Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

verify-path

Syntax

Hierarchy Level

Description

Secure tunnel (st0) インターフェイスがアクティブ化されてから、インターフェイスに関連付けられたルートが Junos OS 転送テーブルにインストールされる前に、IPsec datapath を検証します。この設定は、VPN トンネルエンドポイントの間に通過ファイアウォールが存在するネットワークトポロジや、st0 インターフェイス上で確立された VPN トンネルに対してアクティブルートを使用する IPsec データトラフィックが転送によってブロックしている場合に役立ちます。ファイア.

このオプションが設定されている場合、VPN モニター操作用に設定できる送信元インターフェイスと宛先 IP アドレスは、IPsec datapath の検証には使用されません。IPsec datapath 検証における ICMP 要求の送信元は、ローカルトンネルエンドポイントです。

IPsec datapath の検証が設定されている場合、以下のアクションが発生します。

  1. VPN トンネルの確立時に、IPsec datapath を検証するために、ICMP 要求がピアトンネルエンドポイントに送信されます。

    ピアトンネルエンドポイントは、VPN モニターの ICMP 要求によって到達可能でなければなりません。また、ICMP 要求に応答できるようになっている必要があります。データパス検証が進行中は、コマンド出力の [VPN 監視] フィールドに V 「」 show security ipsec security-association detail が表示されます。

  2. このst0インターフェイスは、ピアから応答が受信された場合にのみアクティブ化されます。

    このshow interface st0.xコマンド出力は、datapath の検証中および st0 後に、次のようなインターフェイスステータスを表示します。Link-Layer-Down検証が終了しUp 、検証が正常に完了した後。

  3. ピアから ICMP 応答が受信されない場合、VPN モニターのしきい値 (デフォルトは10秒) に達するまで、設定された VPN モニター間隔で別の ICMP 要求が送信されます。

    検証が成功しなかった場合は、KMD_VPN_DOWN_ALARM_USER システムログエントリに、VPN モニタリングの確認-パスエラーとしての理由が示されます。このエラーは、 show security ipsec security-association detailコマンド出力でトンネルイベントの下に記録されます。このshow security ipsec tunnel-events-statisticsコマンドは、エラーが発生した回数を表示します。

    VPN の監視間隔としきい値は、 vpn-monitor-options [edit security ipsec] 階層レベルで構成されています。

  4. VPN モニターしきい値に達した後にピアから ICMP 応答が受信されなかった場合、確立された VPN トンネルは停止し、VPN トンネルの再ネゴシエートが行われるようになります。

Options

宛先 -ip ip アドレス

NAT デバイスの背後にあるピアトンネルエンドポイントの、トランスレートされていない元の IP アドレスです。この IP アドレスは、NAT 変換された IP アドレスであってはなりません。このオプションは、peer tunnel エンドポイントが NAT デバイスの背後にある場合に必要になります。この IP アドレスに確認パス ICMP 要求が送信され、ピアは ICMP 応答を生成できるようになります。

パケット サイズ バイト

ナSt0 インターフェイスが導入される前に IPsec datapath を検証するために使用されるパケットのサイズ。

パケットサイズは、パス最大送信単位 (PMTU) とトンネルオーバーヘッドの差よりも小さくする必要があります。IPsec datapath の検証に使用されるパケットは、断片化されていてはなりません。

  • 64 ~ 1350 バイト

  • 64バイト

Required Privilege Level

セキュリティ — このステートメントを設定で表示するには。

security-control—このステートメントを設定に追加します。

Release Information

ステートメントは Junos OS Release 15.1 X49-D70 で導入されました。

packet-size リリースリリースでJunos OSオプション15.1X49-D120。