监控 VPN 流量

了解 IPsec 数据路径验证

• 概述
• 警告

了解全局 SPI 和 VPN 监控功能

您可以使用以下全局 VPN 功能监控和维护 VPN 的有效运行：

• SPI — 当其中一个对等方发生故障时，安全关联 （SA） 中的对等方可能会变得不同步。例如，如果其中一个对等方重新启动，则可能发送错误的安全参数索引 （SPI）。您可以通过配置错误的 SPI 响应功能，使设备能够检测此类事件并重新同步对等方。

• VPN 监控 — 您可以使用全局 VPN 监控功能定期向对等方发送互联网控制消息协议 （ICMP） 请求，以确定对等方是否可以访问。

了解 VPN 监控和 DPD

VPN 监控和失效对等方检测 （DPD） 是 SRX 系列防火墙提供的功能，用于验证 VPN 对等设备的可用性。本节将比较这些功能的操作和配置。

即使设备上未配置 DPD，SRX 系列防火墙也会响应 VPN 对等方发送的 DPD 消息。您可以配置 SRX 系列防火墙，以向 VPN 对等方发起 DPD 消息。您还可以将 DPD 和 VPN 监控配置为在同一 SRX 系列防火墙上同时运行，尽管使用两种方法均可监控的对等方数量减少。

VPN 监控是一种 Junos OS 机制，它仅监控第 2 阶段安全关联 （SA）。在 [edit security ipsec vpn vpn-name] 层次结构级别使用vpn-monitor语句按 VPN 启用 VPN 监控。必须指定目标 IP 接口和源接口。该 optimized 选项使设备能够将流量模式用作对等实时线路的证据;ICMP 请求被抑制。

VPN 监控选项在 [edit security ipsec] 层次结构级别使用vpn-monitor-options语句配置。这些选项适用于启用了 VPN 监控的所有 VPN。您可以配置的选项包括将 ICMP 请求发送至对等方（默认为 10 秒）的间隔以及未收到响应而发送的连续 ICMP 请求数（默认为连续 10 个请求）。

DPD 是 RFC 3706 的实施，RFC 3706 是 一种基于流量的检测失效互联网密钥交换 （IKE） 对等方的方法。它在 IKE 级别运行，并根据 IKE 和 IPsec 流量活动监控对等方。

DPD 在单个 IKE 网关上配置， dead-peer-detection 语句位于 [edit security ike gateway gateway-name] 层次结构级别。您可以配置 DPD 操作模式。如果本地设备向对等方发送传出数据包后，在配置的间隔内没有传入 IKE 或 IPsec 流量，则默认（优化）模式会将 DPD 消息发送至对等方。其他可配置选项包括向对等方发送 DPD 消息的间隔（默认为 10 秒），以及未收到响应而发送的连续 DPD 消息数将被视为对等方不可用（默认为连续 5 个请求）。

了解失效对等方检测

失效对等方检测 （DPD） 是一种网络设备用于验证其他对等设备当前存在和可用性的方法。

您可以将 DPD 用作 VPN 监控的替代项。VPN 监控适用于单个 IPsec VPN，而 DPD 仅在单个 IKE 网关环境中配置。

设备通过向对等方发送加密 IKE 第 1 阶段通知有效负载（R-U-THERE 消息）并等待对等方发出 DPD 确认（R-U-THERE-ACK 消息）来执行 DPD 验证。仅当设备在指定的 DPD 间隔内未收到来自对等方的任何流量时，才会发送 R-U-THERE 消息。如果设备在此期间收到来自对等方的 R-U-THERE-ACK 消息，则认为对等方处于活动状态。如果设备从对等方收到隧道上的流量，它将为该隧道重置其 R-U-THERE 消息计数器，从而开始新的间隔。如果设备在间隔期间未收到 R-U-THERE-ACK 消息，则视为对等方已失效。当设备将对等方设备的状态更改为不工作时，设备将删除第 1 阶段安全关联 （SA） 和该对等方的所有第 2 阶段 SA。

SRX 系列防火墙支持以下 DPD 模式：

• 优化 — 在设备向对等方发送传出数据包后，如果在配置的间隔内没有传入 IKE 或 IPsec 流量，将触发 R-U-THERE 消息。这是默认模式。

• 探测空闲隧道 — 如果在配置的间隔内没有传入或传出 IKE 或 IPsec 流量，将触发 R-U-THERE 消息。R-U-THERE 消息会定期发送至对等方，直到出现流量活动。此模式有助于早期检测已关闭的对等方，并使隧道可用于数据流量。

  为 VPN 配置多个流量选择器时，可以为同一 IKE SA 建立多个隧道。在这种情况下，如果与 IKE SA 关联的任何隧道空闲，探查空闲隧道模式会触发要发送的 R-U-THERE 消息，即使另一个隧道中可能存在同一 IKE SA 的流量也是如此。

• 始终发送 — 无论对等方之间的流量活动如何，R-U-THERE 消息都会按配置的间隔发送。

  我们建议使用探测空闲隧道模式，而不是该 always-send 模式。

一旦建立第 1 阶段 SA，DPD 计时器就会处于活动状态。IKEv1 和 IKEv2 协议的 DPD 行为相同。

您可以配置以下 DPD 参数：

• 间隔参数指定设备在发送 R-U-THERE 消息之前等待对等方流量的时间量（以秒为单位）。默认间隔为 10 秒。从 Junos OS 15.1X49-D130 版开始，R-U-THERE 消息发送至对等设备的允许间隔参数范围从 10 秒到 60 秒缩减至 2 秒，再缩短到 60 秒。当 DPD 间隔参数设置小于 10 秒时，最小阈值参数应为 3。

• 阈值参数指定在考虑对等方无效之前发送 R-U-THERE 消息的最大次数，而无需来自对等方响应。默认传输数为 5 倍，允许的传输范围为 1 到 5 次。

配置 DPD 之前，请注意以下注意事项：

• 将 DPD 配置添加到具有活动隧道的现有网关中时，将启动 R-U-THERE 消息，而无需清除第 1 阶段或第 2 阶段 SA。

• 从具有活动隧道的现有网关中删除 DPD 配置时，将停止这些隧道的 R-U-THERE 消息。IKE 和 IPsec SA 不受影响。

• 修改任何 DPD 配置选项（如模式、间隔或阈值）可更新 DPD 操作，而无需清除第 1 阶段或第 2 阶段 SA。

• 如果 IKE 网关配置了 DPD 和 VPN 监控，但未配置立即建立隧道的选项，则 DPD 不会启动第 1 阶段协商。配置 DPD 后，还必须同时配置立即建立隧道选项，以在无第 1 阶段和第 2 阶段 SA 可用时拆除 st0 接口。

• 如果 IKE 网关配置了多个对等 IP 地址和 DPD，但未能将第 1 阶段 SA 建立到第一个对等 IP 地址，则尝试使用下一个对等 IP 地址进行第 1 阶段 SA。只有在建立第 1 阶段 SA 后，DPD 才会处于活动状态。

• 如果 IKE 网关配置了多个对等 IP 地址和 DPD，但 DPD 因当前对等方 IP 地址而失败，则第 1 阶段和第 2 阶段 SA 将被清除，并触发到下一对等 IP 地址的故障转移。

• 由于同时协商，同一对等方可以存在多个第 1 阶段或第 2 阶段 SA。在这种情况下，所有第 1 阶段 SA 都会发送 R-U-THERE 消息。如果连续配置数未收到 DPD 响应，将清除第 1 阶段 SA 和相关第 2 阶段 SA（仅适用于 IKEv2）。