Ein DPD-Profil (Dead Peer Detection) enthält Informationen zur Anzahl Sekunden, die zwischen Prüfungen gewartet werden muss, um zu erkennen, ob eine IPSec-Peer-Site aktiv ist oder nicht.

NSX-T Data Center stellt ein vom System erzeugtes DPD-Profil mit der Bezeichnung nsx-default-l3vpn-dpd-profile bereit, das beim Konfigurieren des IPSec-VPN-Diensts standardmäßig zugewiesen wird. Dieses Standard-DPD-Profil ist ein periodischer DPD-Prüfmodus.

Wenn Sie das DPD-Standardprofil nicht verwenden möchten, können Sie Ihr eigenes Profil mithilfe der folgenden Schritte konfigurieren.

Prozedur

  1. Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
  2. Navigieren Sie zu Netzwerk > VPN > Profile.
  3. Wählen Sie im Dropdown-Menü Profiltyp auswählen den Eintrag DPD-Profile aus und klicken Sie auf DPD-Profil hinzufügen.
  4. Geben Sie einen Namen für das DPD-Profil ein.
  5. Wählen Sie im Dropdown-Menü DPD-Prüfmodus den Modus Regelmäßig oder On-Demand aus.

    Bei einem regelmäßigen DPD-Probemodus wird jedes Mal, wenn die angegebene DPD-Prüfintervallzeit erreicht wird, ein DPD-Prüfpunkt gesendet.

    Bei einem On-Demand-DPD-Prüfmodus wird ein DPD-Prüfpunkt gesendet, wenn nach einem Leerlaufzeitraum kein IPSec-Paket von der Peer-Site empfangen wird. Der Wert unter DPD-Prüfintervall bestimmt den verwendeten Leerlaufzeitraum.

  6. Geben Sie im Textfeld DPD-Prüfintervall die Anzahl Sekunden ein, die der NSX Edge-Knoten warten soll, bevor der nächste DPD-Prüfpunkt gesendet wird.

    Bei einem regelmäßigen DPD-Prüfmodus liegen die gültigen Werte zwischen 3 und 360 Sekunden. Der Standardwert beträgt 60 Sekunden.

    Bei einem On-Demand-Prüfmodus liegen die gültigen Werte zwischen 1 und 10 Sekunden. Der Standardwert beträgt 3 Sekunden.

    Wenn der regelmäßige DPD-Prüfmodus festgelegt ist, sendet der auf dem NSX Edge ausgeführte IKE-Daemon regelmäßig einen DPD-Prüfpunkt. Wenn die Peer-Site innerhalb einer halben Sekunde antwortet, wird der nächste DPD-Prüfpunkt gesendet, nachdem die konfigurierte DPD-Prüfintervallzeit erreicht wurde. Wenn die Peer-Site nicht antwortet, wird der DPD-Prüfpunkt nach einer Wartezeit von einer halben Sekunde erneut gesendet. Wenn die Remote-Peer-Site weiterhin nicht antwortet, sendet der IKE-Daemon den DPD-Prüfpunkt erneut, bis eine Antwort empfangen oder die Anzahl Wiederholungen erreicht wurde. Bevor die Peer-Site als inaktiv deklariert wird, sendet der IKE-Daemon den DPD-Prüfpunkt erneut bis zu einer maximalen Anzahl Wiederholungen, die unter der Eigenschaft Anzahl Wiederholungen angegeben sind. Nachdem die Peer-Site als inaktiv deklariert wurde, wird die Sicherheitsverbindung (SA) auf dem Link des inaktiven Peers vom NSX Edge-Knoten entfernt.

    Wenn der On-Demand-DPD-Modus festgelegt ist, wird der DPD-Prüfpunkt nur dann gesendet, wenn kein IPSec-Datenverkehr von der Peer-Site empfangen wird, nachdem die konfigurierte DPD-Prüfintervallzeit erreicht wurde.

  7. Geben Sie im Textfeld Anzahl Wiederholungen die Anzahl zulässiger Wiederholungen ein.
    Gültige Werte liegen zwischen 1 und 100. Die Standardwert für Wiederholungen beträgt 5.
  8. Geben Sie eine Beschreibung an und fügen Sie nach Bedarf ein Tag hinzu.
  9. Wenn Sie das DPD-Profil aktivieren oder deaktivieren möchten, klicken Sie auf den Umschalter Administrativer Status.
    Standardmäßig ist der Wert auf Aktiviert festgelegt. Wenn das DPD-Profil aktiviert ist, wird das DPD-Profil für alle IPSec-Sitzungen in dem IPSec-VPN-Dienst verwendet, der das DPD-Profil verwendet.
  10. Klicken Sie auf Speichern.

Ergebnisse

Der Tabelle der verfügbaren DPD-Profile wird eine neue Zeile hinzugefügt. Um ein nicht vom System erstelltes Profil zu bearbeiten oder zu löschen, klicken Sie auf das Dreipunkt-Menü () und wählen Sie aus der Liste der verfügbaren Aktionen eine aus.