Descripción General de los Mecanismos Keepalive en Cisco IOS

Opciones de descarga

  • PDF     (199.0 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (116.9 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (105.2 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:17 de diciembre de 2014
ID del documento:118390

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe los diversos mecanismos de keepalive en Cisco IOS®.

Antecedentes

Los mensajes de señal de mantenimiento son enviados por un dispositivo de red a través de un circuito físico o virtual para informar a otro dispositivo de red que el circuito entre ellos todavía funciona. Para que las señales de mantenimiento funcionen, hay dos factores esenciales:

  • El intervalo de keepalive es el período de tiempo entre cada mensaje de keepalive enviado por un dispositivo de red. Esto siempre es configurable.
  • Los reintentos de keepalive son el número de veces que el dispositivo continúa enviando paquetes keepalive sin respuesta antes de que el estado cambie a "down". Para algunos tipos de señales de mantenimiento, esto es configurable, mientras que para otros hay un valor predeterminado que no se puede cambiar.

Mecanismos de Keepalive de Interfaz

Interfaces Ethernet

En los medios de difusión como Ethernet, las señales de mantenimiento son ligeramente únicas. Dado que hay muchos vecinos posibles en la Ethernet, la señal de mantenimiento no está diseñada para determinar si la trayectoria a un vecino en particular en el cable está disponible. Sólo está diseñado para verificar que el sistema local tenga acceso de lectura y escritura al propio cable Ethernet. El router produce un paquete Ethernet consigo mismo como la dirección MAC de origen y destino y un código de tipo Ethernet especial de 0x9000. El hardware Ethernet envía este paquete al cable Ethernet y, a continuación, recibe inmediatamente este paquete de nuevo. Esto verifica el hardware de envío y recepción en el adaptador Ethernet y la integridad básica del cable.

Interfaces en serie

Las interfaces seriales pueden tener diferentes tipos de encapsulaciones y cada tipo de encapsulación determina el tipo de señales de mantenimiento que se utilizarán.

Ingrese el comando keepalive en el modo de configuración de la interfaz para establecer la frecuencia con la que un router envía paquetes ECHOREQ a su peer:

  • Para restaurar el sistema al intervalo de keepalive predeterminado de 10 segundos, ingrese el comando keepalive con la palabra clave no.
  • Para inhabilitar keepalives, ingrese el comando keepalive disable.

Nota: keepalive se aplica a las interfaces seriales que utilizan High-Level Data Link Control (HDLC) o encapsulación PPP. No se aplica a las interfaces seriales que utilizan la encapsulación Frame Relay.

Nota: Para los tipos de encapsulación PPP y HDLC, una señal de mantenimiento de cero inhabilita las señales de mantenimiento y se informa en la salida del comando show running-config como keepalive disable.

Keepalives HDLC

Otro mecanismo de keepalive conocido es keepalives seriales para HDLC. Las señales de mantenimiento seriales se envían de ida y vuelta entre dos routers y se reconocen las señales de mantenimiento. Con el uso de números de secuencia para realizar el seguimiento de cada señal de mantenimiento, cada dispositivo puede confirmar si su par HDLC recibió la señal de mantenimiento enviada. Para la encapsulación HDLC, tres keepalives ignoradas hacen que la interfaz se desactive.

Habilite el comando debug serial interface para una conexión HDLC para permitir al usuario ver señales de mantenimiento que se generan y se envían:

Sample Output:
17:21:09.685: Serial0/0: HDLC myseq 0, mineseen 0*, yourseen 1, line up

Las señales de mantenimiento HDLC contienen tres partes para determinar que funcionan:

  • El "myseq" que es nuestro propio número que aumenta.
  • El "mineseen" que en realidad es un reconocimiento del otro lado (incrementado) que dice que esperan este número de nosotros.
  • "suyos", que es nuestro reconocimiento a la otra parte.

Nota: Cuando la diferencia en los valores en los campos myseq y mineseen excede tres en el Router 2, la línea se desactiva y la interfaz se restablece.

Dado que las señales de mantenimiento HDLC son señales de mantenimiento del tipo ECHOREQ, la frecuencia de keepalive es importante y se recomienda que coincidan exactamente en ambos lados.  Si los temporizadores no están sincronizados, los números de secuencia empiezan a desordenarse. Por ejemplo, si configura un lado en 10 segundos y el otro en 25 segundos, seguirá permitiendo que la interfaz permanezca activa siempre y cuando la diferencia de frecuencia no sea suficiente para que los números de secuencia se desactiven por una diferencia de tres.

Como ilustración de cómo funcionan las señales de mantenimiento HDLC, el router 1 y el router 2 están conectados directamente a través de Serial0/0 y Serial2/0 respectivamente. Para ilustrar cómo se utilizan los keepalives HDCL fallidos para realizar el seguimiento de los estados de la interfaz, el Serial 0/0 se apagará en el Router 1.

Router 1

Router1#show interfaces serial 0/0/0
Serial0/0/0 is up, line protocol is up (connected)
Hardware is HD64570
Internet address is 10.0.0.1/8
MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec, rely 255/255, load 1/255
Encapsulation HDLC, loopback not set, keepalive set (10 sec)
    [output is omited]

17:21:09.685: Serial0/0: HDLC myseq 0, mineseen 0*, yourseen 1, line up 
17:21:19.725: Serial0/0: HDLC myseq 1, mineseen 1*, yourseen 2, line up
17:21:29.753: Serial0/0: HDLC myseq 2, mineseen 2*, yourseen 3, line up
17:21:39.773: Serial0/0: HDLC myseq 3, mineseen 3*, yourseen 4, line up
17:21:49.805: Serial0/0: HDLC myseq 4, mineseen 4*, yourseen 5, line up
17:21:59.837: Serial0/0: HDLC myseq 5, mineseen 5*, yourseen 6, line up
17:22:09.865: Serial0/0: HDLC myseq 6, mineseen 6*, yourseen 7, line up
17:22:19.905: Serial0/0: HDLC myseq 7, mineseen 7*, yourseen 8, line up
17:22:29.945: Serial0/0: HDLC myseq 8, mineseen 8*, yourseen 9, line up
Router1 (config-if)#shut
17:22:39.965: Serial0/0: HDLC myseq 9, mineseen 9*, yourseen 10, line up
17:22:42.225: %LINK-5-CHANGED: Interface Serial0/0, changed state 
to administratively down

17:22:43.245: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, 
changed state to down

Router 2

Router2#show interfaces serial 0/0/0
Serial0/0/0 is up, line protocol is up (connected)
Hardware is HD64570
Internet address is 10.0.0.2/8
MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec, rely 255/255, load 1/255
Encapsulation HDLC, loopback not set, keepalive set (10 sec)
    [output is omited]


17:21:04.929: Serial2/0: HDLC myseq 0, mineseen 0, yourseen 0, line up 
17:21:14.941: Serial2/0: HDLC myseq 1, mineseen 1*, yourseen 1, line up 
17:21:24.961: Serial2/0: HDLC myseq 2, mineseen 2*, yourseen 2, line up 
17:21:34.981: Serial2/0: HDLC myseq 3, mineseen 3*, yourseen 3, line up 
17:21:45.001: Serial2/0: HDLC myseq 4, mineseen 4*, yourseen 4, line up 
17:21:55.021: Serial2/0: HDLC myseq 5, mineseen 5*, yourseen 5, line up 
17:22:05.041: Serial2/0: HDLC myseq 6, mineseen 6*, yourseen 6, line up 
17:22:15.061: Serial2/0: HDLC myseq 7, mineseen 7*, yourseen 7, line up 
17:22:25.081: Serial2/0: HDLC myseq 8, mineseen 8*, yourseen 8, line up 
17:22:35.101: Serial2/0: HDLC myseq 9, mineseen 9*, yourseen 9, line up 
17:22:45.113: Serial2/0: HDLC myseq 10, mineseen 10*, yourseen 10, line up 
17:22:55.133: Serial2/0: HDLC myseq 11, mineseen 10, yourseen 10, line up 
17:23:05.153: HD(0): Reset from 0x203758
17:23:05.153: HD(0): Asserting DTR 
17:23:05.153: HD(0): Asserting DTR and RTS 
17:23:05.153: Serial2/0: HDLC myseq 12, mineseen 10, yourseen 10, line up 
17:23:15.173: HD(0): Reset from 0x203758
17:23:15.173: HD(0): Asserting DTR 
17:23:15.173: HD(0): Asserting DTR and RTS 
17:23:15.173: Serial2/0: HDLC myseq 13, mineseen 10, yourseen 10, line down 
17:23:16.201: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, 
changed state to down
Router2#
17:23:25.193: Serial2/0: HDLC myseq 14, mineseen 10, yourseen 10, line down

señales de mantenimiento PPP

Las señales de mantenimiento PPP son un poco diferentes de las señales de mantenimiento HDLC. A diferencia de HDLC, las señales de mantenimiento PPP se parecen más a los pings. Ambas partes pueden hacer ping entre ellas a su gusto. La acción negociada adecuada es responder SIEMPRE a este "ping". Por lo tanto, para las señales de mantenimiento PPP, la frecuencia o el valor del temporizador son sólo relevantes localmente y no tienen impacto en el otro lado. Incluso si un lado apaga las señales de mantenimiento, seguirá RESPONDIENDO a esas solicitudes de eco del lado que tiene un temporizador de keepalive. Sin embargo, nunca iniciará ninguna de las suyas.

Habilite el comando debug ppp packet para una conexión PPP para permitir que el usuario vea las señales de mantenimiento PPP que se envían:

17:00:11.412: Se0/0/0 LCP-FS: I ECHOREQ [Open] id 32 len 12 magic 0x4234E325

y respuestas recibidas:

17:00:11.412: Se0/0/0 LCP-FS: O ECHOREP [Open] id 32 len 12 magic 0x42345A4D

Las señales de mantenimiento PPP contienen tres partes:

  • Número de ID: se utiliza para identificar a qué ECHOREQ responde el par.
  • Tipo de señal de mantenimiento: ECHOREQ son señales de mantenimiento enviadas por el dispositivo de origen y ECHOREP son respuestas enviadas por el par.
  • Números mágicos: las notificaciones incluyen los números mágicos del servidor y del cliente remoto. El par valida el número mágico en el paquete de solicitud de eco LCP y transmite el paquete de respuesta de eco LCP correspondiente que contiene el número mágico negociado por el router.

Para la encapsulación PPP, cinco keepalives ignoradas hacen que la interfaz se desactive

Interfaces de túnel GRE

El mecanismo de señal de mantenimiento del túnel GRE es ligeramente diferente al de las interfaces Ethernet o seriales. Ofrece la capacidad de que un lado origine y reciba paquetes keepalive hacia y desde un router remoto incluso si el router remoto no soporta keepalives GRE. Dado que GRE es un mecanismo de tunelización de paquetes para tunelizar IP dentro de IP, un paquete de túnel IP GRE se puede construir dentro de otro paquete de túnel IP GRE. Para señales de mantenimiento GRE, el remitente genera previamente el paquete de respuesta de keepalive dentro del paquete de solicitud de keepalive original, de modo que el extremo remoto sólo necesita hacer la desencapsulación GRE estándar del encabezado IP GRE externo y luego reenviar el paquete IP GRE interno. Este mecanismo hace que la respuesta de keepalive reenvíe la interfaz física en lugar de la interfaz de túnel. Para obtener más detalles sobre el funcionamiento de señales de mantenimiento de túnel GRE, vea Cómo funcionan las señales de mantenimiento GRE.

Keepalives de cifrado

Keepalives IKE

Las señales de mantenimiento de Internet Key Exchange (IKE) son un mecanismo utilizado para determinar si un par VPN está activo y puede recibir tráfico cifrado. Se requieren señales de mantenimiento criptográficas independientes además de señales de mantenimiento de la interfaz porque los peers VPN generalmente nunca se conectan de nuevo a la parte posterior, por lo que las señales de mantenimiento de la interfaz no proporcionan suficiente información sobre el estado del par VPN.

En los dispositivos Cisco IOS, las señales de mantenimiento IKE se habilitan mediante el uso de un método propietario denominado Dead Peer Detection (DPD). Para permitir que el gateway envíe DPDs al par, ingrese este comando en el modo de configuración global:

crypto isakmp keepalive seconds  [retry-seconds]  [ periodic | on-demand ]

Para inhabilitar keepalives, utilice la forma "no" de este comando. Para obtener más información sobre lo que hace cada palabra clave en este comando, vea crypto isakmp keepalive. Para obtener más granularidad, las señales de mantenimiento también se pueden configurar en el perfil ISAKMP. Para obtener más detalles, vea Descripción General del Perfil ISAKMP [Cisco IOS IPsec].

señales de mantenimiento NAT

En el caso de situaciones en las que un par VPN se encuentra detrás de una traducción de direcciones de red (NAT), NAT-Traversal se utiliza para el cifrado. Sin embargo, durante los períodos inactivos es posible que la entrada NAT en el dispositivo ascendente se agote el tiempo de espera. Esto puede causar problemas cuando se activa el túnel y NAT no es bidireccional. Las señales de mantenimiento NAT se habilitan para mantener la asignación NAT dinámica activa durante una conexión entre dos peers. Las señales de mantenimiento NAT son paquetes UDP con una carga útil no cifrada de un byte. Aunque la implementación de DPD actual es similar a las señales de mantenimiento de NAT, hay una ligera diferencia - DPD se utiliza para detectar el estado de peer mientras se envían señales de mantenimiento de NAT si la entidad de IPsec no envió o recibió el paquete en un período de tiempo especificado. El intervalo válido es de 5 a 3600 segundos.

Consejo: Si se habilitan las señales de mantenimiento de NAT (a través del comando crypto isamkp nat keepalive), los usuarios deben asegurarse de que el valor inactivo sea menor que el tiempo de vencimiento de la asignación de NAT de 20 segundos.

Para obtener más información sobre esta función, vea Transparencia NAT IPSec.

TAC Authored

Con la colaboración de ingenieros de Cisco

  • Atri Basu and Michael Sullenberger
    Cisco TAC Engineers.

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos