verify-path

構文

階層レベル

説明

セキュア トンネル(st0)インターフェイスがアクティブになり、インターフェイスに関連付けられたルートが Junos OS 転送テーブルにインストールされる前に、IPsec データパスを検証します。この構成は、VPN トンネルのエンドポイント間にトランジット ファイアウォールがあり、st0 インターフェイスで確立された VPN トンネルのアクティブなルートを使用する IPsec データ トラフィックがトランジット ファイアウォールによってブロックされる可能性があるネットワーク トポロジーで役立ちます。

このオプションを設定すると、VPNモニタ動作用に設定可能な送信元インターフェイスと宛先IPアドレスは、IPsecデータパスの検証に使用されません。IPsecデータパス検証におけるICMPリクエストの送信元は、ローカルトンネルのエンドポイントです。

IPsecデータパス検証が設定されている場合、以下のアクションが実行されます。

1. VPN トンネルが確立されると、ICMP 要求がピア トンネルのエンドポイントに送信され、IPsec データ パスが確認されます。

   ピアトンネルのエンドポイントは、VPN モニター ICMP リクエストによって到達可能で、ICMP リクエストに応答できる必要があります。データパス検証の進行中は、コマンド出力のshow security ipsec security-association detailVPN監視フィールドに"V"が表示されます。

2. st0このインターフェイスは、ピアから応答を受信したときにのみアクティブになります。

   コマンド出力には show interface st0.x 、データパス検証中および検証後( Link-Layer-Down 検証が終了する前と Up 検証が正常に終了した後)のst0インターフェイスのステータスが表示されます。

3. ピアから ICMP 応答を受信しない場合、VPN モニタのしきい値(デフォルトは 10 回)に達するまで、設定された VPN モニタ間隔(デフォルトは 10 秒)で別の ICMP 要求が送信されます。

   検証が成功しない場合、KMD_VPN_DOWN_ALARM_USERシステム ログ エントリに、VPN 監視パス検証エラーとしてその理由が示されます。このエラーは、コマンド出力のトンネル イベントに記録されます show security ipsec security-association detail 。 show security ipsec tunnel-events-statistics コマンドは、エラーが発生した回数を表示します。

   VPN モニターintervalとthreshold値は [edit security ipsec] 階層レベルで で構成されますvpn-monitor-options。

4. VPN モニタのしきい値に達した後、ピアから ICMP 応答を受信しない場合、確立された VPN トンネルはダウンし、VPN トンネルが再ネゴシエートされます。

オプション

必要な権限レベル

セキュリティ—設定でこのステートメントを表示します。

セキュリティ管理ー設定にこのステートメントを追加します。

リリース情報

Junos OSリリース15.1X49-D70で導入されたステートメント。

packet-size Junos OSリリース15.1X49-D120で追加された オプション。

verify-path Junos OSリリース23.4R1では、IKEDプロセスを実行するIPsec VPNでオプションのサポートが導入されました。