验证 IPsec VPN
现在,我们将向您展示如何快速确认基于路由的 IPsec VPN 在保护敏感数据方面所做的工作。
确认许可状态
SRX 安全网关具有许多高级功能。例如,深度包检测 (DPI)、实时防病毒 (AV) 扫描、基于云的 URL 阻止等。其中一些功能需要许可证。许多使用硬许可模式,这意味着功能禁用,直到您添加必要的许可证。但是,您可能在未收到任何类型的许可证警告的情况下配置此功能。有关基于功能的许可证的信息,请参阅 SRX 系列的许可证。有关基于订阅的许可证的信息,请参阅 SRX 系列设备的 Flex 软件许可证。
显示 SRX 的许可状态总是一个好主意,尤其是在添加新功能时,比如刚才出现的 IPsec VPN。
root@branch-srx> show system license License usage: Licenses Licenses Licenses Expiry Feature name used installed needed remote-access-ipsec-vpn-client 0 2 0 permanent remote-access-juniper-std 0 2 0 permanent Licenses installed: none
输出是好消息。它表示设备上不存在特定许可证。它还确认配置的功能都不需要任何特殊附加许可。分支机构 SRX 的基本型号许可证包括 VLAN、DHCP 服务和基本 IPsec VPN 支持。
验证 IKE 会话
验证 SRX 是否已成功与远程站点建立 IKE 关联:
root@branch-srx> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 3318115 UP 2ed75d71d9aeb5c5 680391201477e65b Aggressive 172.16.1.1
输出显示已建立的 IKE 会话到远程站点,为 172.16.1.1。
验证 IPsec 隧道
验证 IPsec 隧道建立:
root@branch-srx> show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131073 ESP:3des/sha1 4f03e41c 947/ unlim - root 500 172.16.1.1 >131073 ESP:3des/sha1 70565ffd 947/ unlim - root 500 172.16.1.1
输出确认 IKE 会话建立到远程站点,为 172.16.1.1。
验证隧道接口状态
验证隧道接口是否正常运行(鉴于 IPsec 隧道成功建立,它必须正常运行)。此外,检查是否可以对远程隧道端点进行 ping:
root@branch-srx> show interfaces terse st0 Interface Admin Link Proto Local Remote st0 up up st0.0 up up inet 10.0.0.1/24 root@branch-srx> show route 10.0.0.2 inet.0: 19 destinations, 19 routes (19 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 10.0.0.0/24 *[Direct/0] 00:11:19 > via st0.0 root@branch-srx> ping 10.0.0.2 count 2 PING 10.0.0.2 (10.0.0.2): 56 data bytes 64 bytes from 10.0.0.2: icmp_seq=0 ttl=64 time=17.862 ms 64 bytes from 10.0.0.2: icmp_seq=1 ttl=64 time=2.318 ms --- 10.0.0.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 2.318/10.090/17.862/7.772 ms
验证 IPsec 隧道的静态路由
验证到远程子网的(静态)路由是否正确指向 IPsec 隧道接口作为下一跳跃:
root@branch-srx> show route 172.16.200.0 inet.0: 16 destinations, 16 routes (16 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 172.16.200.0/24 *[Static/5] 00:45:52 > via st0.0
验证信任区域流量使用隧道
在 172.16.200.0/24 子网中从信任区域设备生成到目标的信息流。我们为远程位置的环路接口分配了地址 172.16.200.1/32,并将其放置在区域中 vpn 。此地址提供了 ping 的目标。如果一切正常工作,这些 ping 应该会成功。
要确认此流量使用 IPsec VPN,请遵循以下步骤。
- 清除 IPsec 隧道的统计信息。
root@branch-srx> clear security ipsec statistics
- 从信任区域客户端生成已知的 ping 数到 172.16.200.1 目标。
user@trust-device> ping 172.16.200.1 count 100 rapid PING 172.16.200.1 (172.16.200.1): 56 data bytes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! --- 172.16.200.1 ping statistics --- 100 packets transmitted, 100 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.895/1.062/2.322/0.326 ms
- 显示隧道使用情况统计信息。
root@branch-srx> show security ipsec statistics ESP Statistics: Encrypted bytes: 13600 Decrypted bytes: 8400 Encrypted packets: 100 Decrypted packets: 100 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
这完成 IPsec VPN 的验证。恭喜新分支机构所在地!