verify-path
Syntax
verify-path { destination-ip ip-address; packet-size bytes; }
Hierarchy Level
[edit security ipsec vpn vpn-name vpn-monitor]
Description
在激活安全通道(st0)接口之前验证 IPsec datapath,并在 Junos OS 转发表中安装与接口相关联的路由。此配置在以下网络拓扑中非常有用:在 VPN 通道端点之间存在传输防火墙,并且在 st0 接口上为已建立的 VPN 通道使用活动路由的 IPsec 数据流量可能被传输阻止防火墙.
配置此选项时,可为 VPN 监控操作配置的源接口和目标 IP 地址不会用于 IPsec datapath 验证。IPsec datapath 验证中的 ICMP 请求源是本地隧道端点。
配置 IPsec datapath 验证时,将发生以下操作:
建立 VPN 通道后,会向对等通道端点发送 ICMP 请求,以验证 IPsec datapath。
对等通道端点必须可由 VPN 监控 ICMP 请求访问,并且必须能够响应 ICMP 请求。进行数据路径验证时," " 显示在命令输出的
V
VPN 监控show security ipsec security-association detail
字段中。仅
st0
当从对等方收到响应时才激活接口。show interface st0.x
命令输出显示 datapath 验证期间和之后的 st0 接口状态:Link-Layer-Down
在验证完成之前和Up
验证成功完成之后。如果未收到对等方的 ICMP 响应,则会在配置的 VPN 监视器间隔(默认值为10秒)内发送另一个 ICMP 请求,直至达到 VPN 监控阈值(默认值为10倍)。
如果验证未成功,则 KMD_VPN_DOWN_ALARM_USER 的系统日志条目指示 VPN 监控验证路径错误的原因。错误记录在
show security ipsec security-association detail
命令输出中的通道事件下。该show security ipsec tunnel-events-statistics
命令显示错误发生的次数。VPN 监视器间隔和阈值
vpn-monitor-options
在 [edit security ipsec
] 层次结构级别配置。如果达到 VPN 监控阈值后,不会收到对等方的 ICMP 响应,则会关闭已建立的 VPN 通道,并重新协商 VPN 通道。
Options
目标-ip ip-address | NAT 设备后面的对等通道端点的原始未翻译 IP 地址。此 IP 地址不得为 NAT 转换 IP 地址。如果对等通道端点位于 NAT 设备后面,则需要此选项。验证路径 ICMP 请求将发送到此 IP 地址,以便对等方可以生成 ICMP 响应。 |
数据包大小 字节 | 必在 st0 接口启动之前用于验证 IPsec datapath 的数据包的大小。 数据包的大小必须低于路径最大传输单元(PMTU)减去隧道开销。用于 IPsec datapath 验证的数据包不得分段。
|
Required Privilege Level
安全 — 在配置中查看此语句。
安全控制 - 要将此语句添加至配置中。
Release Information
语句 Junos OS Release 15.1 X 49-D 70 中引入。
packet-size
选项。) Junos OS中15.1X49-D120。