para el Dead Peer Detection del IPSec
Opción de Mensaje Periódico

Esta sección proporciona los siguientes ejemplos de configuración:

Configuración de Sitio a Sitio con el DPD Periódico Habilitado: Ejemplo:

Easy VPN Remote con DPD Habilitado: Ejemplo:

Verificación de la Configuración de DPD con el Comando debug crypto isakmp: Ejemplo:

DPD y Cisco IOS Keepalives Usados Conjuntamente con Varios Peers en una Crypto Map: Ejemplo:

DPD Usado Conjuntamente con varios Peers para un Easy VPN Remote: Ejemplo:

Configuración de Sitio a Sitio con el DPD Periódico Habilitado: Ejemplo:

Las configuraciones siguientes están para un sitio a localizar puesto sin el DPD periódico habilitado. Las configuraciones están para la directiva de la fase 1 IKE y para la clave del preshared IKE.

Directiva de la fase 1 IKE

crypto isakmp policy 1
  encryption 3des
  authentication pre-share
  group 2
!

Clave del preshared IKE

crypto isakmp key kd94j1ksldz address 10.2.80.209 255.255.255.0
crypto isakmp keepalive 10 periodic
crypto ipsec transform-set esp-3des-sha esp-3des esp-sha-hmac
crypto map test 1 ipsec-isakmp
  set peer 10.2.80.209
  set transform-set esp-3des-sha
  match address 101
!
!
interface FastEthernet0
  ip address 10.1.32.14 255.255.255.0
  speed auto
  crypto map test
!

Easy VPN Remote con DPD Habilitado: Ejemplo:

La configuración siguiente dice al router enviar un mensaje periódico DPD cada 30 segundos. Si el par no puede responder al mensaje DPD R_U_THERE, el router vuelve a enviar el mensaje cada 20 segundos (cuatro transmisiones en conjunto).

crypto isakmp keepalive 30 20 periodic
crypto ipsec client ezvpn ezvpn-config
  connect auto
  group unity key preshared
  mode client
  peer 10.2.80.209
!
!
interface Ethernet0
  ip address 10.2.3.4 255.255.255.0
  half-duplex
  crypto ipsec client ezvpn ezvpn-config inside
!
interface FastEthernet0
  ip address 10.1.32.14 255.255.255.0
  speed auto
  crypto ipsec client ezvpn ezvpn-config outside

Verificación de la Configuración de DPD con el Comando debug crypto isakmp: Ejemplo:

La salida de muestra siguiente debug crypto isakmp del comando verifica que el IKE DPD esté habilitado:

*Mar 25 15:17:14.131: ISAKMP:(0:1:HW:2):IKE_DPD is enabled, initializing timers

Para ver que el IKE DPD está habilitado (y que el par soporta el DPD): cuando se habilita el DPD periódico, usted debe ver los mensajes siguientes del debug en el intervalo especificado por el comando:

*Mar 25 15:18:52.107: ISAKMP:(0:1:HW:2): sending packet to 10.2.80.209 my_port 
500 peer_port 500 (I) QM_IDLE
*Mar 25 15:18:52.107: ISAKMP:(0:1:HW:2):purging node 899852982 *Mar 25 15:18:52.111: 
ISAKMP:(0:1:HW:2):Input = IKE_MESG_FROM_TIMER, 
IKE_TIMER_IM_ALIVE
*Mar 25 15:18:52.111: ISAKMP:(0:1:HW:2):Old State = IKE_P1_COMPLETE  New State = 
IKE_P1_COMPLETE

El mensaje antedicho corresponde a enviar el mensaje DPD R_U_THERE.

*Mar 25 15:18:52.123: ISAKMP (0:268435457): received packet from 10.2.80.209 
dport 500 sport 500 Global (I) QM_IDLE
*Mar 25 15:18:52.123: ISAKMP: set new node -443923643 to QM_IDLE *Mar 25 15:18:52.131: 
ISAKMP:(0:1:HW:2): processing HASH payload. message ID = 
-443923643
*Mar 25 15:18:52.131: ISAKMP:(0:1:HW:2): processing NOTIFY R_U_THERE_ACK protocol 1
	spi 0, message ID = -443923643, sa = 81BA4DD4
*Mar 25 15:18:52.135: ISAKMP:(0:1:HW:2): DPD/R_U_THERE_ACK received from peer 
10.2.80.209, sequence 0x9
*Mar 25 15:18:52.135: ISAKMP:(0:1:HW:2):deleting node -443923643 error FALSE 
reason "informational (in) state 1"
*Mar 25 15:18:52.135: ISAKMP:(0:1:HW:2):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY *Mar 
25 15:18:52.135: ISAKMP:(0:1:HW:2):Old State = IKE_P1_COMPLETE  New State = 
IKE_P1_COMPLETE

El mensaje antedicho corresponde a recibir el mensaje del reconocimiento (ACK) del par.

Router#
*Mar 25 15:47:35.335: ISAKMP: set new node -90798077 to QM_IDLE *Mar 25 15:47:35.343: 
ISAKMP:(0:1:HW:2): sending packet to 10.2.80.209 my_port 
500 peer_port 500 (I) QM_IDLE
*Mar 25 15:47:35.343: ISAKMP:(0:1:HW:2):purging node -90798077 *Mar 25 15:47:35.347: 
ISAKMP:(0:1:HW:2):Input = IKE_MESG_FROM_TIMER, 
IKE_TIMER_IM_ALIVE
*Mar 25 15:47:35.347: ISAKMP:(0:1:HW:2):Old State = IKE_P1_COMPLETE  New State = 
IKE_P1_COMPLETE

*Mar 25 15:47:36.611: ISAKMP:(0:1:HW:2):purging node 1515050537 *Mar 25 15:47:37.343: 
ISAKMP:(0:1:HW:2):incrementing error counter on sa: 
PEERS_ALIVE_TIMER
*Mar 25 15:47:37.343: ISAKMP: set new node -1592471565 to QM_IDLE *Mar 25 15:47:37.351: 
ISAKMP:(0:1:HW:2): sending packet to 10.2.80.209 my_port 
500 peer_port 500 (I) QM_IDLE
*Mar 25 15:47:37.351: ISAKMP:(0:1:HW:2):purging node -1592471565 *Mar 25 15:47:37.355: 
ISAKMP:(0:1:HW:2):Input = IKE_MESG_FROM_TIMER, 
IKE_TIMER_PEERS_ALIVE
*Mar 25 15:47:37.355: ISAKMP:(0:1:HW:2):Old State = IKE_P1_COMPLETE  New State = 
IKE_P1_COMPLETE

*Mar 25 15:47:39.355: ISAKMP:(0:1:HW:2):incrementing error counter on sa: 
PEERS_ALIVE_TIMER
*Mar 25 15:47:39.355: ISAKMP: set new node 1758739401 to QM_IDLE *Mar 25 15:47:39.363: 
ISAKMP:(0:1:HW:2): sending packet to 10.2.80.209 my_port 
500 peer_port 500 (I) QM_IDLE
*Mar 25 15:47:39.363: ISAKMP:(0:1:HW:2):purging node 1758739401 *Mar 25 15:47:39.367: 
ISAKMP:(0:1:HW:2):Input = IKE_MESG_FROM_TIMER, 
IKE_TIMER_PEERS_ALIVE
*Mar 25 15:47:39.367: ISAKMP:(0:1:HW:2):Old State = IKE_P1_COMPLETE  New State = 
IKE_P1_COMPLETE

*Mar 25 15:47:41.367: ISAKMP:(0:1:HW:2):incrementing error counter on sa: 
PEERS_ALIVE_TIMER
*Mar 25 15:47:41.367: ISAKMP: set new node 320258858 to QM_IDLE *Mar 25 15:47:41.375: 
ISAKMP:(0:1:HW:2): sending packet to 10.2.80.209 my_port 
500 peer_port 500 (I) QM_IDLE
*Mar 25 15:47:41.379: ISAKMP:(0:1:HW:2):purging node 320258858 *Mar 25 15:47:41.379: 
ISAKMP:(0:1:HW:2):Input = IKE_MESG_FROM_TIMER, 
IKE_TIMER_PEERS_ALIVE
*Mar 25 15:47:41.379: ISAKMP:(0:1:HW:2):Old State = IKE_P1_COMPLETE  New State = 
IKE_P1_COMPLETE

*Mar 25 15:47:43.379: ISAKMP:(0:1:HW:2):incrementing error counter on sa: 
PEERS_ALIVE_TIMER
*Mar 25 15:47:43.379: ISAKMP: set new node -744493014 to QM_IDLE *Mar 25 15:47:43.387: 
ISAKMP:(0:1:HW:2): sending packet to 10.2.80.209 my_port 
500 peer_port 500 (I) QM_IDLE
*Mar 25 15:47:43.387: ISAKMP:(0:1:HW:2):purging node -744493014 *Mar 25 15:47:43.391: 
ISAKMP:(0:1:HW:2):Input = IKE_MESG_FROM_TIMER, 
IKE_TIMER_PEERS_ALIVE
*Mar 25 15:47:43.391: ISAKMP:(0:1:HW:2):Old State = IKE_P1_COMPLETE  New State = 
IKE_P1_COMPLETE

*Mar 25 15:47:45.391: ISAKMP:(0:1:HW:2):incrementing error counter on sa: 
PEERS_ALIVE_TIMER
*Mar 25 15:47:45.391: ISAKMP:(0:1:HW:2):peer 10.2.80.209 not responding! *Mar 25 
15:47:45.391: ISAKMP:(0:1:HW:2):peer does not do paranoid keepalives.

*Mar 25 15:47:45.391: ISAKMP:(0:1:HW:2):deleting SA reason "peers alive" state 
(I) QM_IDLE       (peer 10.2.80.209) input queue 0
*Mar 25 15:47:45.395: ISAKMP: Unlocking IPSEC struct 0x81E5C4E8 from 
delete_siblings, count 0
*Mar 25 15:47:45.395: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is DOWN.  Peer 
10.2.80.209:500       Id: 10.2.80.209
*Mar 25 15:47:45.399: ISAKMP: set new node -2061951065 to QM_IDLE *Mar 25 15:47:45.411: 
ISAKMP:(0:1:HW:2): sending packet to 10.2.80.209 my_port 
500 peer_port 500 (I) QM_IDLE
*Mar 25 15:47:45.411: ISAKMP:(0:1:HW:2):purging node -2061951065 *Mar 25 15:47:45.411: 
ISAKMP:(0:1:HW:2):Input = IKE_MESG_FROM_TIMER, 
IKE_TIMER_PEERS_ALIVE
*Mar 25 15:47:45.411: ISAKMP:(0:1:HW:2):Old State = IKE_P1_COMPLETE  New State = 
IKE_DEST_SA

*Mar 25 15:47:45.415: ISAKMP:(0:1:HW:2):deleting SA reason "peers alive" state 
(I) QM_IDLE       (peer 10.2.80.209) input queue 0
*Mar 25 15:47:45.415: ISAKMP: Unlocking IKE struct 0x81E5C4E8 for 
isadb_mark_sa_deleted(), count 0
*Mar 25 15:47:45.415: ISAKMP: Deleting peer node by peer_reap for 10.2.80.209: 
81E5C4E8
*Mar 25 15:47:45.415: ISAKMP:(0:1:HW:2):deleting node -1067612752 error TRUE 
reason "peers alive"
*Mar 25 15:47:45.415: ISAKMP:(0:1:HW:2):deleting node -114443536 error TRUE 
reason "peers alive"
*Mar 25 15:47:45.419: ISAKMP:(0:1:HW:2):deleting node 2116015069 error TRUE 
reason "peers alive"
*Mar 25 15:47:45.419: ISAKMP:(0:1:HW:2):deleting node -1981865558 error TRUE 
reason "peers alive"
*Mar 25 15:47:45.419: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL *Mar 25 
15:47:45.419: ISAKMP:(0:1:HW:2):Old State = IKE_DEST_SA  New State = 
IKE_DEST_SA

*Mar 25 15:47:45.419: ISAKMP: received ke message (4/1)
*Mar 25 15:47:45.419: ISAKMP: received ke message (3/1)
*Mar 25 15:47:45.423: ISAKMP: ignoring request to send delete notify (no ISAKMP 
sa) src 10.1.32.14 dst 10.2.80.209 for SPI 0x3A7B69BF
*Mar 25 15:47:45.423: ISAKMP:(0:1:HW:2):deleting SA reason "" state (I) 
MM_NO_STATE (peer 10.2.80.209) input queue 0
*Mar 25 15:47:45.423: ISAKMP:(0:1:HW:2):deleting node -1067612752 error FALSE 
reason ""
*Mar 25 15:47:45.423: ISAKMP:(0:1:HW:2):deleting node -114443536 error FALSE 
reason ""
*Mar 25 15:47:45.423: ISAKMP:(0:1:HW:2):deleting node 2116015069 error FALSE 
reason ""
*Mar 25 15:47:45.427: ISAKMP:(0:1:HW:2):deleting node -1981865558 error FALSE 
reason ""
*Mar 25 15:47:45.427: ISAKMP:(0:1:HW:2):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH *Mar 25 
15:47:45.427: ISAKMP:(0:1:HW:2):Old State = IKE_DEST_SA  New State = 
IKE_DEST_SA

El mensaje antedicho muestra qué sucede cuando el peer remoto es inalcanzable. El router envía un mensaje DPD R_U_THERE y cuatro retransmisiones antes de que finalmente borre el IPSec y el IKE SA.

DPD y Cisco IOS Keepalives Usados Conjuntamente con Varios Peers en una Crypto Map: Ejemplo:

El siguiente ejemplo muestra que el DPD y el Keepalives del Cisco IOS están utilizados conjuntamente con los peeres múltiples en una configuración de la correspondencia de criptografía cuando el IKE se utiliza para establecer a las asociaciones de seguridad (SA). En este ejemplo, un SA se podía configurar al peer IPSec en 10.0.0.1, 10.0.0.2, o 10.0.0.3.

crypto map green 1 ipsec-isakmp
  set peer 10.0.0.1
  set peer 10.0.0.2
  set peer 10.0.0.3
  set transform-set txfm
  match address 101

DPD Usado Conjuntamente con varios Peers para un Easy VPN Remote: Ejemplo:

El siguiente ejemplo muestra que el DPD está utilizado conjuntamente con los peeres múltiples en una configuración VNP remota sencilla. En este ejemplo, un SA se podía configurar al peer IPSec en 10.10.10.10, 10.2.2.2, o 10.3.3.3.

crypto ipsec client ezvpn ezvpn-config
  connect auto
  group unity key preshared
  mode client
  peer 10.10.10.10
  peer 10.2.2.2
  peer 10.3.3.3

Referencias adicionales

Documentos Relacionados

Tema relacionado
Título del documento

Configurar el IPSec

Configurar directivo de seguridad para los VPN con el IPSec

Comandos del IPSec

Referencia de Comandos de Seguridad de Cisco IOS


Estándares

Estándares
Título

Ninguno


MIB

MIB
Link del MIB

Ninguno

Para localizar y descargar el MIB para las plataformas elegidas, las versiones de Cisco IOS Software, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente:

http://www.cisco.com/cisco/web/LA/support/index.html


RFC

RFC
Título

El DPD se ajusta a los Borradores de Internet "draft-IETF-IPSec-DPD-04.txt," que es publicación pendiente como RFC informativo (un número todavía no se ha asignado).


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información de la característica para la opción del mensaje periódico del Dead Peer Detection del IPSec

La Tabla 1 muestra el historial de versiones de esta función.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.


Información de la característica del cuadro 1 para la opción del mensaje periódico del Dead Peer Detection del IPSec 

Nombre de la función
Versiones
Información sobre la Función

IPsec Dead Peer Detection Periodic Message Option

12.3(7)T
12.2(33)SRA
12.2(33)SXH

La característica de la opción del mensaje periódico del Dead Peer Detection del IPSec se utiliza para configurar al router para preguntar la vivacidad de su par del Internet Key Exchange (IKE) a intervalos regulares. La ventaja de este enfoque sobre el enfoque predeterminado (detección de peer muerto bajo demanda) es una detección más temprana de peers muertos.

Esta característica fue introducida en el Cisco IOS Release 12.3(7)T.

Esta característica era integrada en el Cisco IOS Release 12.2(33)SRA

Esta característica era integrada en el Cisco IOS Release 12.2(33)SXH

Se ha insertado el siguiente comando: crypto isakmp keepalive.