Un profilo DPD (Dead Peer Detection) contiene il tempo di attesa in secondi che deve trascorrere tra una sonda e l'altra per rilevare se un sito peer IPSec è attivo o meno.
NSX-T Data Center fornisce un profilo DPD generato dal sistema, denominato nsx-default-l3vpn-dpd-profile, assegnato per impostazione predefinita quando si configura un servizio VPN IPSec. Questo profilo DPD predefinito è una modalità sonda DPD periodica.
Se si decide di non utilizzare il profilo DPD predefinito specificato, è possibile configurarne uno proprio attenendosi alla procedura seguente.
Procedura
- Con i privilegi admin, accedere a NSX Manager.
- Passare a .
- Selezionare Profili DPD dal menu a discesa Seleziona tipo di profilo e fare clic su Aggiungi profilo DPD.
- Immettere un nome per il profilo DPD.
- Dal menu a discesa Modalità sonda DPD, selezionare la modalità Periodico o Su richiesta.
Per una modalità sonda DPD periodica, un sonda DPD viene inviata ogni volta che viene raggiunto il tempo specificato per l'intervallo sonda DPD.
Per la modalità sonda DPD su richiesta, viene inviata una sonda DPD se non viene ricevuto alcun pacchetto IPSec dal sito peer per un intero periodo di inattività. Il valore in Intervallo sonda DPD determina il periodo di inattività utilizzato.
- Nella casella di testo Intervallo sonda DPD, specificare quanti secondi il nodo NSX Edge dovrà attendere prima di inviare la sonda DPD successiva.
Per una modalità sonda DPD periodica, i valori validi sono compresi tra 3 e 360 secondi. Il valore predefinito è 60 secondi.
Per una modalità sonda su richiesta, i valori validi sono compresi tra 1 e 10 secondi. Il valore predefinito è 3 secondi.
Quando è impostata la modalità sonda DPD periodica, il daemon IKE in esecuzione in NSX Edge invia una sonda DPD periodicamente. Se il sito peer risponde entro mezzo secondo, la sonda DPD successiva viene inviata dopo che è stato raggiunto il tempo dell'intervallo sonda DPD configurato. Se il sito peer non risponde, dopo l'attesa di mezzo secondo la sonda DPD viene inviata di nuovo. Se il sito peer remoto continua a non rispondere, il daemon IKE invia nuovamente la sonda DPD finché non viene ricevuta una risposta o non viene raggiunto il numero di tentativi. Prima che il sito peer venga dichiarato inattivo, il daemon IKE reinvia la sonda DPD fino a un numero di volte massimo specificato nella proprietà Riprova conteggio. Dopo che il sito peer è stato dichiarato inattivo, il nodo NSX Edge elimina l'associazione di sicurezza (SA) sul collegamento del peer inattivo.
Quando è impostata la modalità DPD su richiesta, la sonda DPD viene inviata solo se non viene ricevuto alcun traffico IPSec dal sito peer dopo il raggiungimento dell'intervallo di sonda DPD configurato.
- Nella casella di testo Riprova conteggio immettere il numero di tentativi consentiti.
I valori validi sono compresi tra 1 e 100. Il numero predefinito di tentativi è 5.
- Specificare una descrizione e aggiungere un tag, se necessario.
- Per abilitare o disabilitare il profilo DPD, fare clic sull'interruttore Stato amministratore.
Per impostazione predefinita, il valore è impostato su
Abilitata. Quando il profilo DPD è abilitato, il profilo DPD viene utilizzato per tutte le sessioni IPSec nel servizio VPN IPSec che utilizza il profilo DPD.
- Fare clic su Salva.
risultati
Alla tabella dei profili DPD disponibili viene aggiunta una nuova riga. Per modificare o eliminare un profilo non creato dal sistema, fare clic sul menu con i tre puntini () ed effettuare la selezione dall'elenco delle azioni disponibili.