DPD(Dead Peer Detection) 프로파일은 IPSec 피어 사이트의 활성 여부를 감지하기 위한 검색 간 대기 시간(초)에 대한 정보를 제공합니다.

NSX-T Data Center는 IPSec VPN 서비스를 구성할 때 기본적으로 할당되는 이름이 nsx-default-l3vpn-dpd-profile인 시스템 생성 DPD 프로파일을 제공합니다. 이 기본 DPD 프로파일은 정기 DPD 프로브 모드입니다.

제공된 기본 DPD 프로파일을 사용하지 않으려면 다음 단계에 따라 고유한 항목을 구성할 수 있습니다.

프로시저

  1. 관리자 권한으로 NSX Manager에 로그인합니다.
  2. 네트워킹 > VPN > 프로파일로 이동합니다.
  3. 프로파일 유형 선택 드롭다운 메뉴에서 DPD 프로파일을 선택하고 DPD 프로파일 추가를 클릭합니다.
  4. DPD 프로파일의 이름을 입력합니다.
  5. DPD 프로브 모드 드롭다운 메뉴에서 정기 또는 요청 시 모드를 선택합니다.

    정기 DPD 프로브 모드의 경우 지정된 DPD 검색 간격 시간에 도달할 때마다 DPD 프로브가 전송됩니다.

    요청 시 DPD 프로브 모드의 경우 유휴 기간 후 피어 사이트에서 IPSec 패킷이 수신되지 않으면 DPD 프로브가 전송됩니다. DPD 검색 간격의 값은 사용되는 유휴 기간을 결정합니다.

  6. DPD 검색 간격 텍스트 상자에 다음 DPD 검색을 보내기 전에 NSX Edge 노드에서 대기할 시간(초)을 입력합니다.

    정기 DPD 프로브 모드의 경우 유효한 값은 3~360초입니다. 기본값은 60초입니다.

    요청 시 프로브 모드의 경우 유효한 값은 1~10초 사이입니다. 기본값은 3초입니다.

    정기 DPD 프로브 모드가 설정되면 NSX Edge에서 실행되는 IKE 데몬이 주기적으로 DPD 프로브를 전송합니다. 피어 사이트가 0.5초 이내에 응답하는 경우 구성된 DPD 검색 간격 시간에 도달한 후에 다음 DPD 프로브가 전송됩니다. 피어 사이트가 응답하지 않는 경우에는 0.5초 동안 대기한 후 DPD 프로브가 다시 전송됩니다. 원격 피어 사이트가 계속 응답하지 않으면 IKE 데몬은 응답을 받을 때까지 또는 재시도 횟수에 도달할 때까지 DPD 프로브를 다시 전송합니다. 피어 사이트가 비활성 상태로 선언되기 전에 IKE 데몬은 재시도 횟수 속성에 지정된 최대 횟수까지 DPD 프로브를 다시 전송합니다. 피어 사이트가 비활성으로 선언되면 NSX Edge 노드는 비활성 피어의 링크에서 SA(보안 연결)를 종료합니다.

    요청 시 DPD 모드가 설정된 경우, 구성된 DPD 검색 간격 시간에 도달하면 피어 사이트에서 IPSec 트래픽이 수신되지 않은 경우에만 DPD 프로브가 전송됩니다.

  7. 재시도 횟수 텍스트 상자에 허용되는 재시도 횟수를 입력합니다.
    유효한 값은 1에서 100 사이입니다. 기본 재시도 횟수는 5입니다.
  8. 설명을 제공하고 필요에 따라 태그를 추가합니다.
  9. DPD 프로파일을 사용하거나 사용하지 않도록 설정하려면 관리 상태 전환을 클릭합니다.
    기본적으로 이 값은 사용으로 설정됩니다. DPD 프로파일을 사용하도록 설정한 경우 DPD 프로파일은 DPD 프로파일을 사용하는 IPSec VPN 서비스의 모든 IPSec 세션에 사용됩니다.
  10. 저장을 클릭합니다.

결과

사용 가능한 DPD 프로파일의 테이블에 새 행이 추가됩니다. 비시스템 생성 프로파일을 편집하거나 삭제하려면 3개의 점 메뉴(3개 검은 점이 세로로 정렬됨. 이 아이콘을 클릭하면 하위 명령 메뉴가 표시됨.)을 클릭하고 사용 가능한 작업 목록에서 선택합니다.