Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

vpn-monitor

Syntax

Hierarchy Level

Description

Einstellungen für die VPN-Überwachung konfigurieren.

Options

Ziel-IP

Geben Sie das Ziel der ICMP-Pings (Internet Control Message Protocol) an. Wenn diese Aussage verwendet wird, verwendet das Gerät standardmäßig die Gatewayadresse des Peers.

Optimiert

Angeben, dass die VPN-Überwachungsoptimierung für das VPN-Objekt aktiviert ist. Wenn die VPN-Überwachung aktiviert ist, sendet das Gerät der SRX-Serie nur ICMP-Echoanfragen (Pings), wenn ausgehender Datenverkehr und kein eingehender Datenverkehr aus dem konfigurierten Peer durch den VPN-Tunnel kommt. Wenn eingehender Datenverkehr durch den VPN-Tunnel kommt, berücksichtigt das Gerät der SRX-Serie den Tunnel als aktiv und sendet keine Pings an den Peer.

Da ECHO-Anforderungen von ICMP nur bei Bedarf gesendet werden, um die Peer-Lebensadern zu bestimmen, können Ressourcen auf dem Gerät der SRX-Serie durch VPN-Überwachungsoptimierung gespeichert werden. Durch Echoanfragen von ICMP können zudem teure Backup-Links aktiviert werden, die andernfalls nicht verwendet werden würden.

Diese Option ist standardmäßig deaktiviert.

Quellschnittstelle

Geben Sie die Quellschnittstelle für ICMP-Anforderungen an (VPN-Überwachung "Hellos" ). Wenn keine Quellschnittstelle angegeben ist, verwendet das Gerät automatisch die lokale Tunnel-Endpunktschnittstelle.

Verification-Path

Geben Sie den Überprüfungspfad für die IPsec-Datenpath-Funktion an, bevor die Secure Tunnel (st0)-Schnittstelle aktiviert und die der Schnittstelle zugeordneten Routen in der Junos OS Weiterleitungstabelle installiert werden.

  • destination-ip ip-address—Originale, nicht übertragene IP-Adresse des Peer-Tunnel-Endpunkts, der sich hinter einem NAT befindet. Diese IP-Adresse darf nicht die übersetzte NAT sein. Diese Option ist erforderlich, wenn sich der Peer-Tunnel-Endpunkt hinter einem bestimmten NAT befindet. Die ICMP-Anforderung für den Überprüfungspfad wird an diese IP-Adresse gesendet, sodass der Peer eine ICMP-Antwort generieren kann.

  • packet-size bytes—(Optional) Die Größe des Pakets, das zur Überprüfung eines IPsec-Datenpaths verwendet wird, bevor die ST0-Schnittstelle hochgebracht wird. Die Paketgröße muss niedriger sein als der Pfad, MTU (PMTU) minus Tunnel-Overhead. Das zur IPsec-Datenpath-Verifizierung verwendete Paket darf nicht fragmentiert sein. Die Reichweite der Paketgröße beträgt 64 bis 1350 Bytes und der Standardwert der Paketgröße beträgt 64 Bytes.

Required Privilege Level

Sicherheit: Diese Anweisung wird in der Konfiguration angezeigt.

Security Control: Um diese Aussage der Konfiguration hinzuzufügen.

Release Information

Statement eingeführt in Junos OS Version 8.5. verify-path Stichwort, destination-ip und wurde in Junos OS neue 15.1X49-D70. Option hinzugefügt, die in Junos OS Release packet-size 15.1X49-D120.