Vérifier la connectivité LAN sécurisée
Maintenant que vous avez configuré les VLAN et les stratégies de sécurité pour sécuriser les communications locales des filiales, confirmons rapidement que la connectivité VLAN des filiales fonctionne comme prévu. Le processus de validation est similaire à celui que vous avez utilisé pour valider la connectivité par défaut. La principale différence est que ces étapes de vérification sont désormais effectuées dans le contexte d’un VLAN/zone de sécurité spécifique. Et bien sûr, compte tenu des modifications apportées au VLAN, vous ne vous attendez plus à une connectivité complète entre les ports LAN.
Vérifier les serveurs DHCP LAN
Vérifiez que le SRX a assigné des adresses IP aux clients LAN.
root@branch-srx> show dhcp server binding IP address Session Id Hardware address Expires State Interface 192.168.30.10 3543 08:81:f4:82:a4:5c 46482 BOUND irb.30 192.168.2.8 3538 08:81:f4:8a:eb:51 61414 BOUND irb.0 192.168.20.10 3542 20:4e:71:a6:a7:01 46622 BOUND irb.20 192.168.20.11 3544 d4:20:b0:00:c3:37 46621 BOUND irb.20
Notez que les équipements ont les mêmes adresses MAC qu’auparavant (voir Connectivité par défaut SRX des filiales), mais ils sont désormais associés à différents sous-réseaux IP et unités IRB, en fonction de leur attribution VLAN respective. L’affichage confirme qu’au moins un équipement se trouve dans le vlan-trust, le guests, et les contractors VLAN. Cette sortie confirme que vos serveurs DHCP fonctionnent correctement au sein de chaque VLAN.
Vérifiez votre configuration VLAN.
root@branch-srx> show vlans
Routing instance VLAN name Tag Interfaces
default-switch contractors 30
ge-0/0/3.0*
default-switch default 1
default-switch guests 20
ge-0/0/1.0*
default-switch vlan-trust 3
ge-0/0/2.0*
...
La sortie confirme que vous avez correctement configuré les guests VLAN et contractors .
Vérifier le VLAN des invités
Vérifiez que les équipements du guests VLAN et de la zone peuvent accéder à Internet. Vous confirmez l’accès Internet avec un ping réussi pour www.juniper.net. Rappelez-vous que la conception de votre filiale indique que les invités ne sont autorisés qu’à envoyer du trafic HTTP/HTTPS et ping vers Internet.
user@guest-device> ping www.juniper.net inet count 2 PING e1824.dscb.akamaiedge.net (104.100.54.237): 56 data bytes 64 bytes from 104.100.54.237: icmp_seq=0 ttl=46 time=5.323 ms 64 bytes from 104.100.54.237: icmp_seq=1 ttl=46 time=6.204 ms --- e1824.dscb.akamaiedge.net ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 5.323/5.764/6.204/0.441 ms
Si votre guests équipement de zone prend en charge un client HTTP de ligne de commande, comme CURL, utilisez-le pour vérifier l’accès HTTP à Internet. Vous pouvez toujours utiliser un navigateur Web si l’équipement dispose d’une interface graphique pour tester la connectivité Web.
user@guest-device curl --head www.juniper.net HTTP/1.1 301 Moved Permanently Content-Type: text/html Location: https://www.juniper.net/ Content-Length: 0 Date: Mon, 18 Apr 2022 22:32:15 GMT Connection: keep-alive
Nous ne nous donnerons pas la peine d'essayer de trouver une machine connectée à Internet pour confirmer que tous les autres services, c'est-à-dire SSH, Telnet, FTP, etc. ne fonctionneront pas. Une option ici consiste à supprimer temporairement la règle de stratégie qui autorise ICMP de la guests zone à la untrust zone. Une fois la modification prise en effet, le ping www.juniper.net doit être time-out.
Nous terminerons la validation du guests VLAN en confirmant que les équipements invités ne peuvent pas ping sur l'interface IRB dans les trust zones ou contractors .
user@guest-device> ping 192.168.2.1 count 1 PING 192.168.2.1 (192.168.2.1): 56 data bytes --- 192.168.2.1 ping statistics --- 1 packets transmitted, 0 packets received, 100% packet loss user@guest-device ping 192.168.30.1 count 1 PING 192.168.30.1 (192.168.30.1): 56 data bytes --- 192.168.30.1 ping statistics --- 1 packets transmitted, 0 packets received, 100% packet loss
Les pings vers les interfaces IRB dans les trust zones et contractors échouent, comme prévu. Bien que non affichés, les pings lancés par les invités vers les stations de terminaison dans les trust zones ou contractors échouent également. Encore une fois, vous avez besoin d’une politique explicite pour autoriser la circulation du trafic entre les zones. Pour les utilisateurs invités, la seule politique de sécurité en vigueur consiste à autoriser le trafic HTTP et ping vers la untrust zone.
Valider le VLAN des employés
Vérifiez que les employés de la trust zone peuvent accéder à Internet.
user@employee-device> ping www.juniper.net inet count 2 PING e1824.dscb.akamaiedge.net (104.100.54.237): 56 data bytes 64 bytes from 104.100.54.237: icmp_seq=0 ttl=44 time=4.762 ms 64 bytes from 104.100.54.237: icmp_seq=1 ttl=44 time=5.075 ms --- e1824.dscb.akamaiedge.net ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.762/4.918/5.075/0.157 ms
Vérifiez que les employés peuvent envoyer un ping aux sous-traitants.
user@employee-device> ping 192.168.30.10 PING 192.168.30.10 (192.168.30.10): 56 data bytes --- 192.168.30.10 ping statistics --- 38 packets transmitted, 0 packets received, 100% packet loss
La sortie montre que le ping n’a pas réussi. Reportez-vous à la section Déboguer les problèmes de connectivité pour plus d’informations sur la façon de déboguer ce problème.
Déboguer les problèmes de connectivité
Essayons de déboguer le problème de l'incapacité des employés à envoyer un ping aux sous-traitants. Nous utiliserons des options de traçage pour déboguer le flux de paquets lorsque les paquets passent de la trust zone à la contractors zone. Au minimum, la traceoptions configuration doit inclure un fichier cible et un indicateur. L’argument de la file commande spécifie le nom du fichier qui stocke la sortie de trace. Le ou les arguments de la flag commande définissent le type d’événements à retracer.
[edit] root@branch-srx# set security flow traceoptions file flow-debug root@branch-srx# set security flow traceoptions flag basic-datapath root@branch-srx# commit
Une fois le traçage activé, générez des pings de la trust zone à la contractors zone. Lorsque les pings échouent, utilisez la show log <log_name> commande CLI et le find commutateur pour localiser rapidement les zones d’intérêt dans le fichier journal de trace.
root@branch-srx> show log flow-debug | find 192.168.30 Apr 20 03:22:36 03:22:36.712246:CID-0:RT:flow_ipv4_rt_lkup success 192.168.30.1, iifl 0x48, oifl 0x0 Apr 20 03:22:36 03:22:36.712246:CID-0:RT:flow_first_routing: setting out_vrf_id in lpak to 0, grp 0 Apr 20 03:22:36 03:22:36.712246:CID-0:RT:Changing out-ifp from .local..0 to irb.30 for dst: 192.168.30.1 in vr_id:0 Apr 20 03:22:36 03:22:36.712246:CID-0:RT: routed (x_dst_ip 192.168.30.1) from trust (irb.0 in 0) to irb.30, Next-hop: 192.168.30.1 Apr 20 03:22:36 03:22:36.712246:CID-0:RT:Policy lkup: vsys 0 zone(7:trust) -> zone(9:contractors) scope:0 src vrf (0) dsv vrf (0) scope:0 Apr 20 03:22:36 03:22:36.712246:CID-0:RT: 192.168.2.2/2048 -> 192.168.30.1/34912 proto 1 Apr 20 03:22:36 03:22:36.712246:CID-0:RT:Policy lkup: vsys 0 zone(5:global) -> zone(5:global) scope:0 src vrf (0) dsv vrf (0) scope:34912 Apr 20 03:22:36 03:22:36.712246:CID-0:RT: 192.168.2.2/2048 -> 192.168.30.1/34912 proto 1 Apr 20 03:22:36 03:22:36.712246:CID-0:RT:flow_first_policy_search: policy search from zone trust-> zone contractors (0x0,0x3d56010a,0x10a), result: 0xfa3c538, pending: 0? Apr 20 03:22:36 03:22:36.712246:CID-0:RT:flow_first_policy_search: dynapp_none_policy: TRUE, uc_none_policy: TRUE, is_final: 0x0, is_explicit: 0x0, policy_meta_data: 0x0 Apr 20 03:22:36 03:22:36.712246:CID-0:RT: app 0, timeout 60s, curr ageout 60s Apr 20 03:22:36 03:22:36.712246:CID-0:RT: packet dropped, denied by policy Apr 20 03:22:36 03:22:36.712246:CID-0:RT: denied by policy default-policy-logical-system-00(2), dropping pkt Apr 20 03:22:36 03:22:36.712246:CID-0:RT: packet dropped, policy deny. . . .
Les entrées en surbrillance confirment que le trafic de test envoyé de la trust zone à la contractors zone est en cours d’abandon. Le message indique denied by policy default-policy-logical-system qu'il n'y a pas de stratégie pour autoriser ce trafic.
Vous devez disposer d’une stratégie pour autoriser la circulation du trafic entre les zones. Ajoutez la configuration ci-dessous pour configurer une stratégie de sécurité qui autorise les types de trafic souhaités entre la trust zone et la contractors zone. La configuration est au format configuration rapide, vous pouvez donc simplement la coller dans le SRX de la filiale à la [edit] hiérarchie :
set security policies from-zone trust to-zone contractors policy trust-to-contractors match source-address any set security policies from-zone trust to-zone contractors policy trust-to-contractors match destination-address any set security policies from-zone trust to-zone contractors policy trust-to-contractors match application junos-http set security policies from-zone trust to-zone contractors policy trust-to-contractors match application junos-ping set security policies from-zone trust to-zone contractors policy trust-to-contractors then permit
Assurez-vous de valider vos modifications. Maintenant, le ping de la trust zone à la contractors zone devrait réussir. Maintenant que votre débogage est terminé, supprimez la configuration de traceoptions de flux de sécurité .
[edit] root@branch-srx# delete security flow traceoptions root@branch-srx# commit
VLAN sous-traitants
Vérifiez que les sous-traitants ne peuvent pas communiquer avec les clients dans les trust zones ou guests .
Seul le ping vers l’interface IRB (irb.30) doit réussir. Comme les adresses IP des clients peuvent changer avec les attributions DHCP mises à jour, nous choisissons de tester la connectivité inter-zone en ping sur l’interface IRB pour une zone donnée. Dans cet exemple, les adresses IP attribuées aux interfaces IRB sont statiques et ne changeront donc pas avec le temps.
user@contractor-device> ping 192.168.30.1 count 2 PING 192.168.30.1 (192.168.30.1): 56 data bytes 64 bytes from 192.168.30.1: icmp_seq=0 ttl=64 time=0.929 ms 64 bytes from 192.168.30.1: icmp_seq=1 ttl=64 time=0.864 ms --- 192.168.30.1 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.829/0.866/0.929/0.036 ms
Comme prévu, le ping d’un équipement de zone sous-traitant vers l’interface IRB de la contractors zone réussit. Maintenant, vous vérifiez le manque de connectivité aux trust zones et guests . Reportez-vous à la section Secure Local Branch Connectivity pour plus de détails sur les adresses attribuées aux interfaces IRB dans cet exemple.
user@contractor-device> ping 192.168.2.1 count 2 PING 192.168.2.1 (192.168.2.1): 56 data bytes --- 192.168.2.1 ping statistics --- 2 packets transmitted, 0 packets received, 100% packet loss
user@contractor-device> ping 192.168.20.1 count 2 PING 192.168.20.1 (192.168.20.1): 56 data bytes --- 192.168.20.1 ping statistics --- 2 packets transmitted, 0 packets received, 100% packet loss
La sortie montre que seul le ping vers 192.168.30.1 (assigné à irb.30) réussit. Cela confirme que les sous-traitants ne peuvent pas accéder aux trust zones et guests .
Vérifiez que les sous-traitants ne peuvent pas accéder à Internet.
user@contractor-device> ping www.juniper.net inet count 1 ping: cannot resolve www.juniper.net: Host name lookup failure user@contractor-device> ping 8.8.8.8 count 1 PING 8.8.8.8 (8.8.8.8): 56 data bytes --- 8.8.8.8 ping statistics --- 1 packets transmitted, 0 packets received, 100% packet loss
Notez que la tentative de ping www.juniper.net renvoie un message d’échec de la recherche de nom d’hôte . Cette filiale n'a pas de serveur DNS local et s'appuie sur un service DNS public accessible uniquement par Internet. L’échec de la résolution du nom d’hôte est une bonne indication que les sous-traitants sont correctement bloqués d’accès à Internet. En dernière confirmation, envoyez un ping au serveur DNS public par son adresse IP. Là encore, le ping échoue comme prévu.
Ces résultats complètent la validation de la connectivité locale sécurisée des filiales. Bien fait! À l'étape suivante, nous vous montrerons comment établir une connectivité sécurisée sur Internet.