DPD(不活动对等检测)配置文件提供两次探测之间等待秒数的相关信息,用于检测 IPSec 对等站点是否处于活动状态。

NSX-T Data Center 提供一个系统生成的 DPD 配置文件,名为 nsx-default-l3vpn-dpd-profile,默认情况下,配置 IPSec VPN 服务时分配此配置文件。此默认 DPD 配置文件是一种定期 DPD 探测模式。

如果决定不使用提供的默认 DPD 配置文件,可以通过以下步骤配置自己的配置文件。

过程

  1. 使用管理员特权登录到 NSX Manager
  2. 导航到 网络 > VPN > 配置文件
  3. 选择配置文件类型下拉菜单中选择 DPD 配置文件,然后单击添加 DPD 配置文件
  4. 输入 DPD 配置文件的名称。
  5. DPD 探测模式下拉菜单中,选择定期按需模式。

    对于定期 DPD 探测模式,每次达到指定的 DPD 探测间隔时间时都会发送 DPD 探测。

    对于按需 DPD 探测模式,如果在空闲期限后未从对等站点收到 IPSec 数据包,则会发送 DPD 探测。DPD 探测间隔的值决定所使用的空闲期限。

  6. DPD 探测间隔文本框中,输入在发送下一个 DPD 探测之前希望 NSX Edge 节点等待的秒数。

    对于定期 DPD 探测模式,有效值介于 3 秒和 360 秒之间。默认值为 60 秒。

    对于按需探测模式,有效值介于 1 秒和 10 秒之间。默认值为 3 秒。

    在设置定期 DPD 探测模式后,NSX Edge 上运行的 IKE 守护进程会定期发送 DPD 探测。如果对等站点在半秒钟内做出响应,则会在达到配置的 DPD 探测间隔时间后发送下一个 DPD 探测。如果对等站点没有响应,则会在等待半秒钟后再次发送 DPD 探测。如果远程对等站点继续没有响应,则 IKE 守护进程会再次重新发送 DPD 探测,直到收到响应或达到重试计数为止。在将对等站点声明为不活动之前,IKE 守护进程最多重新发送 DPD 探测达重试计数属性中指定的最大次数。在将对等站点声明为不活动之后,NSX Edge 节点会解除不活动对等站点链路上的安全关联 (SA)。

    如果设置按需 DPD 模式,则仅当达到配置的 DPD 探测间隔时间后,没有从对等站点收到 IPSec 流量时,才会发送 DPD 探测。

  7. 重试计数文本框中,输入允许的重试次数。
    有效值介于 1 和 100 之间。默认重试计数为 5。
  8. 提供说明,然后根据需要添加标记。
  9. 要启用或禁用 DPD 配置文件,请单击管理状态切换按钮。
    默认情况下,该值设置为 已启用。启用 DPD 配置文件后,DPD 配置文件将用于使用该 DPD 配置文件的 IPSec VPN 服务中的所有 IPSec 会话。
  10. 单击保存

结果

将在可用 DPD 配置文件表中新添加一行。要编辑或删除不是由系统创建的配置文件,请单击三点菜单 (三个垂直对齐的黑点。单击该图标将显示子命令菜单。),然后从提供的操作列表中进行选择。