Ein DPD-Profil (Dead Peer Detection) enthält Informationen zur Anzahl Sekunden, die zwischen Prüfungen gewartet werden muss, um zu erkennen, ob eine IPSec-Peer-Site aktiv ist oder nicht.
NSX-T Data Center stellt ein vom System erzeugtes DPD-Profil mit der Bezeichnung nsx-default-l3vpn-dpd-profile bereit, das beim Konfigurieren des IPSec-VPN-Diensts standardmäßig zugewiesen wird. Dieses Standard-DPD-Profil ist ein periodischer DPD-Prüfmodus.
Wenn Sie das DPD-Standardprofil nicht verwenden möchten, können Sie Ihr eigenes Profil mithilfe der folgenden Schritte konfigurieren.
Prozedur
- Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
- Navigieren Sie zu .
- Wählen Sie im Dropdown-Menü Profiltyp auswählen den Eintrag DPD-Profile aus und klicken Sie auf DPD-Profil hinzufügen.
- Geben Sie einen Namen für das DPD-Profil ein.
- Wählen Sie im Dropdown-Menü DPD-Prüfmodus den Modus Regelmäßig oder On-Demand aus.
Bei einem regelmäßigen DPD-Probemodus wird jedes Mal, wenn die angegebene DPD-Prüfintervallzeit erreicht wird, ein DPD-Prüfpunkt gesendet.
Bei einem On-Demand-DPD-Prüfmodus wird ein DPD-Prüfpunkt gesendet, wenn nach einem Leerlaufzeitraum kein IPSec-Paket von der Peer-Site empfangen wird. Der Wert unter DPD-Prüfintervall bestimmt den verwendeten Leerlaufzeitraum.
- Geben Sie im Textfeld DPD-Prüfintervall die Anzahl Sekunden ein, die der NSX Edge-Knoten warten soll, bevor der nächste DPD-Prüfpunkt gesendet wird.
Bei einem regelmäßigen DPD-Prüfmodus liegen die gültigen Werte zwischen 3 und 360 Sekunden. Der Standardwert beträgt 60 Sekunden.
Bei einem On-Demand-Prüfmodus liegen die gültigen Werte zwischen 1 und 10 Sekunden. Der Standardwert beträgt 3 Sekunden.
Wenn der regelmäßige DPD-Prüfmodus festgelegt ist, sendet der auf dem NSX Edge ausgeführte IKE-Daemon regelmäßig einen DPD-Prüfpunkt. Wenn die Peer-Site innerhalb einer halben Sekunde antwortet, wird der nächste DPD-Prüfpunkt gesendet, nachdem die konfigurierte DPD-Prüfintervallzeit erreicht wurde. Wenn die Peer-Site nicht antwortet, wird der DPD-Prüfpunkt nach einer Wartezeit von einer halben Sekunde erneut gesendet. Wenn die Remote-Peer-Site weiterhin nicht antwortet, sendet der IKE-Daemon den DPD-Prüfpunkt erneut, bis eine Antwort empfangen oder die Anzahl Wiederholungen erreicht wurde. Bevor die Peer-Site als inaktiv deklariert wird, sendet der IKE-Daemon den DPD-Prüfpunkt erneut bis zu einer maximalen Anzahl Wiederholungen, die unter der Eigenschaft Anzahl Wiederholungen angegeben sind. Nachdem die Peer-Site als inaktiv deklariert wurde, wird die Sicherheitsverbindung (SA) auf dem Link des inaktiven Peers vom NSX Edge-Knoten entfernt.
Wenn der On-Demand-DPD-Modus festgelegt ist, wird der DPD-Prüfpunkt nur dann gesendet, wenn kein IPSec-Datenverkehr von der Peer-Site empfangen wird, nachdem die konfigurierte DPD-Prüfintervallzeit erreicht wurde.
- Geben Sie im Textfeld Anzahl Wiederholungen die Anzahl zulässiger Wiederholungen ein.
Gültige Werte liegen zwischen 1 und 100. Die Standardwert für Wiederholungen beträgt 5.
- Geben Sie eine Beschreibung an und fügen Sie nach Bedarf ein Tag hinzu.
- Wenn Sie das DPD-Profil aktivieren oder deaktivieren möchten, klicken Sie auf den Umschalter Administrativer Status.
Standardmäßig ist der Wert auf
Aktiviert festgelegt. Wenn das DPD-Profil aktiviert ist, wird das DPD-Profil für alle IPSec-Sitzungen in dem IPSec-VPN-Dienst verwendet, der das DPD-Profil verwendet.
- Klicken Sie auf Speichern.
Ergebnisse
Der Tabelle der verfügbaren DPD-Profile wird eine neue Zeile hinzugefügt. Um ein nicht vom System erstelltes Profil zu bearbeiten oder zu löschen, klicken Sie auf das Drei-Punkte-Menü () und treffen Sie eine Auswahl aus der Liste der verfügbaren Aktionen.