Cơ chế hoạt động của Dead Peer Detection (DPD)
DPD là một cơ chế được thiết kế để xác định xem một peer (đầu cuối) VPN có còn hoạt động hay không. Nó hoạt động như sau:
Gửi gói tin kiểm tra: Sophos Firewall sẽ định kỳ gửi các gói tin nhỏ (R-U-THERE messages) đến peer VPN đối diện.
Đợi phản hồi: Nó sẽ chờ đợi phản hồi (R-U-THERE-ACK messages).
Hành động khi mất kết nối:
Nếu không nhận được phản hồi trong một khoảng thời gian nhất định, Sophos sẽ coi peer đó là không thể truy cập.
Sophos sẽ thực hiện hành động được cấu hình, thường là ngắt kết nối và tự động tái khởi tạo (re-initiate) lại VPN tunnel.
Sophos không cho phép chỉnh sửa trực tiếp các profile mặc định. Do đó, để thay đổi thời gian phát hiện mất kết nối VPN, bạn cần clone (tạo bản sao) profile mặc định đó, sau đó chỉnh sửa bản sao và áp dụng nó cho VPN connection.
1. Cách clone (tạo bản sao) profile "DefaultHeadOffice"
Đăng nhập vào Sophos Web Admin GUI.
Điều hướng đến VPN > IPsec profiles.
Tìm profile
DefaultHeadOffice
trong danh sách.Nhấp vào biểu tượng Clone (biểu tượng hình hai tờ giấy) nằm bên cạnh profile đó.
Đặt một tên mới cho profile được clone (ví dụ:
MyHeadOffice_VPN_Profile
).Lưu lại.
Sau khi clone, bạn sẽ có một profile mới có thể chỉnh sửa được.
2. Chỉnh sửa thời gian detect ngắn nhất
Tiếp tục ở trang VPN > IPsec profiles, tìm đến profile mới mà bạn vừa tạo (
MyHeadOffice_VPN_Profile
).Nhấp vào biểu tượng Edit (cây bút chì) để chỉnh sửa.
Tìm mục Dead Peer Detection.
Điều chỉnh các thông số sau để giảm thời gian phát hiện:
Check peer after every: Giảm giá trị này xuống mức tối thiểu có thể. Sophos thường giới hạn giá trị này để tránh gửi quá nhiều gói tin DPD.
Wait for response up to: Giảm giá trị này xuống thấp nhất. Đây là thời gian chờ phản hồi trước khi Sophos coi kết nối đã mất.
Lưu ý: Không nên đặt các giá trị quá thấp để tránh việc ngắt kết nối không cần thiết do độ trễ mạng tạm thời.
Lưu lại các thay đổi của profile.
3. Áp dụng profile mới cho kết nối VPN
Điều hướng đến Site-to-site VPN > IPsec.
Nhấp vào biểu tượng Edit của VPN connection bạn muốn thay đổi.
Tại mục Encryption, trong phần Profile, chọn profile mới mà bạn vừa tạo (
MyHeadOffice_VPN_Profile
) thay vì profile mặc định (DefaultHeadOffice
).Lưu lại cấu hình. 🌐
Lúc này, VPN connection của bạn sẽ sử dụng profile mới với các thông số DPD đã được điều chỉnh.
Cấu hình đúng
Để đảm bảo kết nối VPN tự động phục hồi một cách hiệu quả và không bị xung đột, bạn nên thiết lập theo mô hình "chủ động - bị động":
Site HQ (Trụ sở chính):
Gateway type: Chọn
Initiate the connection
.When peer unreachable: Chọn
Re-initiate
.Mục đích: HQ sẽ luôn là bên chủ động, có nhiệm vụ giám sát và khởi tạo lại kết nối khi cần.
Site A (Chi nhánh):
Gateway type: Chọn
Respond only
.When peer unreachable: Chọn
Re-initiate
hoặcDisconnect
.Re-initiate
: Cho phép site A tự động kết nối lại nếu kết nối bị ngắt từ phía nó, nhưng nó sẽ không chủ động kết nối nếu HQ không phản hồi.Disconnect
: Ngắt kết nối và đợi HQ chủ động kết nối lại.
Việc thiết lập này đảm bảo chỉ một bên duy nhất (HQ) chịu trách nhiệm khởi tạo kết nối, tránh tình trạng hai thiết bị "đua nhau" kết nối lại.