IPSec DPD模式

DPD简介

  1. Dead Peer Detection(DPD)是一种机制,用于检测远程对等方(peer)是否仍然活跃。在IPsec VPN中,两个端点之间的连接可能会由于网络问题或其他原因中断,为了及时发现并处理这种情况,就引入了DPD。
  2. DPD通过在IPsec SA(安全关联)之间定期交换检测消息来实现。这些消息通常是在IKE(Internet Key Exchange)阶段协商的。如果一端在一定时间内没有收到来自对等方的DPD消息,就会认为对等方可能已经不再活跃,从而触发重新建立IKE通道或采取其他措施来恢复连接。
  3. DPD参数不参与IKE协商,仅本地有效,本地的DPD配置决定自身的DPD探测机制。

DPD模式

FortiGate的DPD配置有3种模式:

  • 禁用(disable):任何情况下都不发送DPD探测报文。一般情况下不建议选择此模式。
  • 空闲(on-idle):IPSec隧道内一个方向上没有流量(即idle)时,在这个方向发送DPD探测报文;只有当IPSec隧道双向都有流量时,才不发DPD探测报文。推荐使用,可以较快地发现隧道中断。
  • 按需(on-demand):只有IPSec隧道内单向有流量时,在这个方向上发送DPD探测报文,其他情况(双向都有流量或双向都没有流量)下都不发送DPD探测报文。较少的带宽占用和更少的CPU中断影响,但检测到隧道中断的速度较慢。
隧道建立阶段 set dpd on-idle set dpd on-demand
Tunnel建立前
(阶段1已建立,阶段2未建立)
有DPD probe 没有DPD probe
Tunnel建立后
(阶段2已建立,但没有IPSec流量)
有DPD probe 没有DPD probe
Ping over tunnel
(Reques/Reply,IPSec双向有流量)
没有DPD probe 没有DPD probe
Ping over tunnel
(Reques/no reply,IPSec单向流量)
Ping reply方向有DPD probe Ping request方向有DPD probe

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2024-05-17 14:39:28

results matching ""

    No results matching ""