Dead-Peer-Detection

Ce mécanisme effectue une vérification périodique de l’état du tunnel IKE grâce à des échanges de messages chiffrés. Sur IKEv1, ce mécanisme est standardisé par la RFC 3706. Sur IKEv2, ce mécanisme a été renommé "Liveness" et fait partie intégrante du standard applicatif du protocole. Dans le pare-feu SNS, ce mécanisme s'appelle "Dead-Peer-Detection" (ou DPD) aussi bien en IKEv1 qu'en IKEv2.

Les paramètres qui conditionnent les décisions du DPD sont :

  • La fréquence du test,

  • Le délai d’attente de la réponse,

  • Le nombre d’échecs (non-réponse) aux tests.

Si aucune réponse n’est obtenue aux tests de DPD et que donc le seuil du nombre d’échecs maximum est atteint, le tunnel VPN IKE ainsi que les tunnels VPN IPsec liés seront clôturés.

Sur IKEv2, il existe différents modes d’utilisation de ce mécanisme :

  • En mode passif, le pare-feu SNS ne surveille pas l’état du correspondant et envoie une réponse s’il est sollicité,

  • En modes bas ou haut, le pare-feu SNS surveille l’état du correspondant et envoie une réponse s’il est sollicité. En mode haut, les requêtes seront plus fréquentes qu’en mode bas.

R47 | SNS-SMC | Activer le mécanisme de Dead-Peer-Detection
Pour un tunnel VPN IPsec, il est recommandé de mettre en œuvre le mécanisme de Dead-Peer-Detection en mode haut ou bas.

R47 ⁃ | SNS-SMC | Utiliser le mode DPD passif
Si la mise en œuvre du Dead-Peer-Detection sur l’extrémité distante n’est pas connue, il est conseillé d’utiliser le mode passif permettant de répondre si une requête DPD est reçue.