验证 IPsec VPN

SRX 安全网关具有许多高级功能。例如，深度包检测 （DPI）、实时防病毒 （AV） 扫描、基于云的 URL 阻止等。其中一些功能需要许可证。许多使用硬许可模式，这意味着功能禁用，直到您添加必要的许可证。但是，您可能在未收到任何类型的许可证警告的情况下配置此功能。有关基于功能的许可证的信息，请参阅 SRX 系列的许可证。有关基于订阅的许可证的信息，请参阅 SRX 系列设备的 Flex 软件许可证。

显示 SRX 的许可状态总是一个好主意，尤其是在添加新功能时，比如刚才出现的 IPsec VPN。

输出是好消息。它表示设备上不存在特定许可证。它还确认配置的功能都不需要任何特殊附加许可。分支机构 SRX 的基本型号许可证包括 VLAN、DHCP 服务和基本 IPsec VPN 支持。

验证 SRX 是否已成功与远程站点建立 IKE 关联：

输出显示已建立的 IKE 会话到远程站点，为 172.16.1.1。

验证 IPsec 隧道建立：

输出确认 IKE 会话建立到远程站点，为 172.16.1.1。

验证隧道接口是否正常运行（鉴于 IPsec 隧道成功建立，它必须正常运行）。此外，检查是否可以对远程隧道端点进行 ping：

验证到远程子网的（静态）路由是否正确指向 IPsec 隧道接口作为下一跳跃：

在 172.16.200.0/24 子网中从信任区域设备生成到目标的信息流。我们为远程位置的环路接口分配了地址 172.16.200.1/32，并将其放置在区域中 vpn 。此地址提供了 ping 的目标。如果一切正常工作，这些 ping 应该会成功。

要确认此流量使用 IPsec VPN，请遵循以下步骤。

1. 清除 IPsec 隧道的统计信息。
2. 从信任区域客户端生成已知的 ping 数到 172.16.200.1 目标。
3. 显示隧道使用情况统计信息。