Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

verify-path

構文

階層レベル

説明

セキュア トンネル(st0)インターフェイスがアクティブになり、インターフェイスに関連付けられたルートが Junos OS 転送テーブルにインストールされる前に、IPsec データパスを検証します。この構成は、VPN トンネルのエンドポイント間にトランジット ファイアウォールがあり、st0 インターフェイスで確立された VPN トンネルのアクティブなルートを使用する IPsec データ トラフィックがトランジット ファイアウォールによってブロックされる可能性があるネットワーク トポロジーで役立ちます。

このオプションを設定すると、VPNモニタ動作用に設定可能な送信元インターフェイスと宛先IPアドレスは、IPsecデータパスの検証に使用されません。IPsecデータパス検証におけるICMPリクエストの送信元は、ローカルトンネルのエンドポイントです。

IPsecデータパス検証が設定されている場合、以下のアクションが実行されます。

  1. VPN トンネルが確立されると、ICMP 要求がピア トンネルのエンドポイントに送信され、IPsec データ パスが確認されます。

    ピアトンネルのエンドポイントは、VPN モニター ICMP リクエストによって到達可能で、ICMP リクエストに応答できる必要があります。データパス検証の進行中は、コマンド出力のshow security ipsec security-association detailVPN監視フィールドに"V"が表示されます。

  2. st0このインターフェイスは、ピアから応答を受信したときにのみアクティブになります。

    コマンド出力には show interface st0.x 、データパス検証中および検証後( Link-Layer-Down 検証が終了する前と Up 検証が正常に終了した後)のst0インターフェイスのステータスが表示されます。

  3. ピアから ICMP 応答を受信しない場合、VPN モニタのしきい値(デフォルトは 10 回)に達するまで、設定された VPN モニタ間隔(デフォルトは 10 秒)で別の ICMP 要求が送信されます。

    検証が成功しない場合、KMD_VPN_DOWN_ALARM_USERシステム ログ エントリに、VPN 監視パス検証エラーとしてその理由が示されます。このエラーは、コマンド出力のトンネル イベントに記録されます show security ipsec security-association detailshow security ipsec tunnel-events-statistics コマンドは、エラーが発生した回数を表示します。

    VPN モニターintervalthreshold値は [edit security ipsec] 階層レベルで で構成されますvpn-monitor-options

  4. VPN モニタのしきい値に達した後、ピアから ICMP 応答を受信しない場合、確立された VPN トンネルはダウンし、VPN トンネルが再ネゴシエートされます。

オプション

destination-ip ip-address

NAT デバイスの背後にあるピア トンネル エンドポイントの元の未変換の IP アドレス。この IP アドレスは、NAT 変換された IP アドレスであってはなりません。このオプションは、ピア トンネルのエンドポイントが NAT デバイスの背後にある場合に必要です。ピアが ICMP 応答を生成できるように、パス検証 ICMP 要求がこの IP アドレスに送信されます。

packet-size bytes

(オプション)st0インターフェイスが起動する前にIPsecデータパスを検証するために使用されるパケットのサイズ。

パケット サイズは、パスの最大送信単位(PMTU)からトンネルのオーバーヘッドを引いた値より小さくする必要があります。IPsecデータパス検証に使用するパケットは、フラグメント化しないでください。

  • 範囲: 64 から 1350 バイト

  • デフォルト: 64 バイト

必要な権限レベル

セキュリティ—設定でこのステートメントを表示します。

セキュリティ管理ー設定にこのステートメントを追加します。

リリース情報

Junos OSリリース15.1X49-D70で導入されたステートメント。

packet-size Junos OSリリース15.1X49-D120で追加された オプション。

verify-path Junos OSリリース23.4R1では、IKEDプロセスを実行するIPsec VPNでオプションのサポートが導入されました。