verify-path
语法
verify-path {
destination-ip ip-address;
packet-size bytes;
}
层次结构级别
[edit security ipsec vpn vpn-name vpn-monitor]
描述
在激活安全隧道 (st0) 接口并将与该接口关联的路由安装到 Junos OS 转发表之前,验证 IPsec 数据路径。此配置在网络拓扑中非常有用:VPN 隧道端点之间有中转防火墙,并且传输防火墙可能会阻止在 st0 接口上使用活动路由的已建立 VPN 隧道的 IPsec 数据流量。
配置此选项后,可为 VPN 监视器操作配置的源接口和目标 IP 地址不会用于 IPsec 数据路径验证。IPsec 数据路径验证中 ICMP 请求的源是本地隧道端点。
配置 IPsec 数据路径验证后,将执行以下操作:
建立 VPN 隧道后,ICMP 请求将发送到对等隧道端点以验证 IPsec 数据路径。
对等隧道端点必须可由 VPN 监控器 ICMP 请求访问,并且必须能够响应 ICMP 请求。数据路径验证正在进行时,“” 将显示在
V命令输出的show security ipsec security-association detailVPN 监控字段中。st0仅当收到来自对等方的响应时,才会激活接口。show interface st0.x命令输出显示数据路径验证期间和之后的 st0 接口状态:Link-Layer-Down验证完成之前和Up验证成功完成之后。-
如果未收到来自对等方的 ICMP 响应,则会按配置的 VPN 监视器间隔(默认值为 10 秒)发送另一个 ICMP 请求,直到达到 VPN 监视器阈值(默认值为 10 次)。
如果验证不成功,KMD_VPN_DOWN_ALARM_USER系统日志条目会将原因指示为 VPN 监视验证路径错误。该错误记录在命令输出中的
show security ipsec security-association detail隧道事件下。该show security ipsec tunnel-events-statistics命令显示错误发生的次数。VPN 监视器
interval和threshold值在 [edit security ipsec] 层次结构级别配置vpn-monitor-options。 如果在达到 VPN 监视器阈值后未收到来自对等方的 ICMP 响应,则会关闭已建立的 VPN 隧道并重新协商 VPN 隧道。
选项
| destination-ip ip-address | NAT 设备后面的对等隧道端点的原始未转换 IP 地址。此 IP 地址不能是 NAT 转换的 IP 地址。如果对等隧道端点位于 NAT 设备后面,则此选项是必需的。验证路径 ICMP 请求将发送到此 IP 地址,以便对等方可以生成 ICMP 响应。 |
| packet-size bytes | (可选)用于在启动 st0 接口之前验证 IPsec 数据路径的数据包大小。 数据包大小必须小于路径最大传输单元 (PMTU) 减去隧道开销。用于 IPsec 数据路径验证的数据包不得分段。
|
所需权限级别
安全性 - 在配置中查看此语句。
安全控制 — 将此语句添加到配置中。
发布信息
在 Junos OS 15.1X49-D70 版中引入的语句。
packet-size Junos OS 15.1X49-D120 版中添加了选项。
verify-path Junos OS 23.4R1 版中引入了对运行 IKED 进程的 IPsec VPN 选项的支持。