Ein DPD-Profil (Dead Peer Detection) enthält Informationen zur Anzahl Sekunden, die zwischen Prüfungen gewartet werden muss, um zu erkennen, ob eine IPSec-Peer-Site aktiv ist oder nicht.

NSX stellt ein vom System erzeugtes DPD-Profil mit der Bezeichnung nsx-default-l3vpn-dpd-profile bereit, das beim Konfigurieren des IPSec-VPN-Diensts standardmäßig zugewiesen wird. Dieses Standard-DPD-Profil ist ein periodischer DPD-Prüfmodus.

Wenn Sie das DPD-Standardprofil nicht verwenden möchten, können Sie Ihr eigenes Profil mithilfe der folgenden Schritte konfigurieren.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Navigieren Sie zu Netzwerk > VPN > Profile.
  3. Wählen Sie im Dropdown-Menü Profiltyp auswählen den Eintrag DPD-Profile aus und klicken Sie auf DPD-Profil hinzufügen.
  4. Geben Sie einen Namen für das DPD-Profil ein.
  5. Wählen Sie im Dropdown-Menü DPD-Prüfmodus den Modus Regelmäßig oder On-Demand aus.

    Bei einem regelmäßigen DPD-Probemodus wird jedes Mal, wenn die angegebene DPD-Prüfintervallzeit erreicht wird, ein DPD-Prüfpunkt gesendet.

    Bei einem On-Demand-DPD-Prüfmodus wird ein DPD-Prüfpunkt gesendet, wenn nach einem Leerlaufzeitraum kein IPSec-Paket von der Peer-Site empfangen wird. Der Wert unter DPD-Prüfintervall bestimmt den verwendeten Leerlaufzeitraum.

  6. Geben Sie im Textfeld DPD-Prüfintervall die Anzahl Sekunden ein, die der NSX Edge-Knoten warten soll, bevor der nächste DPD-Prüfpunkt gesendet wird.

    Bei einem regelmäßigen DPD-Prüfmodus liegen die gültigen Werte zwischen 3 und 360 Sekunden. Der Standardwert beträgt 60 Sekunden.

    Bei einem On-Demand-Prüfmodus liegen die gültigen Werte zwischen 1 und 10 Sekunden. Der Standardwert beträgt 3 Sekunden.

    Wenn der regelmäßige DPD-Prüfmodus festgelegt ist, sendet der auf dem NSX Edge ausgeführte IKE-Daemon regelmäßig einen DPD-Prüfpunkt. Wenn die Peer-Site innerhalb einer halben Sekunde antwortet, wird der nächste DPD-Prüfpunkt gesendet, nachdem die konfigurierte DPD-Prüfintervallzeit erreicht wurde. Wenn die Peer-Site nicht antwortet, wird der DPD-Prüfpunkt nach einer Wartezeit von einer halben Sekunde erneut gesendet. Wenn die Remote-Peer-Site weiterhin nicht antwortet, sendet der IKE-Daemon den DPD-Prüfpunkt erneut, bis eine Antwort empfangen oder die Anzahl Wiederholungen erreicht wurde. Bevor die Peer-Site als inaktiv deklariert wird, sendet der IKE-Daemon den DPD-Prüfpunkt erneut bis zu einer maximalen Anzahl Wiederholungen, die unter der Eigenschaft Anzahl Wiederholungen angegeben sind. Nachdem die Peer-Site als inaktiv deklariert wurde, wird die Sicherheitsverbindung (SA) auf dem Link des inaktiven Peers vom NSX Edge-Knoten entfernt.

    Wenn der On-Demand-DPD-Modus festgelegt ist, wird der DPD-Prüfpunkt nur dann gesendet, wenn kein IPSec-Datenverkehr von der Peer-Site empfangen wird, nachdem die konfigurierte DPD-Prüfintervallzeit erreicht wurde.

  7. Geben Sie im Textfeld Anzahl Wiederholungen die Anzahl zulässiger Wiederholungen ein.
    Gültige Werte liegen zwischen 1 und 100. Die Standardwert für Wiederholungen beträgt 5.
  8. Geben Sie eine Beschreibung an und fügen Sie nach Bedarf ein Tag hinzu.
  9. Wenn Sie das DPD-Profil aktivieren oder deaktivieren möchten, klicken Sie auf den Umschalter Administrativer Status.
    Standardmäßig ist der Wert auf Aktiviert festgelegt. Wenn das DPD-Profil aktiviert ist, wird das DPD-Profil für alle IPSec-Sitzungen in dem IPSec-VPN-Dienst verwendet, der das DPD-Profil verwendet.
  10. Klicken Sie auf Speichern.

Ergebnisse

Der Tabelle der verfügbaren DPD-Profile wird eine neue Zeile hinzugefügt. Um ein nicht vom System erstelltes Profil zu bearbeiten oder zu löschen, klicken Sie auf das Drei-Punkte-Menü (Drei schwarze Punkte, die senkrecht ausgerichtet sind. Wenn Sie auf dieses Symbol klicken, wird ein Menü mit Unterbefehlen angezeigt.) und treffen Sie eine Auswahl aus der Liste der verfügbaren Aktionen.