Dead peer detection
Le Dead Peer Detection (DPD) est un mécanisme utilisé par des concentrateurs VPN IPSec pour détecter la perte de leur pair. Le Dead Peer Detection est décrit dans la RFC 3706.
Description du DPD
Principe
Le DPD s'appuie sur un mécanisme de type keepalive. C'est le pair qui souhaite vérifier la disponibilité qui émet la demande :
| Pair A | Pair B | |
|---|---|---|
| Initialisation du DPD | â | Initialisation du DPD |
| Test du pair B | â | |
| â | RĂ©ponse du pair B |
Le pair A attend la rĂ©ponse un temps t avant de tenter n-1 rĂ©Ă©missions. Le temps t et le nombre de tentatives n sont dĂ©pendants de l'implĂ©mentation et peuvent ĂȘtre configurables. Au bout de n tentatives pour lesquelles le pair A n'a pas reçu de rĂ©ponse dans le temps t imparti, il considĂšre le pair B comme injoignable.
Initialisation
Les deux pairs doivent envoyer leur Vendor ID (VID) afin de se déclarer aptes au DPD.
Question/RĂ©ponse (Hello/Ack)
Le pair A envoie une demande au pair B. Il s'agit d'un message IsaKMP NOTIFY "R-U-THERE". Le pair B doit répondre par un message IsaKMP NOTIFY "R-U-THERE-ACK".
Ces deux messages portent le mĂȘme numĂ©ro de sĂ©quence.
Voir aussi
Articles connexes
- Couche liaison de données (couche de protocole n°2 du modÚle OSI).
- VPN Virtual Private Network (VPN)
- IPSec, IKE et IsaKMP
- (en)Le Dead Peer Detection sur le Wikipédia anglais
Liens externes
- (en)RFC 3706
- L'utilisation du DPD
- (en)Le DPD sur les Ă©quipements Cisco Systems
- Le DPD sur les Ă©quipements Checkpoint : d'aprĂšs la (en)note SK15362, Checkpoint ne semble pas utiliser le DPD
- Le DPD sur les équipements Stonesoft : décrit dans la note 43633 (visibilité : PARTNER, non accessible au public)
- (fr)Le DPD sur les Ă©quipements NetASQ