Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

verify-path

Syntax

Hierarchy Level

Description

Проверьте путь к данным IPsec до активации защищенного туннельного (st0) интерфейса и установки маршрута (s) с интерфейсом в Junos OS таблица переадресации. Эта конфигурация полезна в сетевых topologах, где между конечными точками VPN-туннеля находится транзитный межсетевой экран и где трафик данных IPsec, использующий активные маршруты для установленного VPN-туннеля на интерфейсе st0, может быть заблокирован транзитным межсетевой экраном.

После настройки этого параметра IP-адреса интерфейса источника и назначения, которые можно настроить для работы монитора VPN, не используются для проверки данных IPsec. Источником запросов ICMP в проверке IPsec datapath является конечная точка локального туннеля.

При настройке проверки данных IPsec происходят следующие действия:

  1. При установке VPN-туннеля на конечную точку равноправного туннеля отправляется запрос ICMP для проверки datapath IPsec.

    Конечная точка одноранговых туннелей должна быть достужима с помощью запросов ICMP монитора VPN и должна быть способна отвечать на запрос ICMP. Пока проводится проверка datapath, " — отображается в поле V VPN Monitoring в show security ipsec security-association detail выходных данных команды.

  2. Интерфейс st0 активизируется только при получении ответа от одноранговых устройств.

    Выходные show interface st0.x данные команды показывают состояние интерфейса st0 во время и после проверки datapath: Link-Layer-Down до завершения и после Up завершения проверки.

  3. Если ответ ICMP не получен от однорангового узла, другой запрос ICMP отправляется через настроенный интервал монитора VPN (по умолчанию – 10 секунд), пока не будет достигнуто пороговое значение монитора VPN (по умолчанию – 10 раз).

    Если проверка не была успешной, KMD_VPN_DOWN_ALARM_USER записи системного журнала указывает причину как ошибку проверки пути для мониторинга VPN. Ошибка регистрируется в туннельных событиях в show security ipsec security-association detail выходных данных команды. Эта show security ipsec tunnel-events-statistics команда отображает количество произошедших ошибок.

    Интервал и пороговые значения монитора VPN настраиваются на vpn-monitor-options уровне edit security ipsec иерархии []

  4. Если после того, как было достигнуто пороговое значение монитора VPN, от узла не получен ответ ICMP, то установленный VPN-туннель отводится в состояние down и vpn-туннель повторно устанавливается.

Options

destination-ip ip-адрес

Исходный, нетранслрованный IP-адрес конечной точки одноранговых туннелей, которая находится за NAT устройством. Этот IP-адрес не должен быть NAT преобразуемом IP-адресе. Этот параметр необходим, если конечная точка одноранговых туннелей находится за NAT устройством. На этот IP-адрес отправляется запрос проверки пути ICMP, чтобы одноранговой узлам был послан ответ ICMP.

размер пакета

(Необязательно) Размер пакета, используемого для проверки IPsec-пакета данных до того, как интерфейс st0 будет взламыт.

Размер пакета должен быть меньше, чем путь максимальный размер пакета (PMTU) минус туннельные накладные расходы. Пакет, используемый для проверки данных IPsec, не должен быть фрагментирован.

  • Диапазон: От 64 до 1350 bytes

  • По умолчанию: 64 bytes

Required Privilege Level

security — для просмотра этого утверждения в конфигурации.

security-control — добавление этого утверждения в конфигурацию.

Release Information

Утверждение, введенная Junos OS в 15.1X49-D70.

packet-size добавленный в Junos OS release 15.1X49-D120.