Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

verify-path

Syntax

Hierarchy Level

Description

在激活安全通道(st0)接口之前验证 IPsec datapath,并在 Junos OS 转发表中安装与接口相关联的路由。此配置在以下网络拓扑中非常有用:在 VPN 通道端点之间存在传输防火墙,并且在 st0 接口上为已建立的 VPN 通道使用活动路由的 IPsec 数据流量可能被传输阻止防火墙.

配置此选项时,可为 VPN 监控操作配置的源接口和目标 IP 地址不会用于 IPsec datapath 验证。IPsec datapath 验证中的 ICMP 请求源是本地隧道端点。

配置 IPsec datapath 验证时,将发生以下操作:

  1. 建立 VPN 通道后,会向对等通道端点发送 ICMP 请求,以验证 IPsec datapath。

    对等通道端点必须可由 VPN 监控 ICMP 请求访问,并且必须能够响应 ICMP 请求。进行数据路径验证时," " 显示在命令输出的 V VPN 监控 show security ipsec security-association detail 字段中。

  2. st0当从对等方收到响应时才激活接口。

    show interface st0.x命令输出显示 datapath 验证期间和之后的 st0 接口状态:Link-Layer-Down在验证完成之前和Up验证成功完成之后。

  3. 如果未收到对等方的 ICMP 响应,则会在配置的 VPN 监视器间隔(默认值为10秒)内发送另一个 ICMP 请求,直至达到 VPN 监控阈值(默认值为10倍)。

    如果验证未成功,则 KMD_VPN_DOWN_ALARM_USER 的系统日志条目指示 VPN 监控验证路径错误的原因。错误记录在show security ipsec security-association detail命令输出中的通道事件下。该show security ipsec tunnel-events-statistics命令显示错误发生的次数。

    VPN 监视器间隔和阈值vpn-monitor-options在 [edit security ipsec] 层次结构级别配置。

  4. 如果达到 VPN 监控阈值后,不会收到对等方的 ICMP 响应,则会关闭已建立的 VPN 通道,并重新协商 VPN 通道。

Options

目标-ip ip-address

NAT 设备后面的对等通道端点的原始未翻译 IP 地址。此 IP 地址不得为 NAT 转换 IP 地址。如果对等通道端点位于 NAT 设备后面,则需要此选项。验证路径 ICMP 请求将发送到此 IP 地址,以便对等方可以生成 ICMP 响应。

数据包大小 字节

必在 st0 接口启动之前用于验证 IPsec datapath 的数据包的大小。

数据包的大小必须低于路径最大传输单元(PMTU)减去隧道开销。用于 IPsec datapath 验证的数据包不得分段。

  • 区间64到1350字节

  • 本币64字节

Required Privilege Level

安全 — 在配置中查看此语句。

安全控制 - 要将此语句添加至配置中。

Release Information

语句 Junos OS Release 15.1 X 49-D 70 中引入。

packet-size 选项。) Junos OS中15.1X49-D120。