Un profil DPD (Dead Peer Detection) fournit des informations sur le nombre de secondes nécessaires à la détection de l'activité d'un site homologue IPSec entre chaque interrogation.
NSX-T Data Center offre un profil DPD généré par le système, nommé nsx-default-l3vpn-dpd-profile, attribué par défaut lorsque vous configurez un service VPN IPSec. Ce profil DPD par défaut est un mode de sonde DPD périodique.
Si vous décidez de ne pas utiliser le profil DPD par défaut fourni, vous pouvez configurer votre profil en exécutant les étapes suivantes.
Procédure
- Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
- Accédez à .
- Sélectionnez Profils DPD dans le menu déroulant Sélectionner le type de profil, puis cliquez sur Ajouter un profil DPD.
- Entrez un nom pour le profil DPD.
- Dans le menu déroulant Mode de sonde DPD, sélectionnez le mode Périodique ou À la demande.
Pour un mode de sonde DPD périodique, une sonde DPD est envoyée chaque fois que l'intervalle de détection DPD spécifié est atteint.
Pour un mode de sonde DPD à la demande, une sonde DPD est envoyée si aucun paquet IPSec n'est reçu du site homologue après une période d'inactivité. La valeur de Intervalle de détection DPD détermine la période d'inactivité utilisée.
- Dans la zone de texte Intervalle de détection DPD, entrez le nombre de secondes pendant lesquelles le nœud NSX Edge doit attendre avant d'envoyer la sonde DPD suivante.
Pour un mode de sonde DPD périodique, les valeurs valides sont comprises entre 3 et 360 secondes. La valeur par défaut est de 60 secondes.
Pour un mode de sonde à la demande, les valeurs valides sont comprises entre 1 et 10 secondes. La valeur par défaut est de 3 secondes.
Lorsque le mode de sonde DPD périodique est défini, le démon IKE exécuté sur NSX Edge envoie périodiquement une sonde DPD. Si le site homologue répond en une demi-seconde, la sonde DPD suivante est envoyée une fois l'intervalle de détection DPD configuré atteint. Si le site homologue ne répond pas, la sonde DPD est à nouveau envoyée après un délai d'attente d'une demi-seconde. Si le site homologue distant ne répond toujours pas, le démon IKE renvoie à nouveau la sonde DPD, jusqu'à ce qu'une réponse soit reçue ou que le nombre de nouvelles tentatives soit atteint. Avant que le site homologue ne soit déclaré inactif, le démon IKE renvoie la sonde DPD jusqu'à un nombre maximal de fois spécifié dans la propriété Nombre de nouvelles tentatives. Une fois que le site homologue est déclaré inactif, le nœud NSX Edge détruit l'association de sécurité (SA) sur le lien de l'homologue inactif.
Lorsque le mode DPD à la demande est défini, la sonde DPD est envoyée uniquement si aucun trafic IPSec n'est reçu du site homologue une fois l'intervalle de détection DPD configuré atteint.
- Dans la zone de texte Nombre de nouvelles tentatives, entrez le nombre de nouvelles tentatives autorisées.
Les valeurs valides sont comprises entre 1 et 100. Le nombre de nouvelles tentatives par défaut est de 5.
- Fournissez une description et ajoutez une balise, si nécessaire.
- Pour activer ou désactiver le profil DPD, cliquez sur le bouton bascule Statut administratif.
Par défaut, la valeur est réglée sur
Activé. Lorsque le profil DPD est activé, le profil DPD est utilisé pour toutes les sessions IPSec dans le service VPN IPSec qui utilise le profil DPD.
- Cliquez sur Enregistrer.
Résultats
Une nouvelle ligne est ajoutée au tableau des profils DPD disponibles. Pour modifier ou supprimer un profil non créé par le système, cliquez sur le menu à trois points ( ) et sélectionnez une option dans la liste des actions disponibles.