DPD(Dead Peer Detection)という機能を知ったのでメモ。

IPSecでVPNをはる際に親拠点(固定IP)、子拠点(動的IP)で接続する場合(俗に言うアグレッシブモード:http://itpro.nikkeibp.co.jp/word/page/10009758/での接続)、仮に子拠点にリブートなんかがおきてしまった場合にIPアドレスが変わってしまい、IPSecが復帰するまでに時間がかかってしまう可能性がある。これを回避するためにPeer(IPSecの接続先)のDownを検知する機能。

らしい。実際どんな仕組みなのか細かいとこまでは調べきれませんでした。まあDown検知したら親拠点側が能動的に現在のコネクションを切って子がつないでくるのを待つ状態に移行するんでしょうかね。ciscoだと

# crypto isakmp keepalive seconds [ retries ] [ periodic | on-demand ] 

こんな感じで設定できるらしいです。periodicにすると定期的に死活監視のパケットを投げる様ですね。