VPN 监控概述
阅读本主题,了解监控 VPN 的重要性,并了解 Junos OS 提供哪些功能来监控您的 VPN。
VPN监控是具有用于安全通信的不间断通道的重要功能。您可以监控 VPN,以确保安全通道建立中涉及的所有元素(安全关联、端点、隧道等)无缝运行,重点是跟踪 VPN 的整体运行状况。
假设您在 SRX 系列防火墙、SRX1 和 SRX2 之间建立了 VPN。 您通常认为 VPN 可以无缝运行,没有任何问题。但是,在真实场景中并非如此。您可能会遇到与两个防火墙之间的 VPN 隧道相关的以下问题:
-
您停止接收来自远程对等方的流量 — 如何知道是没有客户端尝试使用 VPN 隧道,还是数据路径中的其他防火墙正在阻止流量?
-
隧道已成功建立(IKE 第 1 阶段和第 2 阶段 已完成),但无法访问远程 VPN 端点 — 防火墙是否检测到此问题并确保在对等方无法访问时更新隧道状态?
-
如果您知道远程 VPN 端点是可访问的,但又想验证远程网络上的特定主机是否也可访问,该怎么办?
-
如果您的 VPN 对等方突然变得不同步怎么办?
本主题中讨论的 VPN 监视技术可以检测到这些问题。
监控 VPN 的方法
Junos OS 提供多种监控 VPN 的方式。您可以:
-
在配置 VPN 隧道之前监控 IPsec 数据路径。
-
启用失效对等体检测 (DPD) 协议以检查 IKE 对等方的可用性。
-
开启 VPN 监控功能,检查 VPN 隧道的活动情况。
-
检查安全参数索引 (SPI) 以唯一标识安全关联。
-
监控 VPN 报警和隧道事件。