IPsec-VPN überprüfen
Jetzt zeigen wir Ihnen, wie Sie schnell bestätigen können, dass Ihr routenbasiertes IPsec-VPN seine Aufgabe beim Schutz Ihrer sensiblen Daten leistet.
Lizenzstatus bestätigen
SRX-Sicherheits-Gateways verfügen über viele erweiterte Funktionen. Zum Beispiel Deep Packet Inspection (DPI), Echtzeit-Antivirus-Scanning (AV), Cloud-basierte URL-Blockierung und so weiter. Für einige dieser Funktionen ist eine Lizenz erforderlich. Viele verwenden ein hartes Lizenzierungsmodell, was bedeutet, dass die Funktion deaktiviert ist, bis Sie die erforderliche Lizenz hinzugefügt haben. Möglicherweise können Sie die Funktion jedoch konfigurieren, ohne eine Art von Lizenzwarnung zu erhalten. Informationen zu funktionsbasierten Lizenzen finden Sie unter Lizenzen für die SRX-Serie. Informationen zu abonnementbasierten Lizenzen finden Sie unter Flex-Softwarelizenz für Geräte der SRX-Serie.
Es ist immer eine gute Idee, den Lizenzstatus Ihrer SRX anzuzeigen, insbesondere beim Hinzufügen neuer Funktionen, wie dem IPsec-VPN, das Sie gerade aktiviert haben.
root@branch-srx> show system license
License usage:
Licenses Licenses Licenses Expiry
Feature name used installed needed
remote-access-ipsec-vpn-client 0 2 0 permanent
remote-access-juniper-std 0 2 0 permanent
Licenses installed: none
Das Ergebnis ist eine gute Nachricht. Es zeigt, dass keine spezifischen Lizenzen auf dem Gerät vorhanden sind. Außerdem wird bestätigt, dass keine der konfigurierten Funktionen eine spezielle Add-on-Lizenzierung erfordert. Die Basismodelllizenz für die SRX-Zweigstelle umfasst Unterstützung für VLANs, DHCP-Services und grundlegende IPsec-VPNs.
IKE-Sitzung überprüfen
Stellen Sie sicher, dass die SRX erfolgreich eine IKE-Zuordnung zum Remote-Standort eingerichtet hat:
root@branch-srx> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 3318115 UP 2ed75d71d9aeb5c5 680391201477e65b Aggressive 172.16.1.1
Die Ausgabe zeigt eine etablierte IKE-Sitzung zum Remote-Standort unter 172.16.1.1.
IPsec-Tunnel überprüfen
IPsec-Tunnel-Einrichtung überprüfen:
root@branch-srx> show security ipsec security-associations
Total active tunnels: 1 Total Ipsec sas: 1
ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway
<131073 ESP:3des/sha1 4f03e41c 947/ unlim - root 500 172.16.1.1
>131073 ESP:3des/sha1 70565ffd 947/ unlim - root 500 172.16.1.1
Die Ausgabe bestätigt die Einrichtung der IKE-Sitzung am Remote-Standort unter 172.16.1.1.
Tunnelschnittstellenstatus überprüfen
Stellen Sie sicher, dass die Tunnelschnittstelle betriebsbereit ist (und dass sie nach erfolgreichem Einrichten des IPsec-Tunnels betriebsbereit sein muss). Prüfen Sie außerdem, ob Sie das Remote-Tunnelendpunkt pingen können:
root@branch-srx> show interfaces terse st0
Interface Admin Link Proto Local Remote
st0 up up
st0.0 up up inet 10.0.0.1/24
root@branch-srx> show route 10.0.0.2
inet.0: 19 destinations, 19 routes (19 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.0.0.0/24 *[Direct/0] 00:11:19
> via st0.0
root@branch-srx> ping 10.0.0.2 count 2
PING 10.0.0.2 (10.0.0.2): 56 data bytes
64 bytes from 10.0.0.2: icmp_seq=0 ttl=64 time=17.862 ms
64 bytes from 10.0.0.2: icmp_seq=1 ttl=64 time=2.318 ms
--- 10.0.0.2 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 2.318/10.090/17.862/7.772 ms
Überprüfung des statischen Routings für den IPsec-Tunnel
Stellen Sie sicher, dass die (statische) Route zum Remote-Subnetz korrekt auf die IPsec-Tunnelschnittstelle als nächsten Hop verweist:
root@branch-srx> show route 172.16.200.0
inet.0: 16 destinations, 16 routes (16 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
172.16.200.0/24 *[Static/5] 00:45:52
> via st0.0
Überprüfen, ob der Trust Zone-Datenverkehr den Tunnel verwendet
Generieren Sie Datenverkehr von einem Trust Zone-Gerät zu einem Ziel im Subnetz 172.16.200.0/24. Wir haben der Loopback-Schnittstelle des Remote-Standorts die Adresse 172.16.200.1/32 zugewiesen und in die vpn Zone platziert. Diese Adresse stellt ein Ziel für den Ping bereit. Wenn alles funktioniert, sollten diese Pings erfolgreich sein.
Führen Sie die folgenden Schritte aus, um zu bestätigen, dass dieser Datenverkehr über das IPsec-VPN erfolgt.
- Löschen Sie die Statistiken für den IPsec-Tunnel.
root@branch-srx> clear security ipsec statistics - Generieren Sie eine bekannte Anzahl von Pings an das Ziel 172.16.200.1 von einem Trust Zone-Client.
user@trust-device> ping 172.16.200.1 count 100 rapid PING 172.16.200.1 (172.16.200.1): 56 data bytes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! --- 172.16.200.1 ping statistics --- 100 packets transmitted, 100 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.895/1.062/2.322/0.326 ms
- Anzeigen von Tunnelnutzungsstatistiken.
root@branch-srx> show security ipsec statistics ESP Statistics: Encrypted bytes: 13600 Decrypted bytes: 8400 Encrypted packets: 100 Decrypted packets: 100 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Damit wird die Überprüfung des IPsec-VPN abgeschlossen. Herzlichen Glückwunsch zum neuen Filialstandort!