weixin_45123715的博客

DPD（对等体失效检测）：通过使用IPSec流量来最小化对等体状态检测所需发送消息报文的数量，若本端可以收到对端发来的IPSec流量，则认为对端处于活动状态，只有一段时间内没有收到IPSec流量，才会发送DPD探测报文，若发送几次依然没有对端进行响应，则认为对端不可达，删除IKE SA和IPSec SADPD两种模式：按需型：只有当本端需要向对端发送IPSec报文时，向对端发送DPD报文周期型：周期性主动发送DPD报文（超过DPD空闲时间就发送）实验：拓扑图：配置静态路由：配置ipsec

多用在站点到站点，协议号47GRE是一种三层封装技术，可以对某些网络层协议（如IPX、IP等）的报文进行封装，使封装后的报文能够在另一种网络中（如ipv4）传输，从而解决了异种网络的报文传输问题，如图：GRE优缺点：1.GRE除了可以封装网络层协议报文外，支持多种上层协议，还可以封装组播报文2.不支持加密，较弱的身份验证机制，较弱的数据完整性校验IPSec优缺点：1.支支持IP封装，不知持多种上层协议，不支持组播2.支持加密，支持身份验证机制，支持数据完整性校验GRE封装：新IP头中使用47

IPSec是一系列为IP网络提供完整性、安全性的协议和服务的集合，通过使用IPSec可以安全地进行IP业务的传输，实现VPN网络互连，他并不是一个单独的协议IPSec体系结构：IPSec包括认证头协议（AH）、封装载荷协议（ESP）、因特网密钥交换协议（IKE），用于保护主机与主机之间、主机与网关之间、网关与网关之间的一个或多个数据流。AH和ESP用于提供安全服务，IKE协议用于密钥交换IPSec VPN只能对单播流量进行加密，不能加密组播流量IPSec协议体系：安全协议，加密，验证，密钥交换安全