verify-path

구문

계층 수준

설명

보안 터널(st0) 인터페이스가 활성화되고 인터페이스와 관련된 경로가 Junos OS 포워딩 테이블에 설치되기 전에 IPsec 데이터 경로를 확인합니다. 이 구성은 VPN 터널 엔드포인트 사이에 전송 방화벽이 있고 st0 인터페이스에서 설정된 VPN 터널에 대해 활성 경로를 사용하는 IPsec 데이터 트래픽이 전송 방화벽에 의해 차단될 수 있는 네트워크 토폴로지에서 유용합니다.

이 옵션을 구성하면 VPN 모니터 작업을 위해 구성할 수 있는 소스 인터페이스 및 대상 IP 주소가 IPsec 데이터 경로 검증에 사용되지 않습니다. IPsec 데이터 경로 확인에서 ICMP 요청의 소스는 로컬 터널 엔드포인트입니다.

IPsec datapath 확인이 구성되면 다음 동작이 발생합니다.

1. VPN 터널이 설정되면 IPsec 데이터 경로를 확인하기 위해 ICMP 요청이 피어 터널 엔드포인트로 전송됩니다.

   피어 터널 엔드포인트는 VPN 모니터 ICMP 요청에 의해 도달할 수 있어야 하며 ICMP 요청에 응답할 수 있어야 합니다. 데이터 경로 확인이 진행되는 동안 명령 출력의 VPN 모니터링 필드에 "V"가 show security ipsec security-association detail 표시됩니다.

2. 인터페이스는 피어로부터 st0 응답을 수신할 때만 활성화됩니다.

   명령 출력은 검증이 show interface st0.x 완료되기 전과 검증이 성공적으로 완료된 후의 데이터 경로 검증 Link-Layer-Down 도중과 Up 이후의 st0 인터페이스 상태를 보여줍니다.

3. 피어로부터 ICMP 응답이 수신되지 않으면 VPN 모니터 임계값(기본값은 10회)에 도달할 때까지 구성된 VPN 모니터 간격(기본값은 10초)으로 다른 ICMP 요청이 전송됩니다.

   확인에 실패하면 KMD_VPN_DOWN_ALARM_USER 시스템 로그 항목에 VPN 모니터링 verify-path 오류로 이유가 표시됩니다. 오류는 명령 출력의 show security ipsec security-association detail 터널 이벤트 아래에 기록됩니다. 명령은 show security ipsec tunnel-events-statistics 오류가 발생한 횟수를 표시합니다.

   VPN 모니터 interval 및 threshold 값은 [edit security ipsec] 계층 수준에서 로 vpn-monitor-options 구성됩니다.

4. VPN 모니터 임계값에 도달한 후 피어로부터 ICMP 응답이 수신되지 않으면 설정된 VPN 터널이 다운되고 VPN 터널이 재협상됩니다.

옵션

필요한 권한 수준

security - 구성에서 이 명령문을 볼 수 있습니다.

security-control - 구성에 이 명령문을 추가할 수 있습니다.

릴리스 정보

Junos OS 릴리스 15.1X49-D70에 발표된 명령문.

packet-size Junos OS 릴리스 15.1X49-D120에 옵션이 추가되었습니다.

IKED 프로세스를 실행하는 IPsec VPN을 사용하는 옵션에 대한 verify-path 지원은 Junos OS 릴리스 23.4R1에 도입되었습니다.