Cisco Cisco Packet Data Gateway (PDG)

 

Rekeying of an IKEv2 Child Security Association (SA) occurs for an already established Child SA whose lifetime 
(either time-based or data-based) is about to exceed a maximum limit. The IPSec subsystem initiates rekeying to replace 
the existing Child SA. During rekeying, two Child SAs exist momentarily (500ms or less) to ensure that transient 
packets from the original Child SA are processed by the IPSec node and not dropped. 

Child SA rekeying is disabled by default, and rekey requests are ignored. This feature gets enabled in the Crypto 
Configuration Payload Mode of the system’s CLI. 

For additional information refer to the IPSec Certificates chapter of this guide. 

IPSec for LTE/SAE supports IKEv2 keep-alive messages, also known as Dead Peer Detection (DPD), originating from 
both ends of an IPSec tunnel. Per RFC 3706, DPD is used to simplify the messaging required to verify communication 
between peers and tunnel availability. You configure DPD on each IPSec node. You can also disable DPD, and the node 
will not initiate DPD exchanges with other nodes. However, the node always responds to DPD availability checks 
initiated by another node regardless of its DPD configuration. 

For additional information refer to the Dead Peer Detection (DPD) Configuration section of the Redundant IPSec 
Tunnel Fail-over chapter of this guide. 

The figure below shows the logical network interfaces over which secure IPSec tunnels can be created in an EUTRAN/ 
EPC (Evolved UMTS Terrestrial Radio Access Network/Evolved Packet Core) network. The table that follows the 
figure provides a description of each logical network interface.