Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

verify-path

Syntaxe

Niveau hiérarchique

Description

Vérifiez le chemin de données IPsec avant que l’interface de tunnel sécurisé (st0) ne soit activée et que le(s) routage(s) associé(s) à l’interface soient installés dans la table de transfert Junos OS. Cette configuration est utile dans les topologies réseau où un pare-feu de transit est situé entre les points de terminaison du tunnel VPN, et où le trafic de données IPsec qui utilise des routes actives pour un tunnel VPN établi sur l’interface st0 peut être bloqué par le pare-feu de transit.

Lorsque cette option est configurée, l’interface source et les adresses IP de destination pouvant être configurées pour le fonctionnement du moniteur VPN ne sont pas utilisées pour la vérification des chemins de données IPsec. La source des requêtes ICMP dans la vérification du chemin de données IPsec est le point de terminaison du tunnel local.

Lorsque la vérification du chemin de données IPsec est configurée, les actions suivantes se produisent :

  1. Une fois le tunnel VPN établi, une demande ICMP est envoyée au point de terminaison de tunnel homologue pour vérifier le chemin de données IPsec.

    Le point de terminaison du tunnel peer doit être accessible par les requêtes ICMP de surveillance VPN et doit pouvoir répondre à la demande ICMP. Pendant que la vérification du chemin de données est en cours, «V » s’affiche dans le champ Surveillance VPN dans la sortie de show security ipsec security-association detail commande.

  2. L’interface st0 n’est activée que lorsqu’une réponse est reçue de l’homologue.

    La show interface st0.x sortie de commande affiche l’état de l’interface st0 pendant et après la vérification du chemin de données : Link-Layer-Down avant la fin de la vérification et Up une fois la vérification terminée avec succès.

  3. Si aucune réponse ICMP n’est reçue de l’homologue, une autre demande ICMP est envoyée à l’intervalle de surveillance VPN configuré (la valeur par défaut est de 10 secondes) jusqu’à ce que le seuil du moniteur VPN (par défaut soit 10 fois) atteint.

    Si la vérification échoue, l’entrée de journal du système KMD_VPN_DOWN_ALARM_USER indique la raison sous la forme d’une erreur de chemin de vérification de surveillance VPN. L’erreur est enregistrée sous les événements de tunnel dans la sortie de commande show security ipsec security-association detail . La show security ipsec tunnel-events-statistics commande affiche le nombre de fois que l’erreur s’est produite.

    L’intervalle de surveillance VPN et les valeurs de seuil sont configurés vpn-monitor-options au niveau de la hiérarchie [edit security ipsec].

  4. Si aucune réponse ICMP n’est reçue de l’homologue une fois le seuil de surveillance VPN atteint, le tunnel VPN établi est désactivé et le tunnel VPN est renégocié.

Options

destination-ip ip-address

Adresse IP originale et non traduite du point de terminaison du tunnel homologue qui se trouve derrière un équipement NAT. Cette adresse IP ne doit pas être l’adresse IP traduite par NAT. Cette option est requise si le point de terminaison du tunnel homologue se trouve derrière un équipement NAT. La demande ICMP de chemin de vérification est envoyée à cette adresse IP afin que l’homologue puisse générer une réponse ICMP.

packet-size bytes

(Facultatif) Taille du paquet utilisé pour vérifier un chemin de données IPsec avant que l’interface st0 ne soit mise en place.

La taille du paquet doit être inférieure à l’unité de transmission maximale du chemin (PMTU), moins la charge de tunnel. Le paquet utilisé pour la vérification des chemins de données IPsec ne doit pas être fragmenté.

  • Gamme: Entre 64 et 1 350 octets

  • Par défaut: 64 octets

Niveau de privilège requis

sécurité : pour afficher cette déclaration dans la configuration.

contrôle de sécurité : pour ajouter cette déclaration à la configuration.

Informations de publication

Déclaration introduite dans la version 15.1X49-D70 de Junos OS.

packet-size ajoutée dans la version 15.1X49-D120 de Junos OS.