Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

verify-path

语法

层次结构级别

说明

在 Junos OS 转发表中安装安全隧道 (st0) 接口和与接口关联的路由之前,验证 IPsec 数据路径。此配置在 VPN 隧道端点之间有传输防火墙,而为 st0 接口上已建立的 VPN 隧道使用活动路由的 IPsec 数据流量可能会被传输防火墙阻止,因此,此配置在网络拓扑中会很有用。

配置此选项后,可以为 VPN 监控操作配置的源接口和目标 IP 地址不会用于 IPsec 数据路径验证。IPsec 数据路径验证中 ICMP 请求的来源是本地隧道端点。

配置 IPsec 数据路径验证后,将发生以下操作:

  1. 建立 VPN 隧道后,ICMP 请求会发送至对等隧道端点,以验证 IPsec 数据路径。

    VPN 监控 ICMP 请求必须可访问对等隧道端点,并且必须能够响应 ICMP 请求。数据路径验证正在进行中,命令输出中的 VPN 监控字段中show security ipsec security-association detail显示“V”。

  2. st0仅当从对等方收到响应时,接口才会激活。

    命令 show interface st0.x 输出会显示数据路径验证期间和之后的 st0 接口状态:Link-Layer-Down 验证完成之前和 Up 验证成功完成后。

  3. 如果未从对等方收到任何 ICMP 响应,则其他 ICMP 请求将按配置的 VPN 监控间隔(默认为 10 秒)发送,直至达到 VPN 监控阈值(默认为 10 次)。

    如果验证失败,KMD_VPN_DOWN_ALARM_USER系统日志条目将指示 VPN 监控验证路径错误的原因。错误记录在命令输出中的 show security ipsec security-association detail 隧道事件下。命令 show security ipsec tunnel-events-statistics 显示错误的发生次数。

    在 [edit security ipsec] 层次结构级别配置 vpn-monitor-options VPN 监控间隔和阈值。

  4. 如果在达到 VPN 监控阈值后,未从对等方收到任何 ICMP 响应,则已建立的 VPN 隧道将被关闭,并重新协商 VPN 隧道。

选项

destination-ip ip-address

NAT 设备后面的对等隧道端点的原始未转换 IP 地址。此 IP 地址不得为 NAT 转换的 IP 地址。如果对等隧道端点在 NAT 设备后面,则需要此选项。验证路径 ICMP 请求会发送到此 IP 地址,以便对等方可以生成 ICMP 响应。

packet-size bytes

(可选)在启动 st0 接口之前用于验证 IPsec 数据路径的数据包大小。

数据包大小必须小于路径最大传输单元 (PMTU) 减去的隧道开销。用于 IPsec 数据路径验证的数据包不得分段。

  • 范围:64 到 1350 字节

  • 默认:64 字节

必需的权限级别

安全性 — 可在配置中查看此语句。

安全控制 — 将此语句添加到配置中。

发布信息

在 Junos OS 15.1X49-D70 版中引入的语句。

packet-size 选项在 Junos OS 15.1X49-D120 版中添加。