DPD (Dead Peer Detection) プロファイルは、IPsec ピア サイトが稼動しているかどうかを検出するためにプローブ間で待機する秒数についての情報を提供します。
NSX には、nsx-default-l3vpn-dpd-profile という名前のシステム生成 DPD プロファイルがあり、IPsec VPN サービスを構成するときにデフォルトで割り当てられます。このデフォルトの DPD プロファイルは、定期的な DPD プローブ モードです。
提供されるデフォルトの DPD プロファイルを使用しない場合は、次の手順を使用して独自のプロファイルを構成できます。
手順
- 管理者権限で NSX Manager にログインします。
- に移動します。
- [プロファイル タイプの選択] ドロップダウン メニューから [DPD プロファイル] を選択し、[DPD プロファイルの追加] をクリックします。
- DPD プロファイルの名前を入力します。
- [DPD プローブ モード] ドロップダウン メニューから [定期] または [オンデマンド] モードを選択します。
定期 DPD プローブ モードの場合、指定した DPD プローブ間隔が経過するたびに DPD プローブが送信されます。
オンデマンド DPD プローブ モードの場合、アイドル期間の経過後にピアサイトから IPsec パケットが受信されないと、DPD プローブが送信されます。アイドル期間は [DPD プローブ間隔] の値によって決まります。
- [DPD プローブ間隔] テキスト ボックスに、NSX Edge ノードが次の DPD プローブを送信するまでの待機時間を秒単位で入力します。
定期 DPD プローブ モードの場合、有効な値は 3 ~ 360 秒です。デフォルト値は 60 秒です。
オンデマンド プローブ モードの場合、有効な値は 1 ~ 10 秒です。デフォルト値は 3 秒です。
定期 DPD プローブ モードを設定した場合、NSX Edge で実行されている IKE デーモンは DPD プローブを定期的に送信します。ピア サイトが 0.5 秒以内に応答すると、指定した DPD プローブ間隔が経過したときに次の DPD プローブが送信されます。ピア サイトが応答しない場合は、0.5 秒待機した後に DPD プローブが再送信されます。リモート ピア サイトが応答しない場合、応答が受信されるか再試行回数に到達するまで、IKE デーモンは DPD プローブを再送信を繰り返します。ピアサイトの非活動が宣言されるまで、IKE デーモンは [再試行回数] プロパティに指定された最大回数に達するまで DPD プローブを再送信します。ピアサイトが非活動と宣言されると、NSX Edge ノードは、非活動ピアのリンクで Security Association (SA) を解除します。
オンデマンド DPD モードを構成した場合、指定した DPD プローブ期間の経過後、ピアサイトから IPsec トラフィックが受信されないと DPD プローブが送信されます。
- [再試行回数] テキスト ボックスに、再試行回数を入力します。
有効な値は 1 ~ 100 です。デフォルトの再試行回数は 5 です。
- 必要に応じて説明を入力し、タグを追加します。
- DPD プロファイルを有効または無効にするには、[管理状態] 切り替えボタンをクリックします。
デフォルト値は
[有効] です。DPD プロファイルが有効になっている場合、DPD プロファイルを使用する IPsec VPN サービスのすべての IPsec セッションで DPD プロファイルが使用されます。
- [保存] をクリックします。
結果
使用可能な DPD プロファイルのテーブルに新しい行が追加されます。システムで作成されていないプロファイルを編集または削除するには、3 つのドットで示されるメニュー()をクリックし、実行可能なアクションのリストから選択します。