Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

vpn-monitor

Sintaxis

Nivel jerárquico

Descripción

Configure las opciones para la supervisión de VPN.

Opciones

destination-ip

Especifique el destino de los pings del Protocolo de mensajes de control de Internet (ICMP). Si se usa esta instrucción, el dispositivo utiliza la dirección de puerta de enlace del par de forma predeterminada.

optimized

Habilita la optimización de supervisión de VPN para el túnel VPN específico.

Cuando el administrador habilita la optimización de la supervisión de VPN, el firewall de la serie SRX envía solicitudes de eco (pings) ICMP solo cuando hay un tráfico saliente y no hay tráfico entrante del par configurado, a través del túnel VPN. Si hay un tráfico entrante a través del túnel VPN, el firewall de la serie SRX considera que el túnel está activo y no envía pings al par.

La optimización del monitoreo de VPN ahorra recursos en el firewall de la serie SRX, ya que las solicitudes de eco ICMP se envían solo cuando es necesario para determinar la vivacidad del par. Además, las solicitudes de eco de ICMP pueden activar costosos enlaces de respaldo que de otro modo no se utilizarían.

  • Valor predeterminado: Deshabilitado.

    Si el administrador no configura la opción explícitamente, el firewall envía el paquete de supervisión VPN una vez en cada intervalo configurado, también conocido como siempre enviar, de forma predeterminada. Para obtener más información, consulte Descripción de la supervisión de VPN.

source-interface

Especifique la interfaz de origen para las solicitudes ICMP (supervisión VPN "holas"). Si no se especifica ninguna interfaz de origen, el dispositivo utiliza automáticamente la interfaz de punto de conexión del túnel local.

verification-path

Especifique la ruta de verificación para comprobar la ruta de datos IPsec antes de activar la interfaz de túnel seguro (st0) e instalar las rutas asociadas a la interfaz en la tabla de reenvío de Junos OS.

  • destination-ip ip-address: dirección IP original sin traducir del punto de conexión del túnel par que está detrás de un dispositivo NAT. Esta dirección IP no debe ser la dirección IP traducida al NAT. Esta opción es necesaria si el extremo del túnel del mismo nivel está detrás de un dispositivo NAT. La solicitud ICMP de ruta de verificación se envía a esta dirección IP para que el par pueda generar una respuesta ICMP.

  • packet-size bytes—(Opcional) Tamaño del paquete que se utiliza para comprobar una ruta de datos IPsec antes de que se abra la interfaz st0. El tamaño del paquete debe ser inferior a la unidad de transmisión máxima de ruta (PMTU) menos la sobrecarga del túnel. El paquete usado para la comprobación de ruta de datos IPsec no debe estar fragmentado. El intervalo del tamaño del paquete es de 64 a 1350 bytes y el valor predeterminado del tamaño del paquete es de 64 bytes

Nivel de privilegio requerido

security: para ver esta instrucción en la configuración.

security-control: para agregar esta instrucción a la configuración.

Información de la versión

Declaración introducida en Junos OS versión 8.5.

Compatibilidad con verify-path palabras clave y destination-ip añadido en Junos OS versión 15.1X49-D70.

Compatibilidad con packet-size la opción agregada en Junos OS versión 15.1X49-D120.

La compatibilidad y vpn-monitor verify-path las opciones con VPN IPsec que ejecuta el proceso iked se introdujeron en Junos OS versión 23.4R1.