DPD (無作用對等偵測) 設定檔提供偵測 IPSec 對等站台是否處於運作中狀態的多次探查之間等待秒數的相關資訊。
NSX-T Data Center 提供由系統產生之名為 nsx-default-l3vpn-dpd-profile 的 DPD 設定檔,這是您在設定 IPSec VPN 服務時由系統預設指派的 DPD 設定檔。此預設 DPD 設定檔為定期 DPD 探查模式。
如果您決定不使用系統提供的預設 DPD 設定檔,可以使用下列步驟設定您自己的 DPD 設定檔。
程序
- 使用 admin 權限來登入 NSX Manager。
- 導覽至。
- 從選取設定檔類型下拉式功能表中選取 DPD 設定檔,然後按一下新增 DPD 設定檔。
- 輸入 DPD 設定檔的名稱。
- 從 DPD 探查模式下拉式功能表中,選取定期或隨選模式。
對於定期 DPD 探查模式,每次達到指定的 DPD 探查間隔時間時,就會傳送 DPD 探查。
對於隨選 DPD 探查模式,如果在閒置一段時間後沒有從對等站台接收到 IPSec 封包,就會傳送 DPD 探查。DPD 探查時間間隔中的值會決定所使用的閒置期間。
- 在DPD 探查時間間隔文字方塊中,輸入您想要 NSX Edge 節點等候的秒數,在此段時間過後才傳送下一個 DPD 探查。
對於定期 DPD 探查模式,有效值介於 3 到 360 秒之間。預設值為 60 秒。
對於隨選探查模式,有效值介於 1 到 10 秒之間。預設值為 3 秒。
設定定期 DPD 探查模式時,NSX Edge 上執行的 IKE 精靈會定期傳送 DPD 探查。如果對等站台在半秒內回應,則會在達到所設定的 DPD 探查間隔時間後傳送下一個 DPD 探查。如果對等站台沒有回應,則在等待半秒後再次傳送 DPD 探查。如果遠端對等站台持續無回應,則 IKE 精靈會再次重新傳送 DPD 探查,直到收到回應或達到重試計數為止。IKE 精靈會重新傳送 DPD 探查直到重試計數內容中指定的次數上限,之後會將對等站台宣告為無作用。對等站台被宣告為無作用後,NSX Edge 節點隨後會將無作用對等連結上的安全性關聯 (SA) 移除。
設定隨選 DPD 模式時,僅在達到所設定的 DPD 探查間隔時間後仍未從對等站台接收到 IPSec 流量時,系統才會傳送 DPD 探查。
- 在重試計數文字方塊中,輸入允許的重試次數。
有效值介於 1 到 100 之間。預設重試計數為 5。
- 視需要提供說明並新增標籤。
- 若要啟用或停用 DPD 設定檔,請按一下管理狀態切換按鈕。
依預設,此值設為
已啟用。啟用 DPD 設定檔時,DPD 設定檔會用於使用 DPD 設定檔之 IPSec VPN 服務中的所有 IPSec 工作階段。
- 按一下儲存。
結果
可用 DPD 設定檔資料表中會新增一列資料列。若要編輯或刪除非系統建立的設定檔,請按一下三個點功能表 (),然後從可用動作清單中進行選取。