Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Richtlinienbasierte IPsec-VPNs

Ein richtlinienbasiertes VPN ist eine Konfiguration, in der ein IPSec-VPN-Tunnel zwischen zwei Endpunkten innerhalb der Richtlinie selbst mit einer Richtlinienaktion für den Transitdatenverkehr festgelegt wird, der den Übereinstimmungskriterien der Richtlinie entspricht.

Richtlinienbasierte IPsec-VPNs verstehen

Bei richtlinienbasierten IPsec-VPNs gibt eine Sicherheitsrichtlinie als Aktion den für den Transitdatenverkehr zu verwendenden VPN-Tunnel an, der den Übereinstimmungskriterien der Richtlinie entspricht. Ein VPN wird unabhängig von einer Richtlinienauszug konfiguriert. Die Richtlinienauszugsauszug bezieht sich auf DAS VPN nach Namen, um den Datenverkehr anzugeben, der Zugriff auf den Tunnel hat. Bei richtlinienbasierten VPNs erstellt jede Richtlinie eine individuelle IPsec-Sicherheitszuordnung (IPSec-Sicherheitszuordnung) zum Remote-Peer, von denen jede als einzelner VPN-Tunnel zählt. Wenn beispielsweise eine Richtlinie eine Quelladresse einer Gruppe und eine Zieladresse einer Gruppe enthält, wird ein neuer Tunnel ausgehandelt und eingerichtet, wenn einer der Benutzer, die zu den Adressen gehören, versucht, mit einem der als Zieladresse angegebenen Hosts zu kommunizieren. Da für jeden Tunnel ein eigener Aushandlungsprozess und separate Paar von SAs erforderlich sind, kann die Verwendung von richtlinienbasierten IPsec-VPNs ressourcenintensiver sein als routenbasierte VPNs.

Beispiele für die Verwendung richtlinienbasierter VPNs:

  • Sie implementieren ein Einwahl-VPN.

  • Mit richtlinienbasierten VPNs können Sie Datenverkehr basierend auf Firewall-Richtlinien direkt nutzen.

Wir empfehlen, dass Sie routenbasiertes VPN verwenden, wenn Sie ein VPN zwischen mehreren Remotestandorten konfigurieren möchten. Routenbasierte VPNs können die gleichen Funktionen bereitstellen wie richtlinienbasierte VPNs.

Beispiel: Konfigurieren eines richtlinienbasierten VPN

In diesem Beispiel wird gezeigt, wie Sie ein richtlinienbasiertes IPsec-VPN konfigurieren, damit Daten sicher zwischen zwei Standorten übertragen werden können.

Anforderungen

In diesem Beispiel wird folgende Hardware verwendet:

  • Alle Geräte der SRX-Serie

    • Aktualisiert und erneut aktualisiert mit vSRX am Junos OS Release 20.4R1.
Anmerkung:

Möchten Sie praktische Erfahrungen mit den in diesem Leitfaden behandelten Themen und Vorgängen sammeln? Besuchen Sie die auf IPsec-Richtlinien basierte Demo in Juniper Networks virtuellen Labs und reservieren Sie Ihre kostenlose Sandbox noch heute! Sie finden die auf IPSec-VPN-Richtlinien basierende Sandbox in der Kategorie Sicherheit.

Lesen Sie zunächst IPsec - Übersicht ...

Überblick

In diesem Beispiel konfigurieren Sie ein richtlinienbasiertes VPN auf SRX1 und SRX2. Host1 und Host2 verwenden das VPN, um Datenverkehr zwischen beiden Hosts sicher über das Internet zu senden.

Abbildung 1 zeigt ein Beispiel für eine richtlinienbasierte VPN-Topologie.

Abbildung 1: Richtlinienbasierte VPN-Topologie Richtlinienbasierte VPN-Topologie

IKE der IPsec-Tunnel-Aushandlung erfolgt in zwei Phasen. In Phase 1 schaffen die Teilnehmer einen sicheren Kanal, über den die IPsec-Sicherheitszuordnung auszuhandeln ist. In Phase 2 handelt die Teilnehmer die IPsec-Sicherheitszuordnung für die Authentifizierung des Datenverkehrs aus, der durch den Tunnel fließt. Wie es zwei Phasen für die Tunnel-Aushandlung gibt, gibt es auch zwei Phasen für die Tunnelkonfiguration.

In diesem Beispiel konfigurieren Sie Schnittstellen, einen IPv4-Standardroute und Sicherheitszonen. Dann konfigurieren Sie IKE Phase 1, IPsec Phase 2, Sicherheitsrichtlinie und TCP-MSS-Parameter. Tabelle 1Durch. Tabelle 5

Tabelle 1: Schnittstellen-, statische Route- und Sicherheitszoneninformationen für SRX1

Funktion

Name

Konfigurationsparameter

Schnittstellen

ge-0/0/0.0

10.100.11.1/24

 

ge-0/0/1.0

172.16.13.1/24

Sicherheitszonen

Vertrauen

  • Die ge-0/0/0.0-Schnittstelle ist an diese Zone gebunden.

 

nicht vertrauenswürdig

  • Die ge-0/0/1.0-Schnittstelle ist an diese Zone gebunden.

Statische Routen

0.0.0.0/0

  • Der nächste Hop ist 172.16.13.2.

Tabelle 2: IKE von Konfigurationsparametern der 1. Phase

Funktion

Name

Konfigurationsparameter

Vorschlag

Standard

  • Authentifizierungsmethode: Pre-Shared Keys

Richtlinien

IKE-POL

  • Modus: Wichtigsten

  • Referenz für Vorschläge: Standard

  • IKE Authentifizierungsmethode für Richtlinien in Phase 1: Pre-Shared-Key Ascii-Text

Gateway

IKE-GW

  • IKE Richtlinienreferenz: IKE-POL

  • Externe Schnittstelle: ge-0/0/1

  • Gateway-Adresse: 172.16.23.1

Tabelle 3: IPsec Phase 2-Konfigurationsparameter

Funktion

Name

Konfigurationsparameter

Vorschlag

Standard

  • Verwendung der Standardkonfiguration

Richtlinien

IPSEC-POL

  • Referenz für Vorschläge: Standard

VPN

VPN-to-Host2

  • IKE Gateway-Referenz: IKE-GW

  • IPsec-Richtlinienreferenz: IPSEC-POL

  • Einrichtung von Tunneln sofort
Tabelle 4: Konfigurationsparameter für Sicherheitsrichtlinien

Zweck

Name

Konfigurationsparameter

Diese Sicherheitsrichtlinie ermöglicht Datenverkehr von der Trust Zone in die Nicht-Trust-Zone.

VPN-OUT

  • Kriterien für Übereinstimmungen:

    • Quelladresse Host1-Net

    • Host2-Net für Zieladresse

    • Anwendungs-

  • Maßnahmen zulassen: Tunnel IPSec-VPN VPN-to-Host2

Diese Sicherheitsrichtlinie ermöglicht Datenverkehr von der nicht vertrauenswürdigen Zone zur Vertrauenszone.

VPN-IN

  • Kriterien für Übereinstimmungen:

    • Quelladresse Host2-Net

    • Host1-Net für Zieladresse

    • Anwendungs-

  • Maßnahmen zulassen: Tunnel IPSec-VPN VPN-to-Host2

Diese Sicherheitsrichtlinie ermöglicht allen Datenverkehr von der Trust Zone zur Nicht-vertrauenswürdigen Zone.

Sie müssen die VPN-OUT-Richtlinie vor der standardbasierten Sicherheitsrichtlinie stellen. Junos OS führt eine Sicherheitsrichtliniensuche oben in der Liste durch. Wenn die Default-Permit-Richtlinie vor der VPN-OUT-Richtlinie kommt, entspricht der ganze Datenverkehr der Trust Zone der Standard-Genehmigungsrichtlinie und ist zulässig. Folglich wird kein Datenverkehr jemals mit der VPN-OUT-Richtlinie übereinstimmen.

Standardgenehmigung

  • Kriterien für Übereinstimmungen:

    • Quelladresse beliebiger

    • Quellziel-Any

    • Anwendungs-

  • Aktion: Genehmigung

Tabelle 5: TCP-MSS-Konfigurationsparameter

Zweck

Konfigurationsparameter

TCP-MSS wird als Teil des TCP-Three-Way-Handshakes ausgehandelt und beschränkt die maximale Größe eines TCP-Segments, um die MTU (MTU) Grenzen eines Netzwerks besser zu MTU. Dies ist besonders für den VPN-Datenverkehr wichtig, da der IPsec-Einkapselungs-Overhead in Verbindung mit dem IP- und Frame-Overhead dazu führen kann, dass das resultierende Encapsulating Security Payload (ESP)-Paket die MTU der physischen Schnittstelle überschreitet und so eine Fragmentierung verursacht. Fragmentierung führt zu einer höheren Nutzung von Bandbreite und Geräteressourcen.

Wir empfehlen einen Wert von 1350 als Ausgangspunkt für die meisten Ethernet-basierten Netzwerke mit einem Wert von MTU von 1500 oder mehr. Um eine optimale Leistung zu erzielen, müssen Sie möglicherweise verschiedene TCP-MSS-Werte ausprobieren. Sie könnten beispielsweise den Wert ändern, wenn ein Gerät MTU in der Pfad einen geringeren Pfad hat oder wenn ein zusätzlicher Overhead wie PPP oder Frame Relay besteht.

MSS-Wert: 1350

Konfiguration

Konfigurieren grundlegender Netzwerk- und Sicherheitszoneninformationen

CLI-Konfiguration

Um dieses Beispiel für SRX1 schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Leitungsbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI-Hierarchieebene und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie im Benutzerhandbuch CLI Anleitung.

So konfigurieren Sie Informationen zu Schnittstellen, statischem Route und Sicherheitszonen:

  1. Konfigurieren Sie die Schnittstellen.

  2. Konfigurieren Sie die statischen Routen.

  3. Weisen Sie die Internetverbindung der Sicherheitszone zu, die nicht vertrauenswürdig ist.

  4. Geben Sie die zulässigen Systemdienste für die nicht vertrauenswürdige Sicherheitszone an.

  5. Weisen Sie der Sicherheitszone mit Blick auf Host1 eine Schnittstelle zu.

  6. Geben Sie die zulässigen Systemservices für die Sicherheitszone der Vertrauensstellung an.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesshow routing-options , und Befehle show security zones eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Konfiguration IKE

CLI-Konfiguration

Um dieses Beispiel für SRX1 schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Leitungsbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI-Hierarchieebene und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie im Benutzerhandbuch CLI Anleitung.

So konfigurieren Sie IKE:

  1. Erstellen Sie den IKE Vorschlag.

  2. Definieren Sie die IKE Authentifizierungsmethode für einen Vorschlag.

  3. Erstellen Sie IKE Richtlinien.

  4. Legen Sie den IKE fest.

  5. Geben Sie einen Bezug zum IKE an.

  6. Definieren Sie die IKE Authentifizierungsmethode für Richtlinien.

  7. Erstellen Sie das IKE-Gateway und definieren Sie seine externe Schnittstelle.

  8. Definieren Sie die IKE Gateway-Adresse.

  9. Definieren Sie den IKE Richtlinienreferenz.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show security ike eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

IPsec-Konfiguration

CLI-Konfiguration

Um dieses Beispiel für SRX1 schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Leitungsbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI-Hierarchieebene und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie im Benutzerhandbuch CLI Anleitung.

So konfigurieren Sie IPsec:

  1. IPsec-Vorschlag erstellen.

  2. Erstellen Sie die IPsec-Richtlinie.

  3. Geben Sie die IPsec-Vorschlagreferenz an.

  4. Geben Sie das IKE Gateway an.

  5. Geben Sie die IPSec-Richtlinie an.

  6. Den Tunnel so konfigurieren, dass er sofort konfiguriert wird.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show security ipsec eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Konfigurieren von Sicherheitsrichtlinien

CLI-Konfiguration

Um dieses Beispiel für SRX1 schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Leitungsbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI-Hierarchieebene und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie im Benutzerhandbuch CLI Anleitung.

So konfigurieren Sie Sicherheitsrichtlinien:

  1. Erstellen Sie Adressbucheinträge für die Netzwerke, die in den Sicherheitsrichtlinien verwendet werden.

  2. Erstellen Sie die Sicherheitsrichtlinie, die für Datenverkehr von Host1 in der Vertrauenswürdigkeitszone zu Host2 in der nicht vertrauenswürdigen Zone abgestimmt wird.

  3. Erstellen Sie die Sicherheitsrichtlinie, um allen anderen Datenverkehr zum Internet von der Vertrauensszone bis zur Nicht-vertrauenswürdigen Zone zu ermöglichen.

  4. Erstellen Sie eine Sicherheitsrichtlinie, um Datenverkehr von Host2 in der nicht vertrauenswürdigen Zone zu Host1 in der Vertrauenswürdigkeitszone zu ermöglichen.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show security policies eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Konfigurieren von TCP-MSS

CLI-Konfiguration

Um dieses Beispiel für SRX1 schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Leitungsbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI-Hierarchieebene und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Zur Konfiguration von TCP-MSS-Informationen:

  1. Konfigurieren Sie die TCP-MSS-Informationen.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show security flow eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfiguration von SRX2

CLI-Konfiguration

Als Referenz wird die Konfiguration für SRX2 bereitgestellt.

Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie line breaks, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI-Hierarchieebene und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Überprüfung des IKE Status

Zweck

Überprüfen Sie den IKE Status.

Aktion

Geben Sie im Betriebsmodus den Befehl show security ike security-associations ein. Verwenden Sie den Befehl, nachdem Sie eine Index-Nummer aus dem Befehl show security ike security-associations index index_number detail erhalten haben.

Bedeutung

Im show security ike security-associations Befehl werden alle aktiven Sicherheitszuordnungen IKE Phase 1 (SAs) aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie die IKE und externen Schnittstelleneinstellungen in Ihrer Konfiguration.

Wenn Anforderungen aufgeführt sind, lesen Sie die folgenden Informationen:

  • Index: Dieser Wert ist eindeutig für jede IKE SICHERHEITSzuordnung, die Sie im Befehl verwenden können, um weitere Informationen über die show security ike security-associations index detail Sicherheitszuordnung zu erhalten.

  • Remoteadresse: Vergewissern Sie sich, dass die Remote-IP-Adresse korrekt ist.

  • Bundesland

    • UP – Die Phase 1-Sicherheitszuordnung wurde festgelegt.

    • DOWN: Es gab ein Problem bei der Einführung der Lösung für phase 1.

  • Modus: Stellen Sie sicher, dass der richtige Modus verwendet wird.

Stellen Sie sicher, dass Folgendes in Ihrer Konfiguration korrekt ist:

  • Externe Schnittstellen (die Schnittstelle muss die Schnittstelle sein, die Pakete IKE erhält)

  • IKE von Richtlinienparametern

  • Preshared-Schlüsselinformationen

  • Parameter des Angebot für Phase 1 (müssen sowohl auf Peers abgestimmt sein)

Der show security ike security-associations index 1859361 detail Befehl listet zusätzliche Informationen zur Sicherheitsgemeinschaft mit einer Indexnummer 1859361 auf:

  • Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen

  • Lebensdauer der Phase 1

  • Datenverkehrsstatistiken (können zur Prüfung des ordnungsgemäßen Datenverkehrsflusses in beide Richtungen verwendet werden)

  • Rolleninformationen für Daten über Rollen des /der Reaktions-/Reaktionsfunktion

    Die Fehlerbehebung wird am besten für Peers in der Rolle des Befragten durchgeführt.

  • Anzahl der erstellten IPsec-SAs

  • Anzahl der aus Phase 2 derzeit aus vorbereitungen

Überprüfung des IPsec-Phase-2-Status

Zweck

Überprüfen des IPsec-Phase-2-Status

Aktion

Geben Sie im Betriebsmodus den Befehl show security ipsec security-associations ein. Verwenden Sie den Befehl, nachdem Sie eine Index-Nummer aus dem Befehl show security ipsec security-associations index index_number detail erhalten haben.

Bedeutung

Die Ausgabe des show security ipsec security-associations Befehls listet die folgenden Informationen auf:

  • Die ID-Nummer ist 2. Nutzen Sie diesen Wert mit dem show security ipsec security-associations index Befehl, um weitere Informationen zu dieser speziellen Sicherheitszuordnung zu erhalten.

  • Es gibt ein IPsec SA-Paar mit Port 500, was bedeutet, dass kein IPSec-NAT implementiert ist. (NAT-Traversal verwendet Port 4500 oder einen anderen zufälligen High-Number-Port.)

  • SpIs, die Lebensdauer (in Sekunden) und die Nutzungsbegrenzung (bzw. Lebenszeit in KB) sind für beide Richtungen dargestellt. Der Wert von 921/unlim bedeutet, dass die Lebensdauer von Phase 2 in 921 Sekunden abläuft und keine Lebensdauer angegeben wurde. Das bedeutet, dass sie unbegrenzt ist. Die Lebensdauer der Phase 2 kann von der Lebensdauer von Phase 1 abweichen, da Phase 2 nicht von Phase 1 abhing, nachdem das VPN da ist.

  • Die VPN-Überwachung ist für diese SICHERHEITSzuordnung nicht aktiviert, wie in einer Bindestriche in der Spalte "Mon" angegeben. Wenn die VPN-Überwachung aktiviert ist, werden U (up) oder D (down) aufgelistet.

  • Das virtuelle System (vsys) ist das Root-System, und immer ist 0 aufgeführt.

Die Ausgabe des show security ipsec security-associations index 2 detail Befehls listet die folgenden Informationen auf:

  • Die proxy-ID für die Sicherheitszuordnung ist die lokale identität und die Remote-Identität.

    Ein Proxy-ID-Mismatch ist einer der häufigsten Gründe für einen Fehler in Phase 2. Für richtlinienbasierte VPNs stammt die Proxy-ID von der Sicherheitsrichtlinie. Die lokale Adresse und Remoteadresse stammen aus den Adressbucheinträgen, und der Service stammt von der für die Richtlinie konfigurierten Anwendung. Wenn Phase 2 aufgrund eines Proxy-ID-Mismatch ausfällt, können Sie mit der Richtlinie bestätigen, welche Adressbucheinträge konfiguriert sind. Stellen Sie sicher, dass die Adressen mit den gesendeten Informationen übereinstimmen. Prüfen Sie den Service, um sicherzustellen, dass die Ports mit den gesendeten Informationen übereinstimmen.

Datenverkehrsfluss im VPN testen

Zweck

Überprüfen Sie den Datenverkehrsfluss im VPN.

Aktion

Verwenden Sie ping den Befehl vom Host1-Gerät zum Testen des Datenverkehrsflusses zu Host2.

Bedeutung

Wenn der Befehl von Host1 aus ausfällt, kann es ein Problem mit dem Routing, den Sicherheitsrichtlinien, dem Endhost oder der Verschlüsselung und Entschlüsselung von ESP-Paketen ping geben.

Überprüfung von Statistiken und Fehlern für eine IPsec Security Association

Zweck

Überprüfen der ESP- und Authentifizierungsüberschriftzähler und -fehler für eine IPsec-Sicherheits association.

Aktion

Geben Sie den Befehl im Betriebsmodus unter Verwendung der Indexnummer des VPN, für das Statistiken angezeigt werden, show security ipsec statistics index index_number ein.

Sie können den Befehl auch show security ipsec statistics verwenden, um Statistiken und Fehler für alle AAs zu überprüfen.

Verwenden Sie den Befehl, um alle IPsec-Statistiken zu clear security ipsec statistics löschen.

Bedeutung

Wenn in einem VPN Probleme beim Paketverlust angezeigt werden, können Sie den Befehl mehrmals ausführen, um zu bestätigen, dass die verschlüsselten und entschlüsselten Paketzähler show security ipsec statistics inkrementieren. Sie sollten auch prüfen, ob die anderen Fehlerzähler inkrementierend sind.