Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

VPN-Überwachungsmethoden

In diesem Thema erfahren Sie, wie Sie den VPN-Tunnel in einer Firewall der SRX-Serie überwachen können.

Wir würden erwarten, dass der VPN-Tunnel die ganze Zeit optimal funktioniert. Aber das ist in einem realen Szenario kaum der Fall. Wir wissen, dass der VPN-Tunnel aus verschiedenen Gründen ausfallen kann.

Junos OS bietet die folgenden Methoden zur Überwachung eines VPNs:

  • IPsec datapath verification mit Internet Control Message Protocol (ICMP) zur Überprüfung des Datenpfads.

  • Konfiguration des DPD-Protokolls (Dead Peer Detection), um die Lebendigkeit des IKE-Peers zu überprüfen.

  • VPN tunnel moitoring configuration to check the liveness of IPsec security association.

Darüber hinaus können Sie die folgenden globalen VPN-Funktionen für die Überwachung verwenden:

  • VPN-Peers in einer Sicherheits- undAssoziation (SA) können nicht synchronisiert werden, wenn einer der Peersnicht antwortet. Wenn z. B. einer der Peers s neu startet, sendet er möglicherweise einen falschen SPI (security parameter index). Sie können das Gerät so aktivieren, dass es ein solches Ereignis erkennt und die Peers erneut synchronisiert, indem Sie die Funktion für fehlerhafte SPI-Antworten konfigurieren. Weitere Informationen zu dieser respond-bad-spi max-responses Option finden Sie unter (Sicherheit).

  • Sie können in regelmäßigen Abständen ICMP-Anforderungen (Internet Control Message Protocol) an den Peer senden, um festzustellen , ob der Peer erreichbar ist. Weitere Informationen zu dieser vpn-monitor-options Option finden Sie unter see ipsec (Sicherheit).

Sie könneneine der in diesem Thema erläuterten Methoden zur Überwachung Ihres VPN konfigurieren.

IPsec-Datenpfad-Verifizierung

Bei der IPsec-Datenpfadüberprüfung wird der Datenpfad zwischen den Tunnelendpunkten validiert, um sicherzustellen, dass der Pfad frei ist und nicht von einer Transitfirewall blockiert wird.

Warum benötigen Sie eine IPsec-Datenpfadverifizierung?

Der Status der Secure Tunnel (st0)-Schnittstelle im Punkt-zu-Punkt-Modus für routenbasierte VPNs basiert in der Regel auf dem Status des VPN-Tunnels. Nachdem das Gerät die IPsec-Sicherheitszuordnungeingerichtet hat , fügt das Junos-Betriebssystem der Weiterleitungstabelle Routen hinzu , die der st0-Schnittstelle zugeordnet sind. Wenn Ihr Netzwerk über eine Transit-Firewall zwischen den VPN-Tunnelendpunkten verfügt , blockiert die Firewall möglicherweise IPsec-Datenverkehr, der aktive Routen auf der st0-Schnittstelleverwendet. Infolgedessen kann es zu Datenverkehrsverlusten kommen .

Um solche Datenverkehrsverluste zu vermeiden, müssen Sie die IPsec-Datenpfadüberprüfung aktivieren. Wenn Sie diese Funktion aktivieren, ruft das Junos OS-Gerät die st0-Schnittstelle erst auf, wenn der Datenpfad überprüft wurde. Sie können die Datenpfadüberprüfung mit den folgenden Optionen konfigurieren:

  • Sie können mit der Anweisung [set security ipsec vpn vpn-name vpn-monitor verify-path] für routenbasierte und Site-to-Site-VPN-Tunnel konfigurieren.

  • Wenn sich ein NAT-Gerät vor dem Peertunnel-Endpunkt befindet, übersetzt die Firewall die IP-Adresse des Peer-Tunnel-Endpunkts in die IP-Adresse des NAT-Geräts. Damit die ICMP-Anforderung des VPN-Monitors den Peertunnel-Endpunkt erreicht, müssen Sie explizit die ursprüngliche, nicht übersetzte IP-Adresse des Peer-Tunnel-Endpunkts hinter dem NAT-Gerät angeben. Sie können dies mit der [set security ipsec vpn vpn-name vpn-monitor verify-path destination-ip] Konfigurationsanweisung konfigurieren.

  • Ab Junos OS Version 15.1X49-D120 können Sie die Größe des Pakets konfigurieren, das zur Überprüfung eines IPsec-Datenpfads verwendet wird, bevor die st0-Schnittstelle aufgerufen wird. Verwenden Sie die [set security ipsec vpn vpn-name vpn-monitor verify-path packet-size] configuration-Anweisung. Die konfigurierbare Paketgröße reicht von 64 bis 1350 Byte; Der Standardwert ist 64 Byte.

Beachten Sie bei der Verwendung der IPsec-Datenpfadüberprüfung die folgenden Punkte:

  • Die Quellschnittstelle und die Ziel-IP-Adressen, die Sie für den VPN-Überwachungsvorgang konfigurieren, haben keine Auswirkungen auf die IPsec-Datenpfadüberprüfung. Die Quelle für die ICMP-Anforderungen bei der IPsec-Datenpfadüberprüfung ist der lokale Tunnelendpunkt.

  • Wenn Sie die IPsec-Datenpfadüberprüfung aktivieren, aktiviert Junos OS die VPN-Überwachung automatisch erst, wenn die st0-Schnittstelle aktiviert ist. Es wird empfohlen, die Option auf Hierarchieebene [edit security ipsec vpn vpn-name] zu konfigurieren, wenn Sie die vpn-monitor optimizedIPsec-Datenpfadüberprüfung aktivieren.

  • Wenn während der IPsec-Datenpfadüberprüfung ein Chassis-Cluster-Failover auftritt, startet der neue aktive Knoten die Überprüfung erneut. Junos OS aktiviert die st0-Schnittstelle erst, wenn die Überprüfung erfolgreich war.

  • Bei erneuten Schlüsseln der IPsec-Sicherheitszuordnung führt Junos OS keine Überprüfung des IPsec-Datenpfads durch, da sich der Status der st0-Schnittstelle bei erneuten Schlüsseln nicht ändert.

  • Junos OS unterstützt keine IPsec-Datenpfadüberprüfung auf st0-Schnittstellen im Punkt-zu-Multipunkt-Modus, die mit AutoVPN, Auto Discovery VPN (ADVPN) und mehreren Datenverkehrsselektoren verwendet werden.

  • VPN-Überwachung und IPsec-Datenpfadüberprüfung unterstützen keine IPv6-Adressen. Daher können Sie die IPsec-Datenpfadüberprüfung nicht mit IPv6-Tunneln verwenden.

Wie funktioniert die IPsec-Datenpfadüberprüfung?

Wenn Sie die IPsec-Datenpfadüberprüfung konfigurieren, treten die folgenden Ereignisse auf:

  1. Nachdem das Gerät den VPN-Tunnel eingerichtet hat, sendet es eine ICMP-Anforderung an den Peertunnelendpunkt, um den IPsec-Datenpfad zu überprüfen. Der Peertunnel-Endpunkt muss für ICMP-Anforderungen des VPN-Monitors erreichbar sein und in der Lage sein, auf die ICMP-Anforderung zu antworten. Während die Überprüfung des Datenpfads ausgeführt wird, zeigt das VPN Monitoring Feld in der show security ipsec security-association detail Befehlsausgabe den Buchstaben V.

  2. Junos OS aktiviert die st0-Schnittstelle nur, wenn es eine Antwort vom Peer erhält. Die show interface st0.x Befehlsausgabe zeigt den Status der st0-Schnittstelle während und nach der Datenpfadüberprüfung an: Link-Layer-Down vor Abschluss der Überprüfung und Up nach erfolgreichem Abschluss der Überprüfung.

  3. Wenn der Peer keine ICMP-Antwort sendet , sendet das Gerät eine weitere ICMP-Anforderung im konfigurierten VPN-Überwachungsintervall , bis es den konfigurierten VPN-Monitor-Schwellenwert erreicht. 
Beachten Sie, dass das Standardintervall für die VPN-Überwachung 10 Sekunden und der Standardschwellenwert für die VPN-Überwachung das 10-fache beträgt. Wenn die Überprüfung nicht erfolgreich ist, gibt der KMD_VPN_DOWN_ALARM_USER Systemprotokolleintrag als Grund einen Fehler beim Überprüfen des Pfads der VPN-Überwachung an. Das Gerät protokolliert einen Fehler unter Tunnelereignisse in der show security ipsec security-association detail Befehlsausgabe. Der show security ipsec tunnel-events-statistics Befehl zeigt an, wie oft der Fehler aufgetreten ist. Sie können das VPN-Überwachungsintervall und den VPN-Überwachungsschwellenwert mit der vpn-monitor-options Konfigurationsoption auf der Hierarchieebene [edit security ipsec] konfigurieren. 

  4. Wenn der Peer auch nach Erreichen des Schwellenwerts für den VPN-Monitor keine ICMP-Antwort sendet , fährt das Junos-Betriebssystem den VPN-Tunnel herunter und handelt den VPN-Tunnel neu aus.

Siehe auch

Erkennung toter Peers

Dead Peer Detection (DPD) ist ein standardbasiertes Protokoll, das den Netzwerkverkehr nutzt, um die Lebendigkeit eines IKE-Peers in einer IPsec-Verbindung zu erkennen.

Wie funktioniert DPD?

Bei der Erstellung eines IPsec-Tunnels handeln VPN-Peers aus, ob die DPD-Methode(Dead Peer Detection) verwendet werden soll oder nicht. Wenn die Peers der Verwendung der DPD-Methodezustimmen und kein aktiver Datenverkehr vorhanden ist, sendet das DPD-Protokoll regelmäßig Nachrichten an den Peer und wartet auf eine Antwort. Wenn der Peer nicht auf die Nachrichten reagiert, geht das DPD-Protokoll davon aus, dass der Peer nicht mehr verfügbar ist. Das Verhalten von DPD ist für die Protokolle IKEv1 und IKEv2 gleich. DPD-Timer sind aktiv, sobald das IKE die Phase 1 Security Association (SA) gründet.

Eine Firewall der SRX-Serie verwendet das DPD-Protokoll, um die Lebendigkeit einer IPsec-VPN-Verbindung zu erkennen.

Abbildung 1: Nachrichtenaustausch im DPD-Protokoll Nachrichtenaustausch im DPD-Protokoll

Abbildung 1 zeigt den Austausch von DPD-Nachrichten zwischen den IKE-Peers in einem IPsec-VPN-Tunnel. Die folgenden Ereignisse treten auf, wenn das Firewall-Gerät DPD ausführt:

  1. Die Firewall SRX-A wartet bis zum angegebenen DPD-Intervall, um zu prüfen, ob sie Datenverkehr vom Peer SRX-B erhalten hat.

  2. Wenn SRX-A während des angegebenen DPD-Intervalls keinen Datenverkehr von SRX-B empfängt, sendet es eine verschlüsselte IKE-Phase-1-Benachrichtigungsnutzlast – eine R-U-THERE-Nachricht – an SRX-B.

  3. SRX-A wartet auf die DPD-Bestätigung – eine R-U-THERE-ACK-Nachricht – von SRX-B.

    1. Wenn SRX-A während dieses Intervalls eine R-U-THERE-ACK-Nachricht von SRX-B empfängt, wird der Peer als aktiv betrachtet. Dann setzt SRX-A seinen R-U-THERE-Nachrichtenzähler für diesen Tunnel zurück und startet ein neues Intervall.

    2. Wenn SRX-A während des Intervalls keine R-U-THERE-ACK-Nachricht empfängt, gilt der Peer SRX-B als inaktiv. SRX-A entfernt dann die Phase-1-Sicherheitszuordnung und alle Phase-2-Sicherheitszuordnungen für diesen Peer.

Konfigurierbare DPD-Parameter

Hier ist eine Liste der DPD-Parameter, die Sie konfigurieren müssen:

  • Modus: Je nach Verkehrsaktivität können Sie DPD in einem der folgenden Modi konfigurieren:

    • Optimiert: Wenn im optimierten Modus das initiierende Gerät ausgehende Pakete an den Peer sendet und innerhalb des konfigurierten Intervalls kein eingehender IKE- oder IPsec-Datenverkehr vom Peer vorhanden ist, löst das initiierende Gerät R-U-THERE-Nachrichten aus. DPD arbeitet in diesem Standardmodus, es sei denn, Sie konfigurieren einen anderen Modus.

    • Probe-Leerlauftunnel - Im Probe-Leerlauftunnelmodus löst das Gerät R-U-THERE-Nachrichten aus, wenn innerhalb eines konfigurierten Intervalls kein ein- oder ausgehender IKE- oder IPsec-Datenverkehr vorhanden ist. Das Gerät sendet in regelmäßigen Abständen R-U-THERE-Nachrichten an den Peer, bis Datenverkehrsaktivität vorliegt. Dieser Modus hilft bei der frühzeitigen Erkennung eines ausgefallenen Peers und stellt die Tunnelverfügbarkeit während des aktiven Datenverkehrsflusses sicher.



      HINWEIS:

      Wenn Sie in diesem Szenario den Sonden-Leerlauftunnelmodus konfigurieren, löst das Gerät R-U-THERE-Meldungen aus, wenn ein Tunnel inaktiv wird, unabhängig vom Datenverkehr in einem anderen Tunnel für dieselbe IKE-Sicherheitszuordnung.

    • Always-send: Im Always-Sendemodus sendet das Gerät R-U-THERE-Nachrichten in einem konfigurierten Intervall, unabhängig von der Datenverkehrsaktivität zwischen den Peers. Es wird empfohlen, den Tunnelmodus im Leerlauf anstelle des Modus für das ständige Senden zu verwenden.

  • Interval: Verwenden Sie den Parameter interval , um die Zeitspanne (in Sekunden) anzugeben, die das Gerät auf Datenverkehr von seinem Peer wartet, bevor es eine R-U-THERE-Nachricht sendet. Das Standardintervall beträgt 10 Sekunden. Ab Junos OS Version 15.1X49-D130 haben wir den zulässigen Intervallparameterbereich, bei dem R-U-THERE-Nachrichten an das Peer-Gerät gesendet werden, von 10 Sekunden bis 60 Sekunden auf 2 Sekunden bis 60 Sekunden reduziert. Es wird empfohlen, den Parameter für den minimalen Schwellenwert auf 3 festzulegen, wenn der Parameter DPD-Intervall auf weniger als 10 Sekunden festgelegt ist.

  • Threshold (Schwellenwert): Verwenden Sie den Parameter threshold , um anzugeben, wie oft das Gerät die R-U-THERE-Nachricht maximal sendet, ohne eine Antwort vom Peer zu erhalten, bevor es den Peer als ausgefallen betrachtet. Die standardmäßige Anzahl von Übertragungen beträgt fünf, mit einem zulässigen Bereich von 1 bis 5 Wiederholungen.

Beachten Sie die folgenden Überlegungen, bevor Sie DPD konfigurieren:

  • Nachdem Sie die DPD-Konfiguration zu einem vorhandenen Gateway mit aktiven Tunneln hinzugefügt haben, beginnt das Gerät mit dem Auslösen von R-U-THERE-Nachrichten, ohne dieSicherheitszuordnungen der Phasen 1 oder 2 zu löschen.

  • Wenn Sie die DPD-Konfiguration von einem vorhandenen Gateway mit aktiven Tunneln löschen, löst das Gerät keine R-U-THERE-Nachrichten mehr für die Tunnel aus. Dies wirkt sich jedoch nicht auf IKE- und IPsec-Sicherheitszuordnungen aus.

  • Wenn Sie DPD-Konfigurationsparameter wie Modus -, Intervall- oder Schwellenwerte ändern, aktualisiert IKE den DPD-Vorgang, ohne die Sicherheitszuordnungender Phasen 1 oder 2 zu löschen.

  • Wenn Sie das IKE-Gateway mit DPD- und VPN-Überwachung konfigurieren, ohne die Option zum sofortigen Einrichten von Tunneln anzugeben, initiiert IKE keine Phase-1-Aushandlung. Wenn Sie DPD konfigurieren, müssen Sie auch die establish-tunnels immediately Option auf der Hierarchieebene [edit security ipsec vpn vpn-name] konfigurieren, um die st0-Schnittstelle zu entfernen, wenn keine Sicherheitszuordnungenfür Phase 1 und Phase 2 verfügbar sind. Siehe vpn (Sicherheit) für establish-tunnels eine Option .

  • Wenn Sie das IKE-Gateway mit mehreren Peer-IP-Adressen und DPD konfigurieren, aber keine Phase 1-SA mit der ersten Peer-IP-Adresse einrichten können, versucht IKE, die Einrichtung mit der nächsten Peer-IP-Adresse herzustellen. DPD ist erst aktiv, nachdem das IKE die Sicherheitszuordnungder Phase 1 eingerichtet hat. Weitere Informationen finden Sie unter Dead-Peer-Erkennung.

  • Wenn Sie das IKE-Gateway mit mehreren Peer-IP-Adressen und DPD konfigurieren, die Verbindung jedoch mit der IP-Adresse des aktuellen Peers fehlschlägt, löscht IKE die Sicherheitszuordnungender Phasen 1 und 2 und DPD führt ein Failover auf die nächste Peer-IP-Adresse durch. Siehe Gateway (Sicherheits-IKE).

  • Aufgrund gleichzeitiger Verhandlungen können mehrere Phase-1- oder Phase-2-Sicherheitszuordnungen mit demselben Peer vorhanden sein. In diesem Fall sendet DPD R-U-THERE-Nachrichten an alle Phase-1-Sicherheitszuordnungen . Wenn das Gateway die DPD-Antworten für die konfigurierte Anzahl aufeinanderfolgender Male nicht empfängt, löscht es die Sicherheitszuordnung der Phase 1 und die zugehörige Sicherheitszuordnung der Phase 2 (nur für IKEv2).

HINWEIS:

Weitere Informationen zur DPD-Implementierung finden Sie unter RFC 3706, A Traffic-Based Method of Detecting Dead Internet Key Exchange (IKE) Peers.

Wenn der IKE-Peer aktiv ist, bedeutet das, dass das zugrunde liegende VPN aktiv ist?

Tipp:

Überlegen Sie, ob DPD die Lebendigkeit von IPsec SA sicherstellt. Siehe VPN-Tunnelüberwachung .

Siehe auch

Überwachung von VPN-Tunneln

Die VPN-Überwachung ist eine proprietäre Funktion von Junos OS zur Überwachung eines VPN-Tunnels.

Das DPD-Protokoll (Dead Peer Detection) prüft zwar die Lebendigkeit eines IKE-Peers, garantiert aber nicht die Lebendigkeit eines zugrunde liegenden VPNs. Wir haben keine standardbasierte Methode, um zu überprüfen, ob das zugrunde liegende VPN aktiv ist. Die VPN-Überwachung ist ein proprietärer Mechanismus von Junos OS, mit dem die Lebendigkeit einer IPsec-Sicherheitszuordnungüberprüft wird.

Wie funktioniert die VPN-Tunnelüberwachung?

Die VPN-Überwachung verwendet ICMP-Echoanforderungen (oder Pings) des Internet Control Message Protocol (ICMP) und Signaturdaten, wie z. B. die Tunnel-ID, im ICMP-Paket, um festzustellen, ob der VPN-Tunnel aktiv ist.

Wenn Sie die VPN-Überwachung aktivieren, sendet das Gerät ICMP-Echoanforderungen über den VPN-Tunnel an das Peer-Gateway oder an ein angegebenes Ziel am anderen Ende des Tunnels. Das Gerät sendet die Anforderungen standardmäßig in Intervallen von 10 Sekunden für bis zu 10 aufeinanderfolgende Male. Wenn das Gerät nach 10 aufeinanderfolgenden Pings keine Antwort erhält, betrachtet es das VPN als inaktiv und löscht die IPsec-Sicherheitszuordnung.

Verwenden Sie die folgenden Betriebsmodi, um VPN-Tunnel zu überwachen:

  • Always-Sendemodus: In diesem Modus sendet das Gerät unabhängig vom Datenverkehr im Tunnel einmal in jedem konfigurierten Intervall ein VPN-Überwachungspaket. Nachdem Sie die VPN-Überwachung aktiviert haben, verwendet Junos OS den Modus "Immer senden" als Standardmodus, wenn Sie keinen angeben.

  • Optimierter Modus: In diesem Modus sendet das Gerät nur dann einmal in jedem konfigurierten Intervall ein VPN-Überwachungspaket, wenn während des Intervalls ausgehender Datenverkehr und kein eingehender Datenverkehr durch den Tunnel vorhanden ist. Wenn eingehender Datenverkehr durch den VPN-Tunnel fließt, betrachtet das Gerät den Tunnel als aktiv und sendet keine Pings mehr an den Peer. Sie können den optimierten Modus verwenden, um Ressourcen auf dem Gerät zu sparen, da in diesem Modus das Gerät nur dann Pings sendet, wenn es die Peer-Lebendigkeit bestimmen muss. Durch das Versenden von Pings können auch kostspielige Backup-Links aktiviert werden, die sonst nicht verwendet würden.

    Das Gerät arbeitet im standardmäßigen Modus "Immer senden", wenn Sie den optimierten Modus nicht explizit konfigurieren.

Siehe auch

Konfigurieren der Dead Peer Detection

Bevor Sie beginnen, stellen Sie sicher , dass Sie das IKE-Gateway konfiguriert haben. Weitere Informationen finden Sie unter Gateway (Sicherheits-IKE).

In diesem Beitragerfahren Sie, wie Sie das DPD-Protokoll (Dead Peer Detection) und seine Parameter auf Firewalls der SRX-Serie von Juniper Networks® konfigurieren . So aktivieren Sie das Gerät mit DPD:

  1. Legen Sie den DPD-Modus probe-idle-tunnel auf Hierarchieebene [edit security ike gateway gateway-name] fest. Weitere Informationen finden Sie unter Konfigurierbare DPD-Parameter und Dead-Peer-Erkennung .
    Hier verwenden wir vpngw1 als . gateway-name
  2. Konfigurieren Sie das Intervall auf Hierarchieebene [edit security ike gateway gateway-name] . Weitere Informationen finden Sie unter Konfigurierbare DPD-Parameter und Dead-Peer-Erkennung .
    Hier stellen wir ein Intervall von 40 Sekunden ein.
  3. Geben Sie den Schwellenwert auf Hierarchieebene [edit security ike gateway gateway-name] an. Weitere Informationen finden Sie unter Konfigurierbare DPD-Parameter und Dead-Peer-Erkennung .
    Hier legen wir einen Schwellenwert von 3 fest, was bedeutet, dass das Gerät den Peer 3 Mal anpingt, bevor es den Peer als inaktiv betrachtet.
HINWEIS:

Wenn die Firewall den iked Prozess für den IPsec-VPN-Dienst ausführt, können Sie DPD mit mehreren Peeradressen pro Gateway verwenden. Weitere Informationen finden Sie unter Gateway (Sicherheits-IKE).

VPN-Tunnelüberwachung konfigurieren

Bevor Sie beginnen, müssen Sie über einen vorhandenen VPN-Tunnel verfügen.

In diesem Themaerfahren Sie, wie Sie die VPN-Tunnelüberwachung aktivieren und die Intervall- und Schwellenwertparameter für die Ping-Pakete festlegen, die für die VPN-Überwachung in Firewalls der SRX-Serie von Juniper Networks® verwendet werden.

  1. Aktivieren Sie die VPN-Überwachung für einen bestimmten VPN-Tunnel mit der vpn-monitor Option auf Hierarchieebene [edit security ipsec vpn vpn-name] . Siehe vpn-monitor.
    Hier verwenden wir vpn1 als . vpn-name
  2. Konfigurieren Sie den VPN-Überwachungsmodus als optimized.
  3. Geben Sie die Ziel-IP-Adresse an. Die IP-Adresse des Peer-Gateways ist das Standardziel. Sie können jedoch eine andere Ziel-IP-Adresse (z. B. die eines Servers) am anderen Ende des Tunnels angeben.
  4. Geben Sie die source-interface Adresse an. Der lokale Tunnelendpunkt ist die Standardquellenschnittstelle, Sie können jedoch einen anderen Schnittstellennamen angeben.
  5. Konfigurieren Sie das Intervall, in dem das Gerät die Pings sendet, und die Anzahl der aufeinanderfolgenden Pings, die es mit den interval Optionen bzw threshold . auf Hierarchieebene [edit security ipsec vpn-monitor-options] sendet. Wenn Sie diese Optionen nicht konfigurieren, sendet das Gerät Pings im Standardintervall von 10 Sekunden bis zu 10 Mal hintereinander. Wenn das Gerät keine Antwort erhält, gilt das VPN als inaktiv. Das Gerät löscht dann die IPsec-Sicherheitszuordnung. Siehe ipsec (Sicherheit).
HINWEIS:

Die Firewalls SRX5400, SRX5600 und SRX5800 unterstützen keine VPN-Überwachung eines extern verbundenen Geräts (z. B. eines PCs). Auf diesen Geräten muss das Ziel für die VPN-Überwachung eine lokale Schnittstelle sein.
VORSICHT:

Die VPN-Überwachung kann in einigen Umgebungen zu Tunnel-Flapping führen, wenn Ping-Pakete vom Peer basierend auf der Quell- oder Ziel-IP-Adresse des Pakets nicht akzeptiert werden.

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Release
Beschreibung
15.1X49-D130
Ab Junos OS Version 15.1X49-D130 wurde der zulässige Intervallparameterbereich, in dem R-U-THERE-Nachrichten an das Peer-Gerät gesendet werden, von 10 bis 60 Sekunden auf 2 Sekunden bis 60 Sekunden reduziert. Der Parameter für den minimalen Schwellenwert sollte 3 sein, wenn der Parameter DPD-Intervall auf weniger als 10 Sekunden festgelegt ist.
15.1X49-D120
Ab Junos OS Version 15.1X49-D120 können Sie die Größe des Pakets konfigurieren, das zur Überprüfung eines IPsec-Datenpfads verwendet wird, bevor die st0 Schnittstelle hochgefahren wird.