verify-path
语法
verify-path {
destination-ip ip-address;
packet-size bytes;
}
层次结构级别
[edit security ipsec vpn vpn-name vpn-monitor]
说明
在 Junos OS 转发表中安装安全隧道 (st0) 接口和与接口关联的路由之前,验证 IPsec 数据路径。此配置在 VPN 隧道端点之间有传输防火墙,而为 st0 接口上已建立的 VPN 隧道使用活动路由的 IPsec 数据流量可能会被传输防火墙阻止,因此,此配置在网络拓扑中会很有用。
配置此选项后,可以为 VPN 监控操作配置的源接口和目标 IP 地址不会用于 IPsec 数据路径验证。IPsec 数据路径验证中 ICMP 请求的来源是本地隧道端点。
配置 IPsec 数据路径验证后,将发生以下操作:
建立 VPN 隧道后,ICMP 请求会发送至对等隧道端点,以验证 IPsec 数据路径。
VPN 监控 ICMP 请求必须可访问对等隧道端点,并且必须能够响应 ICMP 请求。数据路径验证正在进行中,命令输出中的 VPN 监控字段中
show security ipsec security-association detail显示“V”。st0仅当从对等方收到响应时,接口才会激活。命令
show interface st0.x输出会显示数据路径验证期间和之后的 st0 接口状态:Link-Layer-Down验证完成之前和Up验证成功完成后。如果未从对等方收到任何 ICMP 响应,则其他 ICMP 请求将按配置的 VPN 监控间隔(默认为 10 秒)发送,直至达到 VPN 监控阈值(默认为 10 次)。
如果验证失败,KMD_VPN_DOWN_ALARM_USER系统日志条目将指示 VPN 监控验证路径错误的原因。错误记录在命令输出中的
show security ipsec security-association detail隧道事件下。命令show security ipsec tunnel-events-statistics显示错误的发生次数。在 [
edit security ipsec] 层次结构级别配置vpn-monitor-optionsVPN 监控间隔和阈值。如果在达到 VPN 监控阈值后,未从对等方收到任何 ICMP 响应,则已建立的 VPN 隧道将被关闭,并重新协商 VPN 隧道。
选项
| destination-ip ip-address | NAT 设备后面的对等隧道端点的原始未转换 IP 地址。此 IP 地址不得为 NAT 转换的 IP 地址。如果对等隧道端点在 NAT 设备后面,则需要此选项。验证路径 ICMP 请求会发送到此 IP 地址,以便对等方可以生成 ICMP 响应。 |
| packet-size bytes | (可选)在启动 st0 接口之前用于验证 IPsec 数据路径的数据包大小。 数据包大小必须小于路径最大传输单元 (PMTU) 减去的隧道开销。用于 IPsec 数据路径验证的数据包不得分段。
|
必需的权限级别
安全性 — 可在配置中查看此语句。
安全控制 — 将此语句添加到配置中。
发布信息
在 Junos OS 15.1X49-D70 版中引入的语句。
packet-size 选项在 Junos OS 15.1X49-D120 版中添加。