验证默认分支机构连接
首先,让我们验证 SRX 上的默认 WAN 和 LAN 连接。
验证 WAN 连接
确认 WAN 接口上的 DHCP 客户端
验证 WAN 接口是否从 ISP (ISP) 提供的 DHCP 服务中收到 IP 地址。在默认配置中,ge-0/0/0 接口是区域 untrust 的一部分,并设置为 DHCP 客户端。
root@branch_SRX> show dhcp client binding IP address Hardware address Expires State Interface 172.16.1.10 78:4f:9b:26:21:f5 77215 BOUND ge-0/0/0.0
确认互联网连接
通过 ping 成功确认 www.juniper.net互联网接入。
root@branch_SRX> ping www.juniper.net inet count 2 PING e1824.dscb.akamaiedge.net (104.100.54.237): 56 data bytes 64 bytes from 104.100.54.237: icmp_seq=0 ttl=47 time=7.268 ms 64 bytes from 104.100.54.237: icmp_seq=1 ttl=47 time=9.803 ms --- e1824.dscb.akamaiedge.net ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 7.268/8.536/9.803/1.267 ms
验证 LAN 连接
验证 LAN 连接。 SRX300 系列默认安全策略 汇总了出厂默认安全区域及其行为。有关各种 LAN 设备使用的物理连接和 MAC 地址的详细信息,请参阅 SRX300 系列默认连接 。
虽然分支办事处 SRX 型号 (SRX 300 系列) 之间的端口类型和计数各不相同,但出厂默认配置会导致相同类型的连接:
- 所有 LAN 端口在该区域内 trust 均具有完整的第 2 层连接
- 该区域允许从任何 LAN 端口发送的 untrust 流量
- 允许从该 untrust 区域返回到该区域的 trust 流量
- 源自该区域的信息untrust流会被阻止。trust
继续验证默认连接时,请记住这些默认值。
确认 LAN DHCP 服务器
验证 SRX 是否将 IP 地址分配给 LAN 客户端。请回顾一下,在出厂默认配置中,支持第 3 层的集成路由和桥接 (IRB) 接口可用作所有 LAN 端口的 DCHP 服务器。请参阅 图 1 ,将输出中显示的 MAC 地址映射到我们分支办事处使用的设备和 SRX 端口。
root@branch_SRX> show dhcp server binding IP address Session Id Hardware address Expires State Interface 192.168.2.5 3530 08:81:f4:82:a4:5c 70025 BOUND irb.0 192.168.2.8 3529 08:81:f4:8a:eb:51 68662 BOUND irb.0 192.168.2.13 3534 20:4e:71:a6:a7:01 86366 BOUND irb.0 192.168.2.7 3535 d4:20:b0:00:c3:37 86126 BOUND irb.0
输出确认 SRX 设备正确地将默认 192.168.2.0/24 地址池中的 IP 地址分配给 LAN 客户端。
显示 VLAN
在出厂默认配置中,所有 LAN 端口均处于相同的 VLAN 中(vlan-trust),为共享的 192.168.2.0/24 IP 子网提供完整的(未过滤)第 2 层连接。使用 命令 show vlans 显示设备上的所有 VLAN。
root@branch_SRX> show vlans
Routing instance VLAN name Tag Interfaces
default-switch default 1
default-switch vlan-trust 3
ge-0/0/1.0*
ge-0/0/10.0
ge-0/0/11.0
ge-0/0/12.0
ge-0/0/13.0
ge-0/0/14.0
ge-0/0/15.0
ge-0/0/2.0*
ge-0/0/3.0*
ge-0/0/4.0
ge-0/0/5.0
ge-0/0/6.0
ge-0/0/7.0
ge-0/0/8.0
ge-0/0/9.0
xe-0/0/16.0
xe-0/0/17.0
xe-0/0/18.0
输出显示有两个 VLAN:分配的 default VLAN(分配的 VLAN ID 1)和分配的 vlan-trust VLAN ID 3。在出厂默认配置中,没有接口与默认 VLAN 相关联。所有 LAN 端口都与 vlan-trust VLAN 相关联。同样,分配给同一 VLAN 的所有接口在第 2 层都具有完全连接。
验证 MAC 地址学习
show ethernet-switching table发出 命令验证 VLAN 中的 vlan-trust MAC 学习。
root@branch_SRX> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 6 entries, 6 learned
Routing instance : default-switch
Vlan MAC MAC Age Logical NH RTR
name address flags interface Index ID
vlan-trust 08:81:f4:82:a4:5c D - ge-0/0/3.0 0 0
vlan-trust 08:81:f4:8a:eb:51 D - ge-0/0/2.0 0 0
vlan-trust 20:4e:71:a6:a7:01 D - ge-0/0/1.0 0 0
输出确认 VLAN 中 vlan-trust LAN 客户端的预期 MAC 地址学习。
在 VLAN 中,当设备发送任何类型的流量时,都会进行 MAC 地址学习。SRX 基于源 MAC 地址进行学习。此学习基于目标 MAC 地址构建用于转发流量的以太网交换表。到 VLAN 中的所有端口的广播、未知单播和组播 (BUM) 流量 tstgs。在我们的案例中,使用 DHCP 获取 IP 地址足以触发所示的 MAC 地址学习。
确认信任区域中的 LAN 连接
要确认区域 trust 中的 LAN 连接,只需在 LAN 客户端之间发送 ping 即可。或者,您也可以从 SRX 向每个 LAN 客户端发送 ping。要验证,请登录连接到 SRX ge-0/0/2 接口的员工设备,以及测试与 SRX 中 IRB 接口的连接,以及连接到 SRX ge-0/0/1 接口的 LAN 设备。使用前面命令输出中显示的 MAC 和 IP 地址。
首先,确认员工设备接口参数。具体来说,MAC 和 IP 地址:
root@employee> show interfaces ge-1/0/1
Physical interface: ge-1/0/1, Enabled, Physical link is Up
Interface index: 153, SNMP ifIndex: 522
Link-level type: Ethernet, MTU: 1514, MRU: 1522, LAN-PHY mode, Speed: 1000mbps, BPDU Error: None, Loop Detect PDU Error: None,
. . .
Current address: 08:81:f4:8a:eb:51, Hardware address: 08:81:f4:8a:eb:51
. . .
Logical interface ge-1/0/1.0 (Index 338) (SNMP ifIndex 598)
Flags: Up SNMP-Traps 0x0 Encapsulation: ENET2
Input packets : 1338313
Output packets: 40277
Protocol inet, MTU: 1500
Max nh cache: 75000, New hold nh limit: 75000, Curr nh cnt: 1, Curr new hold cnt: 0, NH drop cnt: 0
Flags: Sendbcast-pkt-to-re
Addresses, Flags: Is-Preferred Is-Primary
Destination: 192.168.2/24, Local: 192.168.2.8, Broadcast: 192.168.2.255
Protocol multiservice, MTU: Unlimited
Flags: Is-Primary
接下来,测试预期 LAN 连接,将 ping 连接到 SRX 的 IRB 接口,并测试连接到 ge-0/0/1 接口的 LAN 设备。如上文所示,ge-0/0/1 上的 LAN 设备被分配为 IP 地址 192.168.2.13:
root@employee> ping 192.168.2.1 count 2 PING 192.168.2.1 (192.168.2.1): 56 data bytes 64 bytes from 192.168.2.1: icmp_seq=0 ttl=64 time=0.938 ms 64 bytes from 192.168.2.1: icmp_seq=1 ttl=64 time=0.893 ms --- 192.168.2.1 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.893/0.915/0.938/0.023 ms root@employee> ping 192.168.2.13 count 2 PING 192.168.2.13 (192.168.2.13): 56 data bytes 64 bytes from 192.168.2.13: icmp_seq=0 ttl=64 time=2.798 ms 64 bytes from 192.168.2.13: icmp_seq=1 ttl=64 time=1.818 ms --- 192.168.2.13 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.818/2.308/2.798/0.490 ms root@employee> traceroute 192.168.2.13 traceroute to 192.168.2.13 (192.168.2.13), 30 hops max, 40 byte packets 1 192.168.2.13 (192.168.2.13) 1.759 ms 1.991 ms 1.786 ms
ping 成功,用于验证信任 VLAN 端口的预期连接。添加的 traceroute 输出可确认 LAN 站的共享 IP 子网,以及由此产生的直接连接。当您后来部署多个 VLAN 和 IP 子网以保护本地分支机构连接时,这种连接将会改变。
验证 LAN 与源 NAT 的 WAN 连接
从 LAN 客户端向互联网目标发送 ping。如果需要,可从 SRX 的 IRB 接口获取 ping 以练习相同的数据包流。目标是验证发源于 trust 该区域的信息流是否使用源 NAT 流向该 untrust 区域。这为 LAN 站提供了互联网连接。
让我们通过向网站发送 ping 来测试连接到 SRX ge-0/0/2 接口的 LAN 客户端的 juniper.net 互联网连接。
root@employee> ping www.juniper.net count 2 inet
PING e1824.dscb.akamaiedge.net (104.100.54.237): 56 data bytes
64 bytes from 104.100.54.237: icmp_seq=0 ttl=44 time=4.264 ms
64 bytes from 104.100.54.237: icmp_seq=1 ttl=44 time=4.693 ms
--- e1824.dscb.akamaiedge.net ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 4.264/4.479/4.693/0.214 ms
root@employee> show route 104.100.54.237
inet.0: 23 destinations, 23 routes (22 active, 0 holddown, 1 hidden)
+ = Active Route, - = Last Active, * = Both
0.0.0.0/0 *[Access-internal/12] 3w6d 01:45:40, metric 0
> to 192.168.2.1 via ge-1/0/1.0
ping 成功,证实了 LAN 与 WAN 的连接。命令的 show route 输出确认 LAN 站将测试流量发送至 SRX 作为其默认网关。
需要注意的是,从 LAN 站发送 ping 到互联网目标涉及从 trust 区域到 untrust 区域的数据包流。SRX 是基于流的设备。需要一种安全策略来允许区域之间流动。正如我们在 图 1 中指出的,出厂默认策略允许 trust 数据 untrust 包流。
查看流会话表,确认 LAN 客户端与 WAN 之间存在活动会话。
root@branch_SRX> show security flow session Session ID: 8590056439, Policy name: trust-to-untrust/5, State: Stand-alone, Timeout: 2, Valid In: 192.168.2.8/28282 --> 104.100.54.237/56711;icmp, Conn Tag: 0x0, If: irb.0, Pkts: 1, Bytes: 84, Out: 104.100.54.237/56711 --> 172.16.1.10/7273;icmp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 1, Bytes: 84, . . .
输出显示,测试流量成功创建了流表条目。相同流量的第二个条目确认 SRX 在流量上执行源 NAT(使用 WAN 接口的 172.16.1.10),然后以 104.100.54.237 (www.juniper.net) 向目标发送 ping。这确认允许流量使用源 NAT 从 trust 该区域流向 untrust 该区域。从 LAN 站成功 ping 确认 www.juniper.net 出厂默认 LAN-WAN 连接的预期。
接下来,我们将向您展示如何修改默认 LAN 连接,以便根据您的要求保护本地分支机构的安全。