Vérifier la connectivité par défaut des filiales
Tout d'abord, vérifions la connectivité WAN et LAN par défaut sur le SRX.
Vérifier la connectivité WAN
Confirmer le client DHCP sur l’interface WAN
Vérifiez que l’interface WAN a reçu une adresse IP du service DHCP fourni par le FAI (ISP). Dans la configuration par défaut, l’interface ge-0/0 fait partie de la untrust zone et est définie comme un client DHCP.
root@branch_SRX> show dhcp client binding IP address Hardware address Expires State Interface 172.16.1.10 78:4f:9b:26:21:f5 77215 BOUND ge-0/0/0.0
Confirmer la connectivité Internet
Confirmez l’accès Internet avec un ping réussi à www.juniper.net.
root@branch_SRX> ping www.juniper.net inet count 2 PING e1824.dscb.akamaiedge.net (104.100.54.237): 56 data bytes 64 bytes from 104.100.54.237: icmp_seq=0 ttl=47 time=7.268 ms 64 bytes from 104.100.54.237: icmp_seq=1 ttl=47 time=9.803 ms --- e1824.dscb.akamaiedge.net ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 7.268/8.536/9.803/1.267 ms
Vérifier la connectivité LAN
- Confirmer le serveur DHCP LAN
- Afficher les VLAN
- Vérifier l’apprentissage de l’adresse MAC
- Confirmer la connectivité LAN dans la zone de confiance
Vérifiez la connectivité LAN. Les stratégies de sécurité par défaut de la ligne SRX300 résument les zones de sécurité par défaut d’usine et leur comportement. Consultez la connectivité par défaut de la gamme SRX300 pour plus d’informations sur la connectivité physique et les adresses MAC utilisées par les différents équipements LAN.
Alors que le type et le nombre de ports varient d’un modèle SRX à l’autre (SRX 300 Series), la configuration d’usine par défaut se traduit par le même type de connectivité :
- Tous les ports LAN disposent d’une connectivité de couche 2 complète dans la trust zone
- Le trafic envoyé depuis n’importe quel port LAN est autorisé dans la untrust zone
- Le retour du trafic de la untrust zone est autorisé à la trust zone
- Le trafic en provenance de la untrust zone est bloqué à partir de la trust zone
Gardez ces valeurs par défaut à l’esprit tout en continuant à vérifier la connectivité par défaut.
Confirmer le serveur DHCP LAN
Vérifiez que le SRX attribue des adresses IP aux clients LAN. Rappelons que dans la configuration d’usine par défaut, une interface IRB (Integrated Routing and Bridging) compatible couche 3 fonctionne comme un serveur DCHP pour tous les ports LAN. Reportez-vous à la figure 1 pour mapper les adresses MAC indiquées dans la sortie aux équipements et aux ports SRX utilisés dans notre filiale.
root@branch_SRX> show dhcp server binding IP address Session Id Hardware address Expires State Interface 192.168.2.5 3530 08:81:f4:82:a4:5c 70025 BOUND irb.0 192.168.2.8 3529 08:81:f4:8a:eb:51 68662 BOUND irb.0 192.168.2.13 3534 20:4e:71:a6:a7:01 86366 BOUND irb.0 192.168.2.7 3535 d4:20:b0:00:c3:37 86126 BOUND irb.0
La sortie confirme que l’équipement SRX attribue correctement les adresses IP du pool d’adresses 192.168.2.0/24 par défaut aux clients LAN.
Afficher les VLAN
Dans la configuration d’usine par défaut, tous les ports LAN sont dans le même VLAN (vlan-trust) avec une connectivité complète (non filtrée) de couche 2 pour le sous-réseau IP 192.168.2.0/24 partagé. Utilisez la show vlans commande pour afficher tous les VLAN sur l’équipement.
root@branch_SRX> show vlans
Routing instance VLAN name Tag Interfaces
default-switch default 1
default-switch vlan-trust 3
ge-0/0/1.0*
ge-0/0/10.0
ge-0/0/11.0
ge-0/0/12.0
ge-0/0/13.0
ge-0/0/14.0
ge-0/0/15.0
ge-0/0/2.0*
ge-0/0/3.0*
ge-0/0/4.0
ge-0/0/5.0
ge-0/0/6.0
ge-0/0/7.0
ge-0/0/8.0
ge-0/0/9.0
xe-0/0/16.0
xe-0/0/17.0
xe-0/0/18.0
La sortie montre qu’il y a deux VLAN : le default VLAN, assigné vLAN ID 1, et le vlan-trust VLAN, assigné ID 3 VLAN. Dans la configuration d’usine par défaut, aucune interface n’est associée au VLAN par défaut. Tous les ports LAN sont associés au vlan-trust VLAN. Toutes les interfaces attribuées au même VLAN disposent d’une connectivité complète au niveau de la couche 2.
Vérifier l’apprentissage de l’adresse MAC
Émettez la show ethernet-switching table commande pour vérifier l’apprentissage MAC dans le vlan-trust VLAN.
root@branch_SRX> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 6 entries, 6 learned
Routing instance : default-switch
Vlan MAC MAC Age Logical NH RTR
name address flags interface Index ID
vlan-trust 08:81:f4:82:a4:5c D - ge-0/0/3.0 0 0
vlan-trust 08:81:f4:8a:eb:51 D - ge-0/0/2.0 0 0
vlan-trust 20:4e:71:a6:a7:01 D - ge-0/0/1.0 0 0
Le résultat confirme l’apprentissage d’adresse MAC attendu pour nos clients LAN dans le vlan-trust VLAN.
Dans un VLAN, l’apprentissage de l’adresse MAC se produit à chaque fois qu’un équipement envoie un type de trafic. Le SRX apprend en fonction de l’adresse MAC source. Cet apprentissage construit la table de commutation Ethernet utilisée pour transférer le trafic, en fonction de l’adresse MAC de destination. Le trafic broadcast, unicast inconnu et multicast (BUM) est inondé par tous les ports du VLAN. Dans notre cas, l’utilisation de DHCP pour obtenir une adresse IP suffit à déclencher l’apprentissage de l’adresse MAC affiché.
Confirmer la connectivité LAN dans la zone de confiance
Pour confirmer la connectivité LAN dans la trust zone, il suffit d’envoyer un ping entre les clients LAN. Vous pouvez également envoyer des pings du SRX vers chaque client LAN. Pour la vérification, connectez-vous à un équipement employé attaché à l'interface SRX ge-0/0/2 et testez la connectivité à l'interface IRB du SRX et à l'équipement LAN connecté à l'interface ge-0/0/1 du SRX. Utilisez les adresses MAC et IP indiquées dans la sortie de commande précédente.
Tout d’abord, confirmez les paramètres de l’interface de l’équipement de l’employé. En particulier, les adresses MAC et IP :
root@employee> show interfaces ge-1/0/1
Physical interface: ge-1/0/1, Enabled, Physical link is Up
Interface index: 153, SNMP ifIndex: 522
Link-level type: Ethernet, MTU: 1514, MRU: 1522, LAN-PHY mode, Speed: 1000mbps, BPDU Error: None, Loop Detect PDU Error: None,
. . .
Current address: 08:81:f4:8a:eb:51, Hardware address: 08:81:f4:8a:eb:51
. . .
Logical interface ge-1/0/1.0 (Index 338) (SNMP ifIndex 598)
Flags: Up SNMP-Traps 0x0 Encapsulation: ENET2
Input packets : 1338313
Output packets: 40277
Protocol inet, MTU: 1500
Max nh cache: 75000, New hold nh limit: 75000, Curr nh cnt: 1, Curr new hold cnt: 0, NH drop cnt: 0
Flags: Sendbcast-pkt-to-re
Addresses, Flags: Is-Preferred Is-Primary
Destination: 192.168.2/24, Local: 192.168.2.8, Broadcast: 192.168.2.255
Protocol multiservice, MTU: Unlimited
Flags: Is-Primary
Ensuite, testez la connectivité LAN attendue avec un ping vers l'interface IRB du SRX et vers l'équipement LAN connecté à l'interface ge-0/0/1. Comme indiqué ci-dessus, l’adresse IP 192.168.2.13 est attribuée à l’équipement LAN sur ge-0/0/1 :
root@employee> ping 192.168.2.1 count 2 PING 192.168.2.1 (192.168.2.1): 56 data bytes 64 bytes from 192.168.2.1: icmp_seq=0 ttl=64 time=0.938 ms 64 bytes from 192.168.2.1: icmp_seq=1 ttl=64 time=0.893 ms --- 192.168.2.1 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.893/0.915/0.938/0.023 ms root@employee> ping 192.168.2.13 count 2 PING 192.168.2.13 (192.168.2.13): 56 data bytes 64 bytes from 192.168.2.13: icmp_seq=0 ttl=64 time=2.798 ms 64 bytes from 192.168.2.13: icmp_seq=1 ttl=64 time=1.818 ms --- 192.168.2.13 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.818/2.308/2.798/0.490 ms root@employee> traceroute 192.168.2.13 traceroute to 192.168.2.13 (192.168.2.13), 30 hops max, 40 byte packets 1 192.168.2.13 (192.168.2.13) 1.759 ms 1.991 ms 1.786 ms
Les pings sont réussis, ce qui vérifie la connectivité attendue pour les ports VLAN de confiance. La sortie de traceroute ajoutée confirme le sous-réseau IP partagé et la connectivité directe qui en résulte pour les stations LAN. Cette connectivité changera lorsque vous déployez plus tard plusieurs VLAN et sous-réseaux IP pour sécuriser la connectivité des filiales locales.
Vérifier la connectivité DU LAN au WAN avec le NAT source
Envoyez un ping à une destination Internet à partir d’un client LAN. Si vous le souhaitez, vous pouvez sourcer un ping à partir de l'interface IRB du SRX pour exercer le même flux de paquets. L’objectif est de vérifier que le trafic en provenance de la trust zone s’écoule vers la zone à l’aide du untrust NAT source . La station LAN dispose ainsi d’une connectivité Internet.
Testons la connectivité Internet à partir du client LAN rattaché à l'interface SRX ge-0/0/2 en envoyant un ping au juniper.net site Web.
root@employee> ping www.juniper.net count 2 inet
PING e1824.dscb.akamaiedge.net (104.100.54.237): 56 data bytes
64 bytes from 104.100.54.237: icmp_seq=0 ttl=44 time=4.264 ms
64 bytes from 104.100.54.237: icmp_seq=1 ttl=44 time=4.693 ms
--- e1824.dscb.akamaiedge.net ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 4.264/4.479/4.693/0.214 ms
root@employee> show route 104.100.54.237
inet.0: 23 destinations, 23 routes (22 active, 0 holddown, 1 hidden)
+ = Active Route, - = Last Active, * = Both
0.0.0.0/0 *[Access-internal/12] 3w6d 01:45:40, metric 0
> to 192.168.2.1 via ge-1/0/1.0
Le ping est réussi, ce qui confirme la connectivité LAN au WAN. La sortie de la show route commande confirme que la station LAN envoie le trafic de test au SRX en tant que passerelle par défaut.
Il est important de noter que l'envoi d'un ping d'une station LAN à une destination Internet implique un flux de paquets de la zone à untrust la trust zone. Le SRX est un équipement basé sur les flux. Une politique de sécurité est nécessaire pour autoriser les flux entre les zones. Comme nous l’avons noté en figure 1, les stratégies d’usine par défaut autorisent trust les flux de untrust paquets.
Consultez le tableau des sessions de flux pour vérifier qu’il y a des sessions actives entre les clients LAN et le WAN.
root@branch_SRX> show security flow session Session ID: 8590056439, Policy name: trust-to-untrust/5, State: Stand-alone, Timeout: 2, Valid In: 192.168.2.8/28282 --> 104.100.54.237/56711;icmp, Conn Tag: 0x0, If: irb.0, Pkts: 1, Bytes: 84, Out: 104.100.54.237/56711 --> 172.16.1.10/7273;icmp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 1, Bytes: 84, . . .
Le résultat montre que votre trafic test a réussi à créer une entrée de table de flux. Une deuxième entrée pour le même flux confirme que le SRX a effectué le NAT source sur le trafic (en utilisant 172.16.1.10 à partir de son interface WAN), avant d’envoyer le ping à la destination à 104.100.54.237 (www.juniper.net). Cela confirme que le trafic est autorisé à circuler de la trust zone à la zone avec le untrust NAT source. Votre ping réussi à partir d’une station LAN pour www.juniper.net confirmer la connectivité LAN-WAN par défaut attendue en usine.
Nous allons ensuite vous montrer comment modifier la connectivité LAN par défaut pour sécuriser la filiale locale en fonction de vos besoins.