VPN：配置Heartbeat定时器

微信公众号：计算机与网络安全

▼

在对等体间进行IPSec通信时，如果一端不响应，而对端因系统失效等异常环境并不知道，仍旧继续发送IPSec流量，会造成流量的丢失。为了阻止流量丢失，引入了 Heartbeat检测机制。

Heartbeat检测是指本端定时地向对端发送探测报文，接收端在定时器超时后若仍然收不到报文，就认为对端已经不能正常工作。IKE可以通过heartbeat报文检测对端故障，维护IKE SA的链路状态。

本端配置的发送heartbeat报文的时间间隔需要与对端配置的等待heartbeat报文的超时时间配合使用。当对端在配置的超时时间内未收到heartbeat报文时，如果该IKE SA带有TIMEOUT标记，则删除该IKE SA以及由其协商的IPSec SA；否则，将其标记为 TIMEOUT。

配置Heartbeat定时器的步骤见表1。

表1 配置heartbeat定时器的步骤

▲

- The end -