Detecção de pares mortos
O Dead Peer Detection ( DPD ) é um mecanismo usado pelos hubs VPN IPSec para detectar a perda de sua mão. A detecção de ponto morto é descrita em RFC 3706 .
Descrição do DPD
Princípio
O DPD é baseado em um mecanismo do tipo keepalive . É o par que deseja verificar a disponibilidade quem emite a solicitação:
| Par A | Par B | |
|---|---|---|
| Inicialização DPD | ⇔ | Inicialização DPD |
| Teste par B | ⇒ | |
| ⇐ | Resposta do Peer B |
O par A espera pela resposta um tempo t antes de tentar n-1 retransmissões. O tempo t e o número de tentativas n dependem da implementação e podem ser configuráveis. No final de n tentativas para as quais o par A não recebeu uma resposta dentro do tempo alocado t , ele considera o par B como inalcançável.
Descrição das mensagens enviadas
Esta descrição é baseada na RFC 3706 e não em suas implementações.
Inicialização
Ambos os pares devem enviar seu Vendor ID (VID) para se declararem aptos para o DPD.
Pergunta / Resposta (Olá / Ack)O par A envia uma solicitação ao par B. Esta é uma mensagem IsaKMP NOTIFY "RU-THERE". O par B deve responder com uma mensagem IsaKMP NOTIFY "RU-THERE-ACK".
Essas duas mensagens têm o mesmo número de sequência.
Veja também
Artigos relacionados
- Camada de enlace de dados (camada de protocolo 2 do modelo OSI ).
- VPN Virtual Private Network (VPN)
- IPSec , IKE e IsaKMP
- (fr) The Dead Peer Detection na Wikipedia em inglês
links externos
- (en) RFC 3706
- O uso do DPD
- ( fr ) O DPD em equipamentos Cisco Systems
- DPD no equipamento do Checkpoint : de acordo com a nota SK15362 , o Checkpoint não parece usar DPD
- O DPD em equipamentos Stonesoft : descrito na nota 43633 (visibilidade: PARCEIRO, não acessível ao público)
- (en) DPD no equipamento NetASQ