DPD
DSCP
Pour chaque champ comportant la mention « Passerelle » et l'icône
ajouter un objet à la base existante en précisant son nom, sa résolution DNS, son adresse
IP et en cliquant ensuite sur Appliquer.
Le mode de négociation (principal ou agressif), lorsqu'il a été forcé, est conservé quand on
modifie la configuration d'un correspondant IPSec.
Les informations des correspondants de type « nomade » / « correspondant mobile »
Depuis SNS v3.10.0, il est possible de supporter plus d'une politique mobile au sein d'une même
politique de chiffrement anonyme en distinguant les correspondants par leur identifiant (ID).
Sélectionnez un correspondant dans la liste pour en afficher les informations.
Commentaire
Passerelle distante
Configuration de
secours
Page 418/464
Ce champ permet de configurer la fonctionnalité VPN dite de DPD ( Dead Peer
Detection ). Celui-ci permet de vérifier qu'un correspondant est toujours opérationnel.
Quand le DPD est activé sur un correspondant, des requêtes de test de disponibilité ( R
U there ) sont envoyées à l'autre correspondant. Ce dernier devra acquitter la requête
pour valider sa disponibilité ( R U there ACK ).
Ces échanges sont sécurisés via les SAs (Security Association) ISAKMP (Internet
Security Association and Key Management Protocol). Lorsqu'on détecte qu'un
correspondant ne répond plus, les SAs négociées sont détruites.
AVERTISSEMENT
Cette fonctionnalité apporte une stabilité au service VPN sur les Firewalls
Stormshield Network, à la condition que le DPD soit correctement configuré.
Pour configurer l'option de DPD , quatre choix sont disponibles :
Inactif : les requêtes DPD provenant du correspondant sont ignorées.
l
Passif : les requêtes DPD émises par le correspondant obtiennent une réponse du
l
firewall. En revanche, le firewall n'en envoie pas.
Bas : la fréquence d'envoi des paquets DPD est faible, et le nombre d'échecs
l
tolérés est élevé (delay 600, retry 10, maxfail 5).
Haut : la fréquence d'envoi des paquets DPD est élevée et le nombre d'échecs est
l
relativement bas (delay 30, retry 5, maxfail 3).
La valeur delay définit le temps après une réponse avant l'envoi de la prochaine
demande.
La valeur retry , définit le temps d'attente d'une réponse avant la réémission de la
demande.
La valeur maxfail , c'est le nombre de demandes sans réponses avant de considérer le
correspondant comme absent.
Ce champ permet de préciser la valeur du champ DSCP affecté aux paquets réseau
IKE émis à destination de ce correspondant.
Sélectionnez l'une des valeurs proposées ou précisez un champ DSCP personnalisé
(entier compris entre 0 et 63).
NOTE
Description associée au correspondant distant.
Ce champ est grisé pour les correspondants de type nomade.
Ce champ est grisé pour les correspondants de type nomade.
SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3
sns-fr-manuel_d'utilisation_et_de_configuration-v3.10.1 - 29/05/2020
VPN IPSEC
, vous pourrez