>>Если DPD проверяет доступность крайних точек, генерирует ли он трафик в туннеле
>>?
>>Выставляю dpd_delay 2; dpd_retry 5; dpd_maxfail 5;
>>Траффика нет. Базы SAD не появляются. Как тогда DPD должен отреагировать, на
>>недоступность точек ??
>>
>
>1)Доступность проверяется не по туннелю
>2)2+2 Спасибо за ответ. Немного не понял второй пункт.
Путем изучения дебуг-логов и многочисленных экспериментов, удалось выявить закономерность - тунель обрывается через 30 минут после последнего пройденого пакета по тунелю. Обрыв происходит путем ISAKMP-SA Expired (фаза 1). Что скорее всего обсловлено настройками DPD на Cisco (к которому у меня нет доступа). Эта проблема, впринципе, решается выставлением на клиенте (racoon.conf) параметров lifetime со значениеми меньшим чем 30 минут. Т.е. клиент обновляет базы SAD SPD раньше чем тунель оборвет Cisco из-за ситуации "мертвый клиент" и таким образом генерируется трафик. Т.е. после создания тунеля - он автоматечески удерживается частыми (меньше 30 минут) обновлениями ключей первой и второй фазы.
Остается открытым вопрос - как поднять тунель, без трафика из сети со стороны клиента при автоматическом (запланированом или случайном) перезапуске сервиса или всей системы в целом. Первое, что приходит в голову - однократный пинг по тунелю. Проблема, - а если сетей за тунелем несколько - 5 или 15. Пинг необходимо делать в каждую сеть, к определенному хосту (для получения ответа), который может не быть оперативным в этот момент и к тому же система усложняется при увеличении кол-ва сетей. Этот вариант остается как запасной, но думаю есть более верные решения.
Какие есть мнения ???
Вариант для распечатки
Маршрутизаторы CISCO и др. оборудование. (Public)
on 20-Май-08, 03:32 
