Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Supervisión del tráfico VPN

 

El monitorado VPN le permite determinar la posibilidad de acceso de los dispositivos del mismo nivel mediante el envío de solicitudes ICMP (Protocolo de mensajes de control de Internet) a los interlocutores.

Descripción de las alarmas y auditoría de VPN

Configure el siguiente comando para activar el registro de sucesos de seguridad durante la configuración inicial del dispositivo. Esta característica es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM y dispositivos e instancias de SRX1500 vSRX.

set security log cache

Los administradores (Auditing, Cryptographic, IDS y Security) no pueden modificar la configuración del registro de sucesos de seguridad si el comando anterior está configurado y cada rol de administrador está configurado para tener un conjunto distinto y único de privilegios, aparte del resto funciones administrativas.

Las alarmas se activan por un error de VPN. Una alarma de VPN se genera cuando el sistema supervisa cualquiera de los siguientes eventos auditados:

  • Authentication failures—Puede configurar el dispositivo para que genere una alarma del sistema cuando los errores de autenticación del paquete alcancen un número especificado.

  • Encryption and decryption failures—Puede configurar el dispositivo para que genere una alarma del sistema cuando los errores de cifrado o descifrado superen un número especificado.

  • IKE Phase 1 and IKE Phase 2 failures—Las negociaciones de Intercambio de claves por red (ICR) fase 1 se utilizan para establecer asociaciones de seguridad ICR (SA). Estas SA protegen las ICR las negociaciones de la fase 2. Puede configurar el dispositivo para generar una alarma del sistema cuando ICR errores de fase 1 o ICR fase 2 superan un número especificado.

  • Self-test failures—Las pruebas automáticas se comprueban de que un dispositivo se ejecuta al encenderse o el reinicio para comprobar si el software de seguridad se ha implementado correctamente en el dispositivo.

    Las pruebas automáticas garantizan la corrección de los algoritmos criptográficos. La imagen Junos-FIPS realiza pruebas automáticas automáticamente durante el encendido y continuamente para la generación de pares de claves. En las imágenes nacionales o FIPS, las pruebas automáticas pueden configurarse para que se realice según una programación definida, a pedido o inmediatamente después de la generación de la clave.

    Puede configurar el dispositivo para que genere una alarma de sistema cuando se produzca un fallo de autocomprobación.

  • IDP flow policy attacks—Una directiva de detección y prevención de intrusiones (IDP) le permite imponer diversas técnicas de detección y prevención de ataques en el tráfico de la red. Puede configurar el dispositivo para que genere una alarma de sistema cuando se produzcan infracciones de políticas de flujo de IDP.

  • Replay attacks—Un ataque de reproducción es un ataque de red en el que una transmisión de datos válida se repite o se retrasa de forma malintencionada o fraudulenta. Puede configurar el dispositivo para que genere una alarma de sistema cuando se produzca un ataque de reproducción.

Los mensajes de syslog se incluyen en los siguientes casos:

  • Generación de claves simétricas fallidas

  • No se pudo generar la clave asimétrica

  • Fallo de distribución de clave manual

  • Se produjo un error de distribución de clave automatizada

  • Fallo en la destrucción de la clave

  • Fallo de manejo y almacenamiento de claves

  • Error de cifrado o descifrado de datos

  • Firma fallida

  • Acuerdo clave con errores

  • Hash criptográfico no superado

  • Error de ICR

  • No se pudo autenticar los paquetes recibidos

  • Error de descifrado debido a un contenido no válido de relleno

  • No coinciden en la longitud especificada en el campo de sujeto alternativo del certificado recibido de un dispositivo VPN peer remoto.

Las alarmas se generan según los mensajes syslog. Todos los fallos se registran, pero sólo se genera una alarma cuando se alcanza un umbral.

Para ver la información de la alarma, show security alarms ejecute el comando. El recuento de infracciones y la alarma no persisten entre los reinicios del sistema. Después de un reinicio, el recuento de infracciones se restablece en cero y la alarma se borra de la cola de alarma.

Después de haber tomado las medidas adecuadas, puede borrar la alarma. La alarma permanece en la cola hasta que la borre (o hasta que reinicie el dispositivo). Para borrar la alarma, ejecute el clear security alarms comando.

Descripción de la supervisión VPN

La supervisión de VPN utiliza solicitudes de eco ICMP (o pings) para determinar si un túnel VPN está activo. Cuando la supervisión de VPN está habilitada, el dispositivo de seguridad envía pings a través del túnel VPN a la puerta de enlace del mismo nivel o a un destino especificado en el otro extremo del túnel. Los pings se envían de forma predeterminada a intervalos de 10 segundos durante 10 veces consecutivas. Si no se recibe respuesta después de 10 pings consecutivos, la VPN se considera que está inactiva y se borra la Asociación de seguridad IPsec (SA).

La supervisión de VPN está habilitada para una VPN especificada vpn-monitor configurando laedit security ipsec vpn vpn-nameopción en el nivel de jerarquía []. La dirección IP’de puerta de enlace del mismo nivel es el destino predeterminado; sin embargo, puede especificar una dirección IP de destino diferente (como un servidor) en el otro extremo del túnel. El extremo de túnel local es la interfaz de origen predeterminada, pero puede especificar un nombre de interfaz diferente.

Nota

La supervisión de VPN de un dispositivo conectado externamente (como un PC) no se admite en dispositivos SRX5400, SRX5600 y SRX5800. El destino de la supervisión VPN debe ser una interfaz local en el dispositivo SRX5400, SRX5600 o SRX5800.

La opción de optimized supervisión de VPN sólo envía pings cuando hay tráfico saliente y no entra en el túnel VPN. Si hay tráfico entrante a través del túnel VPN, el dispositivo de seguridad considera que el túnel está activo y no envía pings a los interlocutores. La configuración optimized de la opción puede ahorrar recursos en el dispositivo de seguridad, ya que los pings solo se envían cuando es necesario determinar liveliness del mismo nivel. El envío de pings puede activar también vínculos de copia de seguridad costosos que, de lo contrario, no se utilizarían.

Puede configurar el intervalo en el que se envían los pings y el número de pings consecutivos que se envían sin respuesta antes de que se considere que la VPN está desactivada. Estos se configuran interval con threshold las opciones y, respectivamente, enedit security ipsec vpn-monitor-optionsel nivel de jerarquía [].

Nota

La supervisión de VPN puede ocasionar la oscilación de túnel en algunos entornos VPN si el interlocutor no acepta los paquetes de ping’basados en el origen del paquete o en la dirección IP de destino.

Descripción de la comprobación de la ruta de acceso de IPsec

Descripción general

De forma predeterminada, el estado de las interfaces de túnel seguro (st0) configuradas en el modo punto a punto en las VPN basadas en rutas se basa en el estado del túnel VPN. Poco después de establecer la Asociación de IPsec, las rutas asociadas con la interfaz st0 se instalan en la tabla de reenvío Junos OS. En ciertas topologías de red, como cuando un firewall de tránsito se encuentra entre los extremos del túnel VPN, el Firewall de tránsito puede bloquear el tráfico de datos IPsec que usa rutas activas para un túnel VPN establecido en la interfaz st0. Esto puede ocasionar la pérdida del tráfico.

Cuando se habilita la comprobación de la ruta de acceso de IPsec, la interfaz st0 no se abre ni activa hasta que se comprueba la ruta de acceso. La comprobación se configura con la set security ipsec vpn vpn-name vpn-monitor verify-path instrucción para túneles VPN de extremo dinámico, sitio a sitio y basado en la ruta.

Si hay una TDR dispositivo delante del extremo del túnel del mismo nivel, la dirección IP del extremo del túnel del mismo nivel se traducirá a la dirección IP del dispositivo TDR. Para que la solicitud ICMP del monitor VPN alcance el extremo del túnel del mismo nivel, debe especificar explícitamente la dirección IP original no traducida del extremo del túnel del mismo nivel detrás del dispositivo de TDR. Se configura con la set security ipsec vpn vpn-name vpn-monitor verify-path destination-ip configuración.

A partir de Junos OS versión 15.1 X49-D120, puede configurar el tamaño del paquete que se utiliza para comprobar una ruta de acceso de la sesión st0 IPSec antes de que se ponga en marcha la interfaz. Utilice la set security ipsec vpn vpn-name vpn-monitor verify-path packet-size configuración. El tamaño del paquete configurable oscila entre 64 y 1350 bytes; el valor predeterminado es 64 bytes.

ADVERTENCIAS

La interfaz de origen y las direcciones IP de destino que se pueden configurar para el funcionamiento del monitor de VPN no afectan a la comprobación de la ruta de acceso de los IPsec. El origen de las solicitudes ICMP en la comprobación de la ruta de acceso de IPsec es el extremo del túnel local.

Cuando se habilita la comprobación de la ruta de acceso de IPsec, la supervisión de VPN se activa automáticamente y se utiliza después de que se abre la interfaz st0. Le recomendamos que configure la opción optimizado de monitor set security ipsec vpn vpn-name vpn-monitor optimized de VPN con el comando siempre que habilite la comprobación de la ruta de acceso de IPSec.

Si se produce una conmutación por error del clúster del chasis durante la comprobación de la ruta de la variable de IPsec, el nuevo nodo activo vuelve a iniciar la comprobación. La interfaz st0 no se activa hasta que la comprobación se realiza correctamente.

No se realiza ninguna comprobación de la ruta de acceso a IPsec para las claves de IPsec SA, ya que el estado de la interfaz st0 no cambia para las claves.

La comprobación de la ruta de acceso de IPsec no se admite en las interfaces st0 configuradas en el modo punto a multipunto que se utilizan con AutoVPN, VPN de detección automática y varios selectores de tráfico. La supervisión de VPN y la comprobación de rutas de acceso de IPsec no admiten direcciones IPv6, por lo que la comprobación de la ruta de acceso de IPsec no puede utilizarse con túneles de IPv6.

Descripción de las características de supervisión de global SPI y VPN

Puede supervisar y mantener el funcionamiento eficiente de su VPN con las siguientes características de VPN globales:

  • Los—pares de SPI en una asociación de seguridad (SA) pueden dejar de estar sincronizados cuando uno de los interlocutores produce un error. Por ejemplo, si uno de los interlocutores se reinicia, podría enviar un índice incorrecto de parámetros de seguridad (SPI). Puede habilitar el dispositivo para detectar un evento de este tipo y volver a sincronizar los elementos del mismo nivel mediante la configuración de la característica de respuesta SPI dañados.

  • Supervisión—de VPN puede usar la característica global de supervisión de VPN para enviar periódicamente solicitudes del Protocolo de mensajes de control de Internet (ICMP) al interlocutor par determinar si el interlocutor es alcanzable.

Descripción de la supervisión y DPD de VPN

La supervisión de VPN y de pares de inactivos (DPD) son características disponibles en los dispositivos serie SRX para comprobar la disponibilidad de los dispositivos VPN del mismo nivel. En esta sección se comparan el funcionamiento y la configuración de estas características.

Nota

El dispositivo serie SRX responde a DPD mensajes enviados por homólogos VPN, incluso si DPD no está configurado en el dispositivo. Puede configurar el dispositivo serie SRX para que inicie mensajes DPD a los homólogos VPN. También puede configurar la supervisión de DPD y VPN para que funcionen simultáneamente en el mismo dispositivo serie SRX, aunque se reduzca el número de interlocutores que se pueden supervisar con cualquiera de los dos métodos.

La supervisión de VPN es un mecanismo de Junos OS que supervisa únicamente las asociaciones de seguridad (SA) de la fase 2. La supervisión de VPN se habilita en cada VPN con la vpn-monitor instrucción en el nivel deedit security ipsec vpn vpn-namejerarquía []. Se debe especificar la dirección IP y la interfaz de origen de destino. Esta optimized opción permite que el dispositivo utilice patrones de tráfico como evidencia del liveliness del homólogo (peer). Las solicitudes ICMP se suprimen.

Las opciones de supervisión de VPN se vpn-monitor-options configuran conedit security ipsecla instrucción en el nivel de jerarquía []. Estas opciones se aplican a todas las VPN para las que está habilitada la supervisión de VPN. Las opciones que puede configurar incluyen el intervalo en el que se envían las solicitudes ICMP al interlocutor (el valor predeterminado es 10 segundos) y el número de solicitudes consecutivas de ICMP enviadas sin recibir una respuesta antes de que el interlocutor se considere no accesible (el valor predeterminado es 10 solicitudes consecutivas).

DPD es una implementación de RFC 3706, Método basado en el tráfico para detectar los homólogos de Intercambio de claves por red inactivos (ICR). Funciona en el nivel ICR y supervisa al sistema del mismo nivel basándose en las actividades de tráfico de IPsec y ICR.

DPD se configura en una puerta de enlace ICR individual dead-peer-detection con la instrucción enedit security ike gateway gateway-nameel nivel de jerarquía []. Puede configurar modos de operación DPD. El modo predeterminado (optimizado) envía mensajes DPD al interlocutor si no hay tráfico entrante ICR o IPsec dentro de un intervalo configurado después de que el dispositivo local envíe paquetes salientes al mismo nivel. Otras opciones configurables incluyen el intervalo con el que se envían mensajes DPD al sistema del mismo nivel (el valor predeterminado es 10 segundos) y el número de mensajes DPD consecutivos enviados sin recibir una respuesta antes de que el interlocutor se considere no disponible (el valor predeterminado es cinco solicitudes consecutivas).

Descripción de la detección de pares inactivos

La detección de pares de tráfico muerto (DPD) es un método que los dispositivos de red utilizan para comprobar la existencia actual y disponibilidad de otros dispositivos de mismo nivel.

Puede utilizar DPD como alternativa a la supervisión VPN. La supervisión VPN se aplica a una VPN individual de IPsec, mientras que DPD se configura únicamente en un contexto de puerta de enlace de ICR individual.

Un dispositivo realiza la verificación de DPD mediante el envío de cargas de notificación ICR fase 1 cifradas (R-U-en el caso de mensajes) a un interlocutor que espera las confirmaciones de DPD (R-U-in-ACK mensajes) desde el mismo nivel. El dispositivo envía un mensaje R-U-any solo si no ha recibido tráfico del interlocutor durante un intervalo DPD especificado. Si el dispositivo recibe un mensaje R-U-Outa de ACK del mismo nivel durante este intervalo, tiene en cuenta el punto de conexión del mismo nivel. Si el dispositivo recibe tráfico en el túnel desde el interlocutor, restablece su contador de mensajes R-U-in para ese túnel, con lo que se inicia un nuevo intervalo. Si el dispositivo no recibe un mensaje R-U-entero de confirmación durante el intervalo, considera que el elemento del mismo nivel ha muerto. Cuando el dispositivo cambia el estado de un dispositivo del mismo nivel a Dead (muerto), el dispositivo quita la Asociación de seguridad (SA) de la fase 1 y todas las SA de la fase 2 para ese interlocutor.

Los siguientes modos de DPD son compatibles con los dispositivos serie SRX:

  • R—-U optimizada: los mensajes se activan si no hay ICR entrante o tráfico IPSec dentro de un intervalo configurado después de que el dispositivo envíe los paquetes salientes al mismo nivel. Este es el modo predeterminado.

  • Sondeo túnel—inactivo R-U-se activan los mensajes si no hay ICR entrante o saliente, ni tráfico IPSec dentro de un intervalo configurado. R-U: se envían periódicamente mensajes a los interlocutores hasta que se produce la actividad de tráfico. Este modo ayuda en la detección temprana de un sistema del mismo nivel hacia abajo y hace que el túnel esté disponible para el tráfico de datos.

    Nota

    Cuando se configuran varios selectores de tráfico para una red privada virtual (VPN), se pueden establecer varios túneles para el mismo ICR SA. En este escenario, el modo de túnel inactivo de sondeo activa R-U: se enviarán mensajes si algún túnel asociado con el ICR SA pasa a estar inactivo, aunque haya tráfico en otro túnel para el mismo ICR SA.

  • Enviar—siempre mensajes R-U: allí se envían en los intervalos configurados independientemente de la actividad del tráfico entre los interlocutores.

    Nota

    Recomendamos que se utilice el modo de túnel inactivo del sondeo always-send en lugar del modo.

Los temporizadores de DPD están activos tan pronto como se establece la SA de la fase 1. El comportamiento DPD es el mismo para los protocolos IKEv1 y IKEv2.

Puede configurar los siguientes parámetros de DPD:

  • El parámetro Interval especifica la cantidad de tiempo (expresada en segundos) que esperará el dispositivo a que el tráfico proviene de su interlocutor antes de enviar un mensaje R-U-allí. El intervalo predeterminado es de 10 segundos. A partir de Junos OS Release 15.1 X49-D130, el rango de parámetros de intervalo permitido en el que se envían los mensajes R-U-at al dispositivo del mismo nivel se reduce de 10 a 60 segundos a 2 segundos mediante 60 segundos. El parámetro de umbral mínimo debe ser 3 cuando el valor del parámetro de intervalo DPD es inferior a 10 segundos.

  • El parámetro Threshold especifica el número máximo de veces que se envía el mensaje R-U-in sin respuesta del interlocutor antes de considerar que el homólogo está muerto. El número predeterminado de transmisiones es cinco veces, con una gama permitida de 1 a 5 reintentos.

Tenga en cuenta las consideraciones siguientes antes de configurar DPD:

  • Cuando se agrega una configuración DPD a una puerta de enlace existente con túneles activos, los mensajes R-U-at se inician sin borrar las SA de la fase 1 o la fase 2.

  • Cuando se elimina una configuración de DPD de una puerta de enlace existente con túneles activos, R-U: se detienen los mensajes para los túneles. Las SA de ICR y IPsec no se verán afectadas.

  • Si se modifica cualquier opción de configuración DPD, como los valores Mode, Interval o threshold, se actualizará la operación DPD sin borrar las SA de la fase 1 o la fase 2.

  • Si la puerta de enlace de ICR está configurada con DPD y la supervisión VPN, pero la opción para establecer túneles inmediatamente no está configurada, DPD no inicia la negociación de la fase 1. Cuando se configura DPD, la opción establecer túneles inmediatos también debe configurarse al mismo tiempo para anular la interfaz del st0 cuando no existen SA de Phase 1 y Phase 2 disponibles.

  • Si la puerta de enlace de ICR está configurada con varias direcciones IP del mismo nivel y DPD pero la SA de la fase 1 no se puede establecer en la primera dirección IP del mismo nivel, se intenta una SA de fase 1 con la siguiente dirección IP del mismo nivel. DPD solo está activo después de establecerse una asociación de la fase 1.

  • Si la puerta de enlace de ICR está configurada con varias direcciones IP del mismo nivel y DPD’pero DPD produce un error con la dirección IP del mismo nivel actual, se borrarán las SA de las fases 1 y 2 y se activará una conmutación por error a la siguiente dirección IP del mismo nivel.

  • Puede existir más de una SA Phase 1 o Phase 2 con el mismo interlocutor debido a las negociaciones simultáneas. En este caso, R-U-en todos los mensajes se envían a todas las SA de la fase 1. Si no se reciben respuestas DPD para el número configurado de veces consecutivas, se borrará la SA de la fase 1 y la SA asociada de la fase 2 (solo para IKEv2).

Descripción de los eventos de túnel

Cuando se produce un problema de red relacionado con una VPN, después de que el túnel sólo llega el estado de túnel, se realiza un seguimiento de él. Muchos problemas se pueden producir antes de que se produzca el túnel. Por lo tanto, en lugar de realizar el seguimiento únicamente del estado del túnel, problemas de túnel o errores de negociación, ahora se realiza el seguimiento de eventos de éxito tales como negociaciones de SA de IPsec satisfactorias, regeneración de claves IPsec y reICR regeneraciones de SA. Estos eventos se denominan eventos de túnel.

Para la fase 1 y fase 2, se realiza un seguimiento de los eventos de negociación de un túnel dado, junto con los eventos que se producen en daemons externos, como AUTHd o PKID. Cuando un evento de túnel aparece varias veces, solo se mantiene una entrada con la hora actualizada y el número de veces que se produjo el evento.

En general, se realiza un seguimiento de 16 eventos: ocho eventos para la fase 1 y ocho eventos para la fase 2. Algunos eventos pueden reproducirse y llenar la memoria de eventos, lo que provoca que se quiten eventos importantes. Para evitar sobrescribir, un suceso no se almacena a menos que un túnel no esté presionado.

Los siguientes eventos especiales se clasifican en esta categoría:

  • La duración de la SA de IPsec en kilobytes expiró

  • Duración dura de la SA de IPsec expirada

  • Carga de eliminación de SA de IPsec recibida del interlocutor, asociaciones de SA de IPsec borradas

  • Se borrar pares de SA IPsec de backup redundantes no utilizados

  • Las SA de IPsec se borraron según corresponda ICR SA eliminadas

Los túneles AutoVPN se crean y eliminan dinámicamente y, por lo tanto, los eventos de túnel correspondientes a estos túneles son de corta duración. A veces estos eventos de túnel no se pueden asociar con ningún túnel, por lo que el registro del sistema se utiliza para depuración.

Consulte también

Ejemplo Configuración de una alerta sonora como notificación de una alarma de seguridad

En este ejemplo se muestra cómo configurar un dispositivo para generar un pitido de alerta del sistema cuando se produce un nuevo evento de seguridad. De forma predeterminada, las alarmas no son audibles. Esta característica es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM y dispositivos e instancias de SRX1500 vSRX.

Aplicables

Antes de configurar esta característica, es necesaria una configuración especial más allá de la inicialización del dispositivo.

Descripción general

En este ejemplo, puede establecer que se genere un pitido audible en respuesta a una alarma de seguridad.

Automática

Procedimiento detallado

Para establecer una alarma audible:

  1. Activar alarmas de seguridad.
  2. Especifique que desea recibir notificaciones de alarmas de seguridad con un pitido audible.
  3. Si ha terminado de configurar el dispositivo, confirme la configuración.

Comproba

Para comprobar que la configuración funciona correctamente, escriba el show security alarms detail comando.

Consulte también

Ejemplo Generar alarmas de seguridad en respuesta a posibles violaciones

En este ejemplo se muestra cómo configurar el dispositivo para generar una alarma del sistema cuando se produce una infracción potencial. De forma predeterminada, no se produce ninguna alarma cuando se produce una infracción potencial. Esta característica es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM y dispositivos e instancias de SRX1500 vSRX.

Aplicables

Antes de configurar esta característica, es necesaria una configuración especial más allá de la inicialización del dispositivo.

Descripción general

En este ejemplo, puede configurar una alarma para que se genere cuando:

  • El número de errores de autenticación es superior a 6.

  • La prueba automática criptográfica produce un error.

  • La prueba automática no criptográfica produce errores.

  • Se produce un error en la prueba automática de generación de claves.

  • El número de errores de cifrado es superior a 10.

  • El número de errores de descifrado supera 1.

  • El número de fallos de ICR fase 1 supera el 10.

  • El número de ICR error de la fase 2 supera 1.

  • Se produce un ataque de reproducción.

Automática

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento detallado

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Using the CLI Editor in Configuration Mode de configuración Guía de usuario de CLIen el.

Para configurar alarmas en respuesta a posibles violaciones:

  1. Activar alarmas de seguridad.
  2. Especifica que debe producirse una alarma cuando se produzca un fallo de autenticación.
  3. Especifica que debe producirse una alarma cuando se produce un error de prueba automática criptográfica.
  4. Especifica que debe producirse una alarma cuando se produce un fallo de prueba automática no cifrada.
  5. Especifica que debe producirse una alarma cuando se produce un error de la autoprueba de generación de claves.
  6. Especifica que debe producirse una alarma cuando se produce un fallo de cifrado.
  7. Especifica que se debe generar una alarma cuando se produzca un fallo de descifrado.
  8. Especifica que debe producirse una alarma cuando se produce un fallo ICR la fase 1.
  9. Especifica que debe producirse una alarma cuando se produce un fallo ICR la fase 2.
  10. Especifica que debe producirse una alarma cuando se produzca un ataque de reproducción.

Resultados

Desde el modo de configuración, escriba el show security alarms comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Para confirmar que la configuración funciona correctamente, desde el modo de funcionamiento, escriba show security alarms el comando.

Temas relacionados

Release History Table
Publicación
Descripción
A partir de Junos OS Release 15.1 X49-D130, el rango de parámetros de intervalo permitido en el que se envían los mensajes R-U-at al dispositivo del mismo nivel se reduce de 10 a 60 segundos a 2 segundos mediante 60 segundos. El parámetro de umbral mínimo debe ser 3 cuando el valor del parámetro de intervalo DPD es inferior a 10 segundos.
A partir de Junos OS versión 15.1 X49-D120, puede configurar el tamaño del paquete que se utiliza para comprobar una ruta de acceso de la sesión st0 IPSec antes de que se ponga en marcha la interfaz.