¶ Detección de Pares Inactivos
En esta página se va a recoger la información sobre la detección de pares inactivos de forma detallada y técnica.
En SoaX tenemos la posibilidad e seleccionar estas configuraciones:
La detección de pares de tráfico muerto (DPD) es un método que los dispositivos de red utilizan para comprobar la existencia actual y disponibilidad de otros dispositivos de mismo nivel.
Retener: Se mantiene repitiendo la misma configuración hasta establecer la conexión. Está es la configuración por defecto en SoaX.
limpiar: Finaliza la sesión de IKE cuando se cumple el tiempo de espera de DPD (detenga el túnel y borre las rutas)
Deshabilitado: No realiza ninguna acción cuando se cumple el tiempo de espera de DPD.
Reiniciar: : Reinicia la sesión de IKE cuando se cumple el tiempo de espera de DPD.
Reiniciar por el par: Envía un mensaje de reinicio de conexión al otro extremo y reinicia la sesión de IKE cuando se cumple el tiempo de espera de DPD.
¶ Otros parámetros de DPD
Intervalo de Detección de Punto Inactivo: Tiempo de espera de DPD hasta repetir la acción de detección, la configuración por defecto es 30 segundos.
Tiempo de espera de Detección de Punto Inactivo: Tiempo de espera de respuesta de DPD, la configuración por defecto es 120 segundos.
¶ Más Información de como funciona DPD
Puede utilizar DPD como alternativa a la supervisión VPN. La supervisión VPN se aplica a una VPN individual de IPsec, mientras que DPD se configura únicamente en un contexto de puerta de enlace de ICR individual.
Un dispositivo realiza la verificación de DPD mediante el envío de cargas de notificación ICR fase 1 cifradas (R-U-en el caso de mensajes) a un interlocutor que espera las confirmaciones de DPD (R-U-in-ACK mensajes) desde el mismo nivel. El dispositivo envía un mensaje R-U-any solo si no ha recibido tráfico del interlocutor durante un intervalo DPD especificado. Si el dispositivo recibe un mensaje R-U-Outa de ACK del mismo nivel durante este intervalo, tiene en cuenta el punto de conexión del mismo nivel. Si el dispositivo recibe tráfico en el túnel desde el interlocutor, restablece su contador de mensajes R-U-in para ese túnel, con lo que se inicia un nuevo intervalo. Si el dispositivo no recibe un mensaje R-U-entero de confirmación durante el intervalo, considera que el elemento del mismo nivel ha muerto. Cuando el dispositivo cambia el estado de un dispositivo del mismo nivel a Dead (muerto), el dispositivo quita la Asociación de seguridad (SA) de la fase 1 y todas las SA de la fase 2 para ese interlocutor.
Los temporizadores de DPD están activos tan pronto como se establece la SA de la fase 1. El comportamiento DPD es el mismo para los protocolos IKEv1 y IKEv2.
Puede configurar los siguientes parámetros de DPD:
- El parámetro Interval especifica la cantidad de tiempo (expresada en segundos) que esperará el dispositivo a que el tráfico proviene de su interlocutor antes de enviar un mensaje R-U-allí. El intervalo predeterminado es de 30 segundos.
Tenga en cuenta las consideraciones siguientes antes de configurar DPD:
-
Cuando se agrega una configuración DPD a una puerta de enlace existente con túneles activos, los mensajes R-U-at se inician sin borrar las SA de la fase 1 o la fase 2.
-
Cuando se elimina una configuración de DPD de una puerta de enlace existente con túneles activos, R-U: se detienen los mensajes para los túneles. Las SA de ICR y IPsec no se verán afectadas.
-
Si se modifica cualquier opción de configuración DPD, como los valores Mode, Interval o threshold, se actualizará la operación DPD sin borrar las SA de la fase 1 o la fase 2.
-
Si la puerta de enlace de ICR está configurada con DPD y la supervisión VPN, pero la opción para establecer túneles inmediatamente no está configurada, DPD no inicia la negociación de la fase 1. Cuando se configura DPD, la opción establecer túneles inmediatos también debe configurarse al mismo tiempo para anular la interfaz del st0 cuando no existen SA de Phase 1 y Phase 2 disponibles.
-
Si la puerta de enlace de ICR está configurada con varias direcciones IP del mismo nivel y DPD pero la SA de la fase 1 no se puede establecer en la primera dirección IP del mismo nivel, se intenta una SA de fase 1 con la siguiente dirección IP del mismo nivel. DPD solo está activo después de establecerse una asociación de la fase 1.
-
Si la puerta de enlace de ICR está configurada con varias direcciones IP de par y DPD, pero DPD falla con la dirección IP del par actual, lasAS de fase 1 y fase 2 se borrarán y se activará una conmutación por error a la dirección IP del par siguiente.
-
Puede existir más de una SA Phase 1 o Phase 2 con el mismo interlocutor debido a las negociaciones simultáneas. En este caso, R-U-en todos los mensajes se envían a todas las SA de la fase 1. Si no se reciben respuestas DPD para el número configurado de veces consecutivas, se borrará la SA de la fase 1 y la SA asociada de la fase 2 (solo para IKEv2).
Volver a la página principal:
Network como funciona DPD
Que es DPD
como usar DPD
Deteccion de puntos intactivos
parametros DPD