On idle1 Dead Peer Detection (DPD) 설정 터널의 IPsec SA는 터널이 구성되고 난 후 일반적으로 만료 될 때까지 다시 협상하지 않는다. 대부분 설정한 시간이 지나면 IPSec SA는 만료된다. 그런데 IPsec SA가 만료되기 전에 네트워크 장애가 발생하여 사이트 사이의 통신이 중단 되더라도, 피어는 계속해서 터널을 통해 트래픽을 보내는 문제가 발생한다. DPD가 활성화되면 DPD 프로브가 전송되어 fail된 터널을 감지하고, 해당 IPSec SA를 중지 한다. DPD는 동일한 목적지에 대한 redundant 터널이 구성된 상태에서, primary 터널에 문제가 생기면 DPD로 체크하여 backup 터널로 fail-over하는 방식에 매우 유용한 방법이다. On demand : outbound 트래픽만 있고, inbound 트래픽이 없는 경.. 2021. 1. 14. 이전 1 다음
