Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Verifique a conectividade lan protegida

Agora que você configurou VLANs e polícias de segurança para proteger as comunicações das filiais locais, vamos confirmar rapidamente que a conectividade VLAN da filial funciona como esperado. O processo de validação é semelhante ao que você usou para validar a conectividade padrão. A principal diferença é que, agora, essas etapas de verificação ocorrem no contexto de uma VLAN/zona de segurança específica. E, é claro, dadas as mudanças de VLAN que você fez, você não espera mais conectividade total entre as portas LAN.

Verifique os servidores DHCP lan

Verifique se o SRX atribuiu endereços IP aos clientes LAN.

Observe que os dispositivos têm os mesmos endereços MAC de antes (veja a conectividade padrão SRX da filial), mas agora, eles estão associados a diferentes sub-redes IP e unidades IRB, com base em sua respectiva atribuição de VLAN. O display confirma que pelo menos um dispositivo está nas vlan-trustguestsVLANs e nas contractors VLANs. Esta saída confirma que seus servidores DHCP funcionam corretamente em cada VLAN.

Verifique sua configuração de VLAN.

A saída confirma que você configurou corretamente as VLANs e contractors as guests VLANs.

Verifique o VLAN dos convidados

Verifique se os dispositivos na guests VLAN e na zona podem acessar a Internet. Você confirma o acesso à Internet com um ping bem-sucedido para www.juniper.net. Lembre-se que o design de sua filial afirma que os hóspedes só podem enviar HTTP/HTTPS e tráfego de ping para a Internet.

Se o seu guests dispositivo de zona oferece suporte a um cliente HTTP de linha de comando, como o CURL, use-o para verificar o acesso HTTP à Internet. Você sempre pode usar um navegador da Web se o dispositivo tiver uma interface GUI para testar a conectividade da Web.

Não nos preocuparemos em tentar encontrar uma máquina conectada à Internet para confirmar que todos os outros serviços, ou seja, SSH, Telnet, FTP, e assim por diante não funcionarão. Uma opção aqui é remover temporariamente a regra de política que permite o guests ICMP da zona para a untrust zona. Uma vez que a mudança entra em vigor, o ping www.juniper.net deve ter um tempo de saída.

Terminaremos de validar o guests VLAN confirmando que os dispositivos convidados não podem colocar a interface IRB nas zonas ou contractors nas trust zonas.

Os pings nas interfaces IRB nas zonas e contractors nas trust zonas falham, como esperado. Embora não sejam mostrados, os pings iniciados de hóspedes para estações finais nas trust zonas contractors também falham. Mais uma vez, você precisa de uma política explícita para permitir que o tráfego flua entre zonas. Para usuários convidados, a única política de segurança em vigor é permitir tráfego DE HTTP e ping para a untrust zona.

Validar o VLAN do funcionário

Verifique se os funcionários da trust zona podem acessar a Internet.

Verifique se os funcionários podem consultar os contratados.

A saída mostra que o ping não é bem-sucedido. Veja problemas de conectividade de depuração para obter informações sobre como depurar esse problema.

Problemas de conectividade de depuração

Vamos tentar depurar a questão de os funcionários não conseguirem colocar os contratados. Usaremos rastreamentos para depurar o fluxo de pacotes à medida que os pacotes atravessam da trust zona até a contractors zona. No mínimo, a traceoptions configuração deve incluir um arquivo alvo e uma bandeira. O argumento para o file comando especifica o nome do arquivo que armazena a saída de rastreamento. O(s) argumento(s) para o flag comando define o tipo de eventos a serem rastreados.

Com o rastreamento ativado, gere pings da trust zona até a contractors zona. Embora os pings estejam falhando, use o show log <log_name> comando CLI junto com o find switch para localizar rapidamente áreas de interesse no arquivo de log de rastreamento.

As entradas destacadas confirmam que o tráfego de teste enviado da trust zona para a contractors zona está sendo descartado. A mensagem diz denied by policy default-policy-logical-system o que indica que não há uma política para permitir esse tráfego.

Você deve ter uma política para permitir que o tráfego flua entre zonas. Adicione a configuração abaixo para configurar uma política de segurança que permita os tipos de tráfego desejados entre a trust zona e a contractors zona. A configuração está no formato de configuração rápida, de modo que você pode simplesmente cole-la no SRX da filial na [edit] hierarquia:

Certifique-se de confirmar suas mudanças. Agora, o ping da trust zona para a contractors zona deve ter sucesso. Agora que sua depuração está completa, remova a configuração de rastreamento de fluxo de segurança.

Contratantes VLAN

Verifique se os contratados não podem se comunicar com os clientes nas trust zonas ou guests zonas.

Apenas o ping na interface IRB (irb.30) deve ter sucesso. Como os endereços IP do cliente podem mudar com atribuições de DHCP atualizadas, optamos por testar a conectividade entre zonas, pingando a interface IRB para uma determinada zona. Neste exemplo, os endereços IP atribuídos às interfaces IRB são estáticos e, portanto, não mudarão ao longo do tempo.

Como esperado, o ping de um dispositivo de zona de contratação para a interface IRB para a contractors zona é bem-sucedido. Agora, você verifica a falta de conectividade com as zonas e guests zonastrust. Consulte a conectividade de filial local segura para obter detalhes sobre os endereços atribuídos às interfaces IRB neste exemplo.

A saída mostra que apenas o ping de 192.168.30.1 (atribuído ao irb.30) é bem-sucedido. Isso confirma que os contratados não podem acessar as zonas e guests as trust zonas.

Confirme que os contratados não podem acessar a Internet.

Observe que a tentativa de ping www.juniper.net retorna uma mensagem de falha de busca de nome de host . Esta filial não tem um servidor DNS local e conta com um serviço de DNS público que só pode ser alcançado pela Internet. A falha na resolução do nome do host é uma boa indicação de que os contratados estão corretamente bloqueados do acesso à Internet. Como confirmação final, ping o servidor DNS público por seu endereço IP. Mais uma vez, o ping falha como esperado.

Esses resultados completam a validação da conectividade local segura da filial. Muito bom trabalho! Na próxima etapa, mostraremos como estabelecer uma conectividade segura pela Internet.