본문 바로가기
FortiGate/IPsec VPN

Dead Peer Detection (DPD) 설정

by 에티버스이비티 2021. 1. 14.

터널의 IPsec SA는 터널이 구성되고 난 후 일반적으로 만료 될 때까지 다시 협상하지 않는다. 대부분 설정한 시간이 지나면 IPSec SA는 만료된다.

그런데 IPsec SA가 만료되기 전에 네트워크 장애가 발생하여 사이트 사이의 통신이 중단 되더라도, 피어는 계속해서 터널을 통해 트래픽을 보내는 문제가 발생한다.

 

DPD가 활성화되면 DPD 프로브가 전송되어 fail된 터널을 감지하고, 해당 IPSec SA를 중지 한다.

DPD는 동일한 목적지에 대한 redundant 터널이 구성된 상태에서, primary 터널에 문제가 생기면 DPD로 체크하여 backup 터널로 fail-over하는 방식에 매우 유용한 방법이다.

 

  • On demand : outbound 트래픽만 있고, inbound 트래픽이 없는 경우 DPD probe 전송
  • On Idle : 터널에서 트래픽이 보이지 않을경우 DPD probe 전송. 트래픽이 없다고해서 터널dl fail인 것은 아님. DPD로 인해 발생하는 overhead를 고려하여 터널 수가 많을 경우 On Idle 사용하지 말것.
  • Disable : DPD probe 수신에만 응답. 직접 peer로 DPD probe를 보내지 않음. FortiGate는 DPD probe를 전송하지 않음으로 터널 fail을 감지할 수 없음

On demand가 default 설정이며, 확장성 측면에서 overhead를 고려하면 On Idle보다 더 나은 옵션이다.

댓글