[Network] IKE Keep-alive와 Dead Peer Detection의 차이

1. IKE Keep-alive

IKE는 IPSec 통신에서 수동이 아닌 자동으로 키 교환이 안전하게 이루어지도록 고안된 키관리 프로토콜이다. 통신 장애 발생시 자동으로 탐지하고 복구를 시도하게 된다.

IKE Keep-alive는 IPSec 장비들간의 연결을 확인하기 위하여 미리 설정되어진 일정한 시간마다 원격 장비의 게이트웨이로 업데이트 메시지를 발송하면서 연결을 모니터링 한다.

업데이트 메시지 발송 간격은 원하는대로 설정이 가능하며 통신 장애 복구 시도의 횟수(max failure value)도 조정이 가능하다.

설정된 max failure vailue 값에 도달하도록 VPN 터널이 복구되지 않는다면 IKE 프로토콜은 터널을 찢고 다시 시작하기 위하여 rekey 처리를 하게 된다.

 

2. Dead Peer Detection (DPD)

DPD는 IPSec VPN 장비의 장애를 탐지하고 IKE를 대체하기 위하여 고안된 매커니즘이다. 따라서 IKE보다는 조금 더 유연하게 적용이 된다. DPD는 트래픽을 위주로 장애를 탐지한다. 그러므로 트래픽이 흐르고 있으면 Keep-alive 메시지를 발송할 필요가 없다고 판단한다.

만약 일정한 시간동안 트래픽이 흐르지 않는다면 DPD는 VPN 장비의 상태를 확인불가 상황으로 판단해서 DPD의 keep-alive 메시지를 양쪽 모두의 장비로 발송한다.

DPD는 IKE Keep-alive보다는 통신 장애 복구에 더 많은 시간이 소요될 수도 있다. 하지만 VPN 터널관리에 소요되는 트래픽을 줄일 수 있기 때문에 결과적으로 VPN 터널에서 장애가 발생할 수도 있는 상황을 사전에 예방할 수 있기도 하다. 다시한번 강조하면 DPD는 트래픽이 흐르고 있는 동안은 Rekey 처리를 하지 않는다.