vpn-monitor

指定互联网控制消息协议 （ICMP） ping 的目标。如果使用此语句，则设备默认使用对等方的网关地址。

为特定 VPN 隧道启用 VPN 监控优化。

当管理员启用 VPN 监控优化时，仅当有传出流量且没有来自配置对等方的传入流量时，SRX 系列防火墙才会通过 VPN 隧道发送 ICMP 回显请求 （ping）。如果有传入流量通过 VPN 隧道，SRX 系列防火墙会认为该隧道处于活动状态，不会向对等方发送 ping。

VPN 监控优化可节省 SRX 系列防火墙上的资源，因为 ICMP 回显请求仅在需要确定对等实时性时才发送。此外，ICMP 回显请求可以激活成本高昂的备份链路，否则这些链路将不会使用。

• 默认值：禁用。

  如果管理员未显式配置该选项，则防火墙将每配置一次间隔发送一次 VPN 监控数据包，默认情况下也称为始终发送。有关更多详细信息，请参阅 了解 VPN 监控。

指定 ICMP 请求的源接口（VPN 监控“hellos”）。如果未指定源接口，设备将自动使用本地隧道端点接口。

指定验证路径，以便在激活安全隧道 （st0） 接口并将与该接口关联的路由安装到 Junos OS 转发表之前验证 IPsec 数据路径。

• destination-ip ip-address— NAT 设备后面的对等隧道端点的原始未转换 IP 地址。此 IP 地址不能是 NAT 转换的 IP 地址。如果对等隧道端点位于 NAT 设备后面，则此选项是必需的。验证路径 ICMP 请求将发送到此 IP 地址，以便对等方可以生成 ICMP 响应。

• packet-size bytes—（可选）在启动 st0 接口之前用于验证 IPsec 数据路径的数据包大小。数据包大小必须小于路径最大传输单元 （PMTU） 减去隧道开销。用于 IPsec 数据路径验证的数据包不得分段。数据包大小的范围为 64 到 1350 字节，默认数据包大小值为 64 字节