verify-path
구문
verify-path { destination-ip ip-address; packet-size bytes; }
계층 수준
[edit security ipsec vpn vpn-name vpn-monitor]
설명
보안 터널(st0) 인터페이스가 활성화되고 인터페이스와 관련된 경로가 Junos OS 포워딩 테이블에 설치되기 전에 IPsec 데이터 경로를 확인합니다. 이 구성은 VPN 터널 엔드포인트 사이에 전송 방화벽이 있고 st0 인터페이스에서 설정된 VPN 터널에 대해 활성 경로를 사용하는 IPsec 데이터 트래픽이 전송 방화벽에 의해 차단될 수 있는 네트워크 토폴로지에서 유용합니다.
이 옵션을 구성하면 VPN 모니터 작업을 위해 구성할 수 있는 소스 인터페이스 및 대상 IP 주소가 IPsec 데이터 경로 검증에 사용되지 않습니다. IPsec 데이터 경로 확인에서 ICMP 요청의 소스는 로컬 터널 엔드포인트입니다.
IPsec datapath 확인이 구성되면 다음 동작이 발생합니다.
VPN 터널이 설정되면 IPsec 데이터 경로를 확인하기 위해 ICMP 요청이 피어 터널 엔드포인트로 전송됩니다.
피어 터널 엔드포인트는 VPN 모니터 ICMP 요청에 의해 도달할 수 있어야 하며 ICMP 요청에 응답할 수 있어야 합니다. 데이터 경로 확인이 진행되는 동안 명령 출력의 VPN 모니터링 필드에 "
V
"가show security ipsec security-association detail
표시됩니다.인터페이스는 피어로부터
st0
응답을 수신할 때만 활성화됩니다.명령 출력은 검증이
show interface st0.x
완료되기 전과 검증이 성공적으로 완료된 후의 데이터 경로 검증Link-Layer-Down
도중과Up
이후의 st0 인터페이스 상태를 보여줍니다.-
피어로부터 ICMP 응답이 수신되지 않으면 VPN 모니터 임계값(기본값은 10회)에 도달할 때까지 구성된 VPN 모니터 간격(기본값은 10초)으로 다른 ICMP 요청이 전송됩니다.
확인에 실패하면 KMD_VPN_DOWN_ALARM_USER 시스템 로그 항목에 VPN 모니터링 verify-path 오류로 이유가 표시됩니다. 오류는 명령 출력의
show security ipsec security-association detail
터널 이벤트 아래에 기록됩니다. 명령은show security ipsec tunnel-events-statistics
오류가 발생한 횟수를 표시합니다.VPN 모니터
interval
및threshold
값은 [edit security ipsec
] 계층 수준에서 로vpn-monitor-options
구성됩니다. VPN 모니터 임계값에 도달한 후 피어로부터 ICMP 응답이 수신되지 않으면 설정된 VPN 터널이 다운되고 VPN 터널이 재협상됩니다.
옵션
destination-ip ip-address | NAT 디바이스 뒤에 있는 피어 터널 엔드포인트의 변환되지 않은 원본 IP 주소입니다. 이 IP 주소는 NAT로 변환된 IP 주소가 아니어야 합니다. 피어 터널 엔드포인트가 NAT 디바이스 뒤에 있는 경우 이 옵션이 필요합니다. 피어가 ICMP 응답을 생성할 수 있도록 verify-path ICMP 요청이 이 IP 주소로 전송됩니다. |
packet-size bytes | (선택 사항) st0 인터페이스가 실행되기 전에 IPsec 데이터 경로를 확인하는 데 사용되는 패킷의 크기입니다. 패킷 크기는 PMTU(Path Maximum Transmission Unit)에서 터널 오버헤드를 뺀 값보다 작아야 합니다. IPsec datapath 검증에 사용되는 패킷은 단편화되지 않아야 합니다.
|
필요한 권한 수준
security - 구성에서 이 명령문을 볼 수 있습니다.
security-control - 구성에 이 명령문을 추가할 수 있습니다.
릴리스 정보
Junos OS 릴리스 15.1X49-D70에 발표된 명령문.
packet-size
Junos OS 릴리스 15.1X49-D120에 옵션이 추가되었습니다.
IKED 프로세스를 실행하는 IPsec VPN을 사용하는 옵션에 대한 verify-path
지원은 Junos OS 릴리스 23.4R1에 도입되었습니다.