Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

验证安全 LAN 连接

您已经配置了 VLAN 和安全策略以保护本地分支机构通信,让我们快速确认分支机构 VLAN 连接是否按预期工作。验证过程与您用于验证默认连接的流程类似。主要区别在于,现在,这些验证步骤发生在特定 VLAN/安全区域的上下文中。当然,鉴于您更改的 VLAN,您不再期望 LAN 端口之间能实现完全连接。

验证 LAN DHCP 服务器

验证 SRX 是否已将 IP 地址分配给 LAN 客户端。

请注意,这些设备的 MAC 地址与之前相同(请参阅分支机构 SRX 默认连接),但现在,它们会根据各自的 VLAN 分配与不同的 IP 子网和 IRB 单元相关联。显示屏将确认至少有一台设备在 、 guestscontractors VLAN 中vlan-trust。此输出确认 DHCP 服务器在每个 VLAN 内正常运行。

验证 VLAN 配置。

输出将确认您配置正确 guestscontractors VLAN。

验证访客 VLAN

验证 VLAN 和区域中的设备 guests 是否可以访问互联网。您通过 ping 成功确认互联网接入,即可 www.juniper.net。请记住,您的分支机构设计规定,访客仅可向互联网发送 HTTP/HTTPS 和 ping 流量。

guests如果您的区域设备支持命令行 HTTP 客户端(如 CURL),请使用它验证对互联网的 HTTP 访问。如果设备具有用于测试 Web 连接的 GUI 界面,您始终可以使用 Web 浏览器。

我们不会费心去寻找连接互联网的机器来确认所有其他服务(即 SSH、Telnet、FTP 等)都不起作用。此处的一个选项是临时删除允许 ICMP 从区域 guests 到区域 untrust 的策略规则。更改生效后,ping 应 www.juniper.net 超时。

我们将通过确认访客设备无法对两个trustcontractors区域中的 IRB 接口执行 ping 来完成 VLAN 验证guests

如预期,对和区域中的 IRB 接口trustcontractors的 ping 会失败。虽然未显示,但从访客到或contractors区域中的终端站点发起的 trust ping 也会失败。同样,您需要一个显式策略来允许流量在区域之间流动。对于访客用户,唯一实际上的安全策略是允许向untrust区域传输 HTTP 和 ping 流量。

验证员工 VLAN

验证区域内的员工 trust 是否可以访问互联网。

验证员工是否可以向承包商 Ping。

输出显示 ping 未成功。有关如何 调试 此问题的信息,请参阅调试连接问题。

调试连接问题

让我们尝试调试员工无法向承包商 ping 的问题。当数据包从 trust 区域遍历到区域 contractors 时,我们将使用追踪选项来调试数据包流。配置至少 traceoptions 必须包含目标文件和标志。命令参数 file 用于指定存储追踪输出的文件名。命令参数 flag 定义要跟踪的事件类型。

激活跟踪后,生成从 trust 区域到区域的 contractors ping。ping 失败时,使用 show log <log_name> CLI 命令和 find 交换机快速定位跟踪日志文件中的感兴趣区域。

突出显示的条目确认从 trust 区域发送到区域的 contractors 测试流量正在被丢弃。消息显示 denied by policy default-policy-logical-system ,指示没有允许此流量的策略。

您必须具有允许流量在区域之间流动的策略。添加以下配置以配置允许区域和contractors区域之间trust所需的流量类型的安全策略。此配置采用快速配置集格式,因此只需将其粘贴到层次结构上的分支 SRX 中[edit]

请务必提交更改。现在,从 trust 区域到区域的 contractors ping 应该会成功。调试已完成后,请移除安全流跟踪选项配置。

承包商 VLAN

验证承包商是否无法与或guests区域内的客户trust通信。

只有对 IRB 接口 (irb.30) 的 ping 才会成功。由于客户端 IP 地址会随更新的 DHCP 分配而更改,因此我们选择通过对给定区域的 IRB 接口执行 ping 来测试区域间连接。在此示例中,分配给 IRB 接口的 IP 地址是静态的,因此不会随着时间而变化。

正如预期的那样,从承包商区域设备到区域的 IRB 接口contractors的 ping 会成功。现在,您可以验证与区域是否缺乏连接trustguests。有关在此示例中分配给 IRB 接口的地址的详细信息,请参阅安全本地分支机构连接

输出显示,只有 ping 到 192.168.30.1(分配给 irb.30)成功。这确认承包商无法访问 trustguests 区域。

确认承包商无法访问互联网。

请注意,尝试 ping www.juniper.net 会返回 主机名查找 失败消息。该分支机构没有本地 DNS 服务器,依赖于只能通过互联网访问的公共 DNS 服务。无法解决主机名可以很好地指示承包商已正确阻止互联网访问。作为最后确认,请通过其 IP 地址对公共 DNS 服务器执行 ping 操作。同样,ping 会按预期失败。

这些结果可以完成对分支机构的安全本地连接的验证。干得好!下一步,我们将向您展示如何通过互联网建立安全连接。