نظرة عامة على آليات Keepalive على Cisco IOS
المحتويات
المقدمة
يصف هذا وثيقة المختلف keepalive آلية على cisco ios®.
معلومات أساسية
يتم إرسال رسائل Keepalive بواسطة جهاز شبكة واحد عبر دائرة مادية أو افتراضية لإعلام جهاز شبكة آخر بأن الدائرة بينهما لا تزال تعمل. ولكي تعمل حزم الكيبالت هناك عاملان أساسيان:
- فترة keepalive هي الفترة الزمنية بين كل رسالة keepalive التي يتم إرسالها بواسطة جهاز شبكة. ويكون هذا دائما قابلا للتكوين.
- يقصد ب Keepalive عدد المرات التي يستمر فيها الجهاز في إرسال حزم keepalive دون إستجابة قبل تغيير الحالة إلى "down". بالنسبة لبعض أنواع رسائل تنشيط الاتصال هذه قابلة للتكوين، بينما تكون هناك قيمة افتراضية بالنسبة لبعضها الآخر لا يمكن تغييرها.
آليات رسائل تنشيط الواجهة
واجهات Ethernet
في وسائط البث مثل إيثرنت، تكون رسائل keepalives فريدة قليلا. نظرا لوجود العديد من الجيران المحتملين على شبكة إيثرنت، لم يتم تصميم رسائل تنشيط الاتصال لتحديد ما إذا كان المسار إلى أي جار معين على السلك متوفرا. وهو مصمم فقط للتحقق من أن النظام المحلي لديه حق الوصول للقراءة والكتابة إلى سلك الإيثرنت نفسه. ينتج الموجه حزمة إيثرنت مع نفسها على أنها عنوان MAC المصدر والوجهة ورمز نوع إيثرنت الخاص 0x9000. يرسل جهاز الإيثرنت هذه الحزمة إلى سلك الإيثرنت ثم يستلم على الفور هذه الحزمة مرة أخرى. وهذا يتحقق من أجهزة الإرسال والاستقبال على مهايئ الإيثرنت ومن السلامة الأساسية للكابل.
الواجهات التسلسلية
يمكن أن تحتوي الواجهات التسلسلية على أنواع مختلفة من عمليات التضمين ويحدد كل نوع من عمليات التضمين نوع رسائل keepalives التي سيتم إستخدامها.
دخلت الأمر keepalive في قارن تشكيل أسلوب in order to ثبتت التردد أي مسحاج تخديد يرسل ECHOreq ربط إلى نظيره:
- دخلت in order to أحيات النظام إلى التقصير keepalive فاصل من 10 ثاني، ال keepalive أمر مع ال ما من الكلمة المفتاح.
- دخلت in order to أعجزت keepalives، ال keepalive يعجز أمر.
رسائل تنشيط الاتصال عبر بروتوكول HDLC
ومن بين الآليات الأخرى المعروفة لحروف تنشيط الاتصال إستخدام حزم keepalive التسلسلية الخاصة ببروتوكول HDLC. يتم إرسال حزم Keepalives التسلسلية ذهابا وإيابا بين الموجهين ويتم الاعتراف بحزم Keepalives. باستخدام الأرقام التسلسلية لتعقب كل keepalive، يمكن لكل جهاز تأكيد ما إذا كان نظير HDLC قد استلم رسالة keepalive التي أرسلها. لتضمين HDLC، يتسبب ثلاثة رسائل keepalives متجاهلة في إسقاط الواجهة.
مكنت ال debug serial interface أمر ل HDLC توصيل in order to سمحت المستعمل أن يرى keepalives أن يكون ولدت وأرسلت:
Sample Output:
17:21:09.685: Serial0/0: HDLC myseq 0, mineseen 0*, yourseen 1, line up
تحتوي رسائل تنشيط HDLC على ثلاث قطع لتحديد أنها تعمل:
- ال "myseq" وهو رقم التزايد الخاص بنا.
- "مين" التي هي في الواقع اعتراف من الجانب الآخر (يتزايد) الذي يقول انهم يتوقعون منا هذا العدد.
- ال "YouSee" و هي عبارة عن اعترافنا للجهة الأخرى.
ونظرا لأن رسائل keepalives الخاصة ب HDLC هي رسائل تنشيط رسائل تنشيط الاتصال من نوع ECHOreq، فإن تردد رسائل تنشيط الاتصال مهم ومن المستحسن أن تتطابق تماما على كلا الجانبين. إذا كانت وحدات التوقيت غير متزامنة، تبدأ الأرقام التسلسلية في الخروج عن الترتيب. على سبيل المثال، إذا قمت بضبط جانب على 10 ثوان والآخر على 25 ثانية، سيظل يسمح للواجهة بالبقاء مرتفعة طالما أن الاختلاف في التردد غير كاف لجعل أرقام التسلسل منتهية بفرق ثلاثة.
لتوضيح كيفية عمل رسائل تنشيط الاتصال عبر بروتوكول HDLC، يتم توصيل الموجه 1 والموجه 2 مباشرة عبر Serial0/0 و Serial2/0 على التوالي. لتوضيح كيفية إستخدام رسائل keepalives ل HDCL الفاشلة لتعقب حالات الواجهة، سيتم إيقاف تشغيل السلسلة 0/0 على الموجه 1.
الموجه 1
Router1#show interfaces serial 0/0/0
Serial0/0/0 is up, line protocol is up (connected)
Hardware is HD64570
Internet address is 10.0.0.1/8
MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec, rely 255/255, load 1/255
Encapsulation HDLC, loopback not set, keepalive set (10 sec)
[output is omited]
17:21:09.685: Serial0/0: HDLC myseq 0, mineseen 0*, yourseen 1, line up
17:21:19.725: Serial0/0: HDLC myseq 1, mineseen 1*, yourseen 2, line up
17:21:29.753: Serial0/0: HDLC myseq 2, mineseen 2*, yourseen 3, line up
17:21:39.773: Serial0/0: HDLC myseq 3, mineseen 3*, yourseen 4, line up
17:21:49.805: Serial0/0: HDLC myseq 4, mineseen 4*, yourseen 5, line up
17:21:59.837: Serial0/0: HDLC myseq 5, mineseen 5*, yourseen 6, line up
17:22:09.865: Serial0/0: HDLC myseq 6, mineseen 6*, yourseen 7, line up
17:22:19.905: Serial0/0: HDLC myseq 7, mineseen 7*, yourseen 8, line up
17:22:29.945: Serial0/0: HDLC myseq 8, mineseen 8*, yourseen 9, line up
Router1 (config-if)#shut
17:22:39.965: Serial0/0: HDLC myseq 9, mineseen 9*, yourseen 10, line up
17:22:42.225: %LINK-5-CHANGED: Interface Serial0/0, changed state
to administratively down
17:22:43.245: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0,
changed state to down
الموجه 2
Router2#show interfaces serial 0/0/0
Serial0/0/0 is up, line protocol is up (connected)
Hardware is HD64570
Internet address is 10.0.0.2/8
MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec, rely 255/255, load 1/255
Encapsulation HDLC, loopback not set, keepalive set (10 sec)
[output is omited]
17:21:04.929: Serial2/0: HDLC myseq 0, mineseen 0, yourseen 0, line up
17:21:14.941: Serial2/0: HDLC myseq 1, mineseen 1*, yourseen 1, line up
17:21:24.961: Serial2/0: HDLC myseq 2, mineseen 2*, yourseen 2, line up
17:21:34.981: Serial2/0: HDLC myseq 3, mineseen 3*, yourseen 3, line up
17:21:45.001: Serial2/0: HDLC myseq 4, mineseen 4*, yourseen 4, line up
17:21:55.021: Serial2/0: HDLC myseq 5, mineseen 5*, yourseen 5, line up
17:22:05.041: Serial2/0: HDLC myseq 6, mineseen 6*, yourseen 6, line up
17:22:15.061: Serial2/0: HDLC myseq 7, mineseen 7*, yourseen 7, line up
17:22:25.081: Serial2/0: HDLC myseq 8, mineseen 8*, yourseen 8, line up
17:22:35.101: Serial2/0: HDLC myseq 9, mineseen 9*, yourseen 9, line up
17:22:45.113: Serial2/0: HDLC myseq 10, mineseen 10*, yourseen 10, line up
17:22:55.133: Serial2/0: HDLC myseq 11, mineseen 10, yourseen 10, line up
17:23:05.153: HD(0): Reset from 0x203758
17:23:05.153: HD(0): Asserting DTR
17:23:05.153: HD(0): Asserting DTR and RTS
17:23:05.153: Serial2/0: HDLC myseq 12, mineseen 10, yourseen 10, line up
17:23:15.173: HD(0): Reset from 0x203758
17:23:15.173: HD(0): Asserting DTR
17:23:15.173: HD(0): Asserting DTR and RTS
17:23:15.173: Serial2/0: HDLC myseq 13, mineseen 10, yourseen 10, line down
17:23:16.201: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0,
changed state to down
Router2#
17:23:25.193: Serial2/0: HDLC myseq 14, mineseen 10, yourseen 10, line down
رسائل تنشيط PPP
تختلف رسائل تنشيط الاتصال من PPP قليلا عن رسائل تنشيط الاتصال من HDLC. على عكس HDLC، تكون رسائل تنشيط الاتصال من PPP أقرب إلى إختبارات الاتصال. ويستطيع كل طرف أن يزاحم الطرف الآخر في أوقات فراغه. إن الخطوة المناسبة التي يتم التفاوض عليها هي الرد دائما على "إختبار الاتصال" هذا. لذلك، بالنسبة لرسائل تنشيط الاتصال من خلال PPP، يكون التكرار أو قيمة المؤقت ذات صلة فقط محليا ولا تأثير لهما على الجانب الآخر. حتى إذا قام أحد الأطراف بإطفاء رسائل تنشيط الاتصال، فإنه سيستمر في الاستجابة لطلبات صدى الصوت هذه من الجانب الذي لديه مؤقت رسائل تنشيط الاتصال. غير أنه لن يشرع في أي عمل من شأنه.
مكنت ال debug ppp ربط أمر ل PPP توصيل in order to سمحت المستعمل أن يرى ال PPP keepalive أن يكون أرسلت:
17:00:11.412: Se0/0/0 LCP-FS: I ECHOREQ [Open] id 32 len 12 magic 0x4234E325
والردود التي يتم استقبالها:
17:00:11.412: Se0/0/0 LCP-FS: O ECHOREP [Open] id 32 len 12 magic 0x42345A4D
تحتوي رسائل تنشيط PPP على ثلاث قطع:
- رقم المعرف - يستخدم لتحديد الإصداء الذي يستجيب إليه النظير.
- نوع Keepalive - ECHOreq هي رسائل keepalives مرسلة من قبل الجهاز الأصلي و ECHOrep هي استجابات مرسلة من قبل النظير.
- أرقام سحرية - تتضمن الإعلامات الأرقام السحرية لكل من الخادم والعميل البعيد. يتحقق النظير من الرقم السحري في حزمة طلب-صدى LCP، ويرسل حزمة LCP Echo-Reply المطابقة التي تحتوي على الرقم السحري الذي تم التفاوض عليه بواسطة الموجه.
لتضمين PPP، يتسبب خمسة رسائل keepalives مهملة في إسقاط الواجهة
واجهات نفق GRE
تختلف آلية رسائل تنشيط نفق GRE إختلافا طفيفا عن آلية واجهات Ethernet أو Serial Interface. وهو يعطي القدرة لجانب واحد على إنشاء واستقبال الحزم keepalive من موجه بعيد وإليه حتى إذا كان الموجه عن بعد لا يدعم حزم GRE keepalive. ونظرا لأن GRE هي آلية نفق الحزمة لأنفاق IP داخل IP، يمكن إنشاء حزمة نفق GRE IP داخل حزمة نفق GRE IP أخرى. بالنسبة لحزم keepalives الخاصة ببروتوكول GRE، يقوم المرسل مسبقا بإنشاء حزمة الاستجابة keepalive داخل حزمة طلب keepalive الأصلية حتى يحتاج الطرف البعيد فقط إلى إجراء إلغاء كبسلة GRE القياسية لرأس IP الخارجي لبروتوكول GRE ثم إعادة توجيه حزمة IP GRE الداخلية. هذا آلية يسبب ال keepalive إستجابة أن يرسل خارج القارن طبيعي بدلا من النفق قارن. لمزيد من التفاصيل حول عمل رسائل تنشيط الاتصال عبر نفق GRE، راجع كيفية عمل رسائل تنشيط الاتصال GRE.
رسائل تنشيط الاتصال المشفرة
إيك كيباليفز
رسائل تنشيط مفتاح الإنترنت (IKE) هي آلية تستخدم لتحديد ما إذا كان نظير شبكة VPN قيد التشغيل وقادرا على إستقبال حركة مرور مشفرة. يلزم وجود رسائل keepalives منفصلة للتشفير بالإضافة إلى رسائل keepalives للواجهة لأن نظراء شبكات VPN لا يتم توصيلهم مطلقا في الخلفية بشكل عام، لذلك لا توفر رسائل keepalive للواجهة معلومات كافية حول حالة نظير شبكة VPN.
على أجهزة Cisco IOS، يتم تمكين رسائل تنشيط IKE باستخدام طريقة خاصة تسمى اكتشاف النظير الميت (DPD). دخلت in order to سمحت البوابة أن يرسل DPDs إلى النظير، هذا أمر في شامل تشكيل أسلوب:
crypto isakmp keepalive seconds [retry-seconds] [ periodic | on-demand ]
in order to أعجزت keepalives، استعملت ال "no" شكل من هذا أمر. لمزيد من المعلومات حول ما تقوم به كل كلمة أساسية في هذا الأمر، راجع تشفير isakmp keepalive. للحصول على مزيد من القابلية للتعديل، يمكن أيضا تكوين رسائل keepalives تحت ملف تعريف ISAKMP. للحصول على مزيد من التفاصيل، راجع نظرة عامة على ملف تعريف ISAKMP [Cisco IOS IPsec].
نات كيباليفز
في حالة السيناريوهات التي يكون فيها نظير شبكة VPN واحدا خلف ترجمة عنوان الشبكة (NAT)، يتم إستخدام تبادل عناوين NAT للتشفير. ومع ذلك، خلال فترات الخمول، من الممكن أن ينتهي وقت إدخال NAT على جهاز البث. هذا يمكن أن يسبب مشاكل عندما تأتي النفق و NAT ليس ثنائي الإتجاه. NAT مكنت keepalives in order to أبقيت التخطيط حركي nat حيا أثناء توصيل بين إثنان نظير. NAT Keepalives هي حزم UDP مع حمولة غير مشفرة من بايت واحد. على الرغم من أن تنفيذ DPD الحالي مماثل ل NAT keepalives، هناك فرق بسيط - يتم إستخدام DPD لاكتشاف حالة النظير بينما يتم إرسال رسائل keepalives ل NAT إذا لم يرسل كيان IPsec الحزمة أو يستلمها في فترة زمنية محددة. النطاق الصالح يتراوح بين 5 إلى 3600 ثانية.
لمزيد من المعلومات حول هذه الميزة، راجع شفافية IPsec NAT.
التعليقات