维护 IP 安全配置

在线编辑

您可以在不更改 IP 安全因特网密钥交换 (IKE) 隧道配置的情况下更改网络环境。

启动 IKE 守护程序 (例如 isakmpd (IKEv1) , ikev2d (IKEv2) 和 iked (代理)) 时,这些守护程序可以接受来自所有可用接口和 IP 的包。 如果在启动守护程序之后配置了新的别名 IP 或具有 IP 的新接口,那么这些守护程序不接受发送到新 IP 的 IKE 协商包。 必须通过刷新守护程序来将守护程序必须开始接受 IKE 协商包的新 IP 地址和接口传达给这些守护程序。

如果除去具有正在由 IKE 守护程序使用的 IP 的别名或接口,然后运行刷新操作,那么该接口不可用于 IKE 守护程序。

刷新个别子系统

通过单独使用 startsrc -s 命令启动 isakmpdikev2d 守护程序时,请使用以下命令仅刷新已启动的守护程序所使用的相应子系统:
refresh -s isakmpd   
OR
refresh -s ikev2d

刷新 IKE 组

使用 startsrc -g ike 命令启动 IKE 组 (一组 IKE 守护程序) 时,请使用以下命令刷新 IKE 组,而不是 IKE 守护程序所使用的相应子系统:

refresh -g ike
注意:
  • 您必须仅在启动守护程序后运行刷新操作。 对不活动 IKE 组或子系统执行的刷新操作不会激活守护程序。
  • 您可以通过运行以下命令来启动 isakmpdikev2d 守护程序:
    "startsrc -s tmd ; startsrc -s isakmpd " 
or 
"startsrc -s tmd; startsrc -s ikev2d"

    如果要单独启动 isakmpdikev2d 守护程序,那么必须先启动 tmd 守护程序,然后再启动其他守护程序。 使用 startsrc -g 命令启动 IKE 组时,将在启动 isakmpdikev2d 守护程序之前启动 tmd 守护程序。 但是, isakmpdikev2d 守护程序的个别 refresh 操作可以在 tmd 守护程序的 refresh 操作之前或之后。

  • 如果仅使用 startsrc -s 命令启动 IKEv1IKEv2 守护程序集,那么不得使用 refresh -g ike 命令运行组刷新操作。 如果所有 IKE 守护程序都是使用 startsrc -g 命令启动的,那么不得尝试使用刷新 -s <daemon> 命令单独刷新 IKE 守护程序。 如果使用错误的刷新机制,请首先使用 lssrc -s <daemon> 命令或 lssrc -g <group> 命令检查已刷新的守护程序是否变为不可用。 如果在使用错误的刷新机制后任何活动的 IKE 守护程序变为不可用,那么可以使用 stopsrcstartsrc 命令来停止和启动 IKE 守护程序。

  • 如果刷新 IKE 守护程序,那么将创建可用 IP 地址和接口的新清单,供守护程序侦听,读取 /etc/isakmpd.conf 文件并刷新 syslogd 子系统。