Verifique sua VPN IPsec
Agora vamos mostrar como confirmar rapidamente que sua VPN IPsec baseada em rota está fazendo seu trabalho de proteger seus dados confidenciais.
Confirmar o status de licenciamento
Os gateways de segurança SRX têm muitos recursos avançados. Por exemplo, inspeção profunda de pacotes (DPI), digitalização de antivírus em tempo real (AV), bloqueio de URL baseado em nuvem etc. Alguns desses recursos exigem uma licença. Muitos usam um modelo de licenciamento rígido, o que significa que o recurso é desativado até que você adicione a licença necessária. No entanto, você pode ser capaz de configurar o recurso sem receber nenhum tipo de aviso de licença. Para obter informações sobre licenças baseadas em recursos, veja Licenças para a Série SRX. Para obter informações sobre licenças baseadas em assinatura, consulte Licença de software Flex para dispositivos da Série SRX.
É sempre uma boa ideia exibir o status de licenciamento do seu SRX, especialmente quando se adiciona novos recursos, como a VPN IPsec que você acabou de aparecer.
root@branch-srx> show system license License usage: Licenses Licenses Licenses Expiry Feature name used installed needed remote-access-ipsec-vpn-client 0 2 0 permanent remote-access-juniper-std 0 2 0 permanent Licenses installed: none
A saída é uma boa notícia. Ele mostra que não existem licenças específicas no dispositivo. Ele também confirma que nenhum dos recursos configurados exige qualquer licenciamento especial complementar. A licença modelo base para a filial SRX inclui suporte para VLANs, serviços DHCP e VPNs IPsec básicas.
Verifique a sessão do IKE
Verifique se o SRX estabeleceu com sucesso uma associação IKE com o site remoto:
root@branch-srx> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 3318115 UP 2ed75d71d9aeb5c5 680391201477e65b Aggressive 172.16.1.1
A saída mostra uma sessão de IKE estabelecida para o local remoto em 172.16.1.1.
Verifique o túnel IPsec
Verifique o estabelecimento de túneis IPsec:
root@branch-srx> show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131073 ESP:3des/sha1 4f03e41c 947/ unlim - root 500 172.16.1.1 >131073 ESP:3des/sha1 70565ffd 947/ unlim - root 500 172.16.1.1
A saída confirma o estabelecimento de sessão de IKE no local remoto em 172.16.1.1.
Verificar o status da interface do túnel
Verifique se a interface do túnel está operacional (e ela deve estar operacional, dado o estabelecimento bem-sucedido do túnel IPsec). Além disso, verifique se você pode rastrear o endpoint remoto do túnel:
root@branch-srx> show interfaces terse st0 Interface Admin Link Proto Local Remote st0 up up st0.0 up up inet 10.0.0.1/24 root@branch-srx> show route 10.0.0.2 inet.0: 19 destinations, 19 routes (19 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 10.0.0.0/24 *[Direct/0] 00:11:19 > via st0.0 root@branch-srx> ping 10.0.0.2 count 2 PING 10.0.0.2 (10.0.0.2): 56 data bytes 64 bytes from 10.0.0.2: icmp_seq=0 ttl=64 time=17.862 ms 64 bytes from 10.0.0.2: icmp_seq=1 ttl=64 time=2.318 ms --- 10.0.0.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 2.318/10.090/17.862/7.772 ms
Verifique o roteamento estático no túnel IPsec
Verifique se a rota (estática) para a sub-rede remota aponta corretamente para a interface de túnel IPsec como um próximo salto:
root@branch-srx> show route 172.16.200.0 inet.0: 16 destinations, 16 routes (16 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 172.16.200.0/24 *[Static/5] 00:45:52 > via st0.0
Verifique se o tráfego da zona de confiança usa o túnel
Gere tráfego de um dispositivo da zona de confiança para um destino na sub-rede 172.16.200.0/24. Nós designamos o endereço 172.16.200.1/32 para a interface de loopback do local remoto e o colocamos na vpn zona. Este endereço fornece um alvo para ping. Se tudo estiver funcionando, esses pings devem ter sucesso.
Para confirmar que esse tráfego está usando a VPN IPsec, siga essas etapas.
- Limpe as estatísticas do túnel IPsec.
root@branch-srx> clear security ipsec statistics
- Gere um número conhecido de pings para o destino 172.16.200.1 de um cliente da zona de confiança.
user@trust-device> ping 172.16.200.1 count 100 rapid PING 172.16.200.1 (172.16.200.1): 56 data bytes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! --- 172.16.200.1 ping statistics --- 100 packets transmitted, 100 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.895/1.062/2.322/0.326 ms
- Exibir estatísticas de uso de túneis.
root@branch-srx> show security ipsec statistics ESP Statistics: Encrypted bytes: 13600 Decrypted bytes: 8400 Encrypted packets: 100 Decrypted packets: 100 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Isso completa a verificação da VPN IPsec. Parabéns pela nova filial!