1.IPSEC協(xié)議簇安全框架

a.IPSec簡介

IPSec（Internet Protocol Security）：是一組基于網(wǎng)絡(luò)層的，應(yīng)用密碼學(xué)的安全通信協(xié)議族。IPSec不是具體指哪個協(xié)議，而是一個開放的協(xié)議族。

IPSec協(xié)議的設(shè)計(jì)目標(biāo)：是在IPV4和IPV6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活的安全服務(wù)。

IPSec VPN：是基于IPSec協(xié)議族構(gòu)建的在IP層實(shí)現(xiàn)的安全虛擬專用網(wǎng)。通過在數(shù)據(jù)包中插入一個預(yù)定義頭部的方式，來保障OSI上層協(xié)議數(shù)據(jù)的安全，主要用于保護(hù)TCP、UDP、ICMP和隧道的IP數(shù)據(jù)包。

b.IPSec協(xié)議族

IPSec VPN體系結(jié)構(gòu)主要由AH、ESP和IKE協(xié)議套件組成。 IPSec通過ESP來保障IP數(shù)據(jù)傳輸過程的機(jī)密性，使用AH/ESP提供數(shù)據(jù)完整性、數(shù)據(jù)源驗(yàn)證和抗報(bào)文重放功能。

ESP和AH定義了協(xié)議和載荷頭的格式及所提供的服務(wù)，但卻沒有定義實(shí)現(xiàn)以上能力所需具體轉(zhuǎn)碼方式，轉(zhuǎn)碼方式包括對數(shù)據(jù)轉(zhuǎn)換方式，如算法、密鑰長度等。 為簡化IPSec的使用和管理，IPSec還可以通過IKE進(jìn)行自動協(xié)商交換密鑰、建立和維護(hù)安全聯(lián)盟的服務(wù)。具體如下：

AH協(xié)議：AH是報(bào)文頭驗(yàn)證協(xié)議，主要提供的功能有數(shù)據(jù)源驗(yàn)證、數(shù)據(jù)完整性校驗(yàn)和防報(bào)文重放功能。然而，AH并不加密所保護(hù)的數(shù)據(jù)報(bào)。

ESP協(xié)議：ESP是封裝安全載荷協(xié)議。它除提供AH協(xié)議的所有功能外（但其數(shù)據(jù)完整性校驗(yàn)不包括IP頭），還可提供對IP報(bào)文的加密功能。

IKE協(xié)議：IKE協(xié)議用于自動協(xié)商AH和ESP所使用的密碼算法。 IKE定義了安全參數(shù)如何協(xié)商,以及共享密鑰如何建立,但它沒有定義的是協(xié)商內(nèi)容。這方面的定義是由"解釋域(doi)"文檔來進(jìn)行。

IPSec協(xié)議族：

1.IPSec協(xié)議定義了兩種通信保護(hù)機(jī)制：

封裝安全載荷(ESP，Encapsulating Security Payload)：ESP機(jī)制為通信提供機(jī)密性和完整性；

鑒別頭(AH，Authentication Header)：AH機(jī)制為通信提供完整性保護(hù)。

ESP機(jī)制和AH機(jī)制都能為通信提供抗重放(Anti-replay)攻擊。

2.IPSec協(xié)議可以設(shè)置成在兩種工作模式下運(yùn)行：一種是隧道(tunnel)模式，另一種是傳輸(transport)模式。

3.IPSec協(xié)議使用IKE協(xié)議實(shí)現(xiàn)安全協(xié)議的自動安全參數(shù)協(xié)商。IKE協(xié)商的安全參數(shù)包括加密與鑒別算法、 加密與鑒別密鑰、通信的保護(hù)模式(傳輸或隧道模式)、密鑰的生存期等。IKE將這些安全參數(shù)構(gòu)成的集合稱為**安全關(guān)聯(lián)(SA，security Association)**，還負(fù)責(zé)這些安全參數(shù)的刷新。

4.兩個數(shù)據(jù)庫：安全策略數(shù)據(jù)庫SPD，安全關(guān)聯(lián)數(shù)據(jù)庫SAD。

5.DOI將所有的IPSec小組的文獻(xiàn)捆綁在一起。它可以被認(rèn)為是所有IPSec安全參數(shù)的主數(shù)據(jù)庫。

2.IPSEC工作模式

a.傳輸模式(Transport mode)

在傳輸模式下，IPSec協(xié)議處理模塊會在IP報(bào)頭和高層協(xié)議報(bào)頭之間插入一個IPSec報(bào)頭。

IP報(bào)頭與原始IP分組中的IP報(bào)頭是一致的，只是IP報(bào)文中的協(xié)議字段會被改成IPSec協(xié)議的協(xié)議號（50或者51) ，并重新計(jì)算IP報(bào)頭校驗(yàn)和。傳輸模式保護(hù)數(shù)據(jù)包的有效載荷、高層協(xié)議，IPSec源端點(diǎn)不會修改IP報(bào)頭中目的IP地址，原來的IP地址也會保持明文。

傳輸模式只為高層協(xié)議提供安全服務(wù)。

主要應(yīng)用場景：經(jīng)常用于主機(jī)和主機(jī)之間端到端通信的數(shù)據(jù)保護(hù)。

封裝方式：不改變原有的IP包頭，在原數(shù)據(jù)包頭后面插入IPSec包頭，將原來的數(shù)據(jù)封裝成被保護(hù)的數(shù)據(jù)。

b.隧道模式(Tunnel mode)

傳輸模式不同，在隧道模式下，原始IP分組被封裝成一個新的IP報(bào)文，在內(nèi)部報(bào)頭以及外部報(bào)頭之間插入一個IPSec報(bào)頭，原IP地址被當(dāng)作有效載荷的一部分受到IPSec的保護(hù)。

通過對數(shù)據(jù)加密，還可以隱藏原數(shù)據(jù)包中的IP地址，這樣更有利于保護(hù)端到端通信中數(shù)據(jù)的安全性。

封裝方式：增加新的IP（外網(wǎng)IP）頭，其后是ipsec包頭，之后再將原來的整個數(shù)據(jù)包封裝。

主要應(yīng)用場景：經(jīng)常用于私網(wǎng)與私網(wǎng)之間通過公網(wǎng)進(jìn)行通信，建立安全VPN通道。

3.IPSEC通信協(xié)議

a.AH協(xié)議

AH分配到的協(xié)議號是51。即使用AH協(xié)議進(jìn)行安全保護(hù)的IPv4數(shù)據(jù)報(bào)文的IP頭部中協(xié)議字段將是51，表明IP頭之后是一個AH頭。AH頭比ESP頭簡單得多，因?yàn)樗鼪]有提供機(jī)密性。由于不需要填充和一個填充長度指示器，因此也不存在尾部字段。另外，也不需要一個初始化向量。

AH提供的安全服務(wù)：

無連接數(shù)據(jù)完整性：通過哈希函數(shù)產(chǎn)生的校驗(yàn)來保證。

數(shù)據(jù)源認(rèn)證：通過在計(jì)算驗(yàn)證碼時加入一個共享秘鑰來實(shí)現(xiàn)。

抗重放服務(wù)：AH報(bào)頭中的序列號可以防止重放攻擊。

AH不提供任何保密性服務(wù)：它不加密所保護(hù)的數(shù)據(jù)包。

不論是傳輸模式還是隧道模式下，AH提供對數(shù)據(jù)包的保護(hù)時，它保護(hù)的是整個IP數(shù)據(jù)包（易變的字段除外，如IP頭中的TTL和TOS字段）。

AH頭：

AH在傳輸模式下封裝：

AH在隧道模式下封裝：

b.ESP協(xié)議

ESP同樣被當(dāng)作一種IP協(xié)議對待，緊貼在ESP頭前的IP頭，以協(xié)議號50標(biāo)志ESP頭，ESP之前的IP頭中的協(xié)議字段將是50，以表明IP頭之后是一個ESP頭，ESP不僅具備ESP頭，還有一個包含有用信息的ESP尾。

在隧道模式中，ESP保護(hù)整個IP包，整個原始IP包將會以ESP載荷的方式加入新建的數(shù)據(jù)包，同時，系統(tǒng)根據(jù)隧道起點(diǎn)和終點(diǎn)等參數(shù)，建立一個隧道IP頭，作為這個數(shù)據(jù)包的新IP頭，ESP頭夾在隧道IP頭和原始IP包之間，并點(diǎn)綴ESP尾。

ESP提供加密服務(wù)，所以原始IP包和ESP尾以密文的形式出現(xiàn)。

ESP在驗(yàn)證過程中，只對ESP頭部、原始數(shù)據(jù)包IP包頭、原始數(shù)據(jù)包數(shù)據(jù)進(jìn)行驗(yàn)證；只對原始的整個數(shù)據(jù)包進(jìn)行加密，而不加密驗(yàn)證數(shù)據(jù)。

ESP提供的安全服務(wù)：

無連接數(shù)據(jù)完整性。

數(shù)據(jù)源認(rèn)證。

抗重放服務(wù)。

數(shù)據(jù)保密。

有限的數(shù)據(jù)流保護(hù)

保密服務(wù)通過使用密碼算法加密IP數(shù)據(jù)包的相關(guān)部分來實(shí)現(xiàn)。

數(shù)據(jù)流保密由隧道模式下的保密服務(wù)提供。

ESP通常使用DES、3DES、AES等加密算法實(shí)現(xiàn)數(shù)據(jù)加密，使用MD5或SHA1來實(shí)現(xiàn)數(shù)據(jù)完整性認(rèn)證。

ESP頭：

ESP在傳輸模式下封裝：

ESP通常使用DES、3DES、AES等加密算法實(shí)現(xiàn)數(shù)據(jù)加密，使用MD5或SHA1來實(shí)現(xiàn)數(shù)據(jù)完整性認(rèn)證。

ESP同樣被當(dāng)作一種IP協(xié)議對待，緊貼在ESP頭前的IP頭，以協(xié)議號50標(biāo)志ESP頭，并且，ESP不僅具備ESP頭，還有一個包含有用信息的ESP尾。

在隧道模式中，ESP保護(hù)整個IP包，整個原始IP包將會以ESP載荷的方式加入新建的數(shù)據(jù)包，同時，系統(tǒng)根據(jù)隧道起點(diǎn)和終點(diǎn)等參數(shù)，建立一個隧道IP頭，作為這個數(shù)據(jù)包的新IP頭，ESP頭夾在隧道IP頭和原始IP包之間，并點(diǎn)綴ESP尾。

ESP提供加密服務(wù)，所以原始IP包和ESP尾以密文的形式出現(xiàn)。

ESP在驗(yàn)證過程中，只對ESP頭部、原始數(shù)據(jù)包IP包頭、原始數(shù)據(jù)包數(shù)據(jù)進(jìn)行驗(yàn)證；只對原始的整個數(shù)據(jù)包進(jìn)行加密，而不加密驗(yàn)證數(shù)據(jù)。

c.AH和ESP對比

ESP在隧道模式不驗(yàn)證外部IP頭，因此ESP在隧道模式下可以在NAT環(huán)境中運(yùn)行。 ESP在傳輸模式下會驗(yàn)證外部IP頭部，將導(dǎo)致校驗(yàn)失敗。

AH因?yàn)樘峁?shù)據(jù)來源確認(rèn)（源IP地址一旦改變，AH校驗(yàn)失?。詿o法穿越NAT。

4.IPSEC建立階段

a.IKE協(xié)商階段

1.安全聯(lián)盟SA(Security Association)：是兩個IPSec通信實(shí)體之間經(jīng)協(xié)商建立起來的一種共同協(xié)定，它規(guī)定了通信雙方使用哪種IPSec協(xié)議保護(hù)數(shù)據(jù)安全、應(yīng)用的算法標(biāo)識、加密和驗(yàn)證的密鑰取值以及密鑰的生存周期等等安全屬性值。通過使用安全關(guān)聯(lián)(SA) ， IPSec能夠區(qū)分對不同的數(shù)據(jù)流提供的安全服務(wù)。

2.IPSec是在兩個端點(diǎn)之間提供安全通信，端點(diǎn)被稱為IPSec對等體。IPSec能夠允許系統(tǒng)、網(wǎng)絡(luò)的用戶或管理員控制對等體間安全服務(wù)的粒度。通過SA（Security Association），IPSec能夠?qū)Σ煌臄?shù)據(jù)流提供不同級別的安全保護(hù)。

3.安全聯(lián)盟是IPSec的基礎(chǔ)，也是IPSec的本質(zhì)。SA是通信對等體間對某些要素的約定，例如，使用哪種安全協(xié)議、協(xié)議的操作模式（傳輸模式和隧道模式）、加密算法（DES和3DES）、特定流中保護(hù)數(shù)據(jù)的共享密鑰以及密鑰的生存周期等。

4.安全聯(lián)盟是單向的，在兩個對等體之間的雙向通信，最少需要兩個安全聯(lián)盟來分別對兩個方向的數(shù)據(jù)流進(jìn)行安全保護(hù)。入站數(shù)據(jù)流和出站數(shù)據(jù)流分別由入站SA和出站SA進(jìn)行處理。同時，如果希望同時使用AH和ESP來保護(hù)對等體間的數(shù)據(jù)流，則分別需要兩個SA，一個用于AH，另一個用于ESP。

5.安全聯(lián)盟由一個三元組來唯一標(biāo)識，這個三元組包括安全參數(shù)索引（SPI, Security Parameter Index）、目的IP地址、安全協(xié)議號（AH 或ESP）。SPI 是為唯一標(biāo)識SA而生成的一個32比特的數(shù)值，它在IPSec頭中傳輸。

6.IPSec設(shè)備會把SA的相關(guān)參數(shù)放入**SPD（Security Policy Database）**里面，SPD里面存放著“什么數(shù)據(jù)應(yīng)該進(jìn)行怎樣的處理”這樣的消息，在IPSec數(shù)據(jù)包出站和入站的時候會首先從SPD數(shù)據(jù)庫中查找相關(guān)信息并做下一步處理。

1.IKE的產(chǎn)生背景

1.用IPSec保護(hù)一個IP包之前，必須先建立安全聯(lián)盟（SA）。

2.IPSec的安全聯(lián)盟可以通過手工配置的方式建立。但是當(dāng)網(wǎng)絡(luò)中節(jié)點(diǎn)較多時，手工配置將非常困難，而且難以保證安全性。這時就可以使用**IKE（Internet Key Exchange）**自動進(jìn)行安全聯(lián)盟建立與密鑰交換的過程。Internet密鑰交換（IKE）就用于動態(tài)建立SA，代表IPSec對SA進(jìn)行協(xié)商。

2.IKE的用途

1.IKE為IPSec協(xié)商生成密鑰，供AH/ESP加解密和驗(yàn)證使用。

2.在IPSec通信雙方之間，動態(tài)地建立安全關(guān)聯(lián)（SA：Security Association），對SA進(jìn)行管理和維護(hù)。

3.IKE與AH/ESP之間關(guān)系

IKE是UDP之上的一個應(yīng)用層協(xié)議，是IPSec的信令協(xié)議。IKE為IPSec協(xié)商生成密鑰,供AH/ESP加解密和驗(yàn)證使用。AH協(xié)議和ESP協(xié)議有自己的協(xié)議號，分別是51和50。

4.IKE工作過程

IKE經(jīng)過兩個階段為IPSec進(jìn)行密鑰協(xié)商并建立安全聯(lián)盟：

第一階段交換：通信各方彼此間建立了一個已通過身份驗(yàn)證和安全保護(hù)的通道，此階段的交換建立了一個ISAKMP安全聯(lián)盟，即ISAKMP SA（也可稱為IKE SA）。

第一階段交換有兩種協(xié)商模式：

主模式協(xié)商，一般情況下，IKE的主模式適用于兩設(shè)備的公網(wǎng)IP固定、且要實(shí)現(xiàn)設(shè)備之間點(diǎn)對點(diǎn)的環(huán)境。

野蠻模式協(xié)商，對于例如ADSL撥號用戶，其獲得的公網(wǎng)IP不是固定的，且可能存在NAT設(shè)備的情況下，采用野蠻模式做NAT穿越，同時，由于IP不是固定的，用name作為id-type，總部采用模板的方式接收分支的IPSEC接入。

第二階段交換：用已經(jīng)建立的安全聯(lián)盟（IKE SA）為IPSec協(xié)商安全服務(wù)，即為IPSec協(xié)商具體的安全聯(lián)盟，建立IPSec SA，產(chǎn)生真正可以用來加密數(shù)據(jù)流的密鑰，IPSec SA用于最終的IP數(shù)據(jù)安全傳送。

5.IKE階段1

IKE階段1協(xié)商過程：

IKE階段1–主模式協(xié)商：

第一次交換（消息1和2）：策略協(xié)商。

在第1個數(shù)據(jù)包的傳輸過程中，發(fā)送方發(fā)起一個包含cookie (記為：Ci ) 和SA負(fù)載（記為：SAi，攜帶協(xié)商IKE SA的各項(xiàng)參數(shù)（5元組），包括IKE的散列類型如MD5；加密算法如DES、3DES等；認(rèn)證方法如預(yù)共享、數(shù)字簽名、加密臨時值等；DH組；SA存活期）的數(shù)據(jù)包用來協(xié)商參數(shù)。

接收方查看IKE策略消息，在本地尋找與發(fā)送方IP地址匹配的策略，找到后發(fā)回一條消息去響應(yīng)。響應(yīng)者發(fā)送一個cookie （記為：Cr）和SA負(fù)載（記為：SAr，已經(jīng)挑選的安全參數(shù)）；如果沒有可以挑選的參數(shù)，響應(yīng)者會返回一個負(fù)載拒絕。

第二次交換（消息3和4）：Diffie-Hellman交換。

執(zhí)行DH交換，發(fā)起者和接收者交換偽隨機(jī)數(shù)，如nonce。nonce是計(jì)算共享秘密(用來生成加密密鑰和認(rèn)證密鑰)所必需的。該技術(shù)的優(yōu)勢在于，它允許參與者通過無擔(dān)保媒體創(chuàng)建秘密值。

第三次交換（消息5和6）：對等體驗(yàn)證。

ISAKMP/IKE階段1主要任務(wù)就是認(rèn)證，第三階段即在安全的環(huán)境下進(jìn)行認(rèn)證，前面兩個步驟四個數(shù)據(jù)包的傳輸都是為了第三階段第5和第6個數(shù)據(jù)包交換的認(rèn)證做鋪墊。第1-2包交換為認(rèn)證準(zhǔn)備好策略（例如：認(rèn)證策略、加密策略和散列函數(shù)等），第3-4包交換為保護(hù)5-6的安全算法提供密鑰資源。

1.第1、2個包里重點(diǎn)在于ISAKMP策略的協(xié)商，這些策略直接提供對第二階段的IPSEC SA策略協(xié)商的加密保護(hù)，這是為后面能在一個安全的環(huán)境下協(xié)商IPSEC SA策略打下基礎(chǔ)。

2.在3、4個包里，重點(diǎn)在于通過DH算法產(chǎn)生和傳遞進(jìn)行第一階段認(rèn)證的密鑰材料，這些材料會讓兩端的VPN設(shè)備產(chǎn)生一對相同的密鑰，這個密鑰就是第一階段相互間真實(shí)的認(rèn)證密鑰。

3.在5、6個包里，就用前面產(chǎn)生的認(rèn)證密鑰進(jìn)行相互認(rèn)證，當(dāng)相互認(rèn)證通過，那么為第二階段協(xié)商IPSEC SA策略的安全通道立即打開，兩端的VPN服務(wù)器會用第一階段協(xié)商的安全策略對第二階段協(xié)商的IPSEC SA策略進(jìn)行安全加密和認(rèn)證。

IKE階段1–野蠻模式協(xié)商：

野蠻模式IKE交互過程:

野蠻模式同樣包含三個步驟，僅通過三個包進(jìn)行傳輸，野蠻模式標(biāo)識為Aggressive。

野蠻模式下有三個交互包：

第一個交互包發(fā)起方建議SA，發(fā)起DH交換

第二個交互包接收方接受SA

第三個交互包發(fā)起方認(rèn)證接受方

野蠻模式交互過程少，所以在傳輸過程中，其傳輸?shù)臄?shù)據(jù)比較多，并且前兩個數(shù)據(jù)為明文傳輸，僅消息3為加密傳輸。

1.第一條消息：發(fā)起者發(fā)送5元組，DH公共值，輔助隨機(jī)數(shù)nonce以及身份資料（IDi和IDr，在此處為設(shè)備上配置域名字符串或用戶名字符串，也有可能是IP地址）。響應(yīng)者可以選擇接受或者拒絕該建議。Diffie-Hellman 公開值、需要的隨機(jī)數(shù)據(jù)和身份信息也在第一條消息中傳送。

2.第二條消息：如果響應(yīng)者接受發(fā)起者的建議，則回應(yīng)一個選定的5元組，DH公共值，輔助隨機(jī)數(shù)nonce，身份材料以及一個“認(rèn)證散列值”。

3.第三條消息：由發(fā)起者發(fā)送一個“認(rèn)證散列值”，該消息被驗(yàn)證，讓應(yīng)答方能夠確定其中的散列值是否與計(jì)算得到的散列值相同，進(jìn)而確定消息是否有問題。實(shí)際上，這個消息認(rèn)證發(fā)起者并且證明它是交換的參與者。這個消息使用前兩個消息交換的密鑰信息生成的密鑰進(jìn)行加密。

但是要注意: 包含身份信息的消息未被加密, 所以和主模式不同，野蠻模式不提供身份保護(hù)。

IKE階段1兩種模式對比：

6.IKE階段2

IKE階段2協(xié)商過程:

與第一階段的過程類似，參與者交換建議，以確定在SA中采用哪些安全參數(shù)。

雙方協(xié)商IPSec安全參數(shù)，稱為變換集transform set，包括：加密算法、Hash算法、安全協(xié)議、封裝模式、存活時間。

階段2提案還包括安全協(xié)議-封裝安全有效載荷（ESP）或認(rèn)證頭（AH）以及所選的加密和認(rèn)證算法。

標(biāo)準(zhǔn)IPSec第二階段：

階段2使用“快速模式”交換?？焖倌Ｊ接袃蓚€主要的功能：

協(xié)商安全參數(shù)來保護(hù)數(shù)據(jù)連接。

周期性的對數(shù)據(jù)連接更新密鑰信息。

第二階段的效果為協(xié)商出IPSec 單向SA，為保護(hù)IPsec數(shù)據(jù)流而創(chuàng)建。第二階段整個協(xié)商過程受第一階段ISAKMP/IKE SA保護(hù)。

快速模式交換通過三條消息建立IPsec SA。

這3個包主要用來協(xié)商用于加密用戶數(shù)據(jù)的安全策略（只有認(rèn)證和加密方法和對應(yīng)算法）：

前兩條消息協(xié)商IPsec SA的各項(xiàng)參數(shù)值，并生成IPsec使用的密鑰；第二條消息還為響應(yīng)方提供在場的證據(jù)；第三條消息為發(fā)起方提供在場的證據(jù)。

當(dāng)?shù)诙A段協(xié)商完畢之后，第一階段的策略將暫時不會被使用，直到有新的VPN連接建立時或IPSEC SA加密密鑰超時時，才會用第一階段的策略重新生成并傳遞新的加密數(shù)據(jù)和認(rèn)證的密鑰。

b.數(shù)據(jù)傳輸階段

1.概述

數(shù)據(jù)傳輸階段是通過AH或者ESP通信協(xié)議進(jìn)行數(shù)據(jù)的傳輸。 數(shù)據(jù)傳輸建立在網(wǎng)絡(luò)層。

2.VPN隧道黑洞

可能情況：

對端的VPN連接已經(jīng)斷開而我方還處在SA的有效生存期時間內(nèi)，從而形成了VPN隧道的黑洞。

另外一端如果之前SA沒有釋放，異常重啟的對端又來連接，是不會接受新的連接協(xié)商的。

DPD解決VPN隧道黑洞：

DPD：死亡對等體檢測（Dead Peer Detection），檢查對端的ISAKMP SA是否存在。當(dāng)VPN隧道異常的時候，能檢測到并重新發(fā)起協(xié)商，來維持VPN隧道。

DPD只對第一階段生效，如果第一階段本身已經(jīng)超時斷開，則不會再發(fā)DPD包。

DPD包并不是連續(xù)發(fā)送，而是采用空閑計(jì)時器機(jī)制。每接收到一個IPSec加密的包后就重置這個包對應(yīng)IKE SA的空閑定時器；

如果空閑定時器計(jì)時開始到計(jì)時結(jié)束過程都沒有接收到該SA對應(yīng)的加密包，那么下一次有IP包要被這個SA加密發(fā)送或接收到加密包之前就需要使用DPD來檢測對方是否存活。

DPD檢測主要靠超時計(jì)時器，超時計(jì)時器用于判斷是否再次發(fā)起請求，默認(rèn)是發(fā)出5次請求（請求->超時->請求->超時->請求->超時）都沒有收到任何DPD應(yīng)答就會刪除SA。

檢查對端的ISAKMP SA是否存在兩種工作模式：

1.周期模式：每隔一段時間，向?qū)Χ税l(fā)送DPD包探測對等體是否仍存在，如果收到回復(fù)則證明正常。如果收不到回復(fù)，則會每隔2秒發(fā)送一次DPD，如果發(fā)送七次仍收不到回復(fù)，則自動清除本地對應(yīng)的ISAKMP SA和IPSEC SA。

2.按需模式：這是默認(rèn)模式，當(dāng)通過IPSEC VPN發(fā)送出流量而又收不到回程的數(shù)據(jù)時，則發(fā)出DPD探測包，每隔2秒發(fā)送一次，七次都收不到回應(yīng)則清除本地對應(yīng)的ISAKMP SA和IPSEC SA。注意，如果IPSEC通道上如果跑的只有單向的UDP流量，則慎用這個模式，盡管這種情況極少。

DPD很實(shí)用，應(yīng)該開啟。至于選擇哪個模式，則根據(jù)實(shí)際需要，周期模式可以相對快地找出問題peer，但較消耗帶寬；按需模式，較節(jié)約帶寬，但只有當(dāng)發(fā)出加密包后收不到解密包才會去探測。

審核編輯：劉清